手把手教你白嫖开源网络安全神器，从零基础到精通，收藏这篇就够了！

最近听到不少小伙伴吐槽，说网络安全市场现在是真不好混了，甲方爸爸们一个个精得跟猴似的，光靠卖盒子忽悠人那套已经不好使了。遥想当年，只要政策一响，盒子随便卖，现在呢？用户机房里各种安全设备堆成山，防火墙、终端安全管理，啥也不缺，简直就是安全盒子的“坟墓”。

而且，更扎心的是，很多甲方爸爸也开始自我觉醒，安全意识蹭蹭往上涨，想忽悠他们，门都没有！之前的那些安全集成项目，效果嘛，呵呵，说多了都是泪，设备买回去就吃灰，运营效果基本为零。

所以，我跟朋友说，咱们得换个思路，别老想着卖盒子，转型做服务才是王道！ 之前的那些坑，那些浪费，咱们得想办法弥补。站在专业的角度，帮甲方爸爸把现有的设备、资源整合起来，打造一个真正能打的网络安全防御体系，这才是正经事。深入了解甲方的痛点，以需求为导向，以结果为目标，这才是我们应该努力的方向。

今天，就给大家分享一个开源的入侵检测系统，这个方案我也给不少用户推荐过。咱们先简单粗暴地把甲方的信息化环境分为四种模式：

1、私有云+公有云
2、本地机房组网
3、公有云
4、私有云

这四种模式都能完美支持咱们今天的主角——开源入侵检测系统。 核心要点就是：引流和入侵检测的主机网卡必须设置成镜像模式！

当然，提到开源，肯定有小伙伴会问：这玩意儿能过等保吗？

别慌，我已经替你们查过了！

等保2.0：开源也能Hold住！

简单来说，信息安全等级保护是国家为了规范企业信息安全而制定的标准，它更关注你的技术能力和管理能力是否达标，而不是你买了什么产品。换句话说，只要你的开源安全产品能满足等保测评的要求，就能顺利通过！

当然，为了避免网络安全事故，响应国家号召，还是建议大家尽快开展等保工作，拿到认证，心里才踏实。

打消了顾虑，咱们就来好好认识一下这个开源入侵检测系统——Security Onion。

Security Onion：安全界的瑞士军刀

Security Onion 是一个免费、开源的 Linux 发行版，专门用于威胁搜索、企业安全监控和日志管理。你可以把它想象成一个安全界的瑞士军刀，啥都能干！

它自带一个超好用的网络界面，内置各种工具，可以帮助安全分析师快速响应警报、威胁狩猎、整理证据、监控网络性能等等。

更厉害的是，它还集成了各种第三方神器，比如 Elasticsearch、Logstash、Kibana、Suricata、Zeek（以前叫 Bro）、Wazuh、NetworkMiner、CyberChef 等等，简直就是安全工具界的豪华套餐！

Security Onion能干啥？

• NIDS（网络入侵检测系统）： 实时监控网络流量，发现恶意行为。
• HIDS（主机入侵检测系统）： 监控系统内部，揪出潜伏的威胁。
• 静态分析： 支持导入 PCAP、EVTX 文件，进行离线分析。
• SOC（安全运营平台）： 集中管理安全事件，提升安全运营效率。

Security Onion界面一览

告警信息一目了然：

威胁狩猎，主动出击：

告警详情，抽丝剥茧：

PCAP分析，还原真相：

威胁事件，一网打尽：

控制面板，全局掌控：

安装过程也超级简单，官方提供了脚本一键安装，图形化界面，有手就行。

Security Onion安装教程

CentOS环境

安装git：

sudo yum -y install git

下载仓库，运行一键安装脚本：

git clone https://github.com/Security-Onion-Solutions/securityonion

Ubuntu环境

安装git：

sudo apt -y install git curl

下载仓库，运行一键安装脚本：

git clone https://github.com/Security-Onion-Solutions/securityonion

Security Onion配置

运行完脚本会弹出古老的图形化界面，在<Yes>上回车：

然后继续回车：

然后输入AGREE：

输入自定义的hostname：

继续回车：

然后按空格选择网卡，前面会出现*号：

选择Direct直连，我们不需要代理，按回车：

预装检测完成后，会让我们选择监控流量的网卡，我们依旧是按空格选择网卡：

根据个人情况选择更新计划，我们这里默认是Automatic，每8个小时一更，继续回车：

基础设置完成：

防火墙开放端口

so-allow

温馨提示：

1、 确定访问的管理地址段，是安装完成后访问的管理地址。

2、 双网卡，一块用于管理，另外一块用于接收流量镜像。

本地机房： 在核心交换机上联接口镜像到另外一个接口。服务器的第二块网卡接到这个镜像口上。

#1. 配置镜像(观测)端口
[SwitchA]monitor-port e0/8
#2. 配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
#3. 可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

云端： 可以直接设置把流量镜像打到服务器网卡上。

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*********************************