传感器放置可能非常棘手，因为需要考虑大量变量。至少，您应该考虑到

• 被监控资源的分类级别
• 网络设计
• 系统吞吐量
• 人事时间（用于管理和分析）
• 资源可用性

将所有这些都放入搅拌机并打开几分钟，将为您提供一些很好的数据，以开始确定您的部署。部署计划是一个多阶段的过程，虽然它们本质上没有分离，但记住它们是同一计划的不同部分是有益的。

数据收集和规划

更有可能的是，您要做的是构建一个您想要监控的所有系统的列表，然后根据重要性或风险对它们进行评级。这应该让您优先考虑您现在真正需要观看的系统。在一个完美的世界中，我们将有一个传感器监控连接到每个系统的链路。然而，这将是可怕的昂贵、难以维护和嘈杂。相反，请与您的网络团队交谈并仔细检查您的网络设计。在网络地图上找出您的优先系统所在的位置，并找出阻塞点在哪里。看看你有哪些硬件可以变成传感器。在一个很棒的环境中，您可以拥有一个带有几个 10Gbps 接口的大盒子，并使用单个传感器对整个企业进行所有监控。然而，

阵列设计和部署

现在是认真思考风险接受阈值的时候了。您觉得需要传感器与敏感数据的距离有多近，放置传感器的距离有多远？在某些情况下，您可能确实需要监视服务器直接连接到的交换机端口。在其他情况下，将单个传感器放置在建筑物或楼层上行链路上，并忽略任何交换机内流量就足够了。在另一种情况下，您可能会觉得镜像特定端口不够好，而是镜像整个 VLAN。

工作量和其他注意事项

当您构建我们的传感器部署策略时，请记住它可能会变得非常复杂。当您决定将传感器放置在何处时，请务必考虑出现的所有其他问题。对于您部署的每个传感器，员工实际维护系统（应用补丁、硬件更换等）、应用程序管理开销（更新签名、调整规则集、确保 snortd 保持运行）和分析时间（解释警报并采取行动）。根据您的设计以及您愿意预先加载多少时间，这些数字可能会有很大差异。例如，使用正确的配置管理/自动化工具，使用 FTE 的一小部分来管理几十个 snort 传感器并不难。

如果您有 Cisco 网络设备，则可以使用 Catalyst 交换端口分析器 (SPAN) 将流量从一个端口镜像到另一个您安装了 snort 传感器的端口。

他们是位于http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a008015c612.shtml的 Cisco SPAN 配置示例。

其他网络设备也有类似的能力。

我们使用它来镜像我们网络上的所有出站和入站流量，而无需在流中插入设备。