OSSIM平臺部署前奏

工欲善其事,必先利其器。做爲OSSIM的使用者，對於企業網中部署OSSIM你真的準備好了嗎？從軟件方面看對於系統維護、網絡管理以及安全管理知識體系是否全面瞭解呢？在本章中部署OSSIM是須要使用者具備系統工程師、網絡架構師和安全分析師多種角色的知識，下面重點從硬件選型上講解OSSIM準備安裝前的注意事項。

1. 軟硬件配備

（1）首先肯定監控範圍。須要監控幾個網段內的多少臺服務器，每臺設備的日最高流量爲多大（須要按峯值考慮）,每臺設備都須要能聯繫到相應的管理員。

（2）肯定監控對象，雖然說OSSIM可以監控多種設備，但實際上爲了保證性能，不能無節制的打開各類服務。

（3）從人員配備上看，需由專人負責管理，維護OSSIM的人員，首先因該是具備必定工做經驗的Linux工程師，熟悉Linux系統+網絡架構+MySQL+PHP，即熟悉Linux系統運維、MySQL數據庫運維、信息安全管理、對於網絡編程也須要掌握。

（4）硬件選擇，能夠採用品×××服務器，對於中小企業也能夠根據本身需求，以OSSIM 4.8系統爲例，目前系統對多核性能支持的比較好，推薦採用至強E系列處理器，OSSIM在漏洞掃描、Ossec掃描、Snort事件分析時會消耗大量CPU，因此要儘可能選擇高性能CPU，尤爲是在OSSIM USM發展到5.0以後，數據庫採用了MySQL 5.6，對多CPU處理能力需求更高。

就內存而言，只有一個道理，越大越好。當數據庫的所有數據頁能保存在緩衝池中，那麼其性能 理論上是最優狀態。 對於新版本OSSIM，建議須要配備16G以上內存，通過長期測試，對於OSSIM 4.3（64位）版本系統而言，若是內存分配小於6G在實際測試中系統工做一段時間以後，因爲內存溢出等問題，可能出現某些服務自動重啓或沒有響應的狀況。

    因此16G內存是穩定運行的一個經驗值（並且監控選項和插件選項是針對性的打開）另外系統還須要2T的存儲空間，有條件內存配備32G比較理想。筆者在測試環境中採用本身攢的服務器，配置以下：華碩P8Z87-K+Intel I7 4770K+32G內存+雙千兆Intel網卡+4T硬盤的配置下安裝OSSIM 4.11一次性經過，運行效果比較理想。

在持久存儲上一般使用多塊硬盤組成RAID陣列，OSSIM系統中常採用RAID 1+0模式，但機械磁盤自己的特性決定了其IOPS性能比較低，而經過多塊盤作RAID雖能提高IOPS,但對於OSSIM系統而言依然緩慢，因此對於有條件的企業建議採用固態硬盤，當前SSD能輕鬆達到50000。

固態硬盤可分爲PCIe和SAS（SATA）接口。PCIe有着最好的性能，但價格較貴。而SAS接口的一個好處是易於安裝，升級當前服務器的存儲到SAS接口的固態硬盤僅需拆卸原來的機械硬盤便可。而PCIe須要拆開服務器的背板，工程量較大，普通系統工程師恐難勝任。

（5）對於Broadcom Netxtreme網卡所遇到的問題

市面上有一些HP和Dell的服務器採用Broadcom Netxtreme網卡，這時安裝OSSIM2.3這樣低版本的系統就會遇到找不到網卡驅動到的問題，由於Debian系統沒法加載firemware bnx2模塊這時，須要到Broadcom官網下載For Debian的驅動，而後經過U盤安裝 。

成功加載驅動後，在系統內就能查看到詳細信息：

# dmesg | grep bnx2

[    1.909228] Broadcom NetXtreme II Gigabit Ethernet Driver bnx2 v1.7.5

[    2.634060] firmware: requesting bnx2-06-4.0.5.fw

[    3.185810] firmware: requesting bnx2-06-4.0.5.fw

新版本的OSSIM在這方面進行了改進，增長了firmware-bnx2包，這樣一來可以支持Broadcom Netxtreme系列網卡。

2.服務器選擇

     部署OSSIM服務器時常會遇到兩類問題，一類是沒法識別硬盤，另外一類是沒法識別網卡。對於Dell、HP和IBM品×××X86服務器系列，官方默認對Windows以及Linux發行版Rad Hat、SUSE Linux提供RPM格式的驅動支持不錯，它們只提供Red Hat和SUSE的硬件兼容列表，對於Debian Linux平臺支持相對較差。

一些使用OSSIM的用戶，爲服務器Raid卡安裝驅動頭痛不已。經測試Dell 2950/2850 PowerEdge、HP ProLiant DL160 G6 、DL360、DL380 （G七、G8）、IBM X3100M4以及方正圓明LT200 2600等服務器都能順利安裝OSSIM 4。你們在選擇一款專業服務器時，須要確認它是否支持Debian Linux系統。

OSSIM是基於Debian Linux的系統，因此並無包含最新服務器的網卡驅動和Raid卡驅動，在廠家那裏沒有提供兼容列表時，你們能夠在http://kmuto.jp/debian/hcl上查詢機器是否適合安裝。例如查詢IBM X3650機器是否能安裝就能夠查詢http://kmuto.jp/debian/hcl/IBM/x3650/。

在網卡的選擇方面你們須要注意，有條件的部門能夠選擇帶隊列功能的網卡，例如Intel 82576千兆網卡，它支持PCIe 2.0 X 4，支持MSI-x中斷，支持8個RSS隊列。 

3.CPU內核越多越好？

在OSSIM中集成了不少優秀的抓包工具例如tcpdump、snort/suricata這些工具中都具備數據包捕獲函數庫例如PF_Ring,它們都是以庫函數爲基礎的軟件方式抓包，在老版本中採用libpcap抓包，因爲它接收數據包時產生的中斷開銷，以及將接收到的數據包從網卡複製到內核，再從內核複製到用戶空間消耗大量CPU資源，因此不適用高速鏈路。若提升抓包效率就必須減小內存複製次數，改變中斷方式，減小沒必要要的CPU中斷，PF_RING機制在這種需求下誕生。在OSSIM中採用了PF_Ring+NAPI的捕包機制。

對於一個流量監控模塊來講，必需要求足夠的CPU資源，來對捕獲的數據包作深一層處理和分析，不然捕獲的數據包會被丟棄。所以有必要測試在各類數據包大小下，包捕獲有沒有發生丟棄，注意觀察CPU使用率。

即便使用了Suricata支持多線程，在多核平臺上抓包，也沒有成倍提高性能，但採用多核和Suricata後抓包效率比過去提高了很多，但還有一部分不可避免的CPU消耗主要集中在內核空間。   

4.服務器網卡注意事項

一般，你們在實體服務器上經過光盤安裝OSSIM過程當中，沒有提示輸入IP、網關等配置，進入系統後才發現網卡沒有加載驅動，此時你再返回去下載服務器網卡驅動比較麻煩，那到底OSSIM系統須要什麼樣的網卡呢？若是OSSIM工做在千兆網絡環境，建議加裝一塊性能優異的網卡，首推Intel Pro網卡，它是著名品×××且性能穩定，可顯著的改善服務器網絡性能的特性，解決網絡傳輸瓶頸。

哪一種網卡最適合OSSIM呢？從安裝方便程度和價格上看當屬Intel Pro 10/100/1000網卡，但它的吞吐量並非最好，OSSIM自帶Intel Pro網卡驅動，另外選擇Realtek瑞昱8169芯片（OSSIM直接帶驅動）網卡也是一種選擇比Intel略遜一籌，比它更好的例如Intel Gigabit ET Quad Port Server Adapter，型號是E1G44ET，這須要你手動安裝驅動，這塊基於兩個82576芯片的強大四口千兆網卡，適和大流量網絡環境下監控，但價格比較貴。

對於OSSIM服務器的數據存儲問題，可以使用已有的存儲系統，推薦專供OSSIM平臺使用的存儲系統，如 IBM System Storage DS4000盤陣等。另外網卡方面選用Intel的雙千兆網卡比較合適，另外在交換設備上作好SPAN設置這一步相當重要，詳細操做後面會講到，須要將流量鏡像到Sensor的網絡接口。