OSSIM平台部署前奏

工欲善其事,必先利其器。做为OSSIM的使用者，对于企业网中部署OSSIM你真的准备好了吗？从软件方面看对于系统维护、网络管理以及安全管理知识体系是否全面了解呢？在本章中部署OSSIM是须要使用者具备系统工程师、网络架构师和安全分析师多种角色的知识，下面重点从硬件选型上讲解OSSIM准备安装前的注意事项。

1. 软硬件配备

（1）首先肯定监控范围。须要监控几个网段内的多少台服务器，每台设备的日最高流量为多大（须要按峰值考虑）,每台设备都须要能联系到相应的管理员。

（2）肯定监控对象，虽然说OSSIM可以监控多种设备，但实际上为了保证性能，不能无节制的打开各类服务。

（3）从人员配备上看，需由专人负责管理，维护OSSIM的人员，首先因该是具备必定工做经验的Linux工程师，熟悉Linux系统+网络架构+MySQL+PHP，即熟悉Linux系统运维、MySQL数据库运维、信息安全管理、对于网络编程也须要掌握。

（4）硬件选择，能够采用品×××服务器，对于中小企业也能够根据本身需求，以OSSIM 4.8系统为例，目前系统对多核性能支持的比较好，推荐采用至强E系列处理器，OSSIM在漏洞扫描、Ossec扫描、Snort事件分析时会消耗大量CPU，因此要尽可能选择高性能CPU，尤为是在OSSIM USM发展到5.0以后，数据库采用了MySQL 5.6，对多CPU处理能力需求更高。

就内存而言，只有一个道理，越大越好。当数据库的所有数据页能保存在缓冲池中，那么其性能 理论上是最优状态。 对于新版本OSSIM，建议须要配备16G以上内存，通过长期测试，对于OSSIM 4.3（64位）版本系统而言，若是内存分配小于6G在实际测试中系统工做一段时间以后，因为内存溢出等问题，可能出现某些服务自动重启或没有响应的状况。

    因此16G内存是稳定运行的一个经验值（并且监控选项和插件选项是针对性的打开）另外系统还须要2T的存储空间，有条件内存配备32G比较理想。笔者在测试环境中采用本身攒的服务器，配置以下：华硕P8Z87-K+Intel I7 4770K+32G内存+双千兆Intel网卡+4T硬盘的配置下安装OSSIM 4.11一次性经过，运行效果比较理想。

在持久存储上一般使用多块硬盘组成RAID阵列，OSSIM系统中常采用RAID 1+0模式，但机械磁盘自己的特性决定了其IOPS性能比较低，而经过多块盘作RAID虽能提高IOPS,但对于OSSIM系统而言依然缓慢，因此对于有条件的企业建议采用固态硬盘，当前SSD能轻松达到50000。

固态硬盘可分为PCIe和SAS（SATA）接口。PCIe有着最好的性能，但价格较贵。而SAS接口的一个好处是易于安装，升级当前服务器的存储到SAS接口的固态硬盘仅需拆卸原来的机械硬盘便可。而PCIe须要拆开服务器的背板，工程量较大，普通系统工程师恐难胜任。

（5）对于Broadcom Netxtreme网卡所遇到的问题

市面上有一些HP和Dell的服务器采用Broadcom Netxtreme网卡，这时安装OSSIM2.3这样低版本的系统就会遇到找不到网卡驱动到的问题，由于Debian系统没法加载firemware bnx2模块这时，须要到Broadcom官网下载For Debian的驱动，而后经过U盘安装 。

成功加载驱动后，在系统内就能查看到详细信息：

# dmesg | grep bnx2

[    1.909228] Broadcom NetXtreme II Gigabit Ethernet Driver bnx2 v1.7.5

[    2.634060] firmware: requesting bnx2-06-4.0.5.fw

[    3.185810] firmware: requesting bnx2-06-4.0.5.fw

新版本的OSSIM在这方面进行了改进，增长了firmware-bnx2包，这样一来可以支持Broadcom Netxtreme系列网卡。

2.服务器选择

     部署OSSIM服务器时常会遇到两类问题，一类是没法识别硬盘，另外一类是没法识别网卡。对于Dell、HP和IBM品×××X86服务器系列，官方默认对Windows以及Linux发行版Rad Hat、SUSE Linux提供RPM格式的驱动支持不错，它们只提供Red Hat和SUSE的硬件兼容列表，对于Debian Linux平台支持相对较差。

一些使用OSSIM的用户，为服务器Raid卡安装驱动头痛不已。经测试Dell 2950/2850 PowerEdge、HP ProLiant DL160 G6 、DL360、DL380 （G七、G8）、IBM X3100M4以及方正圆明LT200 2600等服务器都能顺利安装OSSIM 4。你们在选择一款专业服务器时，须要确认它是否支持Debian Linux系统。

OSSIM是基于Debian Linux的系统，因此并无包含最新服务器的网卡驱动和Raid卡驱动，在厂家那里没有提供兼容列表时，你们能够在http://kmuto.jp/debian/hcl上查询机器是否适合安装。例如查询IBM X3650机器是否能安装就能够查询http://kmuto.jp/debian/hcl/IBM/x3650/。

在网卡的选择方面你们须要注意，有条件的部门能够选择带队列功能的网卡，例如Intel 82576千兆网卡，它支持PCIe 2.0 X 4，支持MSI-x中断，支持8个RSS队列。 

3.CPU内核越多越好？

在OSSIM中集成了不少优秀的抓包工具例如tcpdump、snort/suricata这些工具中都具备数据包捕获函数库例如PF_Ring,它们都是以库函数为基础的软件方式抓包，在老版本中采用libpcap抓包，因为它接收数据包时产生的中断开销，以及将接收到的数据包从网卡复制到内核，再从内核复制到用户空间消耗大量CPU资源，因此不适用高速链路。若提升抓包效率就必须减小内存复制次数，改变中断方式，减小没必要要的CPU中断，PF_RING机制在这种需求下诞生。在OSSIM中采用了PF_Ring+NAPI的捕包机制。

对于一个流量监控模块来讲，必需要求足够的CPU资源，来对捕获的数据包作深一层处理和分析，不然捕获的数据包会被丢弃。所以有必要测试在各类数据包大小下，包捕获有没有发生丢弃，注意观察CPU使用率。

即便使用了Suricata支持多线程，在多核平台上抓包，也没有成倍提高性能，但采用多核和Suricata后抓包效率比过去提高了很多，但还有一部分不可避免的CPU消耗主要集中在内核空间。   

4.服务器网卡注意事项

一般，你们在实体服务器上经过光盘安装OSSIM过程当中，没有提示输入IP、网关等配置，进入系统后才发现网卡没有加载驱动，此时你再返回去下载服务器网卡驱动比较麻烦，那到底OSSIM系统须要什么样的网卡呢？若是OSSIM工做在千兆网络环境，建议加装一块性能优异的网卡，首推Intel Pro网卡，它是著名品×××且性能稳定，可显著的改善服务器网络性能的特性，解决网络传输瓶颈。

哪一种网卡最适合OSSIM呢？从安装方便程度和价格上看当属Intel Pro 10/100/1000网卡，但它的吞吐量并非最好，OSSIM自带Intel Pro网卡驱动，另外选择Realtek瑞昱8169芯片（OSSIM直接带驱动）网卡也是一种选择比Intel略逊一筹，比它更好的例如Intel Gigabit ET Quad Port Server Adapter，型号是E1G44ET，这须要你手动安装驱动，这块基于两个82576芯片的强大四口千兆网卡，适和大流量网络环境下监控，但价格比较贵。

对于OSSIM服务器的数据存储问题，可以使用已有的存储系统，推荐专供OSSIM平台使用的存储系统，如 IBM System Storage DS4000盘阵等。另外网卡方面选用Intel的双千兆网卡比较合适，另外在交换设备上作好SPAN设置这一步相当重要，详细操做后面会讲到，须要将流量镜像到Sensor的网络接口。