目录
- [一、Security Onion 简介](#一、Security Onion 简介)
-
- [1. 什么是 Security Onion](#1. 什么是 Security Onion)
- [2. 部署前置硬件&环境要求](#2. 部署前置硬件&环境要求)
- [3. Security Onion 核心作用&可实现功能](#3. Security Onion 核心作用&可实现功能)
- [4. 平台核心内置工具清单](#4. 平台核心内置工具清单)
- 二、虚拟机配置
- 三、部署配置
一、Security Onion 简介
1. 什么是 Security Onion
Security Onion(简称SO)是一款开源免费的企业级网络安全监控、威胁狩猎与入侵检测平台,默认推荐部署的系统为Oracle Linux,整合了数十款主流安全开源工具,将流量采集、日志存储、威胁告警、数据包分析、可视化研判能力一体化封装,广泛用于等保测评、护网行动、内网安全运维、恶意流量溯源等安全场景。
官方 ISO 镜像下载入口:DOWNLOAD_AND_VERIFY_ISO.md
2. 部署前置硬件&环境要求
(1)硬件要求
| Node Type | CPU cores | RAM | Storage | NICs |
|---|---|---|---|---|
| Desktop | 2 | 4GB | 50GB | 1 |
| Import | 2 | 4GB | 100GB | 1 |
| Eval | 4 | 8GB | 200GB | 2 |
| Standalone | 4 | 24GB | 200GB | 2 |
| Manager | 4 | 16GB | 200GB | 1 |
| ManagerSearch | 8 | 16GB | 200GB | 1 |
| Search node | 4 | 16GB | 200GB | 1 |
| Sensor | 4 | 12GB | 200GB | 2 |
| Heavy node | 4 | 16GB | 200GB | 2 |
| IDH node | 2 | 1GB | 12GB | 1 |
| Fleet node | 4 | 4GB | 200GB | 1 |
| Receiver node | 2 | 8GB | 200GB | 1 |
(2)网络环境要求
- 网卡规划(必备双网卡)
- 管理网卡:用于虚拟机上网、宿主机访问SOC Web后台、拉取官方软件/镜像/规则;
- 流量采集网卡:接入交换机镜像口,专门用来旁路抓取全网流量,禁止配置IP地址,仅做二层流量监听。
- 网络访问要求
- 在线Standard模式:需要可访问外网,建议配置局域网HTTP代理,规避国内访问GitHub、Docker Hub超时、连接中断问题;
- 离线Airgap模式:需提前在外网环境打包全套YUM源、Docker镜像、威胁规则库,在内网隔离环境部署。
- 虚拟机推荐使用桥接网卡模式,保证宿主机、虚拟机处于同一局域网网段。
3. Security Onion 核心作用&可实现功能
(1)全维度网络流量采集与日志留存
- 通过交换机端口镜像,旁路采集内网全部进出流量;
- 自动生成全网TCP/UDP连接日志、DNS解析日志、HTTP访问日志、SSL证书日志、文件传输日志;
- 日志全量存储,支持按时间、源/目的IP、端口检索历史数月的网络行为,用于事后安全溯源。
(2)入侵检测与实时安全告警
内置Suricata IDS/IPS入侵检测引擎,加载开源威胁规则库,可实时识别:
- 内网暴力破解(SSH、RDP、MySQL、FTP弱口令爆破);
- 恶意木马外联C2服务器、挖矿流量、勒索病毒横向移动行为;
- SQL注入、XSS跨站、远程代码执行等Web攻击行为;
- 异常内网扫描、端口探测、ARP欺骗等恶意行为,触发告警并支持邮件、页面可视化推送。
(3)威胁狩猎与安全研判分析
- 集成Elasticsearch+Kibana做海量日志检索、多维可视化仪表盘,直观展示内网流量TOP排行、高危告警统计、资产访问热力图;
- 原生集成Zeek(Bro)网络安全监控框架,深度解析应用层协议流量,还原完整攻击链路;
- 内置Wireshark、NetworkMiner等流量分析工具,支持一键下载原始PCAP数据包,对恶意流量进行深度离线分析。
(4)两种部署模式适配不同安全场景
- Standalone单机模式(本次部署)
全套服务端组件一体化部署,独立完成流量采集、日志存储、告警检测、Web后台管理,适合中小型企业内网、安全实验室学习、护网单兵研判使用。 - Grid分布式集群模式
由1台Manager管理节点+多台Sensor采集节点+多台Desktop分析师节点组成,可跨多网段、多区域采集全网流量,适合大型政企、多分支机构规模化内网安全监控。
(5)典型应用场景
- 护网行动:对内网异常攻击、恶意外联行为实时监测、攻击溯源取证;
- 等级保护:满足内网安全审计、网络行为日志留存、入侵防范的等保合规要求;
- 企业内网运维:发现员工违规访问外网、病毒木马横向扩散、内网数据泄露行为;
- 安全学习实训:学习流量分析、IDS规则编写、威胁狩猎、恶意数据包研判的开源实验平台。
4. 平台核心内置工具清单
- 流量采集&日志解析:Zeek、Suricata
- 日志存储&检索可视化:Elasticsearch、Kibana
- 数据包深度分析:Wireshark、NetworkMiner
- 安全运维管理:SOC(Security Onion Console)Web管理控制台
- 威胁情报联动:支持导入自定义IOC威胁指标,匹配恶意IP、恶意域名、恶意哈希告警
二、虚拟机配置
| Key | Value |
|---|---|
| CPU | 8 Cores |
| RAM | 16GB |
| SSD | 200GB |
三、部署配置
Step1:选择Install Security Onion 3.1.0
Step2 :必须输入完整的 yes
Step3:设置管理员用户和密码后,进入安装状态(此时不可关闭主机或虚拟机)
用户名及密码的设置(可自定义):
- Username:otroot
- Password:otroot
Step4 :安装完成后并成功登录后的操作。选择Yes
Step5 :选择Configure Network - Configure networking only
选项选择说明:
- Install - Run the standard Security Onion installation
执行标准的 Security Onion 完整安装部署(当前默认选中) - Configure Network - Configure networking only
仅重新配置网络
Step6 :无需求改,填默认值securityonion即可。
Step7 :选择<Use Anyway>
为避免分布式集群环境下出现主机名冲突,不建议直接使用默认主机名 securityonion。
可选择继续使用该默认主机名,也可以修改为新的主机名。
<Use Anyway>:仍然使用默认主机名<Change>:修改主机名
单机独立部署学习环境,不存在多节点集群冲突问题,直接选择<Use Anyway>即可!
Step8:选择指定网卡为管理网卡
- 管理网卡选择
- 可选网卡:ens160、ens224、BOND网卡绑定
- 推荐选择:ens160(仅主机模式网卡,作为管理网口)
- 禁止选择:BOND,仅企业集群冗余场景使用,单机环境无需配置
- 关键配置要点
- ens160(管理网卡):配置静态 IP、网关、DNS,禁用 DHCP,用于后台访问、SSH 远程运维;
- ens224(剩余网卡):自动作为流量监控网卡,系统不分配 IP、自动开启混杂模式,抓取同 VMnet8 网段内所有虚拟机的攻防流量。
Step9:选择管理网卡的 IP 配置方式,官方推荐静态 IP
选项说明:
- STATIC(默认选中,推荐):手动设置静态 IPv4 地址
- DHCP:由路由器自动分配 IP
Step10:填写带 CIDR 前缀的静态 IPv4 地址
此处填为:
bash
192.168.1.103/24注意要点:
- 格式要求:
IP地址/掩码位数,不能只填写纯 IP; - 网段必须与宿主机一致,否则无法通过浏览器、SSH 访问 Security Onion 后台;
- 选择一个未被局域网其他设备占用的 IP,避免 IP 冲突
Step11:设置网关IP,即路由器内网 IP
注意要点:
- 网关必须与之前填写的静态 IP 属于同一个网段;
- 网关填写错误会导致系统无法联网、无法拉取安全规则包、外部无法访问 Web 后台。
Step12:输入 DNS 服务器地址
注意要点:
- 多 DNS 地址必须使用英文逗号分隔,不能带空格;
- DNS 配置错误会导致系统无法更新规则、域名解析失败;
- 国内部署优先选用阿里云、腾讯云公共 DNS,避免谷歌 DNS 访问超时。推荐填写:
223.5.5.5,223.6.6.6
Step13:填写DNS搜索域
直接保留默认值 searchdomain.local,点击 确认即可。
注意要点:
- 仅企业内网域环境需要修改该配置,单机虚拟机学习场景默认参数不影响上网、抓包、后台访问;
- 该参数作用是内网主机短名称解析,实验环境无需改动。
Step14:查看网卡信息
Step15 :重启后,再次进入引导界面,选Yes
Step16 :选择Install - Run the standard Security Onion installation
Step17 :依赖安装,选择STANDALONE
选项说明:
- IMPORT:导入 PCAP / 日志文件,仅用于离线流量分析,不部署采集服务
- EVAL:试用模式,功能有限,不推荐长期学习使用
- STANDALONE(推荐选择):单机正式生产部署,适合虚拟机单节点抓包场景
- DISTRIBUTED:分布式集群部署,多节点大型环境使用,单机无需选择
- DESKTOP:桌面端便携轻量模式,不适合长期流量捕获分析
Step18 :必须输入大写AGREE接受 ELv2 许可协议,方可继续安装 Elastic 栈与 Security Onion 全套安全组件。
Step19:直接回车选择 Airgap → 点击 继续离线部署
选项说明:
- Standard:节点可以访问互联网,在线拉取软件包、规则库进行安装
- Airgap:离线隔离部署,无法访问外网,需要提前下载好所有安装依赖包
Step20 :选择 <No>,直接沿用当前已经配置好的 IP、网关、DNS,无需重新配置,避免再次触发路由冲突报错。
Step21 :直接保持默认选中 Yes,回车确认即可
操作建议:
- 默认 Docker 网段不会与当前局域网192.168.1.x冲突,无需修改;
- 只有内网网段刚好和 Docker 默认网段重合时,才需要选No自定义网段。
Step22:选择添加监控网卡
此处选择ens224。按空格后,在[]中会显示为[*]表示为选中。
Step23:填写邮箱和密码。
作为 Web 管理后台、Elasticsearch、Kibana 的管理员账号,仅格式校验,不需要真实收邮件。
操作建议:
- 可以随便填写一个合法格式邮箱,示例:otroot@local.com
- 命名规则:仅支持字母、数字、±_.@,大写会自动转小写;
- 输入完成点击 ,下一步设置管理员登录密码。
设置邮箱密码:
bash
otroot@123456Step24 :保持默认选中IP,点击<Ok>继续安装
选项说明:
- IP(当前默认选中,推荐):通过本机静态 IP 访问 Web 后台,无需配置 DNS 解析,最适合当前虚拟机实验环境。
- HOSTNAME:需要配置本地域名解析,家用单机场景容易出现无法访问问题。
- OTHER:负载均衡、公网域名场景使用,个人学习不需要。
Step25 :询问是否开启 Web 网页访问功能,当前默认选中 Yes
只有选择 Yes,才能在宿主机浏览器通过 IP 访问 Security Onion 后台、配置流量采集、查看告警日志;选择 No 会关闭 Web 服务,只能在命令行操作,不适合学习场景。
Step26 :输入网段 → 点击<Ok>继续部署
需要填写允许访问 Web 后台的客户端 IP 网段,管理网卡网段为:
bash
192.168.1.0/24
作用:允许局域网内所有主机访问 Security Onion 的 Web 管理页面。
Step27 :使用Tab键切换到 <Yes>,回车确认,正式开始在线部署全套组件
安装完成后的提示:
Step28:访问面板
bash
https://192.168.1.103/
登录账户和密码:
- Username:otroot@local.com
- Password:otroot@123456
