一、Security Onion 简介

1. 什么是 Security Onion

Security Onion（简称SO）是一款开源免费的企业级网络安全监控、威胁狩猎与入侵检测平台，默认推荐部署的系统为Oracle Linux，整合了数十款主流安全开源工具，将流量采集、日志存储、威胁告警、数据包分析、可视化研判能力一体化封装，广泛用于等保测评、护网行动、内网安全运维、恶意流量溯源等安全场景。

官方 ISO 镜像下载入口：DOWNLOAD_AND_VERIFY_ISO.md

2. 部署前置硬件&环境要求

（1）硬件要求

Node Type	CPU cores	RAM	Storage	NICs
Desktop	2	4GB	50GB	1
Import	2	4GB	100GB	1
Eval	4	8GB	200GB	2
Standalone	4	24GB	200GB	2
Manager	4	16GB	200GB	1
ManagerSearch	8	16GB	200GB	1
Search node	4	16GB	200GB	1
Sensor	4	12GB	200GB	2
Heavy node	4	16GB	200GB	2
IDH node	2	1GB	12GB	1
Fleet node	4	4GB	200GB	1
Receiver node	2	8GB	200GB	1

（2）网络环境要求

1. 网卡规划（必备双网卡）
   • 管理网卡：用于虚拟机上网、宿主机访问SOC Web后台、拉取官方软件/镜像/规则；
   • 流量采集网卡：接入交换机镜像口，专门用来旁路抓取全网流量，禁止配置IP地址，仅做二层流量监听。
2. 网络访问要求
   • 在线Standard模式：需要可访问外网，建议配置局域网HTTP代理，规避国内访问GitHub、Docker Hub超时、连接中断问题；
   • 离线Airgap模式：需提前在外网环境打包全套YUM源、Docker镜像、威胁规则库，在内网隔离环境部署。
3. 虚拟机推荐使用桥接网卡模式，保证宿主机、虚拟机处于同一局域网网段。

3. Security Onion 核心作用&可实现功能

（1）全维度网络流量采集与日志留存

1. 通过交换机端口镜像，旁路采集内网全部进出流量；
2. 自动生成全网TCP/UDP连接日志、DNS解析日志、HTTP访问日志、SSL证书日志、文件传输日志；
3. 日志全量存储，支持按时间、源/目的IP、端口检索历史数月的网络行为，用于事后安全溯源。

（2）入侵检测与实时安全告警

内置Suricata IDS/IPS入侵检测引擎，加载开源威胁规则库，可实时识别：

• 内网暴力破解（SSH、RDP、MySQL、FTP弱口令爆破）；
• 恶意木马外联C2服务器、挖矿流量、勒索病毒横向移动行为；
• SQL注入、XSS跨站、远程代码执行等Web攻击行为；
• 异常内网扫描、端口探测、ARP欺骗等恶意行为，触发告警并支持邮件、页面可视化推送。

（3）威胁狩猎与安全研判分析

1. 集成Elasticsearch+Kibana做海量日志检索、多维可视化仪表盘，直观展示内网流量TOP排行、高危告警统计、资产访问热力图；
2. 原生集成Zeek（Bro）网络安全监控框架，深度解析应用层协议流量，还原完整攻击链路；
3. 内置Wireshark、NetworkMiner等流量分析工具，支持一键下载原始PCAP数据包，对恶意流量进行深度离线分析。

（4）两种部署模式适配不同安全场景

1. Standalone单机模式（本次部署）
   全套服务端组件一体化部署，独立完成流量采集、日志存储、告警检测、Web后台管理，适合中小型企业内网、安全实验室学习、护网单兵研判使用。
2. Grid分布式集群模式
   由1台Manager管理节点+多台Sensor采集节点+多台Desktop分析师节点组成，可跨多网段、多区域采集全网流量，适合大型政企、多分支机构规模化内网安全监控。

（5）典型应用场景

• 护网行动：对内网异常攻击、恶意外联行为实时监测、攻击溯源取证；
• 等级保护：满足内网安全审计、网络行为日志留存、入侵防范的等保合规要求；
• 企业内网运维：发现员工违规访问外网、病毒木马横向扩散、内网数据泄露行为；
• 安全学习实训：学习流量分析、IDS规则编写、威胁狩猎、恶意数据包研判的开源实验平台。

4. 平台核心内置工具清单

• 流量采集&日志解析：Zeek、Suricata
• 日志存储&检索可视化：Elasticsearch、Kibana
• 数据包深度分析：Wireshark、NetworkMiner
• 安全运维管理：SOC（Security Onion Console）Web管理控制台
• 威胁情报联动：支持导入自定义IOC威胁指标，匹配恶意IP、恶意域名、恶意哈希告警

二、虚拟机配置

Key	Value
CPU	8 Cores
RAM	16GB
SSD	200GB

三、部署配置

Step1：选择Install Security Onion 3.1.0

Step2：必须输入完整的 yes

Step3：设置管理员用户和密码后，进入安装状态（此时不可关闭主机或虚拟机）

用户名及密码的设置（可自定义）：

• Username：otroot
• Password：otroot

Step4：安装完成后并成功登录后的操作。选择Yes

Step5：选择Configure Network - Configure networking only

选项选择说明：

• Install - Run the standard Security Onion installation
  执行标准的 Security Onion 完整安装部署（当前默认选中）
• Configure Network - Configure networking only
  仅重新配置网络

Step6：无需求改，填默认值securityonion即可。

Step7：选择<Use Anyway>

为避免分布式集群环境下出现主机名冲突，不建议直接使用默认主机名 securityonion。
可选择继续使用该默认主机名，也可以修改为新的主机名。

• <Use Anyway>：仍然使用默认主机名
• <Change>：修改主机名

单机独立部署学习环境，不存在多节点集群冲突问题，直接选择<Use Anyway>即可！

Step8：选择指定网卡为管理网卡

1. 管理网卡选择
   • 可选网卡：ens160、ens224、BOND网卡绑定
   • 推荐选择：ens160（仅主机模式网卡，作为管理网口）
   • 禁止选择：BOND，仅企业集群冗余场景使用，单机环境无需配置
2. 关键配置要点
   • ens160（管理网卡）：配置静态 IP、网关、DNS，禁用 DHCP，用于后台访问、SSH 远程运维；
   • ens224（剩余网卡）：自动作为流量监控网卡，系统不分配 IP、自动开启混杂模式，抓取同 VMnet8 网段内所有虚拟机的攻防流量。

Step9：选择管理网卡的 IP 配置方式，官方推荐静态 IP

选项说明：

• STATIC（默认选中，推荐）：手动设置静态 IPv4 地址
• DHCP：由路由器自动分配 IP

Step10：填写带 CIDR 前缀的静态 IPv4 地址

此处填为：

192.168.1.103/24

注意要点：

• 格式要求：IP地址/掩码位数，不能只填写纯 IP；
• 网段必须与宿主机一致，否则无法通过浏览器、SSH 访问 Security Onion 后台；
• 选择一个未被局域网其他设备占用的 IP，避免 IP 冲突

Step11：设置网关IP，即路由器内网 IP

注意要点：

• 网关必须与之前填写的静态 IP 属于同一个网段；
• 网关填写错误会导致系统无法联网、无法拉取安全规则包、外部无法访问 Web 后台。

Step12：输入 DNS 服务器地址

注意要点：

• 多 DNS 地址必须使用英文逗号分隔，不能带空格；
• DNS 配置错误会导致系统无法更新规则、域名解析失败；
• 国内部署优先选用阿里云、腾讯云公共 DNS，避免谷歌 DNS 访问超时。推荐填写：
  223.5.5.5,223.6.6.6

Step13：填写DNS搜索域

直接保留默认值 searchdomain.local，点击 确认即可。

注意要点：

• 仅企业内网域环境需要修改该配置，单机虚拟机学习场景默认参数不影响上网、抓包、后台访问；
• 该参数作用是内网主机短名称解析，实验环境无需改动。

Step14：查看网卡信息

Step15：重启后，再次进入引导界面，选Yes

Step16：选择Install - Run the standard Security Onion installation

Step17：依赖安装，选择STANDALONE

选项说明：

• IMPORT：导入 PCAP / 日志文件，仅用于离线流量分析，不部署采集服务
• EVAL：试用模式，功能有限，不推荐长期学习使用
• STANDALONE（推荐选择）：单机正式生产部署，适合虚拟机单节点抓包场景
• DISTRIBUTED：分布式集群部署，多节点大型环境使用，单机无需选择
• DESKTOP：桌面端便携轻量模式，不适合长期流量捕获分析

Step18：必须输入大写AGREE接受 ELv2 许可协议，方可继续安装 Elastic 栈与 Security Onion 全套安全组件。

Step19：直接回车选择 Airgap → 点击 继续离线部署

选项说明：

• Standard：节点可以访问互联网，在线拉取软件包、规则库进行安装
• Airgap：离线隔离部署，无法访问外网，需要提前下载好所有安装依赖包

Step20：选择 <No>，直接沿用当前已经配置好的 IP、网关、DNS，无需重新配置，避免再次触发路由冲突报错。

Step21：直接保持默认选中 Yes，回车确认即可

操作建议：

• 默认 Docker 网段不会与当前局域网192.168.1.x冲突，无需修改；
• 只有内网网段刚好和 Docker 默认网段重合时，才需要选No自定义网段。

Step22：选择添加监控网卡

此处选择ens224。按空格后，在[]中会显示为[*]表示为选中。

Step23：填写邮箱和密码。

作为 Web 管理后台、Elasticsearch、Kibana 的管理员账号，仅格式校验，不需要真实收邮件。

操作建议：

• 可以随便填写一个合法格式邮箱，示例：otroot@local.com
• 命名规则：仅支持字母、数字、±_.@，大写会自动转小写；
• 输入完成点击 ，下一步设置管理员登录密码。

设置邮箱密码：

otroot@123456

Step24：保持默认选中IP，点击<Ok>继续安装

选项说明：

• IP（当前默认选中，推荐）：通过本机静态 IP 访问 Web 后台，无需配置 DNS 解析，最适合当前虚拟机实验环境。
• HOSTNAME：需要配置本地域名解析，家用单机场景容易出现无法访问问题。
• OTHER：负载均衡、公网域名场景使用，个人学习不需要。

Step25：询问是否开启 Web 网页访问功能，当前默认选中 Yes

只有选择 Yes，才能在宿主机浏览器通过 IP 访问 Security Onion 后台、配置流量采集、查看告警日志；选择 No 会关闭 Web 服务，只能在命令行操作，不适合学习场景。

Step26：输入网段 → 点击<Ok>继续部署

需要填写允许访问 Web 后台的客户端 IP 网段，管理网卡网段为：

192.168.1.0/24

作用：允许局域网内所有主机访问 Security Onion 的 Web 管理页面。

Step27：使用Tab键切换到 <Yes>，回车确认，正式开始在线部署全套组件

安装完成后的提示：

Step28：访问面板

https://192.168.1.103/

登录账户和密码：

• Username：otroot@local.com
• Password：otroot@123456