Добрый день.

Появилась необходимость установить IDS (предполагается использовать SNORT).

Схематично думаю сделать вот так.

Интернет подается на свитч1 на нем же стоит Snort_A(mirror port), далее от свитча идет в шлюз (nat+ipfw) из шлюза в свитч2 на котором стоит Snort_B((mirror port).

Если на Snort_A зафиксировался alert и этот же alert появился на Snort_B, тогда отсылать уведомление (желательно СМС).

Объясните возможно ли так сделать или это неправильная схема(как правильно??).
Какую связку ПО использовать. Поделитесь опытом внедрения Snort-а.