Snort有很多配置变量和选择，但是最重要的两个是$HOME_NET和$EXTERNAL_NET。$HOME_NET是详细说明网络或者你想要保护的网络的变量，而$EXTERNAL_NET是你连接的外部的、不受信任的网络。这些变量实际上用于所有的规则，来指定信息包的来源和目的地的标准。

　　两种变量的默认值是“any”，意思就是字面上的意思。设置$HOME_NET不需要费脑子。把这个变量配置到网络或者你想保护的网络上，就像在snort.conf配置文件中演示的那样。

　　$EXTERNAL_NET更加灵活，而且有两种管理配置这个变量的方法。第一个是把它设置为默认的“any”，因为这样可以找出多数的事件。第二个方法是选择!$HOME_NET，照字面意思就是不属于$HOME_NET的任何东西，因为这种设置可以减少假阳性，而且可以使Snort的运行更有效。尽管如此，它可能错失内部道内部（例如$HOME_NET到$HOME_NET）的 攻击。因为60%到80%的攻击是内部的，这取决于你阅读的调查，我推荐把$EXTERNAL_NET设置为any。还有，如果$HOME_NET设置为any，就不要把$EXTERNAL_NET设置为!$HOME_NET，因为这样就使$EXTERNAL_NET不做设置。

　　还有一些其它变量可以详细说明DNS、SMTP、HTTP、SQL、Telnet、 SNMP、AIM服务器、HTTP、SHELLCODE以及 Oracle端口。所有服务器变量的默认值是把他们设置为$HOME_NET，这也是正确设置的另一个原因。这样工作良好，但是你可能发现你可以通过更详细的设置这些变量降低假阳性。如果使用的是不标准的端口，就应该验证端口变量，但是也可以不做处理。