OPNsense入侵检测配置 – 鐵血男兒的BLOG

OPNsense支持通过Suricata 进行入侵检测。启用后，可以为监控或阻止的网络流量类型选择一组入侵检测规则集。规则集可以设定自动更新，规则集有免费的，也有一些需要付费订阅。

入侵检测要占用一定的系统资源，在OPNsense上启用入侵检测，应确保内存不少于4GB。Suricata支持使用多线程，使用多核处理器检测效率会更高。

启用入侵检测

转到“服务 > 入侵检测 > 管理”页面。在“设置”选项卡，单击“启用”复选框启用入侵检测。要允许阻止网络流量而不是仅生成警报，选中“IPS 模式”复选框。如果是使用 VLAN 且要监控 LAN 接口，需要选中“混杂模式”复选框，这对于捕获物理网络接口上的数据很重要。

模式匹配默认为Aho-Corasick，可以将其设置为Hyperscan。使用Hyperscan时， LAN 接口上的网络性能会大幅提高。如果你使用的是近几年发布的 CPU，强烈建议使用该设置。Hyperscan算法可以与支持 SSE3 指令的64 位处理器一起使用。

在“接口”选择框中，选择要应用入侵检测的接口。只选择物理接口，不要选择任何 VLAN 接口。

接口选择取决于自身的网络需求。可以选择 WAN来保护网络的外围，选择 LAN 则可以密切监控内部网络上的活动。当然你也可以同时选择监控两个接口。

如果选择WAN接口，则应点击页面顶部的“高级模式”按钮。将看到显示的其他选项。为了使Suricata 能在WAN 接口上正常运行，需要在“家庭网络”栏中输入WAN接口IP地址。不能使用动态域名，因此如果WAN地址更改，需要在此栏中更新IP地址。如果WAN接口IP地址更新频繁，建议只监控LAN 接口。

在OPNsense中，一般使用Suricata来保护WAN，使用Sensei来保护LAN。因为，截止到21.7版本，还不能在同一接口同时运行Suricata和Sensei。这两种技术可以相互补充，为网络增加更多的防御。

完成“设置”选项卡上的配置后，单击“应用”。在下载规则集并配置至少一个策略之前，入侵检测还不会有任何效果。

下载和启用规则集

下载规则集，应该根据自身的网络情况来选择适用于自己网络流量类型的那些规则集。可以在OPNsense 文档中找到规则集的描述说明。

启用规则集时，必须考虑可用的硬件资源量。当启用大部分规则集时，RAM 使用量约为 1.5-2GB。如果正在同时运行Sensei 等其他服务，则可能轻松超过4GB 或更多。要考虑的另一个方面是网络吞吐量。如果防火墙CPU处理能力较弱，在启用入侵检测后，网络吞吐能力会显著降低。

转到“下载”选项卡，然后单击要启用的每个规则集旁边的复选框。

选择完规则集后，单击“启用所选”按钮来启用规则集。这时会在已启用的规则集旁边看到一个复选标记。

然后单击“下载和更新规则”按钮来检索规则。将在安装的规则旁边看到上次下载的日期。

创建策略

从OPNsense 21.1开始，添加了策略功能，允许将同一组配置应用于一个或多个规则集，以方便更有效的处理大型规则集。策略可以将各种过滤器应用于规则集，有助于以更精细的方式管理规则。在添加策略之前，必须启用整个规则集，然后手动检查要启用/禁用的数条规则。可以使用“全选”复选框一次启用或禁用多个规则，这显然不是推荐的管理规则的有效方法。

由于已经选择并下载了要使用的规则集，现在我们来创建策略。至少需要一个策略才能正确配置入侵检测。进入“服务 > 入侵检测 > 策略”页面。单击策略列表右下角的“+”图标。

在“规则集”下拉框中，选择希望在当前策略中使用的所有规则集。如果想要简单体验，可以选择单个策略下的所有规则集，可以在“规则集”下拉列表下添加多个过滤器。

“操作”下拉框允许在规则集中选择具有“警报”、“阻止”或“禁用”默认操作的规则。下载规则集时，所有规则的操作都设置为默认值，此选项可让你选择希望应用策略的规则。一般可以设置为“警报”和“阻止”，因为不确定默认情况下禁用了多少规则，这些规则可能是旧规则或不是非常有用的规则。当然，你可以决定要选择哪些规则。

“新动作”选项是要为属于该策略的所有规则设置的操作。如果只想警报而不是阻止，请设置为“警报”。否则，将其设置为“阻止”。大多数用户都希望潜在的恶意流量进入或离开防火墙之前使用入侵检测来阻止它，而不是仅仅只进行报告。

完成后点击“保存”，在“策略”页面的列表中将会看到新添加的策略。

在“规则调整”选项卡。可以对特定规则进行手动调整。OPNsense 建议将手动调整保持在最低限度，因为这会减慢规则处理速度，降低网络的整体吞吐量。

计划更新规则集

为了保证规则集能及时更新，必须安排时间定期更新规则集。转到“服务>入侵检测>计划”选项卡，添加一个新计划，单击“启用”复选框。然后输入希望更新规则的频率。下图中，规则将在每天凌晨 2:00 更新。在“命令”栏，选择“更新并重新加载入侵检测规则”。在“描述”栏输入该计划的说明。如果要修改这个计划，请转到“系统>设置>计划”菜单进行修改。

至此，OPNsense中的入侵检测的配置已完成！

注意：免费的入侵检测规则集比付费规则集有 30 天的延迟（对于 ET 规则），因此仍有可能受到快速传播的零日漏洞的影响。虽然继续打补丁不一定能阻止这种情况的发生，但它仍然是一个很好的做法，因为攻击者会不断扫描Internet上的已知和未知漏洞。分层防御方法是保护网络系统的最佳策略。

查看警报

在运行入侵检测一段时间后，可以定期检查“警报”选项卡来查看网络上发生的活动。它将列出事件的时间、连接是被阻止还是仅作为警报记录、事件发生的接口、网络活动的源/目标IP地址以及触发规则的描述等。

Eric

3 年前

2021-9-21 11:43:39

无法更新固件，尝试更换了源，系统也无法检索。还请赐教

鉄血男兒
博主
Eric

3 年前
2021-9-22 11:14:11

把系统的DNS设置成国外的，比如1.1.1.1，换一个国内的更新源，详见https://pfchina.org/?p=6970

andr

12 月前

2023-4-20 12:17:25

博主您好，我制定好入侵检测策略的规则集全责了所有，操作为阻止，新动作选择了阻止，中间一长串规则没有选择，也没有推荐我选择的。直接保存应用之后，报警中看到全是allowed，没有blocked。不知道为啥。

鉄血男兒
博主
andr

12 月前
2023-4-20 17:13:46

选中右侧的启用
- e_yxc
  
  鉄血男兒
  
  12 月前
  2023-4-23 10:30:01
  
  你好。请问下入侵检测–管理–规则是不是全部设置阻止？
- - 鉄血男兒
    博主
    e_yxc
    
    12 月前
    2023-4-23 11:28:15
    
    有了警报的就自动拦截了，不用管
  - - e_yxc
      
      鉄血男兒
      
      12 月前
      2023-4-23 14:30:59
      
      好奇怪，我的警报那是空的
    - 鉄血男兒
      博主
      鉄血男兒
      
      12 月前
      2023-4-23 17:15:14
      
      空也许是规则没启用，另外一个原因是没触发。

发送评论编辑评论

Eric

3 年前
2021-9-21 11:43:39

无法更新固件，尝试更换了源，系统也无法检索。还请赐教
- 鉄血男兒
  博主
  Eric
  
  3 年前
  2021-9-22 11:14:11
  
  把系统的DNS设置成国外的，比如1.1.1.1，换一个国内的更新源，详见https://pfchina.org/?p=6970
andr

12 月前
2023-4-20 12:17:25

博主您好，我制定好入侵检测策略的规则集全责了所有，操作为阻止，新动作选择了阻止，中间一长串规则没有选择，也没有推荐我选择的。直接保存应用之后，报警中看到全是allowed，没有blocked。不知道为啥。
- 鉄血男兒
  博主
  andr
  
  12 月前
  2023-4-20 17:13:46
  
  选中右侧的启用
- - e_yxc
    
    鉄血男兒
    
    12 月前
    2023-4-23 10:30:01
    
    你好。请问下入侵检测–管理–规则是不是全部设置阻止？
  - - 鉄血男兒
      博主
      e_yxc
      
      12 月前
      2023-4-23 11:28:15
      
      有了警报的就自动拦截了，不用管
    - - e_yxc
        
        鉄血男兒
        
        12 月前
        2023-4-23 14:30:59
        
        好奇怪，我的警报那是空的
      - 鉄血男兒
        博主
        鉄血男兒
        
        12 月前
        2023-4-23 17:15:14
        
        空也许是规则没启用，另外一个原因是没触发。