Suricata(苏里卡塔) 是一个开源网络威胁检测引擎，提供的功能包括入侵检测(IDS)、入侵防御 (IPS) 和网络安全监控。在pfSense当中，我们可以通过三种主要方式设置Suricata：设置为基于主机的IDS，监控单个主机的流量。作为被动IDS，可以监控通过网络的所有流量，并在遇到任何恶意行为时时通知管理员。设置为活动内联IDS和IPS时，它可以监控入站和出站流量，在恶意流量进入网络之前阻止它，并提醒管理员。

Suricata和pfBlockerNG被称为pfSense中最强大、最实用的两个插件。防火墙如果没有IDS和IPS功能，也就不算严格意义上的防火墙了。Suricaca的配置相对复杂，由于插件只提供了英文版本，国内用户配置和使用非常不便。经过本人几天的努力，将Suicata进行了汉化，现提供给有需求的使用者。

适用版本

注意：本次汉化的版本为pfSense plus22.01和pfSense2.6当中的6.0.4_1版本，不适用于其他任何版本。

汉化界面

1、接口设置

2、全局设置

3、更新服务

4、警报

5、阻止的地址

6、日志

7、SID管理

8、接口常规设置

9、接口规则

10、接口类别设置

汉化方法：

1、导航到系统>插件管理，可用插件选项卡上，找到Suricata并安装（已安装请忽略）。

2、下载汉化包，通过诊断>shell命令，将汉化包上传至防火墙的/tmp目录。

3、在“执行Shell命令”栏，输入以下命令，解压缩汉化包：

unzip -o /tmp/suricata.zip

4、再输入以下命令，将汉化包覆盖安装文件完成汉化：

mv /usr/local/www/suricata/suricata_sync.xml /usr/local/pkg/suricata/suricata_sync.xml

5、导航到服务>Suricata，打开程序查看汉化效果。

其他说明

定制版本的Suricata是运行在IDS模式，如果要切换其他模式，请按以下说明操作。

1、以IDS模式运行(默认)，需要在/etc/rc.conf文件中添加以下内容：

​​suricata_enable="YES"​​
​​suricata_interface="<if>"​​

注意：”suricata_interface” 对于IDS 模式下的Suricata 是强制性的。

2、在divert(4)模式下以内联IPS模式运行，需要在/etc/rc.conf文件中添加以下内容：

​​suricata_enable="YES"​​
​​suricata_divertport="8000"​​

注意：如果没有配置接口，Suricata 将不会在 IDS 模式下启动。 如果在rc.conf 中省略 suricata_interface，rc.d/suricata将自动尝试在IPS模式下启动 Suricata。

3、在高速 netmap(4) 模式下以内联 IPS模式运行， 需要在/etc/rc.conf文件中添加以下内容：

​​suricata_enable="YES"​​
​​suricata_netmap="YES"​​

注意：Suricata需要配置其他接口设置才能在 netmap(4) 模式下运行。