在pfSense中配置使用Snort

概述

Snort是攻击检测和预防系统。它可以将检测到的网络事件记录到日志并阻止它们。Snort使用称为规则的检测签名进行操作。 Snort规则可以由用户自定义创建,或者可以启用和下载几个预打包规则集中的任何一个。 最常用的是Snort VRT(漏洞研究团队)的规则。 Snort VRT规则提供两种形式。一个是免费的注册用户版本,需要在snort.org注册,提供30天以前的规则。付费用户则可以每周更新两次规则。 下面介绍pfsense2.52中Snort的安装和配置过程。

安装插件

导航到系统>插件管理>可用插件,搜索snort,找到后单击右侧图标安装。

配置Snort

安装完成以后,我们开始对Snort进行各面设置。

全局设置

导航到服务>Snort>Global setting菜单,启用Snort VRT,创建一个免费帐户并将代码粘贴到下图所示位置,其他选项根据需要进行设置。

  

更新系统

在正式使用前,建议先更新系统,更新各类列表。导航到系统>Snort>Update Rules菜单,找到Update Rules按钮并点击。

 

系统现在安装了最新的规则。

定义监视接口

定义要监视可疑或恶意行为的接口(通常选择 WAN接口)。

   

定义策略

按下图所示,选中Resolve Flowbits和Use IPS Policy两个选项。

在“选择规则集”上,设置相关规则集或“全选”。

定义WAN接口预处理规则

根据需要选择,或参照下图进行设置。

 

启用应用程序 ID 和端口扫描检测

选中下图中的三个选项。

启用监控服务

在Snort接口列表上,点击播放小图标,启用监控服务。

 

检查警报活动

在Snort的警报菜单,查看自动触发的警报信息,并根据情况进行适当的处理。

在启用Snort以后,要根据网络的运行情况,适当修改各类选项,调整列表设置,确保网络的各项功能正常使用。在确定稳定运行后,再返回Snort Interfaces > WAN Settings > Alert Settings,启用Block Offenders选项,该选项将自动阻止警报中出现的IP地址。

Snort 配合pfSense功能非常强大,是一个高度可定制的IDS / IPS解决方案。 本教程只介绍了基本的设置,用户可以根据自己的实际需要进行更多的定制设置,以满足自身的网络需要。