概述

Snort是攻击检测和预防系统。它可以将检测到的网络事件记录到日志并阻止它们。Snort使用称为规则的检测签名进行操作。 Snort规则可以由用户自定义创建，或者可以启用和下载几个预打包规则集中的任何一个。 最常用的是Snort VRT（漏洞研究团队）的规则。 Snort VRT规则提供两种形式。一个是免费的注册用户版本，需要在snort.org注册，提供30天以前的规则。付费用户则可以每周更新两次规则。 下面介绍pfsense2.52中Snort的安装和配置过程。

安装插件

导航到系统>插件管理>可用插件，搜索snort，找到后单击右侧图标安装。

配置Snort

安装完成以后，我们开始对Snort进行各面设置。

全局设置

导航到服务>Snort>Global setting菜单，启用Snort VRT，创建一个免费帐户并将代码粘贴到下图所示位置，其他选项根据需要进行设置。

更新系统

在正式使用前，建议先更新系统，更新各类列表。导航到系统>Snort>Update Rules菜单，找到Update Rules按钮并点击。

系统现在安装了最新的规则。

定义监视接口

定义要监视可疑或恶意行为的接口（通常选择 WAN接口）。

定义策略

按下图所示，选中Resolve Flowbits和Use IPS Policy两个选项。

在“选择规则集”上，设置相关规则集或“全选”。

定义WAN接口预处理规则

根据需要选择，或参照下图进行设置。

启用应用程序 ID 和端口扫描检测

选中下图中的三个选项。

启用监控服务

在Snort接口列表上，点击播放小图标，启用监控服务。

检查警报活动

在Snort的警报菜单，查看自动触发的警报信息，并根据情况进行适当的处理。

在启用Snort以后，要根据网络的运行情况，适当修改各类选项，调整列表设置，确保网络的各项功能正常使用。在确定稳定运行后，再返回Snort Interfaces > WAN Settings > Alert Settings，启用Block Offenders选项，该选项将自动阻止警报中出现的IP地址。

Snort 配合pfSense功能非常强大，是一个高度可定制的IDS / IPS解决方案。 本教程只介绍了基本的设置，用户可以根据自己的实际需要进行更多的定制设置，以满足自身的网络需要。