本文摘要Zeek(原Bro)网络安全监控在 pfSense 上的安装指南Zeek(原名 Bro)是一款功能强大的网络分析软件,与一般典型的入侵检测系统(IDS)有很大不同。其核心特点包括:适应性强:Zeek 提供特定于域的脚本语言,可定制站点监视策略。高效:专为高性能网络设计,在各类大型站点中均有使用。灵活:不限定检测方法,也不依赖传统签名。日志:全面记录网络活动,提供高级归档。深入分析:内置针对多种协议...
Zeek(原Bro)网络安全监控在 pfSense 上的安装指南
Zeek(原名 Bro)是一款功能强大的网络分析软件,与一般典型的入侵检测系统(IDS)有很大不同。其核心特点包括:
- 适应性强:Zeek 提供特定于域的脚本语言,可定制站点监视策略。
- 高效:专为高性能网络设计,在各类大型站点中均有使用。
- 灵活:不限定检测方法,也不依赖传统签名。
- 日志:全面记录网络活动,提供高级归档。
- 深入分析:内置针对多种协议的分析器,支持应用层高级语义分析。
- 有状态:维护网络广泛应用层状态。
- 开放式接口:可与其他应用实时交换信息。
- 开源:采用 BSD 许可证,几乎无限制免费使用。
除网络安全监控外,Zeek 还是一个全面的通用网络流量分析平台。凭借二十多年的研究积累,它成功连接了学术界与运营领域的差距。如今,许多大型公司、教育和科研机构都依赖它来增强防火墙安全。
在 pfSense 的官方软件源中,原本不提供此软件。但社区提供了可在 pfSense 上运行的开源版本。经测试,该版本在 pfSense 2.4.4-RELEASE-p3 上可正常使用。
从 pfSense 2.6.0 和 pfSense Plus 22.01 版本起,官方已收录 Zeek,可直接在插件管理中安装。
以下为早期社区包的安装步骤(旧版 pfSense 可用):
一、开启防火墙 SSH 访问
登录 pfSense,前往 系统 > 高级选项,滚动到 SSH 部分,勾选“启用安全 Shell”。
二、启用上游 pkg 存储库
pfSense 默认禁用上游 pkg 仓库(安全考虑),需临时启用。使用 WinSCP 登录 pfSense 后台,修改以下两个文件: /usr/local/etc/pkg/repos/FreeBSD.conf /usr/local/share/pfSense/pkg/repos/pfSense-repo.conf
将文件第一行默认的: FreeBSD: { enabled: no }
改为: FreeBSD: { enabled: yes }
三、上传并安装软件包
- 下载 pfSense-pkg-bro-0.1.0.txz,通过 WinSCP 将该文件上传到 pfSense 系统的
/tmp目录。 在命令行中依次执行:
pkg update && pkg install -y bro cd /tmp pkg install pfSense-pkg-bro-0.1.0.txz根据提示完成安装。之后通过访问 系统服务 > Bro NSM 进行配置和监控。
具体配置和使用请参考项目文档。
相关资源
觉得内容不错?我要
