概述
Snort是攻击检测和预防系统。它可以将检测到的网络事件记录到日志并阻止它们。Snort使用称为规则的检测签名进行操作。 Snort规则可以由用户自定义创建,或者可以启用和下载几个预打包规则集中的任何一个。 最常用的是Snort VRT(漏洞研究团队)的规则。 Snort VRT规则提供两种形式。一个是免费的注册用户版本,需要在snort.org注册,提供30天以前的规则。付费用户则可以每周更新两次规则。 下面介绍pfsense2.52中Snort的安装和配置过程。
安装插件
导航到系统>插件管理>可用插件,搜索snort,找到后单击右侧图标安装。
配置Snort
安装完成以后,我们开始对Snort进行各面设置。
全局设置
导航到服务>Snort>Global setting菜单,启用Snort VRT,创建一个免费帐户并将代码粘贴到下图所示位置,其他选项根据需要进行设置。
更新系统
在正式使用前,建议先更新系统,更新各类列表。导航到系统>Snort>Update Rules菜单,找到Update Rules按钮并点击。
系统现在安装了最新的规则。
定义监视接口
定义要监视可疑或恶意行为的接口(通常选择 WAN接口)。
定义策略
按下图所示,选中Resolve Flowbits和Use IPS Policy两个选项。
在“选择规则集”上,设置相关规则集或“全选”。
定义WAN接口预处理规则
根据需要选择,或参照下图进行设置。
启用应用程序 ID 和端口扫描检测
选中下图中的三个选项。
启用监控服务
在Snort接口列表上,点击播放小图标,启用监控服务。
检查警报活动
在Snort的警报菜单,查看自动触发的警报信息,并根据情况进行适当的处理。
在启用Snort以后,要根据网络的运行情况,适当修改各类选项,调整列表设置,确保网络的各项功能正常使用。在确定稳定运行后,再返回Snort Interfaces > WAN Settings > Alert Settings,启用Block Offenders选项,该选项将自动阻止警报中出现的IP地址。
Snort 配合pfSense功能非常强大,是一个高度可定制的IDS / IPS解决方案。 本教程只介绍了基本的设置,用户可以根据自己的实际需要进行更多的定制设置,以满足自身的网络需要。
觉得内容不错?我要
