本文摘要Suricata(苏里卡塔)是一个开源网络威胁检测引擎,提供入侵检测(IDS)、入侵防御(IPS)和网络安全监控功能。在 pfSense 中,我们可以通过三种主要方式设置 Suricata:作为基于主机的 IDS,监控单个主机的流量;作为被动 IDS,监控通过网络的所有流量,并在遇到恶意行为时通知管理员;作为活动内联 IDS 和 IPS,它可以监控入站和出站流量,在恶意流量进入网络之前阻止它,并提...
Suricata(苏里卡塔)是一个开源网络威胁检测引擎,提供入侵检测(IDS)、入侵防御(IPS)和网络安全监控功能。在 pfSense 中,我们可以通过三种主要方式设置 Suricata:作为基于主机的 IDS,监控单个主机的流量;作为被动 IDS,监控通过网络的所有流量,并在遇到恶意行为时通知管理员;作为活动内联 IDS 和 IPS,它可以监控入站和出站流量,在恶意流量进入网络之前阻止它,并提醒管理员。
Suricata 和 pfBlockerNG 被称为 pfSense 中最强大、最实用的两个插件。防火墙如果没有 IDS 和 IPS 功能,也就不算严格意义上的防火墙了。Suricata 的配置相对复杂,由于插件只提供了英文版本,国内用户配置和使用非常不便。经过本人几天的努力,将 Suricata 进行了汉化,现提供给有需求的使用者。
适用版本
注意:本次汉化的版本为 pfSense Plus 22.01 和 pfSense 2.6 中的 6.0.4_1 版本,不适用于其他任何版本。
汉化界面
- 接口设置
- 全局设置
- 更新服务
- 警报
- 阻止的地址
- 日志
- SID 管理
- 接口常规设置
- 接口规则
- 接口类别设置
汉化方法
- 导航到系统 > 插件管理,在“可用插件”选项卡中找到 Suricata 并安装(已安装请忽略)。
- 下载汉化包,通过诊断 > Shell 命令,将汉化包上传至防火墙的
/tmp目录。 在“执行 Shell 命令”栏,输入以下命令,解压缩汉化包:
unzip -o /tmp/suricata.zip再输入以下命令,将汉化包覆盖安装文件完成汉化:
mv /usr/local/www/suricata/suricata_sync.xml /usr/local/pkg/suricata/suricata_sync.xml- 导航到服务 > Suricata,打开程序查看汉化效果。
其他说明
定制版本的 Suricata 默认运行在 IDS 模式。如果要切换其他模式,请按以下说明操作。
- 以 IDS 模式运行(默认),需要在
/etc/rc.conf文件中添加以下内容:suricata_enable="YES"suricata_interface="<if>"
注意:suricata_interface对于 IDS 模式下的 Suricata 是强制性的。 - 在 divert(4) 模式下以内联 IPS 模式运行,需要在
/etc/rc.conf文件中添加以下内容:suricata_enable="YES"suricata_divertport="8000"
注意:如果没有配置接口,Suricata 将不会在 IDS 模式下启动。如果在rc.conf中省略suricata_interface,rc.d/suricata将自动尝试在 IPS 模式下启动 Suricata。 - 在高速 netmap(4) 模式下以内联 IPS 模式运行,需要在
/etc/rc.conf文件中添加以下内容:suricata_enable="YES"suricata_netmap="YES"
注意:Suricata 需要配置其他接口设置才能在 netmap(4) 模式下运行。
觉得内容不错?我要
