pfsense部署三（snort各版块使用）

在上篇文章上我们已经进行了snort的基础配置了，接下来需要进行snort的具体配置，其中包括各板块的设置，例：白名单，警报，规则设置等

规则库配置

点击  service > snort >  Global Settings ,在code值那里写上Oinkcode值，至于这个值有两种，一种是通过注册snort账户来获取（免费），这种叫Snort VRT规则，还有一种是通过付费订阅，叫Emerging Threats Pro 规则，这种比较好的作用是可以自动更新规则库，这两种方式的获取方式我标记在图中了，一号是免费的，二号是付费的

往下看到Rules Update Settings这，这个是进行更新规则间隔的，我设置的是一天一次，每天两点更新

更新规则

点击service > snort >  Update Rules，这里是进行规则更新的设置，通过比较本地文件的 MD5 与供应商网站上的远程文件的 MD5 来确定是否下载新规则，当然也可以手动更新点击Update Rules 按钮，进行更新，如果不行，可以点击右边的 Force Update    按钮进行强制更新

将snort添加到接口

点击service > snort >  interfaces ，选择 add  添加进行设置

点击  wan Categories, 在Snort VRT IPS Policies中有三个选项：(1) Connectivity（连接性）, (2) Balanced（平衡性） and (3) Security（安全性），这些按安全性的递增顺序列出，所以我一搬建议选最安全的，但有时候这个模式可能会误报

如果未启用 Snort VRT 规则，或者要使用任何其他规则包，则通过选中要使用的规则类别旁边的复选框来选择规则类别。

规则选择

点击  wan  rules，可以对规则库中的规则进行具体配置，点击绿色的√可以选择关闭

定义服务器以保护并提高性能

点击   wan  Variables，可以定义服务器

黑名单

点击Services  > snort > blocked,这个可以禁止某主机发送的包

白名单

点击Services  > snort > pass  lists，可以设置Snort 决不会阻止的 IP 地址列表，点击add添加

在创建完通过列表后，要在接口设置内选择此列表，点击snort所分配的接口，在EXTEMAL NET 选择刚才创建的通过列表，这样才算生效

警报

点击  supress  ，进行添加列表，如果触发了列表中的规则，就会警报，当警报被抑制时，当触发特定规则时，Snort 不再记录警报条目（或如果启用了阻止违规者，则阻止 IP 地址）。Snort 仍会根据规则检查所有网络流量，但即使流量与规则签名匹配，也不会生成警报。

点击 Alerts选项，可以查看 Snort 生成的警报，如果 Snort 在多个接口上运行，请在下拉选择器中选择要查看其警报的接口。同时还可以下载记录警报的文件或清除警报

使用 OpenApp ID 检测应用程序 ID

OpenAppID 是开源入侵检测系统 Snort 的一个应用层网络安全插件，

从 Snort Global Settings中启用 OpenAppID 及其规则。选中两个复选框以启用检测器和规则下载。保存页面

启用检测器和规则后，转到 Snort 更新选项卡并单击 更新规则。

将snort的分配接口的Snort OPENAPPID 规则全部选中

最后，在编辑 Snort 界面时，导航到wAN Preprocessor选项卡。

向下滚动到Application ID Detection部分并选择启用 和AppID Stats Logging复选框。

在警报 中查看