pfSense軟體上的應用程式檢測

pfsense官方部落格更新了一篇文章，以下為翻譯内容：

pfSense®軟體上的應用程式檢測   

2017年12月6日

吉姆湯普森

感謝Snort軟體包和OpenAppID，pfSense現在可以識别應用程式。

這個第7層功能通過pfSense軟體的更新版Snort軟體包得到。 由比爾·米克斯（Bill Meeks）維護的Snort軟體包已經有很多年了，是我們最受歡迎的軟體包之一。 由于他不斷的努力以及Demair Ramos的協助，OpenAppID現在成為了Snort軟體包的一部分。

Snort作者和Sourcefire創始人Martin Roesch于2014年推出了OpenAppID，它是一個面向應用的檢測語言和Snort處理子產品。 引用Martin Roesch的原始部落格文章:

“OpenAppID将控制權掌握在使用者的手中，使他們能夠控制網絡環境中的應用程式使用情況，并消除等待供應商釋出更新的風險。 實際上，我們正在使人們有可能建立自己的開源下一代防火牆。”

OpenAppID由一組用于檢測應用程式的LUA庫以及應用程式檢測器組成。 為了在Snort軟體包中為pfSense啟用OpenAppID，Bill Meeks內建了所有必需的AppID存根和LUA腳本，以使OpenAppID正常工作。 但是，為了使用這些簽名，需要建立類似于任意其他自定義Snort規則的文本規則，差別在于規則中的“appid”關鍵字。 appid關鍵字可以嵌入到任何規則中，以僅比對已經被識别為特定應用的流量。

這些規則引用了規則中由VRT（漏洞研究團隊）提供的各種應用程式ID。 為了實際使用OpenAppID，您需要從VRT擷取App ID存根，然後建立引用App ID的文本規則。 但是，用于分析流量的實際應用程式檢測規則不是由Cisco或Snort提供的。

這是我們的社群再一次閃耀的地方。pfSense使用者和社群成員Demair Ramos建立了大量使用VRT提供的AppID的文本規則。 Demair甚至托管了他在巴西大學的伺服器上建立的規則，但是這台伺服器的帶寬有限，并實施了地理封鎖。 與Bill合作，Demair和我們的開發人員Renato Botelho do Couto建立了這個規則庫的一個新的“鏡像”，Bill更改了Snort軟體包以供pfSense使用，pfSense-package-snort v3.2.9.5_4以後會有更新變化。

在pfSense中，如果配置了OpenAppID，就可以成功進行檢測應用程式，可以阻止2600多種不同的服務，如Facebook，Netflix，Twitter和Reddit。 該軟體包可以從pfSense軟體包管理器安裝，并通過現有的Snort GUI進行配置。 熟悉snort的人應該會很容易掌握OpenAppID的操作。

我們的OpenAppID計劃不僅限于pfSense，我們打算在思科VPP和DPDK等更進階平台上啟用它。

感謝Bill Meeks和Demair Ramos對pfSense應用的貢獻，感謝思科的Martin Roesch，感謝他為pfSense軟體提供真正下一代防火牆功能所做的工作。

本文轉自 鐵血男兒 51CTO部落格，原文連結：http://blog.51cto.com/fxn2025/2048199，如需轉載請自行聯系原作者