Suricata(蘇裡卡塔) 是一個開源網絡威脅檢測引擎,提供的功能包括入侵檢測(IDS)、入侵防禦 (IPS) 和網絡安全監控。在pfSense當中,我們可以通過三種主要方式設定Suricata:設定為基于主機的IDS,監控單個主機的流量。作為被動IDS,可以監控通過網絡的所有流量,并在遇到任何惡意行為時時通知管理者。設定為活動内聯IDS和IPS時,它可以監控入站和出站流量,在惡意流量進入網絡之前阻止它,并提醒管理者。
Suricata和pfBlockerNG被稱為pfSense中最強大、最實用的兩個插件。防火牆如果沒有IDS和IPS功能,也就不算嚴格意義上的防火牆了。Suricaca的配置相對複雜,由于插件隻提供了英文版本,國内使用者配置和使用非常不便。經過本人幾天的努力,将Suicata進行了漢化,現提供給有需求的使用者。
适用版本
注意:本次漢化的版本為pfSense plus22.01和pfSense2.6當中的6.0.4_1版本,不适用于其他任何版本。
漢化界面
1、接口設定
2、全局設定
3、更新服務
4、警報
5、阻止的位址
6、日志
7、SID管理
8、接口正常設定
9、接口規則
10、接口類别設定
漢化方法
1、導航到系統>插件管理,可用插件頁籤上,找到Suricata并安裝(已安裝請忽略)。
2、下載下傳漢化包,通過診斷>shell指令,将漢化包上傳至防火牆的/tmp目錄。
3、在“執行Shell指令”欄,輸入以下指令,解壓縮漢化包:
unzip -o /tmp/suricata.zip 4、再輸入以下指令,将漢化包覆寫安裝檔案完成漢化:
mv /usr/local/www/suricata/suricata_sync.xml /usr/local/pkg/suricata/suricata_sync.xml 5、導航到服務>Suricata,打開程式檢視漢化效果。
其他說明
Suricata有三種運作模式,如果需要切換模式,請按以下說明操作。
1、在IDS模式下運作Suricata,請添加以下内容到/etc/rc.conf:
suricata_enable="YES"
suricata_interface="<if>"
注意:"suricata_interface" 對于IDS 模式下的Suricata 是強制性的。
2、在divert(4)模式下以内聯IPS模式運作Suricata,請添加以下内容到/etc/rc.conf:
suricata_enable="YES"
suricata_divertport="8000"
注意:如果沒有配置接口,Suricata 将不會在 IDS 模式下啟動。 如果在rc.conf 中省略 suricata_interface,rc.d/suricata将自動嘗試在IPS模式下啟動 Suricata。
3、在高速 netmap(4) 模式下以内聯 IPS 模式運作 Suricata,請添加以下内容到/etc/rc.conf:
suricata_enable="YES"