🔐 pfSense Snort 接口安全指南
为 WAN、DMZ 和 VLAN 接口正确配置 Snort 规则,有效保护您的服务器和 IoT 设备。
🌐 WAN 接口设置
WAN 接口是通向互联网的网关。在此启用最全面的 IPS 规则:
- Snort GPLv2 Community Rules
- ET Open Rules
- Feodo Tracker Botnet C2 IP Rules
- Emerging Malware, Botnet, Drop, Compromised
- Emerging DoS, Scan, Web Client/Server
- 协议规则: DNS, HTTP, SMTP, ICMP
Auto-Flowbit Resolution 必须保持启用。
🖥️ DMZ 接口设置
DMZ 承载 HestiaCP 服务器。重点启用与 Web 服务器相关的规则:
- Snort Server Apache, MySQL, Webapp Rules
- Emerging Web Server, SQL
- Emerging Malware, Botnet, Scan
- 策略规则: Spam, Inappropriate, Social
📡 VLAN (IoT) 接口设置
IoT 设备通常较为脆弱。此处应使用轻量但有针对性的规则:
- Emerging Mobile Malware, Botnet
- Emerging Compromised, Drop
- 协议规则: DNS, HTTP, MQTT, ICMP
- PUA Rules: Adware, P2P
⚠️ 重要警告
emerging-exploit.rules 不应启用,因为它可能导致 Snort 服务不稳定。
📝 总结
在 WAN 上启用全面的 IPS,在 DMZ 上启用 Web 服务器相关规则,在 VLAN 上为 IoT 设备启用轻量的 Botnet/Malware 规则。使用 Suppression List 管理误报,并定期监控日志。