使用 PfSense 防火牆 +

Snort IPS / IDS

李培聖 A11023005 二資管三

壹、PfSense / Snort 介紹

在這個網路發達的年代，資安威脅無所不在。這時候
可以使用防火牆搭配 IDS/IPS 來盡量避免被侵的危險。
PfSense 是一款作業系統形式的防火牆，以 FreeBSD
為基底，同時也是免費和 Open source。PfSense 可以被安
裝在實體電腦或虛擬機上，非常的方便。
PfSense 特色:
1. 淺顯易懂的網頁圖形化介面方便使用者操作

2. 支援 IPv6、802.1Q VLAN 與 Captive Portal

網頁認證等功能

3. Url 黑名單過濾，可以自己定義或去網路上下載
Rule set

4. 可以控管 IP 和 Interface 的流量和連線數

 Snort 是一款功能強大的 IDS/IPS 系統，同時也 Open
source 並支援跨平台。
Snort 特色:
1. Snort 的可移植性非常好，可以支援 Unix 或
Windows 系統的平台

2. 即時的監控系統流量

3. Snort 可以將擷取的封包匯入到硬碟內

4. 可以做協定分析。Snort 可以在協定曾獲取資
料，方便系統管理員來作業。
貳、安奘 PfSense

本範例將使用 VirtualBox 來安裝 PfSense，實際上不限於

VirtualBox。

首先，先到 PfSense 的官網下載 ISO 檔。勾選 AMD64 和 DVD

image 並點選 Download。
打開 VirtualBOX，建立一個新的虛擬機。Type 和 Version
選擇 BSD 和 FreeBSD 64，之後按 next。

分配至少 1GB 的 RAM 給虛擬機，之後按 next。

點選 Create a virtual disk now，之後按 next。

點選 VDI，之後按 next。
點選 Dynamically，之後按 next。

分配至少 16GB 給虛擬機，之後按 create。

點選 file 後再點選 preferences。

點選 Network，如果是空的話，點取綠色圖示來建立新的
network。
點選最下面的圖示來檢查 Network 設定。

確認以下的兩個方格都是打勾狀態，之後按 ok。
點選 file 後再點選 Host Network Manager。

確認是否已有 Host network，沒有的話點取綠色圖示來建

立新的 Host network。完成後按 Apply 和 Close。
點選 PfSense 虛擬機的 Settings。

點選 Network 後再點選 Adapter 1，並選取 NAT Network。

確認 Enable network manager 是打勾的狀態。點選
Adapter 2 後選取 Host-only adapter。Name 則是選取
Host network manager 出現的名字，之後按 ok。

(以上的兩個步驟也要套用在 Ubuntu 的虛擬機上)

點選 Storage 後再點選 Empty，並選取從 PfSense 官網下載

的 ISO 檔。
確認完畢後按 ok。

按 Start 來啟動 PfSense 虛擬機。

點選 accept。(以左右鍵搭配 Enter 鍵來選擇)

點選 ok。
點選 select。

選擇 Auto UFS BIOS 並點選 ok。

安裝過程中可能要稍等片刻。

安裝完成後點選 no。
點選 Reboot。

點選 Devices 後點選 Remove disk from virtual drive。

之後會跳出一個對話視窗，點選 force unmount。
重新開啟虛擬機後回得到類似的畫面。把 WAN 地址抄下
來。

在 Enter an option 輸入 8，按 Enter。之後輸入 pfctl -

d，按 Enter。
開啟 Ubuntu 虛擬機並輸入 WAN 地址。

點選 Advanced 然後按 Continue。

輸入預設的帳號密碼(帳號:admin 密碼:pfsense)並按 Sign
in。

按 next。
可以直接按 Next，也可以依個人喜好修改預設值。

按 next。
按 next。

按 next。
輸入新的管理者密碼。

按 reload。
PfSense 防火牆設定完成。

可以在首頁看到更多詳細資料。
參、安裝 Snort IDS/IPS
點選 System 並點選 Packet Manager。

輸入 snort，點選 search 後再點選 install。

安裝成功後會看到類似的畫面。

從 services 中點選 snort。

點選 add。

勾選 enable interface，並確認 interface 為 WAN。

勾選 Alert settings。

點選 save。
點選 Global settings 並勾選 enable Snort VRT。點選 sign up
for a free registered user rules account 的連結

註冊一個新的 snort 帳號。

信箱認證完成後可以到官網取得自己的 oinkcode 並將其複
製。

把自己的 oinkcode 貼在 Oinkmaster code 的欄位裡。

勾選以下的欄位。

把 update interval 和 start time 設為 12 hours 和

06:00。(依個人喜好來設定)
把 remove blocked hosts interval 設為 1 day 並勾選以
下的欄位。按 save。

點選 updates 並按 update rules。

更新成功後會看到類似的畫面。

回到 Snort interfaces 後點選 Snort status 下的開始按

鈕。
以下是 Snort 開始運作後的樣子。Snort IDS/IPS 安裝就完
成了。

在 PfSense 的主頁可以看到一些即時的資訊。
也可以在 System 和 Status logs 看到一些更詳細的資訊。
肆、安裝心得

在安裝的過程中有時會有卡關的情況，但通常上網查
一查就可以把問題解決。在操作的過程中也會學到一些關
於防火牆以及 IDS/IPS 相關的知識。相信這些知識能在未
來派上用場吧!