在上篇文章上我們已經進行了snort的基礎配置了，接下來需要進行snort的具體配置，其中包括各板塊的設置，例：白名單，警報，規則設置等

規則庫配置

點擊? service > snort >??Global Settings?,在code值那里寫上Oinkcode值，至于這個值有兩種，一種是通過注冊snort賬戶來獲取（免費），這種叫Snort VRT規則，還有一種是通過付費訂閱，叫Emerging Threats Pro 規則，這種比較好的作用是可以自動更新規則庫，這兩種方式的獲取方式我標記在圖中了，一號是免費的，二號是付費的

往下看到Rules Update Settings這，這個是進行更新規則間隔的，我設置的是一天一次，每天兩點更新

更新規則

點擊service > snort >??Update Rules，這里是進行規則更新的設置，通過比較本地文件的 MD5 與供應商網站上的遠程文件的 MD5 來確定是否下載新規則，當然也可以手動更新點擊Update Rules?按鈕，進行更新，如果不行，可以點擊右邊的?Force Update? ? 按鈕進行強制更新

將snort添加到接口

點擊service > snort >? interfaces ，選擇 add? 添加進行設置

點擊? wan?Categories, 在Snort VRT IPS Policies中有三個選項：(1) Connectivity（連接性）, (2) Balanced（平衡性） and (3) Security（安全性），這些按安全性的遞增順序列出，所以我一搬建議選最安全的，但有時候這個模式可能會誤報

如果未啟用 Snort VRT 規則，或者要使用任何其他規則包，則通過選中要使用的規則類別旁邊的復選框來選擇規則類別。

規則選擇

點擊? wan? rules，可以對規則庫中的規則進行具體配置，點擊綠色的√可以選擇關閉

定義服務器以保護并提高性能

點擊? ?wan? Variables，可以定義服務器

黑名單

點擊Services? > snort > blocked,這個可以禁止某主機發送的包

白名單

點擊Services? > snort > pass? lists，可以設置Snort 決不會阻止的 IP 地址列表，點擊add添加

在創建完通過列表后，要在接口設置內選擇此列表，點擊snort所分配的接口，在EXTEMAL NET 選擇剛才創建的通過列表，這樣才算生效

警報

點擊? supress? ，進行添加列表，如果觸發了列表中的規則，就會警報，當警報被抑制時，當觸發特定規則時，Snort 不再記錄警報條目（或如果啟用了阻止違規者，則阻止 IP 地址）。Snort 仍會根據規則檢查所有網絡流量，但即使流量與規則簽名匹配，也不會生成警報。

點擊 Alerts選項，可以查看 Snort 生成的警報，如果 Snort 在多個接口上運行，請在下拉選擇器中選擇要查看其警報的接口。同時還可以下載記錄警報的文件或清除警報

使用 OpenApp ID 檢測應用程序 ID

OpenAppID 是開源入侵檢測系統 Snort 的一個應用層網絡安全插件，

從 Snort?Global Settings中啟用 OpenAppID 及其規則。選中兩個復選框以啟用檢測器和規則下載。保存頁面

啟用檢測器和規則后，轉到 Snort 更新選項卡并單擊?更新規則。

將snort的分配接口的Snort OPENAPPID 規則全部選中

最后，在編輯 Snort 界面時，導航到wAN Preprocessor選項卡。

向下滾動到Application ID Detection部分并選擇啟用?和AppID Stats Logging復選框。

在警報 中查看

?

?

?