OPNsense - 多功能高可靠易使用的防火墙(四)

在OPNsense上设置在线病毒防护和IPS/IDS

分三个部分来介绍:
1. 透明代理设置
2. 在线病毒防护(ClamAV)设置
3. IPS/IDS(Suricata)设置


透明代理服务

1. 启用代理服务
OPNsense - 多功能高可靠易使用的防火墙(四)_第1张图片
勾选【启用代理】,然后点击【应用】

2. 启用本地缓存
点击【通用代理设置】Tab右边的小三角,出现下拉菜单。在下拉菜单中,选择【本地缓存设置】
OPNsense - 多功能高可靠易使用的防火墙(四)_第2张图片
勾选【Enable local cache】,再点击【应用】。

3. 转发代理设置
点击【转发代理】Tab
OPNsense - 多功能高可靠易使用的防火墙(四)_第3张图片

  • 确认【代理接口】是LAN
  • 勾选【启用透明HTTP代理】
  • 勾选【Enable SSL inspection】
  • 点击【CA使用】的选择框,在出现CA列表中,选择内部CA - LSWIN-ROOT-CA。前面我们已经介绍了如何产生和使用内部CA。
  • 其他项保留默认值。
    最后点击【应用】

4. 产生NAT端口转发规则
在【转发代理】页面上,点击右手边【完整帮助】右面的小符号。
OPNsense - 多功能高可靠易使用的防火墙(四)_第4张图片
在此页面上,分二次点击【启用透明HTTP代理】和【Enable SSL inspection】下的【Add a new firewall rule】,分别为在二个功能生成端口转发规则。
OPNsense - 多功能高可靠易使用的防火墙(四)_第5张图片

这是点击【Add a new firewall rule】后转向的页面,不需要做任何事情,只需要点击【保存】。保存完成后需要人工转回【转发代理】的设置界面。
完成后,会生成二条NAT转发规则:
OPNsense - 多功能高可靠易使用的防火墙(四)_第6张图片
HTTP请求会被转向3128端口,HTTPS请求会被转3129端口。

5. 建立防止规避Web代理行为的规则
OPNsense - 多功能高可靠易使用的防火墙(四)_第7张图片
建立这二条规则的目的是防止任何规避web代理行为的发生。

6. 测试Web透明代理
一个简单的放法验证透明代理是否正常工作,就是用上一个HTTPS的网站,查看一下它的证书。
透明代理正常工作的二个判断依据:
- 用户在使用过程中,不会感觉有任何不同。
- 证书的验证单位将是LSWIN LTD,也就是内部CA

无透明代理时,网站的证书是由 DigiCert Inc 验证的。
OPNsense - 多功能高可靠易使用的防火墙(四)_第8张图片
透明代理工作后,网站的证书变为由 LSWIN LTD 验证的,也就是有我们的内部CA验证的。
OPNsense - 多功能高可靠易使用的防火墙(四)_第9张图片

至此,透明代理服务已设置完成,可以投入使用。透明代理是在线病毒防护的基础,在配置ClamAV必须确认透明代理已经工作。


ClamAV设置

ClamAV必须有ICAP服务才能工作,ClamAV和ICAP服务都不在OPNsense的默认安装中,在开始配置ClamAV前,需要先安装二个plugins - os-c-icap 和 os-clamav。
这里写图片描述
我们这安装的是开发版。

1. 启用clamd和freshclam服务
OPNsense - 多功能高可靠易使用的防火墙(四)_第10张图片

  • 勾选【Enable clamd service】
  • 勾选【Enable freshclam service】
    clamd是ClamAV的守护程序,freshclam是病毒特征自动更新服务的守护程序。除了这二项,其他的都可以保留默认值。
    OPNsense - 多功能高可靠易使用的防火墙(四)_第11张图片
    !!注意:不要轻易修改【Freshclam database mirror】的地址,这是病毒特征镜像库。
    在保存配置前,我们需要想下载病毒特征数据库,点击最上面的【Download signautre】,下载完成后,上面那一条会自动消失。

等下载完成后,点击【保存】,结束启用ClamAV的配置。

2. C-ICAP服务配置

  • 启用C-ICAP
    OPNsense - 多功能高可靠易使用的防火墙(四)_第12张图片
    勾选【Enable c-icap service】,其他的保留默认值,然后点击【保存】。
  • 启用ClamAV的连接
    点击【Antivirus】Tab,进入设置界面。
    OPNsense - 多功能高可靠易使用的防火墙(四)_第13张图片
    勾选【Enable ClamAV】,其他选用默认值,然后点击【保存】。

3. C-ICAP转发代理配置

选取【服务:web代理:管理】
OPNsense - 多功能高可靠易使用的防火墙(四)_第14张图片
点击【转发代理】Tab右面的小三角,出现下拉菜单,在下拉菜单中选择【ICAP设置】。
OPNsense - 多功能高可靠易使用的防火墙(四)_第15张图片
勾选【启用ICAP】,然后点击【应用】。

这样,ClamAV就配置完成了。在测试ClamAV前,我们需要重启系统。

4. 测试ClamAV
我们将使用EICAR提供的测试文件做在线病毒防护测试。!!!注意!!!这些测试文件是真正的病毒,如果您的Clam AV不工作,这些病毒就有可能在您的电脑上留下来,从而危害您的电脑!!!

这是病毒下载页面:
OPNsense - 多功能高可靠易使用的防火墙(四)_第16张图片
这里提供了8个病毒文件,4个用于测试HTTP,另个用于测试HTTPS。
当你点击任何一个文件并开始下载,一个发现病毒的页面将会出现,并阻止文件下载。
OPNsense - 多功能高可靠易使用的防火墙(四)_第17张图片


IPS/IDS(Suricata)设置

OPNsense的IPS/IDS采用了著名的开源Suricata工具,配置非常直接明了。

1. 启用IPS服务
OPNsense - 多功能高可靠易使用的防火墙(四)_第18张图片
- 勾选【已启用】启用IPS/IDS服务。
- 勾选【IPS模式】选用IPS模式,否则会在IDS模式。
- 勾选【混杂模式】直接在接口上抓取数据包,否则有些数据包无法抓住(如VLAN的)
【模式匹配器】有(Default)、(Aho-Corasick)和(Hyper scan)三种选择,(Default)就是(Aho-Corasick)模式,Hyperscan对处理器有要求,必须是64位处理器,同时支持SSE3指令集,有些老版本变得Xeons不支持SSE3指令集。如处理器是64位的,并支持SSE3指令集,建议选用Hyperscan模式。不能肯定的话,则选用Aho-Corasick模式。
- 【接口】请确认是WAN。
- 其他的保持默认即可。
点击【应用】。

2. 下载IPS规则
OPNsense - 多功能高可靠易使用的防火墙(四)_第19张图片

  • 勾选所有ABUSE规则组,点击【启用选中的】

我们在这只启用和下载5组abuse规则,对发现问题的处理方式是扔掉该数据包。如不选择的话,只会在日志文件中出现警告。

  • 下载规则组规则
    OPNsense - 多功能高可靠易使用的防火墙(四)_第20张图片

第一次必须手工下载规则文件。后面我们启动日程表服务,安排Suricata每天自动下载更新。
OPNsense - 多功能高可靠易使用的防火墙(四)_第21张图片

IPS的基本配置就这些了,没有在线测试工具。上线后,可以就看日志文件确认IPS是否工作。
下图是发现问题的一个实例。
OPNsense - 多功能高可靠易使用的防火墙(四)_第22张图片

ClamAV 的病毒特征数据库和 Suricata 的规则文件更新都是非常及时,足够满足普通企业的网络安全需求。


恭喜您,您已经有了在线病毒防护和IPS来保护您的网络了!

你可能感兴趣的:(OPNsense - 多功能高可靠易使用的防火墙(四))