分三个部分来介绍:
1. 透明代理设置
2. 在线病毒防护(ClamAV)设置
3. IPS/IDS(Suricata)设置
2. 启用本地缓存
点击【通用代理设置】Tab右边的小三角,出现下拉菜单。在下拉菜单中,选择【本地缓存设置】
勾选【Enable local cache】,再点击【应用】。
4. 产生NAT端口转发规则
在【转发代理】页面上,点击右手边【完整帮助】右面的小符号。
在此页面上,分二次点击【启用透明HTTP代理】和【Enable SSL inspection】下的【Add a new firewall rule】,分别为在二个功能生成端口转发规则。
这是点击【Add a new firewall rule】后转向的页面,不需要做任何事情,只需要点击【保存】。保存完成后需要人工转回【转发代理】的设置界面。
完成后,会生成二条NAT转发规则:
HTTP请求会被转向3128端口,HTTPS请求会被转3129端口。
5. 建立防止规避Web代理行为的规则
建立这二条规则的目的是防止任何规避web代理行为的发生。
6. 测试Web透明代理
一个简单的放法验证透明代理是否正常工作,就是用上一个HTTPS的网站,查看一下它的证书。
透明代理正常工作的二个判断依据:
- 用户在使用过程中,不会感觉有任何不同。
- 证书的验证单位将是LSWIN LTD,也就是内部CA
无透明代理时,网站的证书是由 DigiCert Inc 验证的。
透明代理工作后,网站的证书变为由 LSWIN LTD 验证的,也就是有我们的内部CA验证的。
至此,透明代理服务已设置完成,可以投入使用。透明代理是在线病毒防护的基础,在配置ClamAV必须确认透明代理已经工作。
ClamAV必须有ICAP服务才能工作,ClamAV和ICAP服务都不在OPNsense的默认安装中,在开始配置ClamAV前,需要先安装二个plugins - os-c-icap 和 os-clamav。
我们这安装的是开发版。
等下载完成后,点击【保存】,结束启用ClamAV的配置。
2. C-ICAP服务配置
3. C-ICAP转发代理配置
选取【服务:web代理:管理】
点击【转发代理】Tab右面的小三角,出现下拉菜单,在下拉菜单中选择【ICAP设置】。
勾选【启用ICAP】,然后点击【应用】。
这样,ClamAV就配置完成了。在测试ClamAV前,我们需要重启系统。
4. 测试ClamAV
我们将使用EICAR提供的测试文件做在线病毒防护测试。!!!注意!!!这些测试文件是真正的病毒,如果您的Clam AV不工作,这些病毒就有可能在您的电脑上留下来,从而危害您的电脑!!!
这是病毒下载页面:
这里提供了8个病毒文件,4个用于测试HTTP,另个用于测试HTTPS。
当你点击任何一个文件并开始下载,一个发现病毒的页面将会出现,并阻止文件下载。
OPNsense的IPS/IDS采用了著名的开源Suricata工具,配置非常直接明了。
1. 启用IPS服务
- 勾选【已启用】启用IPS/IDS服务。
- 勾选【IPS模式】选用IPS模式,否则会在IDS模式。
- 勾选【混杂模式】直接在接口上抓取数据包,否则有些数据包无法抓住(如VLAN的)
【模式匹配器】有(Default)、(Aho-Corasick)和(Hyper scan)三种选择,(Default)就是(Aho-Corasick)模式,Hyperscan对处理器有要求,必须是64位处理器,同时支持SSE3指令集,有些老版本变得Xeons不支持SSE3指令集。如处理器是64位的,并支持SSE3指令集,建议选用Hyperscan模式。不能肯定的话,则选用Aho-Corasick模式。
- 【接口】请确认是WAN。
- 其他的保持默认即可。
点击【应用】。
我们在这只启用和下载5组abuse规则,对发现问题的处理方式是扔掉该数据包。如不选择的话,只会在日志文件中出现警告。
第一次必须手工下载规则文件。后面我们启动日程表服务,安排Suricata每天自动下载更新。
IPS的基本配置就这些了,没有在线测试工具。上线后,可以就看日志文件确认IPS是否工作。
下图是发现问题的一个实例。
ClamAV 的病毒特征数据库和 Suricata 的规则文件更新都是非常及时,足够满足普通企业的网络安全需求。
恭喜您,您已经有了在线病毒防护和IPS来保护您的网络了!