在企業網路架構中,Suricata IDS/IPS 是 OPNsense 最重要的安全組件之一。然而,Suricata 25.x 之後的介面調整,讓許多人在「規則下載頁(Download)」中看到大量 RuleSets 時感到困惑——每個名稱都看不懂,要怎麼選?哪些要開?哪些不要動?
這篇文章整理最新版 OPNsense Suricata 的規則使用建議,讓你能輕鬆選到 安全、穩定、最低誤判 的規則組合。
🧩 一、Suricata 規則為什麼這麼多?
OPNsense 將 Suricata 的規則拆成多個 RuleSets,例如:
- abuse.ch 系列
- ET Open 系列
- Emerging Threats 系列
- Dshield、BotCC、Compromised Hosts
- ET Pro Telemetry(如果有)
每個 RuleSet 裡面可能包含數百到數千條 signature,如果全部啟用:
❌ 容易誤判(false positive)
❌ 會擋住內部正常流量
❌ 造成 OPNsense CPU 過高
❌ Log 巨量、難以維護
因此 不建議全開,只建議啟用必要規則。
🧩 二、最推薦啟用的 Suricata RuleSets(安全、低誤報)
如果你沒有非常深入 Suricata 經驗,最建議啟用以下組合:
1️⃣ abuse.ch 系列(強烈推薦)
這是目前最乾淨、專業、誤判最低的威脅情資來源。
建議啟用:
- ✔ abuse.ch/Feodo Tracker
- ✔ abuse.ch/ThreatFox
- ✔ abuse.ch/SSL IP Blacklist
- ✔ abuse.ch/SSL Fingerprint Blacklist
- ✔ abuse.ch/URLHaus
這五組涵蓋:
- Botnet
- C2 伺服器
- 惡意 SSL
- 惡意網址
- 惡意程式傳播
幾乎不會誤擋內部流量。
2️⃣ ET Open(選最必要的幾組)
不要全部開。
只建議啟用以下低誤報、高價值組:
- ✔ ET open/botcc
- ✔ ET open/compromised
- ✔ ET open/dshield
- ✔ ET open/malware
- ✔ ET open/trojan
這些主要阻擋:
- 僵屍網路
- 木馬
- 惡意 IP
- 已知受害或被控制的主機
3️⃣ ET Pro Telemetry(如你有看到可以啟用)
OPNsense 提供的免費版本(非完整 ET Pro),但仍然非常實用。
建議:
- ✔ ET Pro Telemetry
🧩 三、最安全、最不會誤擋的「極簡版」規則
如果你希望:
- 不要誤判
- 不要影響內部系統
- 又能阻擋大部分惡意活動
那只要啟用:
✔ abuse.ch/Feodo
✔ abuse.ch/ThreatFox
✔ abuse.ch/URLHaus
✔ abuse.ch/SSL IP Blacklist
✔ abuse.ch/SSL Fingerprint Blacklist
這五項即可。
🧩 四、不要啟用的規則(避免誤判)
以下規則容易造成內部誤擋(ERP / NAS / SMB / Teams / VoIP):
- ✘ ET open/policy
- ✘ ET open/info
- ✘ ET open/netbios
- ✘ ET open/p2p
- ✘ ET open/chat
- ✘ ET open/emerging-web_server
- ✘ ET open/activex
- ✘ ET open/adware
- ✘ ET open/browser
- ✘ ET open/smb
- ✘ ET open/misc
這些大多為雜訊、過度敏感,或對企業環境干擾高。
🧩 五、Suricata 使用策略建議(企業架構)
✔ WAN → IPS 模式(阻擋攻擊)
搭配上述規則組合即可。
✔ LAN → IDS 模式(只偵測)
避免誤擋內部服務,建議只做偵測。
✔ 搭配 Zenarmor 做 L7 控制
- Zenarmor:應用層管制(L7)、URL 過濾
- Suricata:惡意流量偵測、IPS
兩者互補效果非常好。
🧩 六、結語:Suricata 不用全開,用對規則才是關鍵
Suricata 規則越多不代表越安全;
反之,過度敏感反而造成:
- 內網被誤擋
- 效能降低
- Log 爆量
- 運維困難
正確做法是:
💡 只開最有效的威脅情報規則(abuse.ch)
💡 挑最重要的 ET open 規則(botcc/compromised/malware)
💡 LAN 用 IDS,WAN 才用 IPS
💡 搭配 Zenarmor 做 L7 管控
這樣 Suricata 就能穩定運作,又不會造成你管理負擔。