nProbe IPS模式配置教程：实现网络入侵防护的终极方案

nProbe IPS模式配置教程：实现网络入侵防护的终极方案

【免费下载链接】nProbeOpen source components and extensions for nProbe项目地址: https://gitcode.com/gh_mirrors/np/nProbe

nProbe是一款功能强大的开源网络流量分析工具，其9.5.210610及更高版本引入了全新的IPS（入侵防御系统）模式。通过将nProbe配置为透明桥接模式，用户可以基于预设的流量策略实现网络威胁阻断，为网络安全提供全面保护。

为什么选择nProbe IPS模式？

nProbe IPS模式将网络可视化与威胁防护完美结合，主要优势包括：

• 精准流量控制：基于深度包检测（DPI）技术识别应用协议，实现细粒度访问控制
• 灵活策略管理：支持按IP、MAC、子网划分主机池，为不同用户组应用差异化安全策略
• 多平台支持：兼容Linux和FreeBSD系统，包括OPNsense和pfSense等网络设备
• 无缝集成ntopng：可与ntopng配合使用，提供直观的流量监控和策略配置界面

nProbe IPS模式的典型应用场景

nProbe IPS模式可满足多种网络安全需求：

• 🛡️应用协议过滤：阻止BitTorrent等P2P下载流量，保障网络带宽合理使用
• 🌍地理区域限制：仅允许特定国家/地区的IP访问敏感服务器
• 🔒威胁阻断：自动识别并拦截具有安全风险的网络连接
• 📊带宽管理：为不同应用分配带宽配额，如限制Netflix视频流为10 Mbit/s

快速入门：nProbe IPS模式部署架构

nProbe IPS模式采用透明桥接方式部署，可无缝集成到现有网络架构中。以下是ntopng监控界面展示的IPS模式下流量状态，被阻断的流量会以删除线标记：

系统要求

• nProbe 9.5.210610或更高版本
• Linux或FreeBSD操作系统（推荐Linux以获得最佳性能）
• 至少2个网络接口（用于桥接模式）
• ntopng（可选，用于可视化和策略管理）

详细配置步骤

1. 安装nProbe

首先通过Git克隆项目仓库并完成安装：

git clone https://gitcode.com/gh_mirrors/np/nProbe cd nProbe # 参考项目文档完成编译安装

2. 配置网络环境

根据操作系统选择合适的网络配置方案：

Linux系统（推荐）

Linux系统通过NetFilter实现高效包处理，nProbe提供了多个配置脚本在netfilter/目录下：

• policy_simple.sh：基础策略配置，适合独立主机
• policy_and_bridge_simple.sh：双接口桥接配置
• policy_on_bridge.sh：透明桥接模式配置
• policy_with_shaper.sh：带流量整形功能的配置

示例配置桥接接口：

# 配置桥接和NetFilter队列 ./netfilter/policy_on_bridge.sh -W eth0 -L eth1 -B br0

FreeBSD/OPNsense/pfSense系统

在OPNsense等FreeBSD系统中，可直接通过Web界面配置nProbe IPS模式。以下是OPNsense的nProbe IPS配置界面：

3. 创建IPS策略配置文件

IPS策略使用JSON格式定义，典型配置文件路径为/etc/nprobe/ips-rules.conf。策略文件包含三部分：

主机池定义

按IP或MAC地址划分主机组：

{ "pool": { "id":1, "name": "Local Network", "ip": ["192.168.3.0/24"], "mac": [] }, "policy": { "id": 0 }}

策略规则定义

设置流量处理规则，如阻止Facebook访问：

{ "policy": { "id": 0, "name": "Root policy rule", "default_marker": "pass", "markers": {"protocols": {"Facebook": "drop"}}}}

高级配置

包含自定义协议、分类文件和GeoIP数据库：

{ "custom_protocols": "/etc/nprobe/protos.txt" } { "geoip": { "asn": "/data/dbip-asn-lite.mmdb", "city": "/data/dbip-city-lite.mmdb" }}

4. 启动nProbe IPS模式

使用以下命令启动nProbe并应用IPS策略：

# Linux系统（NetFilter队列0） nprobe --zmq tcp://*:5556 --ips-mode /etc/nprobe/ips-rules.conf -i nf:0 # FreeBSD系统（直接指定网络接口） nprobe --zmq tcp://*:5556 --ips-mode /etc/nprobe/ips-rules.conf -i em0

5. 配置ntopng监控（可选）

启动ntopng连接到nProbe，实现流量可视化和策略管理：

ntopng -i tcp://127.0.0.1:5556

高级配置技巧

流量整形配置

Linux系统下可使用policy_with_shaper.sh脚本配置带宽限制：

# 为HTTP流量设置10Mbit/s带宽限制 ./netfilter/policy_with_shaper.sh -W eth0 -L eth1 -B br0 -r HTTP:10

风险流量阻断

通过flow_risk配置阻断具有安全风险的流量：

{ "policy": { "id": 0, "name": "Risk Blocking", "flow_risk": { "bitmap": 12321, "marker": "drop" }}}

基于地理位置的访问控制

限制仅允许特定国家访问：

{ "policy": { "id": 1, "markers": { "countries": { "IT": "pass", "CN": "drop" }}}}

常见问题解决

Q: 为什么ntopng显示的流量与实际网络流量不符？

A: Linux系统中，已标记的流量由内核直接处理，不会经过nProbe用户空间，因此ntopng仅显示经过策略检查的流量。

Q: 如何验证IPS策略是否生效？

A: 可通过ntopng的"Recently Active Flows"界面查看被阻断的流量（显示删除线），或检查系统日志确认策略应用情况。

Q: FreeBSD和Linux平台的IPS性能有何差异？

A: Linux通过NetFilter在 kernel 空间处理流量，性能显著优于FreeBSD的用户空间桥接模式。对于高带宽环境，建议选择Linux平台。

总结

nProbe IPS模式为网络安全防护提供了灵活而强大的解决方案，通过本文介绍的配置步骤，您可以快速部署一套功能完善的入侵防御系统。无论是中小企业的网络保护，还是大型企业的精细化流量管理，nProbe都能满足您的需求。

如需更详细的技术文档，请参考项目中的doc/src/ips_mode.rst文件，其中包含完整的配置选项和高级用法说明。

【免费下载链接】nProbeOpen source components and extensions for nProbe项目地址: https://gitcode.com/gh_mirrors/np/nProbe