一旦安装、配置了Snort，并已经开始工作，要考虑的下一件事情是规则。Snort规则定义了用于查找网络上潜在恶意流量的方式和标准。没有这些IDS规则，Snort仅仅只是另一个嗅探器。为了帮助你开始，这里提供四个可以查找到Snort规则的位置。

　　1．从Snort.org的下载官方规则快照。

　　在2005年三月七日，Sourcefire变更了Snort规则的许可和分布。对于其他，Sourefire创建了VRT认证规则，它是由Sourefire漏洞研究小组测试和证明的。为了开始使用这些规则和社区规则，可以查看Snort.org的常见疑难问答，然后下载从Snort.org选择的规则。如果从运行的Snort引擎上选择了正确的快照，就像在下在页上解释的一样，这些IDS规则保证可以工作。如果选择错了，Snort可能不能启动。验证你使用的Snort版本（实际上，可以获取最新版本），然后再试一下。我强烈推荐，从VRT规则开始，并向他学习。

　　2．使用Bleeding Snort规则

　　如果你喜欢Bleeding，使用Bleeding Snort规则可以达到两个目标（如果你的计算可以使你依靠Bleeding，就是三个）。首先，这个站点是最新的有实验依据的规则和思想的交换处。而这些规则可能会是假阳性，而且有时可能不会向预期那样工作，他们需要经常跟新。第二，他们完全以激活大量可靠而准确的规则为目标，而当这些规则最终用于正式的Snort.org社区的规则库中时，就可以提供长期的价值。Bleeding Snort规则本质上是测试或者beta规则，而且更适合已经测试了环境的人，以及喜欢bleeding的人或者必须更新IDS规则的人。

　　3．订阅Snort-Sigs列表

　　官方的Snort-Sigs邮件列表关注“Snort规则的讨论和开发”。订阅信息和Web档案可以在Snort.org获得。因为他们讨论过的变化，大部分来自Snort社区的新规则都可以通过Bleeding Snort解决。

　　4．自定义并共享规则

　　如果发现漏了什么，不要被编写规则吓怕了。你可以很快速很简单的编写规则。（学习如何编写，可以阅读最近的文章修改和编写自定义Snort规则）。还有，不要忘了通过Bleeding Snort规则和Snort社区共享这些规则。你可能会对面对相似问题的人提供帮助。

　　小心下载Snort规则的位置

　　最后，虽然可以在除上面提到的下载位置，在互联网上还可能找到Snort规则，但是我建议除非你真正的理解你要做的事情，否则要避免使用。规则语句已经发展到可以提供更好的方式来完成特定的目标，例如“建立”关键词，可以替换在很多环境中查看TCP的以前的方式。在John Doe的 任意网站上发现的这些McRules可能或者不能工作，所以为了安全最好避免使用。

　　2005年四月，Snort.org上有3166条激活的VRT规则和33条社区规则，而BleedingSnort.com的激活规则有775条，而且总是有增加。