IDS 规则用于应用以前创建的配置文件来选择应用程序和流量。

IDS 规则的创建方式与分布式防火墙 (DFW) 规则相同。首先,创建一个 IDS 策略或区域,然后创建规则。必须启用 DFW,并且 DFW 必须允许流量传递到 IDS 规则。

IDS 规则必须:
  • 为每个规则指定一个 IDS 配置文件
  • 有状态
  • 不支持使用第 7 层属性(应用程序 ID)

必须创建一个或多个具有规则的策略区域,因为没有默认规则。创建规则之前,请创建一个需要类似规则策略的组。请参见添加组

  1. 导航到安全 > IDS > 规则
  2. 单击添加策略以创建一个策略区域,并为该区域指定一个名称。
  3. 单击齿轮图标以配置以下策略区域选项:
    选项 说明
    有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。
    已锁定 可以锁定策略,以防止多个用户对相同区域进行编辑。锁定某个区域时,必须包含一条注释。

    有些角色(如企业管理员)具有完全访问凭据,无法锁定。请参见基于角色的访问控制
  4. 单击添加规则以添加新规则,并为该规则指定一个名称。
  5. 配置源/目标/服务以确定哪些流量需要进行 IDS 检查。IDS 支持将任何类型的组用作源和目标。
  6. 选择要用于匹配的流量的 IDS 配置文件。有关详细信息,请参见 分布式 IDS 配置文件
  7. 配置应用对象以限制规则的范围。不能在应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。
  8. 单击齿轮图标以配置以下规则选项:
    选项 说明
    日志记录 默认情况下,将禁用日志记录。日志存储在 ESXi 主机和 KVM 主机上的 /var/log/dfwpktlogs.log 文件中。
    方向 指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量。“出站”表示只检查从对象流出的流量。“双向”表示检查两个方向的流量。
    IP 协议 基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。
    日志标签 启用日志记录后,防火墙日志中将带有日志标签。
  9. 单击发布。可以添加多个规则,然后一起发布。

有关创建策略区域和规则的详细信息,请参见添加分布式防火墙