IDS/IPS 规则用于应用以前创建的配置文件以选择应用程序和流量。
IDS/IPS 规则的创建方式与分布式防火墙 (DFW) 规则相同。首先,创建一个 IDS 策略或区域,然后创建规则。必须启用 DFW,并且 DFW 必须允许流量传递到 IDS 规则。
IDS 规则必须:
- 为每个规则指定一个 IDS 配置文件
- 有状态
- 不支持使用第 7 层属性(应用程序 ID)
必须创建一个或多个具有规则的策略区域,因为没有默认规则。创建规则之前,请创建一个需要类似规则策略的组。请参见添加组。
- 导航到 。
- 单击添加策略以创建一个策略区域,并为该区域指定一个名称。
- (可选) 单击齿轮图标以配置以下策略区域选项:
选项 说明 有状态 有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。 已锁定 可以锁定策略,以防止多个用户对相同区域进行编辑。锁定某个区域时,必须包含一条注释。 有些角色(如企业管理员)具有完全访问凭据,无法锁定。请参见基于角色的访问控制。
- 单击添加规则以添加新规则,并为该规则指定一个名称。
- 配置源/目标/服务以确定哪些流量需要进行 IDS 检查。IDS 支持将任何类型的组用作源和目标。
- 选择要用于匹配的流量的 IDS 配置文件。有关详细信息,请参见 分布式 IDS/IPS 配置文件。
- 配置应用对象以限制规则的范围。默认情况下,应用对象列设置为 DFW,并将规则应用于所有工作负载。您还可以将规则或策略应用于选定的组。不能在应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。
- 选择模式:
- 仅检测 - 检测特征码,而不采取任何措施。
- 检测并阻止 - 检测特征码,并考虑配置文件或全局操作“丢弃”或“拒绝”。
- (可选) 单击齿轮图标以配置以下规则选项:
选项 说明 日志记录 默认情况下,将禁用日志记录。日志存储在 ESXi 主机和 KVM 主机上的 /var/log/dfwpktlogs.log 文件中。 方向 指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量。“出站”表示只检查从对象流出的流量。“双向”表示检查两个方向的流量。 IP 协议 基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。 日志标签 启用日志记录后,防火墙日志中将带有日志标签。 - 单击发布。可以添加多个规则,然后将其一起发布。在将规则成功推送到主机时,状态将显示成功。
- (可选) 单击图标以查看:
- 策略状态 - 规则已成功推送到主机
- 传输节点状态和错误
有关创建策略区域和规则的详细信息,请参见添加分布式防火墙。