IDS/IPS 配置文件用于对特征码进行分组,然后可以应用特征码以选择应用程序。除了默认配置文件以外,您还可以创建 24 个自定义配置文件。

默认 IDS 配置文件包括极高严重性,无法进行编辑。

以下特征码 ID 的 flowbit 被设置为“no-alert”。

过程

  1. 导航到安全 > 分布式 IDS > 配置文件
  2. 输入配置文件名称和描述。
  3. 单击要包括的一个或多个严重性。
    有关详细信息,请参见 IDS 严重性等级
  4. (可选) 按创建者、描述、ID、名称、路径、严重性、标记和标记范围筛选特征码。切换按钮以显示用户修改的特征码。
  5. 要更改对特定特征码执行的操作,请单击管理配置文件的特征码。单击添加
    操作 说明
    警示 生成警示并且不执行自动预防措施。
    丢弃 生成警示并丢弃违规的数据包。
    拒绝 生成警示并丢弃违规的数据包。对于 TCP 流量,IDS 生成 TCP 重置数据包,并将其发送到连接的源和目标。对于其他协议,将 ICMP 错误数据包发送到连接的源和目标。
  6. 单击保存以创建配置文件。

    某些 IDS 特征码称为“flowbits”特征码,并与辅助特征码结合使用。该特征码将捕获馈送到会触发警示或阻止操作的其他特征码的特定类型流量。这些特征码是有意设置为静默 (no-alert) 的,因为它们会触发嘈杂的误报。不应将具有“flowbits:noalert”的特征码设置为“丢弃”。有关将 flowbit 设置为“no-alert”的特征码的列表,请参见特征码

后续步骤

创建 IDS 规则。