分布式入侵检测和防御服务 (Distributed Intrusion Detection and Prevention Service, IDS/IPS) 监控主机上的网络流量是否存在可疑活动。
可以根据严重性启用特征码。严重性评分越高,表示与入侵事件相关的风险越大。严重性取决于以下内容:
- 特征码本身中指定的严重性
- 特征码中指定的 CVSS(通用漏洞评分系统)评分
- 与分类类型关联的类型评级
IDS 根据已知的恶意指令序列检测入侵尝试。在 IDS 中检测到的模式称为特征码。您可以按全局方式或通过配置文件设置特定的特征码警示/丢弃/拒绝操作。
| 操作 | 说明 |
|---|---|
| 警示 | 生成警示并且不执行自动预防措施。 |
| 丢弃 | 生成警示并丢弃违规的数据包。 |
| 拒绝 | 生成警示并丢弃违规的数据包。对于 TCP 流量,IDS 生成 TCP 重置数据包,并将其发送到连接的源和目标。对于其他协议,将 ICMP 错误数据包发送到连接的源和目标。 |
注: 不要在使用分布式负载均衡器的环境中启用分布式入侵检测和防御服务 (Distributed Intrusion Detection and Prevention Service, IDS/IPS)。
NSX-T Data Center 不支持将 IDS/IPS 与分布式负载均衡器一起使用。
分布式 IDS/IPS 配置:
- 在主机上启用 IDS/IPS,下载最新的特征码集并配置特征码设置。分布式 IDS/IPS 设置和特征码
- 创建 IDS/IPS 配置文件。分布式 IDS/IPS 配置文件
- 创建 IDS/IPS 规则。分布式 IDS/IPS 规则
- 验证主机上的 IDS/IPS 状态。
