IDS/IPS-Regeln werden verwendet, um mithilfe eines zuvor erstellten Profils Anwendungen und Datenverkehr auszuwählen.

IDS/IPS-Regeln werden in der gleichen Weise wie Regeln für die verteilte Firewall (DFW) erstellt. Zunächst wird eine IDS-Richtlinie oder ein Abschnitt erstellt und dann werden Regeln erstellt. DFW muss aktiviert sein und die DFW muss das Weiterleiten des Datenverkehrs an die IDS-Regeln zulassen.

Folgendes ist für IDS-Regeln erforderlich:
  • geben ein IDs-Profil pro Regel an
  • statusbehaftet
  • Die Verwendung von Layer-7-Attributen (APP-IDs) wird nicht unterstützt.

Mindestens ein Richtlinienabschnitt mit Regeln muss erstellt werden, da keine Standardregeln vorhanden sind. Erstellen Sie vor dem Erstellen von Regeln eine Gruppe, für die eine ähnliche Regelrichtlinie erforderlich ist. Siehe Hinzufügen einer Gruppe.

  1. Navigieren Sie zu Sicherheit > Verteilte IDS/IPS > Regeln.
  2. Klicken Sie auf Richtlinie hinzufügen, um einen Richtlinienabschnitt zu erstellen, und geben Sie dem Abschnitt einen Namen.
  3. (Optional) Klicken Sie auf das Zahnradsymbol, um die folgenden Optionen für den Richtlinienabschnitt zu konfigurieren:
    Option Beschreibung
    Statusbehaftet Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
    Gesperrt Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.

    Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden. Siehe Rollenbasierte Zugriffssteuerung.

  4. Klicken Sie auf Regel hinzufügen, um eine neue Regel hinzuzufügen, und geben Sie der Regel einen Namen.
  5. Konfigurieren Sie Quelle/Ziel/Dienste, um zu bestimmen, für welchen Datenverkehr eine IDS-Überprüfung benötigt wird. IDS unterstützt beliebige Gruppentypen für Quelle und Ziel.
  6. Wählen Sie das IDS-Profil aus, das für den passenden Datenverkehr verwendet werden soll. Weitere Informationen finden Sie unter Verteilte IDS/IPS-Profile.
  7. Konfigurieren Sie die Einstellung Angewendet auf, um den Geltungsbereich der Regeln einzuschränken. Standardmäßig ist für die Spalte Angewendet auf der Wert „DFW“ festgelegt und die Regel wird auf alle Arbeitslasten angewendet. Sie können die Regel oder Richtlinie auch auf ausgewählte Gruppen anwenden. Gruppen, die nur aus IP-Adressen bzw. MAC-Adressen bestehen, oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.
  8. Wählen Sie den Modus aus:
    • Nur erkennen: Erkennt Signaturen und führt keine Aktionen durch.
    • Erkennen und verhindern: Erkennt Signaturen und berücksichtigt Profile oder globale Aktionen zum Verwerfen oder Ablehnen.
  9. (Optional) Klicken Sie auf das Zahnradsymbol, um die folgenden Richtlinienoptionen zu konfigurieren:
    Option Beschreibung
    Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der Datei „/var/log/dfwpktlogs.log“ auf ESXi- und KVM-Hosts gespeichert.
    Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. EINGEHEND bedeutet, dass nur der Datenverkehr zum Objekt überprüft wird. AUSGEHEND bedeutet, dass nur der Datenverkehr vom Objekt überprüft wird. „Ein-/Ausgehend“ bedeutet, dass der Datenverkehr in beide Richtungen überprüft wird.
    IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
    Protokollbezeichnung Die Protokollbezeichnung wird in das Firewallprotokoll übertragen, wenn die Protokollierung aktiviert ist.
  10. Klicken Sie auf Veröffentlichen. Mehrere Regeln können hinzugefügt und in einem Arbeitsschritt zusammen veröffentlicht werden. Wenn Regeln erfolgreich per Push an den Host übertragen werden, wird der Status Erfolgreich angezeigt.
  11. (Optional) Klicken Sie auf das Diagrammsymbol, um Folgendes zu sehen:
    • Richtlinienstatus: Regeln wurden erfolgreich per Push an die Hosts übertragen
    • Transportknotenstatus und -fehler

Weitere Informationen zum Erstellen von Richtlinienabschnitten und Regeln finden Sie unter Hinzufügen einer verteilten Firewall.