Der Distributed Intrusion Detection and Prevention Service (IDS/IPS) überwacht den Netzwerkdatenverkehr auf dem Host auf verdächtige Aktivitäten.

Signaturen können basierend auf dem Schweregrad aktiviert werden. Eine höhere Schweregrad-Punktzahl weist auf ein höheres Risiko hin, das mit dem Eindringereignis verbunden ist. Der Schweregrad wird anhand der folgenden Aspekte ermittelt:
  • Schweregrad, der in der Signatur selbst angegeben ist
  • CVSS(Common Vulnerability Scoring System)-Punktzahl, die in der Signatur angegeben ist
  • Typenbewertung im Zusammenhang mit dem Klassifizierungstyp
IDS erkennt Eindringversuche basierend auf bereits bekannten böswilligen Anweisungssequenzen. Die erkannten Muster im IDs werden als Signaturen bezeichnet. Sie können spezifische Signaturaktionen zum Warnen/Ablegen/Ablehnen global oder nach Profil festlegen.
Aktion Beschreibung
Warnung Eine Warnung wird generiert und keine automatische vorbeugende Aktion wird durchgeführt.
Verwerfen Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen.
Ablehnen Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet.
Hinweis: Aktivieren Sie den Distributed Intrusion Detection Service (IDS/IPS) nicht in einer Umgebung, die einen Distributed Load Balancer verwendet. NSX-T Data Center unterstützt die Verwendung von IDS/IPS mit einem Distributed Load Balancer nicht.
Verteilte IDS/IPS-Konfiguration:
  1. Aktivieren Sie IDS/IPS auf Hosts, laden Sie den neuesten Signatursatz herunter und konfigurieren Sie Signatureinstellungen. Verteilte IDS/IPS-Einstellungen und -Signaturen
  2. Erstellen Sie IDS/IPS-Profile. Verteilte IDS/IPS-Profile
  3. Erstellen Sie IDS/IPS-Regeln. Verteilte IDS/IPS-Regeln
  4. Überprüfen Sie den IDS/IPS-Status auf Hosts.