Las reglas de IDS/IPS se utilizan para aplicar un perfil creado previamente para seleccionar las aplicaciones y el tráfico.
Las reglas de IDS/IPS se crean del mismo modo que las reglas de firewall distribuido (DFW). En primer lugar, se crea una sección o una directiva de IDS y, a continuación, se crean las reglas. DFW debe estar habilitado y el tráfico debe estar permitido por DFW para pasar a las reglas de IDS.
- deben especificar un perfil de IDS por regla
- deben ser con estado
- no se admite el uso de atributos de capa 7 (identificadores de aplicaciones)
Se deben crear una o varias secciones de directivas con reglas, ya que no hay reglas predeterminadas. Antes de crear reglas, cree un grupo que necesite una directiva de regla similar. Consulte Agregar un grupo.
- Desplácese hasta .
- Haga clic en Agregar directiva para crear una sección de directivas y asigne un nombre a la sección.
- (opcional) Haga clic en el icono de engranaje para establecer las siguientes opciones de sección de directivas:
Opción Descripción Con estado Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall. Bloqueado La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Cuando bloquea una sección, debe incluir un comentario. Algunas funciones, como administrador de organización, tienen credenciales de acceso completo y no se pueden bloquear. Consulte Control de acceso basado en funciones.
- Haga clic en Agregar regla para agregar una nueva regla y asígnele un nombre.
- Configure el origen, el destino y los servicios para determinar qué tráfico necesita la inspección de IDS. IDS admite cualquier tipo de grupo para el origen y el destino.
- Seleccione el Perfil de IDS que se utilizará para el tráfico cumpla las reglas. Para obtener más información, consulte Perfiles de IDS/IPS distribuido.
- Configure Se aplica a para limitar el ámbito de las reglas. De forma predeterminada, la columna Se aplica a se establece como DFW y la regla se aplica en todas las cargas de trabajo. También puede aplicar la regla o la política a grupos seleccionados. Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.
- Seleccione el Modo:
- Solo detectar: detecta firmas y no realiza ninguna acción.
- Detener y prevenir: detecta firmas y tiene en cuenta el perfil o la acción global de descarte o rechazo.
- (opcional) Haga clic en el icono de engranaje para configurar las siguientes opciones de regla:
Opción Descripción Registro El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log de los hosts KVM y ESXi. Dirección Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. IN significa que solo se comprobará el tráfico hacia el objeto. OUT significa que solo se comprobará el tráfico procedente del objeto. In-Out significa que se comprobará el tráfico en ambas direcciones. Protocolo IP Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6. Etiqueta de registro La etiqueta de registro se incluye en el registro del firewall cuando el registro está habilitado. - Haga clic en Publicar. Se pueden agregar varias reglas y, a continuación, publicarlas al mismo tiempo. Cuando las reglas se insertan correctamente en el host, el estado se mostrará como Correcto.
- (opcional) Haga clic en el icono de gráfico para ver:
- Estado de la directiva: las reglas se enviaron correctamente a los hosts
- Estado y errores del nodo de transporte
Para obtener más información sobre cómo crear reglas y secciones de directivas, consulte Agregar un firewall distribuido.