Règles d'IDS distribué

Les règles d'IDS permettent d'appliquer un profil précédemment créé pour sélectionner des applications et du trafic.

Les règles d'IDS sont créées de la même manière que les règles de pare-feu distribué (DFW). D'abord, une stratégie ou une section IDS est créée, puis les règles sont créées. DFW doit être activé et le trafic doit être autorisé par DFW à passer aux règles IDS.

Les règles IDS doivent :

spécifier un profil IDS par règle
être avec état
l'utilisation d'attributs de couche 7 (ID d'application) n'est pas prise en charge

Une ou plusieurs sections de stratégie avec des règles doivent être créées, car il n'y a pas de règles par défaut. Avant de créer des règles, créez un groupe qui a besoin d'une stratégie de règle similaire. Reportez-vous à la section Ajouter un groupe.

Accédez à Sécurité > IDS > Règles.
Cliquez sur Ajouter une stratégie pour créer une section de stratégie et donnez un nom à la section.

Cliquez sur l'icône d'engrenage pour configurer les options de section de stratégie suivantes :

Option	Description
Avec état	Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.
Verrouillé	La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section. Certains rôles, tels que l'administrateur d'entreprise, disposent d'informations d'identification d'accès complet et ne peuvent pas être verrouillés. Reportez-vous à la section Contrôle d'accès basé sur les rôles.

Option

Description

Avec état

Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.

Verrouillé

La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section.

Certains rôles, tels que l'administrateur d'entreprise, disposent d'informations d'identification d'accès complet et ne peuvent pas être verrouillés. Reportez-vous à la section Contrôle d'accès basé sur les rôles.

Cliquez sur Ajouter une règle pour ajouter une nouvelle règle et nommez-la.
Configurez source/destination/services pour déterminer quel trafic nécessite l'inspection IDS. IDS prend en charge tous les types de groupes pour la source et la destination.
Sélectionnez le Profil IDS à utiliser pour le trafic correspondant. Pour plus d'informations, reportez-vous à la section Profils IDS distribués.
Configurez Appliqué à pour limiter l'étendue des règles. Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.

Cliquez sur l'icône d'engrenage pour configurer les options de règle suivantes :

Option	Description
Journalisation	La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi et KVM.
Direction	Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié. OUT signifie que seul le trafic provenant de l'objet est vérifié. In-Out signifie que le trafic dans les deux sens est vérifié.
Protocole IP	Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois.
Étiquette de journal	L'étiquette de journal est transportée dans le journal du pare-feu lorsque la journalisation est activée.

Cliquez sur Publier. Il est possible d'ajouter plusieurs règles à la fois et de les publier ensemble.

Pour plus d'informations sur la création de sections et de règles de stratégie, consultez Ajouter un pare-feu distribué.