Les règles d'IDS/IPS permettent d'appliquer un profil précédemment créé pour sélectionner des applications et du trafic.
Les règles d'IDS/IPS sont créées de la même manière que les règles de pare-feu distribué (DFW). D'abord, une stratégie ou une section IDS est créée, puis les règles sont créées. DFW doit être activé et le trafic doit être autorisé par DFW à passer aux règles IDS.
- spécifier un profil IDS par règle
- être avec état
- l'utilisation d'attributs de couche 7 (ID d'application) n'est pas prise en charge
Une ou plusieurs sections de stratégie avec des règles doivent être créées, car il n'y a pas de règles par défaut. Avant de créer des règles, créez un groupe qui a besoin d'une stratégie de règle similaire. Reportez-vous à la section Ajouter un groupe.
- Accédez à .
- Cliquez sur Ajouter une stratégie pour créer une section de stratégie et donnez un nom à la section.
- (Facultatif) Cliquez sur l'icône d'engrenage pour configurer les options de section de stratégie suivantes :
Option Description Avec état Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu. Verrouillé La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section. Certains rôles, tels que l'administrateur d'entreprise, disposent d'informations d'identification d'accès complet et ne peuvent pas être verrouillés. Reportez-vous à la section Contrôle d'accès basé sur les rôles.
- Cliquez sur Ajouter une règle pour ajouter une nouvelle règle et nommez-la.
- Configurez source/destination/services pour déterminer quel trafic nécessite l'inspection IDS. IDS prend en charge tous les types de groupes pour la source et la destination.
- Sélectionnez le Profil IDS à utiliser pour le trafic correspondant. Pour plus d'informations, reportez-vous à la section Profils d'IDS/IPS distribué.
- Configurez Appliqué à pour limiter l'étendue des règles. Par défaut, la colonne Appliqué à est définie sur DFW et la règle est appliquée à toutes les charges de travail. Vous pouvez également appliquer la règle ou la stratégie à des groupes sélectionnés. Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.
- Sélectionnez le Mode :
- Détecter uniquement : détecte les signatures et ne prend aucune mesure.
- Détecter et empêcher : détecte les signatures et prend en compte le profil ou l'action globale d'abandon ou de rejet.
- (Facultatif) Cliquez sur l'icône d'engrenage pour configurer les options de règle suivantes :
Option Description Journalisation La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi et KVM. Direction Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié. OUT signifie que seul le trafic provenant de l'objet est vérifié. In-Out signifie que le trafic dans les deux sens est vérifié. Protocole IP Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois. Étiquette de journal L'étiquette de journal est transportée dans le journal du pare-feu lorsque la journalisation est activée. - Cliquez sur Publier. Il est possible d'ajouter plusieurs règles à la fois et de les publier ensemble. Lorsque les règles sont correctement transférées vers l'hôte, l'état affiche Réussite.
- (Facultatif) Cliquez sur l'icône de graphique pour afficher :
- l'état de la stratégie : les règles ont été correctement transférées vers les hôtes
- l'état et les erreurs du nœud de transport
Pour plus d'informations sur la création de sections et de règles de stratégie, consultez Ajouter un pare-feu distribué.