분산 IDS/IPS(침입 탐지 서비스 및 예방 서비스)는 호스트의 네트워크 트래픽에서 의심스러운 활동을 모니터링합니다.
서명은 심각도를 기반으로 사용하도록 설정할 수 있습니다. 심각도 점수가 높으면 침입 이벤트와 관련된 위험이 증가했음을 의미합니다. 심각도는 다음을 기준으로 결정됩니다.
- 서명 자체에 지정된 심각도
- 서명에 지정된 CVSS(일반 취약점 점수 매기기 시스템) 점수
- 분류 유형과 관련된 유형-등급
IDS는 이미 알려진 악성 명령 시퀀스를 기준으로 침입 시도를 탐지합니다. IDS에서 감지된 패턴을 서명이라고 합니다. 특정 서명 경고/삭제/거부 작업을 글로벌로 설정하거나 프로파일을 통해 설정할 수 있습니다.
작업 | 설명 |
---|---|
경고 | 경고가 생성되고 자동 예방 조치가 수행되지 않습니다. |
삭제 | 경고가 생성되고 잘못된 패킷이 삭제됩니다. |
거절 | 경고가 생성되고 잘못된 패킷이 삭제됩니다. TCP 흐름의 경우 IDS에서 TCP 재설정 패킷이 생성되고 연결의 소스 및 대상으로 전송됩니다. 다른 프로토콜의 경우, ICMP 오류 패킷이 연결의 소스 및 대상으로 전송됩니다. |
참고: 분산 로드 밸런서를 사용하는 환경에서는 분산 IDS/IPS(침입 탐지 서비스/침입 방지 서비스)를 사용하도록 설정하지 마십시오.
NSX-T Data Center는 분산 로드 밸런서에서 IDS/IPS를 사용하도록 지원하지 않습니다.
분산 IDS/IPS 구성:
- 호스트에서 IDS/IPS를 사용하도록 설정하고, 최신 서명 집합을 다운로드하고, 서명 설정을 구성합니다. 분산 IDS/IPS 설정 및 서명
- IDS/IPS 프로파일을 생성합니다. 분산 IDS/IPS 프로파일
- IDS/IPS 규칙을 생성합니다. 분산 IDS/IPS 규칙
- 호스트의 IDS/IPS 상태를 확인합니다.