IDS/IPS 規則可用來套用先前建立的設定檔,以選取應用程式和流量。

IDS/IPS 規則的建立方式與分散式防火牆 (DFW) 規則相同。首先會建立 IDS 原則或區段,然後建立規則。必須啟用 DFW,並且 DFW 必須允許流量,流量才能傳遞至 IDS 規則。

IDS 規則必須:
  • 每個規則指定一個 IDS 設定檔
  • 可設定狀態
  • 不支援使用第 7 層屬性 (應用程式識別碼)

必須建立具有規則的一或多個原則區段,因為沒有預設規則。建立規則之前,請先建立需要類似規則原則的群組。請參閱新增群組

  1. 導覽至安全性 > 分散式 IDS/IPS > 規則
  2. 按一下新增原則以建立原則區段,並為區段指定名稱。
  3. (選擇性) 按一下齒輪圖示以設定下列原則區段選項:
    選項 說明
    可設定狀態 可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定允許通過防火牆的封包。
    已鎖定 您可以鎖定原則,以防止多個使用者編輯相同的區段。鎖定區段時,必須加上註解。

    某些角色 (如企業管理員) 具有完整存取認證,且無法鎖定。請參閱角色型存取控制
  4. 按一下新增規則以新增規則,並為規則指定名稱。
  5. 設定來源/目的地/服務,以用來判定需要 IDS 檢查的流量。IDS 支援任何類型的群組做為來源和目的地。
  6. 選取要用於比對流量的 IDS 設定檔。如需詳細資訊,請參閱分散式 IDS/IPS 設定檔
  7. 設定套用至,以限制規則的範圍。依預設,套用至資料行設定為 DFW,而規則會套用至所有工作負載。您也可以將規則或原則套用至選取的群組。僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在套用至文字方塊中使用。
  8. 選取模式
    • 僅偵測 - 偵測簽章,而不採取動作。
    • 偵測並防止 - 偵測簽章,並將捨棄或拒絕的帳戶設定檔或全域動作納入考量。
  9. (選擇性) 按一下齒輪圖示以設定下列規則選項:
    選項 說明
    記錄 依預設會關閉記錄。記錄會儲存在 ESXi 和 KVM 主機上的 /var/log/dfwpktlogs.log 檔案中。
    方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量。「傳出」表示僅檢查物件發出的流量。「傳入/傳出」表示會檢查兩個方向的流量。
    IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。
    記錄標籤 啟用記錄時,記錄標籤會在防火牆記錄中延續使用。
  10. 按一下發佈。可以新增多個規則,然後一次發佈。當規則成功推送至主機時,狀態會顯示成功
  11. (選擇性) 按一下圖表圖示以檢視:
    • 原則狀態 - 已成功將規則推送至主機
    • 傳輸節點狀態和錯誤

如需有關建立原則區段和規則的詳細資訊,請參閱新增分散式防火牆