IDS/IPS 規則可用來套用先前建立的設定檔,以選取應用程式和流量。
IDS/IPS 規則的建立方式與分散式防火牆 (DFW) 規則相同。首先會建立 IDS 原則或區段,然後建立規則。必須啟用 DFW,並且 DFW 必須允許流量,流量才能傳遞至 IDS 規則。
IDS 規則必須:
- 每個規則指定一個 IDS 設定檔
- 可設定狀態
- 不支援使用第 7 層屬性 (應用程式識別碼)
必須建立具有規則的一或多個原則區段,因為沒有預設規則。建立規則之前,請先建立需要類似規則原則的群組。請參閱新增群組。
- 導覽至 。
- 按一下新增原則以建立原則區段,並為區段指定名稱。
- (選擇性) 按一下齒輪圖示以設定下列原則區段選項:
選項 說明 可設定狀態 可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定允許通過防火牆的封包。 已鎖定 您可以鎖定原則,以防止多個使用者編輯相同的區段。鎖定區段時,必須加上註解。 某些角色 (如企業管理員) 具有完整存取認證,且無法鎖定。請參閱角色型存取控制。
- 按一下新增規則以新增規則,並為規則指定名稱。
- 設定來源/目的地/服務,以用來判定需要 IDS 檢查的流量。IDS 支援任何類型的群組做為來源和目的地。
- 選取要用於比對流量的 IDS 設定檔。如需詳細資訊,請參閱分散式 IDS/IPS 設定檔。
- 設定套用至,以限制規則的範圍。依預設,套用至資料行設定為 DFW,而規則會套用至所有工作負載。您也可以將規則或原則套用至選取的群組。僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在套用至文字方塊中使用。
- 選取模式:
- 僅偵測 - 偵測簽章,而不採取動作。
- 偵測並防止 - 偵測簽章,並將捨棄或拒絕的帳戶設定檔或全域動作納入考量。
- (選擇性) 按一下齒輪圖示以設定下列規則選項:
選項 說明 記錄 依預設會關閉記錄。記錄會儲存在 ESXi 和 KVM 主機上的 /var/log/dfwpktlogs.log 檔案中。 方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量。「傳出」表示僅檢查物件發出的流量。「傳入/傳出」表示會檢查兩個方向的流量。 IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。 記錄標籤 啟用記錄時,記錄標籤會在防火牆記錄中延續使用。 - 按一下發佈。可以新增多個規則,然後一次發佈。當規則成功推送至主機時,狀態會顯示成功。
- (選擇性) 按一下圖表圖示以檢視:
- 原則狀態 - 已成功將規則推送至主機
- 傳輸節點狀態和錯誤
如需有關建立原則區段和規則的詳細資訊,請參閱新增分散式防火牆。