IDS/IPS 設定檔可用來分組簽章,然後可將其套用至選取的應用程式。除了預設設定檔之外,您還可以建立 24 個自訂設定檔。

預設的 IDS 設定檔包含重大嚴重性,因此無法編輯。

程序

  1. 導覽至安全性 > 分散式 IDS > 設定檔
  2. 輸入設定檔名稱與說明。
  3. 按一下您要包含的一或多個嚴重性。
    如需詳細資訊,請參閱 IDS 嚴重性分級
  4. (選擇性) 依建立者、說明、識別碼、名稱、路徑、嚴重性、標籤和標籤範圍篩選簽章。切換按鈕以顯示使用者修改的簽章。
  5. 若要變更特定簽章的動作,請按一下管理設定檔的簽章。按一下新增
    動作 說明
    警示 產生警示,且不會採取任何自動的預防動作。
    捨棄 產生警示,且會捨棄違規的封包。
    拒絕 產生警示,且會捨棄違規的封包。對於 TCP 流量,IDS 會產生 TCP 重設封包,並傳送至連線的來源與目的地。對於其他通訊協定,系統會將 ICMP 錯誤封包傳送至連線的來源與目的地。

    部分 IDS 簽章稱為「flowbits」簽章,並且會與次要簽章結合使用。簽章會擷取特定類型的流量,該流量會饋送至其他簽章,以觸發警示或封鎖動作。這些是特意設定為無訊息 (無警示),因為它們會觸發干擾性的誤報。不應將具有「flowbits:noalert」的任何簽章設定為捨棄。如需將流量位元設定為無警示的簽章清單,請參閱簽章

  6. 按一下儲存以建立設定檔。

下一步

建立 IDS 規則。