分散式入侵偵測及防護服務 (IDS/IPS) 會監控主機上的網路流量是否存在可疑活動。
簽章可以根據嚴重性加以啟用。嚴重性分數越高表示與入侵事件相關聯的風險增加。嚴重性取決於下列項目:
- 簽章本身指定的嚴重性
- 簽章中指定的 CVSS (常見漏洞分數系統) 分數
- 與分類類型相關聯的類型-分級
IDS 會根據已知的惡意指令序列偵測入侵嘗試。IDS 中偵測到的模式稱為簽章。您可以全域或透過設定檔來設定特定簽章的警示/捨棄/拒絕動作。
動作 | 說明 |
---|---|
警示 | 產生警示,且不會執行任何自動預防動作。 |
捨棄 | 產生警示,且會捨棄違規的封包。 |
拒絕 | 產生警示,且會捨棄違規的封包。對於 TCP 流量,IDS 會產生 TCP 重設封包,並傳送至連線的來源與目的地。對於其他通訊協定,系統會將 ICMP 錯誤封包傳送至連線的來源與目的地。 |
備註: 請勿在使用分散式負載平衡器的環境中啟用分散式入侵偵測及防護服務 (IDS/IPS)。
NSX-T Data Center 不支援使用 IDS/IPS 搭配分散式負載平衡器。
分散式 IDS/IPS 組態:
- 在主機上啟用 IDS/IPS、下載最新的簽章集,以及設定簽章設定。分散式 IDS/IPS 設定和簽章
- 建立 IDS/IPS 設定檔。分散式 IDS/IPS 設定檔
- 建立 IDS/IPS 規則。分散式 IDS/IPS 規則
- 確認主機上的 IDS/IPS 狀態。