遵循以下步驟上傳並將自訂特徵碼套用於規則,以保護流量免受惡意攻擊。
在 NSX Manager UI 中,您可以新增一個自訂特徵碼服務包,也可以手動將自訂特徵碼服務納入現有特徵碼清單中。
上傳後,驗證自訂特徵碼。驗證結果為:「有效」、「無效」或「警告」。
備註:如果任何特徵碼標記為「無效」,請檢查中繼資料中是否存在錯誤。例如,如果特徵碼中指定的流量方向不正確,則 NSX IDS/IPS 會將其分類為「無效」。請修正中繼資料並重新驗證特徵碼。
依預設,除非您明確選擇了必須發佈到傳輸節點和 NSX Edge 的「警告」特徵碼,否則「警告」特徵碼會被排除在外且不會發佈。
發佈特徵碼。
一旦發佈,若要將自訂特徵碼套用於分散式防火牆 (DFW) 或閘道防火牆 (GFW) 規則,請將它們新增到 NSX IDS/IPS 設定檔中。編輯設定檔以納入自訂特徵碼和系統特徵碼。在發佈規則後,將根據規則的範圍來推送設定檔和規則。當發生特徵碼相符時,將觸發一個事件。
備註:由於僅接受唯一的特徵碼,NSX 會將原始自訂特徵碼識別碼修改為 10 億到 20 億之間的數值進行處理。原始特徵碼識別碼仍可在 NSX Manager UI 或 API 中存取。
使用包含自訂特徵碼的 IDS 設定檔的 DFW 或 GFW 規則將處於作用中狀態,並可隨時對潛在威脅做出回應。當流量與自訂特徵碼相符時,IDS/IPS 會產生警示,您可以在 UI 頁面上檢視該警示。
根據入侵詳細資料,例如嚴重性、CVE、CVSS 及受威脅影響的虛擬機器,安全管理員可以採取適當的措施來降低風險。
