Симптомы

Перешли на версию 7, не понимаем как работать с IDPS на новой версии. Есть какая-нибудь инструкция или описание? Из руководства администратора ничего не понятно, просто общее описание.
Действия к сигнатурам можно применять только по одной штуке?

Решение

В версии 7 профили СОВ привязываются к разрешающим правилам межсетевого экрана. Чтобы включить СОВ для трафика, попадающего под правило, необходимо выбрать соответствующий профиль в настройках правила МЭ. Более подробно в данной статье.

Профили СОВ наполняются при помощи фильтров - вы добавляете в профиль фильтры и все сигнатуры, которые попадают под эти фильтры, проверяются при использовании данного профиля. Фильтры можно настраивать в простом режиме (выбор уровня угрозы, класса сигнатуры и т.д. в окне добавления фильтра) или в расширенном (прописываете выражение для поиска сигнатур вручную, например: name ~ "MS06" - фильтр захватывает все сигнатуры, в которых есть данная подстрока). Более подробно в данной статье.

Следует учитывать, что в 7 версии профиль СОВ не является условием правила МСЭ, трафик сначала обрабатывается согласно всем указанным в правиле условиям МСЭ (например адрес или зона источника\назначения), а уже разрешённый трафик попадает в модуль СОВ.

Вы можете выделить несколько сигнатур двумя способами:

• при помощи shift+ЛКМ на первой сигнатуре, затем на последней - будет выделены все сигнатуры с первой до последней.
• при помощи ctrl+ЛКМ можете выделить несколько сигнатур.

После этого нажимаете "Переопределить" и указываете требуемое действие для сигнатур и другие настройки.