本主题提供了一个规则表,用于为分布式防火墙上的 NSX+ IDS/IPS 添加规则。
前提条件
您必须已执行以下操作:
- 已添加 NSX+ IDS/IPS 配置文件。
- 已在主机和集群上启用或激活 NSX+ IDS/IPS。
过程
- 打开实例页面。
- 登录到位于 https://console.cloud.vmware.com 的 VMware Cloud 控制台。
VMware Cloud Services 主页将显示可供您组织使用的服务。
- 在我的服务下,转到 NSX+ 卡,然后选择启动服务。
- 选择全局,然后选择要管理的实例。
- 从项目下拉菜单中,选择要为其创建规则的项目。
- 单击安全。
- 在策略管理下,单击 。
- 单击添加全局策略,创建用于组织规则的区域。
- 输入策略的名称。
- (可选) 在策略行中,单击齿轮图标以配置高级策略选项。
| 选项 |
描述 |
| 有状态 |
有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。 |
| 已锁定 |
可以锁定策略,以防止多个用户对相同区域进行编辑。锁定某个区域时,必须包含一条注释。 有些角色(如企业管理员)具有完全访问凭据,无法锁定。 |
- 单击添加规则并配置规则设置。
- 输入规则的名称。
- 根据需要 IDS 检查的流量配置源、目标和服务列。对于源和目标,IDS 支持“通用”和“仅 IP 地址”组类型。
- 在安全配置文件列中,选择要用于此规则的配置文件。
- 在应用对象列中,选择任意一个选项。
| 选项 |
描述 |
| DFW |
可以将分布式 IDS/IPS 规则应用于 DFW。IDS/IPS 规则将应用于已激活 NSX+ IDS/IPS 的所有主机集群上的工作负载虚拟机。 |
| 组 |
此规则仅应用于属于选定组成员的虚拟机。 |
- 在模式列中,选择任意一个选项。
| 选项 |
描述 |
| 仅检测 |
该规则会根据特征码检测入侵,并且不执行任何操作。 |
| 检测并阻止 |
该规则会根据特征码检测入侵,并根据 IDS/IPS 配置文件或全局特征码配置中的特征码配置丢弃或拒绝流量。 |
- (可选) 单击齿轮图标以配置其他规则设置。
| 选项 |
描述 |
| 日志记录 |
默认情况下,将禁用日志记录。日志存储在 ESXi 主机上的 /var/log/dfwpktlogs.log 文件中。 |
| 方向 |
指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量。“出站”表示只检查从对象流出的流量。“双向”表示检查两个方向的流量。 |
| IP 协议 |
基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。 |
| 超额订阅 |
您可以配置超额订阅时 IDS/IPS 引擎应丢弃还是绕过多余的流量。此处输入的值将覆盖在全局设置中为超额订阅设置的值。 |
| 日志标签 |
启用日志记录后,日志标签存储在防火墙日志中。 |
- (可选) 重复步骤 3,在同一策略中添加更多规则。
- 单击发布。
规则将保存并推送到主机。您可以单击图形图标以查看
NSX+ 分布式 IDS/IPS 的规则统计信息。
结果
对于使用 IDS/IPS 配置文件配置的规则,如果系统检测到恶意流量,则会生成入侵事件并在 IDS/IPS 仪表板上显示此事件。系统会根据您在规则中配置的操作丢弃、拒绝流量或生成流量警报。
