服务编排可以利用第三方防病毒解决方案识别出网络中受感染的系统,并将这些系统隔离,以防止病毒进一步爆发。

我们的示例场景说明如何为您的桌面提供端到端保护。

图 1. 配置服务编排
工作流
图 2. 服务编排条件工作流
测试

前提条件

我们发现,Symantec 用 AntiVirus.virusFound 标记受感染的虚拟机。

过程

  1. 安装、注册和部署 Symantec Antimalware 解决方案。
  2. 为桌面创建安全策略。
    1. 单击安全策略 (Security Policies)选项卡,然后单击添加安全策略 (Add Security Policy)图标。
    2. 名称 (Name)中,键入 DesktopPolicy
    3. 描述 (Description)中,键入 Antivirus scan for all desktops
    4. 将权重值改为 51000。将策略优先级设置为非常高,以确保优先于其他所有策略强制实施。
    5. 单击下一步 (Next)
    6. 在“添加 Endpoint 服务”页面上,单击 add 并填入以下值。
      选项
      操作 (Action) 请勿修改默认值
      服务类型 (Service Type) 防病毒
      服务名称 (Service Name) Symantec Antimalware
      服务配置 (Service Configuration) 银级
      状态 (State) 请勿修改默认值
      强制实施 (Enforce) 请勿修改默认值
      名称 (Name) Desktop AV
      描述 (Description) 要在所有桌面应用的强制策略
    7. 单击确定 (OK)
    8. 请勿添加任何防火墙或网络自检服务,然后单击完成 (Finish)
  3. 为受感染的虚拟机创建安全策略。
    1. 单击安全策略 (Security Policies)选项卡,然后单击添加安全策略 (Add Security Policy)图标。
    2. 在“名称”中,键入 QuarantinePolicy
    3. 在“描述”中,键入 Policy to be applied to all infected systems
    4. 不要更改默认权重。
    5. 单击下一步 (Next)
    6. 在“添加 Endpoint 服务”页面,不要执行任何操作,单击下一步 (Next)
    7. 在“防火墙”中,添加三个规则,其中一个规则用于阻止所有出站流量,第二个规则用于阻止组的所有流量,最后一个规则仅允许来自修复工具的入站流量。
    8. 不要添加任何网络自检服务,单击完成 (Finish)
  4. QuarantinePolicy 移至安全策略表的顶部,以确保该策略在所有其他策略之前强制执行。
    1. 单击管理优先级 (Manage Priority)图标。
    2. 选择 QuarantinePolicy 并单击上移 (Move Up)图标。
  5. 为您环境中的所有桌面创建一个安全组。
    1. 登录到 vSphere Web Client。
    2. 单击网络和安全 (Networking & Security),然后单击服务编排 (Service Composer)
    3. 单击安全组 (Security Groups)选项卡,然后单击添加安全组 (Add Security Group)图标。
    4. 在“名称”中,键入 DesktopSecurityGroup
    5. 在“描述”中,键入 All desktops
    6. 在接下来的两个页面上单击下一步 (Next)
    7. 查看“即将完成”页面上的选择,然后单击完成 (Finish)
  6. 创建用来放置受感染的虚拟机的隔离安全组。
    1. 单击安全组 (Security Groups)选项卡,然后单击添加安全组 (Add Security Group)图标。
    2. 名称 (Name)中,键入 QuarantineSecurityGroup
    3. 描述 (Description)中,键入 Dynamic group membership based on infected VMs identified by the antivirus scan
    4. 在“定义成员资格条件”页面上,单击添加并添加以下条件。

      quar

    5. 在“选择要包括的对象”或“选择要排除的对象”页面上,不要执行任何操作,并单击下一步 (Next)
    6. 查看“即将完成”页面上的选择,然后单击完成 (Finish)
  7. DesktopPolicy 策略映射到 DesktopSecurityGroup 安全组。
    1. 在“安全策略”选项卡上,确保选择 DesktopPolicy 策略。
    2. 单击应用安全策略 (Apply Security Policy) (apply) 图标,并选择 SG_Desktops 组。
    3. 单击确定 (OK)
      此映射可确保在触发防病毒扫描时扫描所有桌面(包含在 DesktopSecurityGroup 中)。
  8. 导航到画布视图以确认 QuarantineSecurityGroup 不包含任何虚拟机。
    1. 单击信息安全 (Information Security)选项卡。
    2. 确认组中没有任何虚拟机 (vm)
  9. QuarantinePolicy 映射到 QuarantineSecurityGroup
    此映射可确保没有任何流量流向受感染的系统。
  10. 从 Symantec Antimalware 控制台触发网络扫描。
    扫描将发现受感染的虚拟机,并使用安全标记 AntiVirus.virusFound 对这些虚拟机进行标记。这些已标记的虚拟机将立即添加到 QuarantineSecurityGroup 中。 QuarantinePolicy 不允许流量流入/流出受感染的系统。