NSX-T IDS/IPS 可以自动将特征码应用于主机,并检查基于云的服务以更新入侵检测特征码。

要使 IDS/IPS 正常运行,必须启用分布式防火墙 (DFW)。如果流量被 DFW 规则阻止,IDS/IPS 将看不到流量。

通过切换已启用栏,可以在独立主机上启用入侵检测和防御。如果检测到 VC 集群,还可以选择集群并单击启用,以便为每个集群启用 IDS/IPS。

特征码

特征码会通过配置文件应用于 IDS 规则。单个配置文件会应用于匹配的流量。默认情况下,NSX Manager 会每天检查一次新特征码。新特征码更新版本每两周发布一次(另外还有非计划的 0 天更新)。当有新的更新可用时,将在页面中显示一个横幅,其中包含立即更新链接。

如果选择自动更新新版本,则在从云下载特征码后,会自动将其应用于主机。如果禁用了自动更新,则特征码将停留在列出的版本。单击查看和更改版本,以添加其他版本(除默认版本之外)。目前,将保留两个版本的特征码。每当版本提交标识号发生更改时,都会下载新版本。

如果为 NSX Manager 配置代理服务器以使其访问 Internet,请单击代理设置并完成配置。

全局特征码管理

可以通过配置文件以及以全局方式更改特征码。在配置文件中进行的特征码更改覆盖全局更改。要将特定特征码操作全局更改为警报/丢弃/拒绝,请单击 查看和管理全局特征码集。为特征码选择一个 操作,然后单击 保存
操作 说明
警示 生成警示并且不执行自动预防措施。
丢弃 生成警示并丢弃违规的数据包。
拒绝 生成警示并丢弃违规的数据包。对于 TCP 流量,IDS 生成 TCP 重置数据包,并将其发送到连接的源和目标。对于其他协议,将 ICMP 错误数据包发送到连接的源和目标。

脱机下载和上载特征码

NSX-T IDS/IPS 可以自动将特征码应用于主机,并检查基于云的服务以更新入侵检测特征码。从 NSX-T Data Center 3.1.2 开始,要下载 IDS/IPS 特征码,请转到 https://api.prod.nsxti.vmware.com/。要获取新的特征码更新,请确保升级后的 NSX 部署有权访问 https://api.prod.nsxti.vmware.com/。如果通过代理下载,请确保还授予对域 *.amazonaws.com 的访问权限。

注: 不支持在 tar.gz 文件中不包含 classification.configchangelog.jsn 文件的包。
NSX Manager 无法访问 Internet 时,要下载和上载特征码包,请执行以下操作:
  1. 需要首先调用此 API,然后再开始与云服务进行任何通信。发送所有许可证,系统将向您提供必需的权限。client_id 是用户指定的名称。Client_secret 是作为身份验证 API 请求生成和使用的。如果之前已注册客户端,但客户端无权访问 client_idclient_secret,则必须使用相同的 API 重新注册客户端。 
    POST https://api.prod.nsxti.vmware.com/1.0/auth/register
    正文: 
    {
"license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
"device_type":"NSX-Idps-Offline-Download",
"client_id": "client_username"
}
    响应: 
    {"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
  2. 此 API 调用将使用 client_id 和 client_secret 对客户端进行身份验证,并生成要在 IDS 特征码 API 的请求标头中使用的授权令牌。该令牌在 60 分钟内有效。如果令牌已过期,客户端必须使用 client_id 和 client_secret 重新进行身份验证。
    POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
    正文: 
    {"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
    响应: 
    {
    "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "[idps_scope]"
}
  3. 对此命令的响应包含 ZIP 文件的链接。NSX Cloud 每 24 小时从 GitHub 存储库中下载一次特征码,并将特征码保存到 ZIP 文件中。将特征码 URL 复制并粘贴到您的浏览器中,这将下载该 ZIP 文件。 
    GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures

    在“标头”选项卡中,授权密钥将具有来自身份验证 API 响应的 access_token 值。

    Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    响应: 
    {
"signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
}
  4. 导航到安全 > 分布式 IDS > 设置。单击右上角的上载 IDS 特征码。导航到保存的特征码 ZIP 文件并上载该文件。您也可以使用以下 API 调用上载特征码 ZIP:
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures

身份验证 API 的错误代码处理

以下是一个身份验证 API 错误响应示例:

{
"error_code":100101,
"error_message":"XXXXX"
}
  • 如果收到 100101-100150 之间的错误代码,请使用相同的客户端 ID 重新注册。
  • 如果收到 100151-100200 之间的错误代码,请使用不同的客户端 ID 重新注册。