分布式防火墙上的 NSX 恶意软件防护 使用 NSX 客户机侦测 (GI) 框架。要检测和防止 Windows 客户机虚拟机端点上的恶意软件,必须在为 NSX 准备的 ESXi 主机集群上部署 NSX 分布式恶意软件防护 服务。

在主机集群上部署服务时,会在集群的每个主机上部署 NSX 恶意软件防护 服务虚拟机 (SVM) 的实例。目前,将部署固定大小的 SVM,该 SVM 需要在集群的每个主机上具有以下资源:
  • 4 个 vCPU
  • 6 GB RAM
  • 80 GB 磁盘空间
注: 在分布式东西向流量上,仅支持对 Windows 可移植可执行 (PE) 文件进行恶意软件检测和防护,这些文件由工作负载虚拟机(端点)上的 GI 瘦代理提取。 NSX 分布式恶意软件防护 当前不支持其他文件类别。支持的最大文件大小限制为 64 MB。

在主机集群上部署 NSX 分布式恶意软件防护 服务之前,必须完成以下几节中所述的必备条件。如果某些必备条件已完成,请跳过这些必备条件,然后继续执行待完成的必备条件。

NSX-T Data Center 中添加相应许可证

要使用 NSX 恶意软件防护 功能,NSX-T Data Center 必须使用相应的许可证。有关支持 NSX 恶意软件防护 的许可证的信息,请参见 NSX IDS/IPS 和 NSX 恶意软件防护 的系统要求

要添加许可证,请执行以下操作:
  1. NSX Manager 中,导航到 系统 > 许可证 > 添加许可证
  2. 输入许可证密钥。

验证所有主机是否均由 vCenter Server 管理

仅由一个或多个 vCenter Server 管理的 vSphere 主机集群支持 NSX 恶意软件防护 功能。

要验证主机是否由 vCenter Server 管理,请按照下表中所述的步骤进行操作。

NSX-T Data Center 版本 过程

3.2.2

  1. NSX Manager 中,导航到 系统 > Fabric > 主机
  2. 确保您位于集群 > 集群节点选项卡中。

    将显示 vSphere 主机集群列表。确认此列表包含您要启用恶意软件保护的主机集群。

3.2.1 或更低版本

  1. NSX Manager 中,导航到 系统 > Fabric > 节点 > 主机传输节点
  2. 管理者下拉菜单中,选择管理要在其中部署 NSX 恶意软件防护 SVM 的 vSphere 主机集群的 vCenter Server

    将显示 vSphere 主机集群列表。确认此列表包含您要启用恶意软件保护的主机集群。

将主机配置为传输节点

将传输节点配置文件应用于 vSphere 主机集群,以将 vSphere 主机配置为主机传输节点。

有关详细说明,请参见 NSX-T Data Center 安装指南 中的以下主题:

生成用于对 SVM 进行 SSH 访问的公钥-私钥对

要从 SVM 下载日志文件以进行故障排除,需要对 NSX 恶意软件防护 SVM 进行只读 SSH 访问。

SSH 对 SVM 的 admin 用户的访问基于密钥(公钥-私钥对)。在 ESXi 主机集群上部署服务时,需要使用公钥;如果要启动 SSH 与 SVM 的会话,则需要使用私钥。

您可以使用任何 SSH 密钥生成工具生成公钥-私钥对。但是,公钥必须遵循如以下子部分中所述的特定格式。SSH 密钥生成工具示例包括:ssh-keygen、PuTTY 密钥生成器等。支持的密钥大小为 1024 位、2048 位和 4096 位。

公钥格式
公钥必须遵循以下格式:
示例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

如果使用的是 PuTTY 密钥生成器,请确保直接从 UI 复制公钥。如果密钥对存在,请先在 PuTTY 密钥生成器 UI 中加载私钥文件,然后复制密钥文本框中显示的公钥。避免从公钥文件复制内容。复制的内容可以采用不同的格式,可能不适用于 SVM。

如果要在 Linux 系统上使用 ssh-keygen 实用程序生成密钥对,则密钥格式始终在公钥中包含 ssh-rsa。因此,在 Linux 系统上,您可以从公钥文件复制内容。

建议的做法

NSX 分布式恶意软件防护 服务部署在主机集群层面完成。因此,密钥对绑定到主机集群。您可以为每个集群上的服务部署创建新的公钥-私钥对,也可以在所有集群上使用单个密钥对进行服务部署。

如果计划为每个集群上的服务部署使用不同的公钥-私钥,请确保正确命名密钥,以便于识别。

最好使用“计算集群 ID”标识每个服务部署,并在密钥对的名称中指定集群 ID。例如,假设集群 ID 为 "1234-abcd"。对于此集群,您可以将服务部署名称指定为 "MPS-1234-abcd",并将用于访问此服务部署的密钥对命名为 "id_rsa_1234_abcd.pem"。此做法可方便您维护和关联每个服务部署的密钥。

重要说明: 安全地存储私钥。私钥丢失可能导致 SSH 无法访问 NSX 恶意软件防护 SVM。

部署 NSX Application Platform

NSX Application Platform 是一个现代微服务平台,它托管多个 NSX 功能,用于收集、载入和关联网络流量数据。

有关部署平台的详细说明,请参见 部署和管理 VMware NSX Application Platform 出版物(网址:https://docs.vmware.com/cn/VMware-NSX-T-Data-Center/index.html)。从此链接的左侧导航窗格中,展开版本 3.2 或更高版本,然后单击出版物名称。

激活 NSX 恶意软件防护 功能

有关详细说明,请参见激活 NSX 恶意软件防护

激活此功能后,NSX 恶意软件防护 所需的微服务将在 NSX Application Platform 中开始运行。

在继续执行下一步之前,请验证 NSX Application PlatformNSX 恶意软件防护 功能的状态。执行以下步骤:
  1. NSX Manager 中,导航到系统 > NSX Application Platform
  2. 向下滚动页面,直到看到功能部分。
  3. 确认 NSX 恶意软件防护功能卡显示已启动状态

如果状态为关闭,请等待状态变为已启动后再执行下一步。

验证客户机虚拟机上的虚拟机硬件配置

确认在 Windows 客户机虚拟机上运行的虚拟机硬件配置为版本 9 或更高版本。执行以下步骤:
  1. 登录到 vSphere Client
  2. 转到主机和集群并导航到集群。
  3. 一次单击集群中的一个虚拟机。
  4. 摘要页面上,展开虚拟机硬件窗格,然后查看虚拟机的兼容性信息。虚拟机版本必须为 9 或更高版本。
例如:
“虚拟机硬件”窗格,其中突出显示了兼容性信息。

安装 NSX 文件侦测驱动程序

VMware Tools for Windows 随附 NSX 文件侦测驱动程序。但是,此驱动程序不是默认 VMware Tools 安装的一部分。要安装此驱动程序,您必须执行自定义或完整安装,然后选择 NSX 文件侦测驱动程序。

有关详细说明,请参见在 Windows 虚拟机上安装客户机侦测瘦代理

下载 NSX 恶意软件防护 服务虚拟机的 OVA 文件

  1. 在 Web 浏览器中,打开下载 VMware NSX-T Data Center™ 页面,然后使用您的 VMware ID 登录。
  2. 下载 OVA 文件。(VMware-NSX-Malware-Prevention-appliance-3.2.0.0-build_namber.ova)
  3. 使用以下命令提取 OVA 文件:
    tar -xvf filename.ova

    filename 替换为您在上一步中下载的 OVA 文件的确切名称。

    注意,以下四个文件位于提取的 OVA 文件所在的根目录。

    • OVF 文件 (.ovf)
    • 清单文件 (.mf)
    • 证书文件 (.cert)
    • 虚拟机磁盘文件 (.vmdk)
  4. 将所有提取的文件复制到满足以下必备条件的 Web 服务器:
    • 必须通过 HTTP 对 Web 服务器进行未经身份验证的访问。
    • NSX Manager、计划部署 NSX 恶意软件防护 SVM 的所有 ESXi 主机以及注册到 NSX-TvCenter Server 必须能够访问 Web 服务器。
    • 必须将所提取文件的 MIME 类型添加到 Web 服务器。有关将 MIME 类型添加到 Web 服务器的信息,请参见 Web 服务器文档。
      文件扩展名 MIME 类型

      .ovf

      application/vmware

      .vmdk

      application/octet-stream

      .mf

      text/cache-manifest

      .cert

      application/x-x509-user-cert

注: 您可以在部署 NSX Manager 设备、 ESXi 主机和 vCenter Server 设备的同一个网络上部署 Web 服务器。Web 服务器不需要访问 Internet。

注册 NSX 分布式恶意软件防护 服务

运行以下 POST API:
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
在该 POST API 的请求正文中,指定以下详细信息:
  • Web 服务器上 OVF 文件的完整路径
  • 部署规范的名称(SVM 由 vCenter Server 上的此名称标识)
  • SVM 版本号
请求正文示例:
{
    "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
    "deployment_spec_name" : "NSX_Distributed_MPS",
    "svm_version" : "3.2"
}

有关此 API 的详细信息(包括示例响应),请参见 VMware 开发人员文档门户上的“恶意软件防护 API”文档。

确认服务名称列在 目录页面上。执行以下步骤:
  1. NSX Manager 中,导航到 系统 > 服务部署 > 目录
  2. 确认页面上列出了 VMware NSX 分布式恶意软件防护服务