在网关防火墙上添加 NSX IDS/IPS 和 NSX 恶意软件防护的规则

NSX Manager UI 提供了一个通用规则表，用于添加网关防火墙上 NSX 入侵检测/防御和 NSX 恶意软件防护的规则。

添加到规则中的安全配置文件确定网关防火墙规则是仅强制执行 NSX IDS/IPS 和 NSX 恶意软件防护二者之一，还是同时强制执行这二者。

重要说明：在 NSX-T Data Center 3.2.0 中，网关防火墙上的 NSX IDS/IPS 仅在技术预览模式下可用。从 NSX-T Data Center 3.2.1 开始，此功能可在生产环境中使用，并且完全受支持。有关详细信息，请参见 NSX-T Data Center 发行说明。

前提条件

对于 NSX 恶意软件防护：

对于 NSX IDS/IPS：

单击添加策略，创建用于组织规则的区域。

（可选） 在策略行中，单击齿轮图标以配置高级策略选项。这些选项仅适用于 NSX IDS/IPS，而不适用于 NSX 恶意软件防护。

选项	说明
有状态	有状态防火墙监控活动连接的状态，并使用此信息来确定允许哪些数据包通过防火墙。
已锁定	可以锁定策略，以防止多个用户对相同区域进行编辑。锁定某个区域时，必须包含一条注释。

单击添加规则并配置规则设置。

输入规则的名称。
在源列中，单击编辑图标并选择规则源的组。如果未指定源，则默认为“任意”。
有关添加组的信息，请参见添加组。
在目标列中，单击编辑图标并选择用作规则目标的组。如果未指定目标，则默认为“任意”。
在服务列中，单击编辑图标并选择用于规则的服务。如果未指定服务，则默认为“任意”。
注：
- 单击编辑图标后，UI 将显示所有可用服务的列表。但是，NSX 恶意软件防护当前仅支持检测以下服务的文件传输：HTTP、HTTPS、FTP 和 SMB。
- 网关防火墙上 NSX 恶意软件防护当前不支持提取和分析使用 HTTP 上载的文件。但是，如果使用 FTP 上载文件，则支持提取和分析用于检测恶意行为的文件。
在安全配置文件列中，单击编辑图标，然后选择要添加到防火墙规则的配置文件。
您最多可以选择两个安全配置文件：一个 NSX IDS/IPS 配置文件和一个 NSX 恶意软件防护配置文件。
如果要为特定网关添加规则，则应用对象列将显示此网关的名称。
如果要添加共享规则，请单击应用对象列中的编辑图标，然后选择要将规则应用到的网关。
默认情况下，网关防火墙规则将应用于选定网关上的所有可用上行链路接口和服务接口。

在模式列中，选择任意一个选项。

选项	说明
仅检测	此规则根据附加到规则的配置文件，检测选定网关上的恶意文件和/或恶意流量。不采取预防措施。
检测和阻止	NSX 恶意软件防护当前不支持此模式。但是，具有 NSX IDS/IPS 配置文件的规则可以检测和阻止选定网关上的恶意流量。

（可选） 单击齿轮图标以配置其他规则设置。这些设置仅适用于 NSX IDS/IPS，而不适用于 NSX 恶意软件防护。

选项	说明
日志记录	默认情况下，将禁用日志记录。日志存储在 ESXi 主机和 KVM 主机上的 /var/log/dfwpktlogs.log 文件中。仅 ESXi 主机支持 NSX 恶意软件防护。不支持 KVM 主机。
方向	指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量。“出站”表示只检查从对象流出的流量。“双向”表示检查两个方向的流量。
IP 协议	基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。
日志标签	启用日志记录后，日志标签存储在防火墙日志中。

在 Tier-1 网关上检测文件时，文件事件生成并显示在恶意软件防护仪表板和安全概览仪表板上。

对于配置了 IDS/IPS 配置文件的规则，如果系统检测到恶意流量，则会生成入侵事件。您可以在 IDS/IPS 仪表板或安全概览仪表板上查看事件详细信息。

有关使用 NSX 恶意软件防护配置网关防火墙规则的端到端示例，请参见示例：为网关防火墙上的 NSX 恶意软件防护添加规则。

在恶意软件防护仪表板上监控和分析文件事件。有关详细信息，请参见监控文件事件。

在 IDS/IPS 仪表板上监控和分析入侵事件。有关详细信息，请参见监控 IDS/IPS 事件。