仅当数据中心使用适当的许可证时,才能在 NSX-T Data Center 环境中设置 NSX IDS/IPS 和 NSX 恶意软件防护 功能。
有关运行 NSX Advanced Threat Prevention 解决方案所需的许可证的信息,请参阅 许可证类型 中的安全许可证部分。
要为 NSX 入侵检测/防御和 NSX 恶意软件防护 准备数据中心,需要完成多个步骤。要执行这些步骤,您可以使用 IDS/IPS 和恶意软件防护设置向导。
设置向导类似于一个载入过程,可指导您完成一系列步骤,以便准备在数据中心设置两个安全功能。要运行此向导,请导航到 。
如果 NSX-T 检测到未添加适当的许可证,此页面将显示以下文本:
当前许可证不支持 IDS/IPS 和恶意软件防护。
如果 NSX-T 检测到添加了适当的许可证,此页面将显示启动设置和跳过设置按钮。
要启动设置向导,请单击启动设置。按照屏幕上的说明和本文档完成向导中的步骤。
- 如果要在任何阶段保存进度并退出向导,请单击返回到主页。稍后,您可以从退出的位置继续进行设置。
- 如果要重置设置向导以重新开始,请单击取消。取消设置将移除您在向导中所做的选择,但不会移除您在向导中完成的任何部署。例如,如果在重置向导之前已在主机集群上完成 NSX Application Platform 和 NSX 恶意软件防护 服务虚拟机的部署,则会保留这些部署。
- 如果您不想使用设置向导,而是想稍后自行设置这两个安全功能,请单击跳过设置。NSX Manager 将不再显示此向导。稍后,您可以导航到 ,在数据中心设置这两项功能。有关使用 IDS/IPS 和恶意软件防护设置页面的信息,请参见 配置 NSX IDS/IPS 和 NSX 恶意软件防护 设置。
| 选定的功能 | 显示的选项卡 |
|---|---|
| 东西向流量上的 IDS/IPS 或 南北向流量上的 IDS/IPS(在 NSX-T Data Center 3.2.0 中,此功能仅在技术预览模式下可用。从 NSX-T Data Center 3.2.1 开始,此功能可在生产环境中使用,并且完全受支持。) |
配置 NSX 代理 管理特征码 启用节点 |
| 仅对东西向流量实施恶意软件防护 |
配置 NSX 代理 部署 NSX Application Platform 部署服务虚拟机 |
| 仅对南北向流量实施恶意软件防护 |
配置 NSX 代理 部署 NSX Application Platform 启用节点 |
| 对东西向流量和南北向流量均实施恶意软件防护 | 配置 NSX 代理 部署 NSX Application Platform 部署服务虚拟机 启用节点 |
| 选定所有功能 |
向导中的所有五个选项卡均显示 |
对 NSX 代理服务器进行 Internet 连接配置
NSX IDS/IPS 不一定需要 Internet 连接才能正常运行。NSX IDS/IPS 使用特征码来检测和防止入侵。如果您的 NSX-T Data Center 环境具有 Internet 连接,NSX Manager 可以直接从 Internet 或通过 NSX 代理服务器自动下载最新的入侵检测特征码。如果未在 NSX 环境中配置 Internet 连接,您可以使用 API 手动下载 NSX 入侵检测特征码包 (.zip) 文件,然后将特征码包上载到 NSX Manager。要了解有关手动上载特征码的更多信息,请参见脱机下载和上载 NSX 入侵检测特征码。
NSX 恶意软件防护 还使用特征码来检测和防止恶意软件。但是,仅当 NSX-T Data Center 环境具有 Internet 连接时,NSX Manager 才能下载最新的特征码。无法手动将最新特征码上载到 NSX Manager。NSX 恶意软件防护 还会将文件发送到 NSX Advanced Threat Prevention 云服务以进行详细的云文件分析。文件将由 NSX Application Platform 发送到云,而不是由 NSX Manager 发送。NSX Application Platform 不支持代理服务器配置,它需要直接访问 Internet。
- 方案(HTTP 或 HTTPS)
- 主机的 IP 地址
- 端口号
- 用户名和密码
部署 NSX Application Platform
NSX 恶意软件防护需要在 NSX Application Platform 中部署某些微服务。您必须先部署 NSX Application Platform,然后再激活 NSX 恶意软件防护功能。激活此功能后,NSX 恶意软件防护所需的微服务将部署在平台中。
部署服务虚拟机
对于数据中心中的东西向流量,必须在准备用于 NSX 的 vSphere 主机集群上部署 NSX 分布式恶意软件防护 服务。部署此服务后,将在 vSphere 集群的每个主机上安装一个服务虚拟机 (SVM),并在主机集群上启用 NSX 恶意软件防护。
此页面上的圆环图显示已部署和未部署 NSX 分布式恶意软件防护 服务的数据中心内的主机集群数。
有关在主机集群上部署 NSX 分布式恶意软件防护 服务的详细说明,请参见 部署 NSX 分布式恶意软件防护 服务。
在主机集群上完成此服务部署后,返回到向导中的此页面,然后单击下一步以继续。
管理特征码
在数据中心配置 Internet 连接后,默认情况下,NSX Manager 每 20 分钟检查一次云上是否有新的入侵检测特征码。当有新的更新可用时,页面中将会显示一个横幅,其中包含立即更新链接。
如果数据中心没有 Internet 连接,您可以手动下载 IDS 特征码包 (.zip) 文件,然后将文件上载到 NSX Manager。有关详细说明,请参见脱机下载和上载 NSX 入侵检测特征码。
- 特征码管理
-
特征码管理任务为可选项。如果需要,您可以稍后在 IDS/IPS 和恶意软件防护设置页面执行这些操作。(。)
- 开启自动更新新版本选项,以便在将入侵检测特征码从云下载后,将它们自动应用于数据中心内的主机和 Edge。
关闭此选项后,特征码将停留在列出的版本处。
- 单击查看和更改版本,以添加特征码的其他版本(除默认版本之外)。
目前,将保留两个版本的特征码。每当版本提交标识号发生更改时,都会下载新版本。
- 单击查看并管理全局特征码集,可将特定特征码的操作全部更改为警示、丢弃或拒绝。
为特征码选择一个操作,然后单击保存。全局特征码管理设置中所做的更改适用于所有 IDS/IPS 配置文件。但是,如果更新 IDS/IPS 配置文件中的特征码设置,则优先使用配置文件设置。
下表介绍了每个签名操作的含义。
操作 描述 警示
生成警示并且不执行自动预防措施。
丢弃
生成警示并丢弃违规的数据包。
拒绝
生成警示并丢弃违规的数据包。对于 TCP 流量,IDS 生成 TCP 重置数据包,并将其发送到连接的源和目标。对于其他协议,将 ICMP 错误数据包发送到连接的源和目标。
- 开启自动更新新版本选项,以便在将入侵检测特征码从云下载后,将它们自动应用于数据中心内的主机和 Edge。
对节点启用 IDS/IPS 和恶意软件防护
在启动主机和集群的东西向流量部分中,执行以下配置:
- 在独立 ESXi 主机上开启 NSX IDS/IPS。
- 选择要在东西向流量上开启 NSX IDS/IPS 的 ESXi 主机集群。
- 如果尚未在 ESXi 主机集群上部署 NSX 分布式恶意软件防护 服务,请单击恶意软件防护列中的在服务虚拟机部署中定义链接。有关在主机集群上部署 NSX 分布式恶意软件防护 服务的说明,请参见 部署 NSX 分布式恶意软件防护 服务。
- 不要在使用分布式负载均衡器的环境中启用 NSX Distributed IDS/IPS。NSX 不支持带分布式负载均衡器的 IDS/IPS。
- 要使 NSX Distributed IDS/IPS 正常运行,必须启用分布式防火墙 (DFW)。如果流量被 DFW 规则阻止,IDS/IPS 将看不到流量。
- 选择要在南北向流量上开启 NSX IDS/IPS 的 Tier-1 网关。
- 选择要在南北向流量上开启 NSX 恶意软件防护 的 Tier-1 网关。
- NSX 恶意软件防护 功能(仅限在 Tier-1 网关上)。
- 网关防火墙上的 NSX IDS/IPS 功能(仅限在 Tier-1 网关上)。在 NSX-T Data Center 3.2.0 中,网关防火墙上的 NSX IDS/IPS 仅在技术预览模式下可用。从 NSX-T Data Center 3.2.1 开始,网关防火墙上的 NSX IDS/IPS 可在生产环境中使用,并且完全受支持。有关详细信息,请参见NSX-T Data Center 发行说明。
