NSX-T Data Center 中的分布式东西向流量上,NSX 恶意软件防护 功能使用 NSX 客户机侦测 (GI) 平台的文件侦测功能。

注: 在分布式东西向流量上,仅支持对 Windows 可移植可执行 (PE) 文件进行恶意软件检测和防护,这些文件由工作负载虚拟机(端点)上的 GI 瘦代理提取。 NSX 分布式恶意软件防护 当前不支持其他文件类别。支持的最大文件大小限制为 64 MB。
重要说明: 仅当 NSX-T Data Center 连接到 Internet 时, NSX 恶意软件防护 功能才能正常运行。

要使用 NSX 恶意软件防护 功能保护 vSphere 主机集群上的虚拟机端点,必须完成一系列步骤。

工作流:
  1. 准备 NSX-T Data Center 环境以部署 NSX 分布式恶意软件防护 服务。此准备工作涉及以下必备任务:
    • 对 NSX 代理服务器进行 Internet 连接设置。
    • 部署 NSX Application Platform
    • NSX Application Platform 上激活 NSX 恶意软件防护 功能。
    • 通过应用传输节点配置文件来将 vSphere 主机集群配置为 NSX 主机传输节点。
    • 生成用于对 NSX 恶意软件防护 服务虚拟机进行 SSH 访问的公钥-私钥对。需要密钥对以便登录到服务虚拟机下载日志文件。
    • 执行 VMware Tools 自定义或完全安装,以在虚拟机上安装 NSX 文件侦测驱动程序。
    • 下载用于在主机集群上部署 NSX 恶意软件防护 服务虚拟机 (SVM) 的 OVA 文件,这些集群是为 NSX 准备的。
    • 注册 NSX 分布式恶意软件防护 服务。

    有关详细说明,请参见部署 NSX 分布式恶意软件防护 服务的必备条件

  2. 在为 NSX 准备的主机集群上部署 NSX 分布式恶意软件防护 服务。此步骤将在主机集群上启用 NSX 恶意软件防护 功能。

    有关详细说明,请参见部署 NSX 分布式恶意软件防护 服务

  3. 添加安全策略以保护具有 NSX 分布式恶意软件防护 服务的虚拟机。此步骤涉及以下策略管理任务:
    • 添加恶意软件防护配置文件。
    • 创建组并在这些组中添加要防御恶意软件的虚拟机。您可以将虚拟机添加为静态成员,也可以定义评估虚拟机是否为有效成员的成员资格条件。
    • 添加分布式恶意软件防护规则。将恶意软件防护配置文件附加到规则。
    • 发布规则以将其推送到主机。

    有关详细说明,请参见为 NSX Distributed IDS/IPS 和 NSX 分布式恶意软件防护 添加规则

  4. NSX Manager UI 中监控和分析文件事件。

    有关详细说明,请参见监控文件事件