分布式防火墙上的 NSX 恶意软件防护 使用 NSX 客户机侦测 (GI) 框架。要检测和防止客户机端点(虚拟机)上的恶意软件,必须在为 NSX 准备的 ESXi 主机集群上部署 NSX 分布式恶意软件防护服务。

在主机集群上部署服务时,会在集群的每个主机上部署 NSX 恶意软件防护 服务虚拟机 (SVM) 的实例。目前,将部署固定大小的 SVM,该 SVM 需要在集群的每个主机上具有以下资源:
  • 4 个 vCPU
  • 6 GB RAM
  • 80 GB 磁盘空间

NSX 4.0 中,在分布式东西向流量上,仅支持对 Windows 可移植可执行 (PE) 文件进行恶意软件检测和防护,这些文件由 Windows 客户机端点(虚拟机)上 GI 瘦代理提取。NSX 分布式恶意软件防护 不支持其他文件类别。

NSX 4.0.1.1 开始,在分布式东西向流量上,支持对 Windows 和 Linux 客户机端点上的所有文件类别进行恶意软件检测和防御。要查看支持的文件类别列表,请参见 NSX 恶意软件防护 支持的文件类别

支持的最大文件大小限制为 64 MB。

在主机集群上部署 NSX 分布式恶意软件防护 服务之前,必须完成以下几节中所述的必备条件。如果某些必备条件已完成,请跳过这些必备条件,然后继续执行待完成的必备条件。

NSX 中添加相应许可证

要使用 NSX 恶意软件防护 功能,NSX 必须使用相应的许可证。有关支持 NSX 恶意软件防护 的许可证的信息,请参见 NSX IDS/IPS 和 NSX 恶意软件防护 的系统要求

要添加许可证,请执行以下操作:
  1. NSX Manager 中,导航到 系统 > 许可证 > 添加许可证
  2. 输入许可证密钥。

验证所有主机是否均由 VMware vCenter 管理

仅由一个或多个 vCenter Server 管理的 vSphere 主机集群支持 NSX 恶意软件防护 功能。

  1. NSX Manager 中,导航到 系统 > Fabric > 主机
  2. 管理者下拉菜单中,选择管理要在其中部署 NSX 恶意软件防护 SVM 的 vSphere 主机集群的 VMware vCenter

    将显示 vSphere 主机集群列表。确认此列表包含您要启用恶意软件保护的主机集群。

将主机配置为传输节点

将传输节点配置文件应用于 vSphere 主机集群,以将 vSphere 主机配置为主机传输节点。

有关详细说明,请参见 NSX 安装指南 中的以下主题:

生成用于对 SVM 进行 SSH 访问的公钥-私钥对

要从 SVM 下载日志文件以进行故障排除,需要对 NSX 恶意软件防护 SVM 进行只读 SSH 访问。

SSH 对 SVM 的 admin 用户的访问基于密钥(公钥-私钥对)。在 ESXi 主机集群上部署服务时,需要使用公钥;如果要启动 SSH 与 SVM 的会话,则需要使用私钥。

您可以使用任何 SSH 密钥生成工具生成公钥-私钥对。但是,公钥必须遵循如以下子部分中所述的特定格式。SSH 密钥生成工具示例包括:ssh-keygen、PuTTY 密钥生成器等。支持的密钥大小为 1024 位、2048 位和 4096 位。

公钥格式
公钥必须遵循以下格式:
示例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

如果使用的是 PuTTY 密钥生成器,请确保直接从 UI 复制公钥。如果密钥对存在,请先在 PuTTY 密钥生成器 UI 中加载私钥文件,然后复制密钥文本框中显示的公钥。避免从公钥文件复制内容。复制的内容可以采用不同的格式,可能不适用于 SVM。

如果要在 Linux 系统上使用 ssh-keygen 实用程序生成密钥对,则密钥格式始终在公钥中包含 ssh-rsa。因此,在 Linux 系统上,您可以从公钥文件复制内容。

建议的做法

NSX 分布式恶意软件防护 服务部署在主机集群层面完成。因此,密钥对绑定到主机集群。您可以为每个集群上的服务部署创建新的公钥-私钥对,也可以在所有集群上使用单个密钥对进行服务部署。

如果计划为每个集群上的服务部署使用不同的公钥-私钥,请确保正确命名密钥,以便于识别。

最好使用“计算集群 ID”标识每个服务部署,并在密钥对的名称中指定集群 ID。例如,假设集群 ID 为 "1234-abcd"。对于此集群,您可以将服务部署名称指定为 "MPS-1234-abcd",并将用于访问此服务部署的密钥对命名为 "id_rsa_1234_abcd.pem"。此做法可方便您维护和关联每个服务部署的密钥。

重要说明: 安全地存储私钥。私钥丢失可能导致 SSH 无法访问 NSX 恶意软件防护 SVM。

部署 NSX Application Platform

NSX Application Platform 是一个现代微服务平台,它托管多个 NSX 功能,用于收集、载入和关联网络流量数据。

有关部署平台的详细说明,请参见 部署和管理 VMware NSX Application Platform 出版物(网址:https://docs.vmware.com/cn/VMware-NSX/index.html)。从此链接的左侧导航窗格中,展开版本 4.0 或更高版本,然后单击出版物名称。

激活 NSX 恶意软件防护 功能

有关详细说明,请参见激活 NSX 恶意软件防护

激活此功能后,NSX 恶意软件防护 所需的微服务将在 NSX Application Platform 中开始运行。

在继续执行下一步之前,请验证 NSX Application PlatformNSX 恶意软件防护 功能的状态。执行以下步骤:
  1. NSX Manager 中,导航到系统 > NSX Application Platform
  2. 向下滚动页面,直到看到功能部分。
  3. 确认 NSX 恶意软件防护功能卡显示已启动状态

如果状态为关闭,请等待状态变为已启动后再执行下一步。

验证客户机虚拟机上的虚拟机硬件配置

确认在客户机虚拟机上运行的虚拟机硬件配置为版本 9 或更高版本。执行以下步骤:
  1. 登录到 vSphere Client
  2. 转到主机和集群并导航到集群。
  3. 一次单击集群中的一个虚拟机。
  4. 摘要页面上,展开虚拟机硬件窗格,然后查看虚拟机的兼容性信息。虚拟机版本必须为 9 或更高版本。
例如:
“虚拟机硬件”窗格,其中突出显示了兼容性信息。

安装 NSX 文件侦测驱动程序

VMware Tools for Windows 随附 NSX 文件侦测驱动程序。但是,此驱动程序不是默认 VMware Tools 安装的一部分。要安装此驱动程序,您必须执行自定义或完整安装,然后选择 NSX 文件侦测驱动程序。

适用于 Linux 的文件侦测驱动程序是作为操作系统特定软件包 (OSP) 的一部分提供的。这些软件包托管在 VMware 软件包门户上。企业或安全管理员(非 NSX 管理员)可以在 NSX 外部的 Linux 客户机虚拟机上安装客户机侦测。Linux 不需要安装 open-vm-tools 或 VM Tools。

下载 NSX 恶意软件防护 服务虚拟机的 OVA 文件

  1. 在 Web 浏览器中,打开 VMware Customer Connect 门户上的所有下载页面,然后使用您的 VMware ID 登录。
  2. 所有产品下拉菜单中,选择网络和安全
  3. 单击 VMware NSX® 旁边的下载产品。将打开下载 VMware NSX 页面。
  4. 找到您正在使用的 NSX 许可证,然后单击转到下载
  5. 下载 NSX SVM 设备的 OVA 文件 (VMware-NSX-Malware-Prevention-appliance-version_number.Build_number.ova)。
  6. 使用以下命令提取 OVA 文件:
    tar -xvf filename.ova

    filename 替换为您在上一步中下载的 OVA 文件的确切名称。

    注意,以下四个文件位于提取的 OVA 文件所在的根目录。

    • OVF 文件 (.ovf)
    • 清单文件 (.mf)
    • 证书文件 (.cert)
    • 虚拟机磁盘文件 (.vmdk)
  7. 将所有提取的文件复制到满足以下必备条件的 Web 服务器:
    • 必须通过 HTTP 对 Web 服务器进行未经身份验证的访问。
    • NSX Manager、计划部署 NSX 恶意软件防护 SVM 的所有 ESXi 主机以及注册到 NSXVMware vCenter 必须能够访问 Web 服务器。
    • 必须将所提取文件的 MIME 类型添加到 Web 服务器。有关将 MIME 类型添加到 Web 服务器的信息,请参见 Web 服务器文档。
      文件扩展名 MIME 类型

      .ovf

      application/vmware

      .vmdk

      application/octet-stream

      .mf

      text/cache-manifest

      .cert

      application/x-x509-user-cert

注: 您可以在部署 NSX Manager 设备、 ESXi 主机和 VMware vCenter 设备的同一个网络上部署 Web 服务器。Web 服务器不需要访问 Internet。

注册 NSX 分布式恶意软件防护 服务

运行以下 POST API:
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
在该 POST API 的请求正文中,指定以下详细信息:
  • Web 服务器上 OVF 文件的完整路径
  • 部署规范的名称(SVM 由 VMware vCenter 上的此名称标识)
  • SVM 版本号
请求正文示例:
{
    "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
    "deployment_spec_name" : "NSX_Distributed_MPS",
    "svm_version" : "3.2"
}

此 POST API 中的 svm_version 参数显示一个示例值。您可以指定已下载的 SVM 设备版本的值。

有关此 API 的详细信息(包括示例响应),请参见 VMware 开发人员文档门户上的“恶意软件防护 API”文档。

确认服务名称列在 目录页面上。执行以下步骤:
  1. NSX Manager 中,导航到 系统 > 服务部署 > 目录
  2. 确认页面上列出了 VMware NSX 分布式恶意软件防护服务