恶意软件防护配置文件确定要进行恶意软件分析的文件类别,以及是否需要 NSX 将文件发送到云以进行详细分析。

您可以在防火墙规则中使用默认恶意软件防护配置文件,也可以根据安全策略的要求添加新的配置文件。在配置文件中,您可以选择 NSX 恶意软件防护 应捕获和分析是否存在恶意行为的文件类别。文件分析是在本地已启用 NSX 恶意软件防护NSX主机传输节点和NSX Edge 传输节点进行。如果您选择将文件发送到云,则还会在云中进行详细的文件分析。

NSX 4.0 中,一些限制适用于分布式恶意软件防护防火墙规则支持的文件类别。但是,从 NSX 4.0.1.1 开始,将移除这些限制。有关详细信息,请参见NSX 恶意软件防护 支持的文件类别

将配置文件应用于分布式恶意软件防护规则时,NSX 恶意软件防护 会分析在主机传输节点上截获或捕获的文件。将配置文件应用于网关恶意软件防护规则时,NSX 恶意软件防护 会分析在 Edge 传输节点上截获或捕获的文件。

您可以添加多个具有不同配置的恶意软件防护配置文件,并在分布式恶意软件防护防火墙规则和网关恶意软件防护防火墙规则中使用不同的配置文件。您可以在启用 NSX 恶意软件防护 的每个 Tier-1 网关的防火墙规则中使用不同的配置文件。例如,假设您有两个配置文件:A 和 B。在配置文件 A 配置中,您选择不将文件发送到云进行分析,而在配置文件 B 中,您可以选择将文件发送到云进行分析。您可以将配置文件 A 用于分布式恶意软件防护规则,将配置文件 B 用于网关恶意软件防护规则。

小心: 在为分布式恶意软件防护规则和网关恶意软件防护规则使用不同或不一致的恶意软件防护配置文件配置时,或者在启用 NSX 恶意软件防护 的每个 Tier-1 网关上使用不同的配置文件配置时,务必要注意。使用不同的配置文件配置可能导致 NSX 为一个文件返回不同的判定结果,具体取决于文件被拦截的位置(主机传输节点或 Edge 传输节点)。云文件分析会执行深层内容检查,包括沙箱和机器学习技术。这种深层内容检查可以更准确地检测恶意软件行为。本地文件分析没有足够的资源来执行此类深层分析,因此产生的结果可能不怎么准确。

一次只能将一个恶意软件防护配置文件附加到防火墙规则。但是,如果需要,可以将一个恶意软件防护配置文件同时附加到多个分布式恶意软件防护规则和网关恶意软件防护规则。

前提条件

针对 NSX 恶意软件防护 设置您的 NSX

有关详细说明,请参见为 NSX IDS/IPS 和 NSX 恶意软件防护 准备数据中心

过程

  1. 从浏览器中,使用 admin 特权登录到 NSX Manager,网址为 https://nsx-manager-ip-address
  2. 导航到 安全 > IDS/IPS 和恶意软件防护 > 配置文件 > 恶意软件防护
  3. 单击添加配置文件
  4. 输入配置文件的名称。
  5. (可选) 输入配置文件的描述并添加标记。
  6. 选择要包含的文件类别以进行本地文件分析和云文件分析。默认情况下,选择所有类别。
    注:NSX 4.0 中, 文件类别选项仅适用于网关恶意软件防护规则。对于分布式恶意软件防护规则,仅对 Windows 客户机端点 (VM) 上的 Windows 可移植可执行 (PE) 文件支持恶意软件检测和防御。对虚拟机上的其他文件类别不支持恶意软件检测和防御。换句话说,对于分布式恶意软件防护规则, NSX 4.0 忽略 文件类别选项。

    NSX 4.0.1.1 开始,文件类别选项将同时适用于分布式恶意软件防护规则和网关恶意软件防护规则。

  7. (可选) 取消选中将文件发送到 NSX Advanced Threat Prevention 云服务复选框。
    默认情况下,将选择云文件分析。
  8. 单击保存

结果

恶意软件防护配置文件已保存, 状态列显示 成功

下一步做什么

根据安全策略的要求,将此配置文件附加到网关恶意软件防护规则和/或分布式恶意软件防护规则。