NSX入侵检测和防御服务概述

NSX IDS/IPS 通过将流量与特征码进行比较，监控主机上的网络流量是否存在可疑活动。特征码指定需要检测和报告的网络入侵类型的模式。只要发现与特征码匹配的流量模式，就会执行预定义的操作，例如生成警示或阻止流量到达其目标。

NSX 支持分布式防火墙和网关防火墙上的 IDS/IPS 功能。网关防火墙上的 NSX IDS/IPS 功能（仅限在 Tier-1 网关上）。

NSX 恶意软件防护 概述

在所有版本的 NSX 4.x 中，恶意软件分析支持的最大文件大小限制为 64 MB。

NSX 分布式恶意软件防护

• 在 NSX 4.0 中，仅 Windows 客户机端点（虚拟机）支持分布式防火墙上的恶意软件检测和防护，这些客户机端点在为 NSX 准备的 vSphere 主机集群上运行。

  仅支持对 Windows 可移植可执行 (PE) 文件进行本地分析和云分析。NSX 分布式恶意软件防护 不支持其他文件类别。

• 从 NSX 4.0.1.1 开始，Windows 和 Linux 客户机端点（虚拟机）均支持分布式防火墙上的恶意软件检测和防护，这些客户机端点在为 NSX 准备的 vSphere 主机集群上运行。

  支持对所有类别的恶意软件文件进行本地分析和云分析。要查看支持的文件类别列表，请参见 NSX 恶意软件防护 支持的文件类别。

网关防火墙上的 NSX 恶意软件防护

在 NSX 4.0 或更高版本中，网关防火墙上仅支持检测恶意软件。支持对所有类别的恶意软件文件进行本地分析和云分析。要查看支持的文件类别列表，请参见 NSX 分布式恶意软件防护一节中提到的超链接主题。

在南北向流量上，NSX 恶意软件防护 功能使用 NSX Edge 上的 IDS/IPS 引擎提取或拦截进入数据中心的文件。在东西向流量上，此功能使用 NSX 客户机侦测 (GI) 平台的功能。如果此文件绕过 NSX Edge 上的审查并到达主机，则客户机虚拟机上的 GI 瘦代理将提取此文件。

要在客户机虚拟机上进行恶意软件检测和预防，必须在客户机虚拟机上安装 NSX 客户机侦测瘦代理，并在为 NSX 准备的 vSphere 主机集群上部署 NSX 分布式恶意软件防护 服务。部署此服务后，将在 vSphere 集群的每个主机上安装一个服务虚拟机 (SVM)，并在主机集群上启用 NSX 恶意软件防护。

适用于 Windows 的 NSX 客户机侦测瘦代理驱动程序与 VMware Tools 一起安装。要查看您的 NSX 版本支持的 VMware Tools 版本，请参见 VMware 产品互操作性列表。要查看特定 VMware Tools 版本支持的 Windows 客户机操作系统列表，请参见 VMware Tools 文档中适用于该版本的发行说明。

适用于 Linux 的客户机侦测瘦代理是作为操作系统特定软件包 (OSP) 的一部分提供的。这些软件包托管在 VMware 软件包门户上。Linux 不需要安装 open-vm-tools 或 VM Tools。要查看支持的 Linux 客户机操作系统版本列表，请参见在 Linux 虚拟机上安装客户机侦测瘦代理以进行防病毒保护中的“必备条件”一节。

NSX 恶意软件防护 文件事件

在南北向流量中，当 NSX Edge 上的 IDS 引擎提取文件，以及在分布式东西向流量中，当虚拟机端点上的 NSX 客户机侦测代理提取文件时，都会生成文件事件。

NSX 恶意软件防护 功能检查提取的文件，以确定其是正常、恶意还是可疑文件。对文件的每个唯一检查都在 NSX 中计为单个文件事件。换句话说，文件事件是指唯一的文件检查。

有关使用 UI 监控 NSX 恶意软件防护 文件事件的信息，请参见监控文件事件。

有关使用 NSX 恶意软件防护 文件事件 API 监控文件事件的信息，请在 VMware 开发人员文档门户中查看相关文档。