仅当数据中心使用适当的许可证时,才能在 NSX 环境中设置 NSX IDS/IPSNSX 恶意软件防护 功能。

有关运行 NSX Advanced Threat Prevention 解决方案所需的许可证的信息,请参阅 许可证类型 中的安全许可证部分。

要为 NSX 入侵检测/防御和 NSX 恶意软件防护 准备数据中心,需要完成多个步骤。要执行这些步骤,您可以使用 IDS/IPS 和恶意软件防护设置向导。

设置向导类似于一个载入过程,可指导您完成一系列步骤,以便准备在数据中心设置两个安全功能。要运行此向导,请导航到 安全 > IDS/IPS 和恶意软件防护

如果 NSX 检测到未添加适当的许可证,此页面将显示以下文本:

当前许可证不支持 IDS/IPS 和恶意软件防护。

如果 NSX 检测到添加了适当的许可证,此页面将显示启动设置跳过设置按钮。

要启动设置向导,请单击启动设置。按照屏幕上的说明和本文档完成向导中的步骤。

  • 如果要在任何阶段保存进度并退出向导,请单击返回到主页。稍后,您可以从退出的位置继续进行设置。
  • 如果要重置设置向导以重新开始,请单击取消。取消设置将移除您在向导中所做的选择,但不会移除您在向导中完成的任何部署。例如,如果在重置向导之前已在主机集群上完成 NSX Application PlatformNSX 恶意软件防护 服务虚拟机的部署,则会保留这些部署。
  • 如果您不想使用设置向导,而是想稍后自行设置这两个安全功能,请单击跳过设置NSX Manager 将不再显示此向导。稍后,您可以导航到 安全 > IDS/IPS 和恶意软件防护 > 设置,在数据中心设置这两项功能。有关使用 IDS/IPS 和恶意软件防护设置页面的信息,请参见 配置 NSX IDS/IPS 和 NSX 恶意软件防护 设置
默认情况下,在设置时将选中 IDS/IPS 和恶意软件防护功能卡中的所有复选框。您可以根据需要编辑这些选择。准备好继续操作后,单击 下一步。您的选择将决定向导中显示的选项卡,如下表中所述。
注: NSX Application PlatformNSX 恶意软件防护 的必备项,但不是 NSX IDS/IPS 的必备项。
选定的功能 显示的选项卡

东西向流量上的 IDS/IPS

南北向流量上的 IDS/IPS

配置 NSX 代理

管理特征码

启用节点

仅对东西向流量实施恶意软件防护

配置 NSX 代理

部署 NSX Application Platform

部署服务虚拟机

仅对南北向流量实施恶意软件防护

配置 NSX 代理

部署 NSX Application Platform

启用节点

对东西向流量和南北向流量均实施恶意软件防护

配置 NSX 代理

部署 NSX Application Platform

部署服务虚拟机

启用节点

选定所有功能

向导中的所有五个选项卡均显示

对 NSX 代理服务器进行 Internet 连接配置

NSX IDS/IPS 不一定需要 Internet 连接才能正常运行。NSX IDS/IPS 使用特征码来检测和防止入侵。如果您的 NSX 环境具有 Internet 连接,NSX Manager 可以直接从 Internet 或通过 NSX 代理服务器自动下载最新的入侵检测特征码。如果未在 NSX 环境中配置 Internet 连接,您可以使用 API 手动下载 NSX 入侵检测特征码包 (.zip) 文件,然后将特征码包上载到 NSX Manager。要了解有关手动上载特征码的更多信息,请参见脱机下载和上载 NSX 入侵检测特征码

NSX 恶意软件防护 还使用特征码来检测和防止恶意软件。但是,仅当 NSX 环境具有 Internet 连接时,NSX Manager 才能下载最新的特征码。无法手动将最新特征码上载到 NSX ManagerNSX 恶意软件防护 还会将文件发送到 NSX Advanced Threat Prevention 云服务以进行详细的云文件分析。文件将由 NSX Application Platform 发送到云,而不是由 NSX Manager 发送。NSX Application Platform 不支持代理服务器配置,它需要直接访问 Internet。

如果 NSX Manager 通过 NSX 代理服务器访问 Internet,请单击 转到 NSX 代理服务器链接并指定以下设置:
  • 方案(HTTP 或 HTTPS)
  • 主机的 IP 地址
  • 端口号
  • 用户名和密码

部署 NSX Application Platform

NSX 恶意软件防护需要在 NSX Application Platform 中部署某些微服务。您必须先部署 NSX Application Platform,然后再激活 NSX 恶意软件防护功能。激活此功能后,NSX 恶意软件防护所需的微服务将部署在平台中。

总之,您必须按给定的顺序执行以下任务:
  1. 部署 NSX Application Platform
  2. 激活 NSX 恶意软件防护
注: NSX Application PlatformNSX 恶意软件防护功能的版本控制与 NSX Application Platform 版本号匹配,与 NSX 产品版本号不匹配。

部署服务虚拟机

对于数据中心中的东西向流量,必须在准备用于 NSXvSphere 主机集群上部署 NSX 分布式恶意软件防护 服务。部署此服务后,将在 vSphere 集群的每个主机上安装一个服务虚拟机 (SVM),并在主机集群上启用 NSX 恶意软件防护

此页面上的圆环图显示已部署和未部署 NSX 分布式恶意软件防护 服务的数据中心内的主机集群数。

有关在主机集群上部署 NSX 分布式恶意软件防护 服务的详细说明,请参见 部署 NSX 分布式恶意软件防护 服务

在主机集群上完成此服务部署后,返回到向导中的此页面,然后单击下一步以继续。

注: NSX 分布式恶意软件防护 服务的服务虚拟机不支持高可用性。

管理特征码

在数据中心配置 Internet 连接后,默认情况下,NSX Manager 每 20 分钟检查一次云上是否有新的入侵检测特征码。当有新的更新可用时,页面中将会显示一个横幅,其中包含立即更新链接。

如果数据中心没有 Internet 连接,您可以手动下载 IDS 特征码包 (.zip) 文件,然后将文件上载到 NSX Manager。有关详细说明,请参见脱机下载和上载 NSX 入侵检测特征码

特征码管理

特征码管理任务为可选项。如果需要,您可以稍后导航到安全 > IDS/IPS 和恶意软件防护 > 设置 > IDS/IPS 以执行这些操作。

  • 要查看特征码版本或要添加除特征码默认版本以外的其他版本,请单击查看和更改

    目前,将保留两个版本的特征码。每当版本提交标识号发生更改时,都会下载新版本。

  • 要自动从云端下载入侵检测特征码并将其应用于数据中心内的主机和 Edge,请打开自动更新切换开关。

    关闭此选项后,将停止自动下载特征码。您可以手动下载 IDS 特征码包 (.zip) 文件,然后将该文件上载到 NSX Manager

  • 要查看传输节点上的特征码下载状态,请单击状态字段中的链接。
  • 要全局排除特定特征码或将其操作更改为警示、丢弃或拒绝,请单击查看并管理特征码集

    为特征码选择一个操作,然后单击保存。全局特征码管理设置中所做的更改适用于所有 IDS/IPS 配置文件。但是,如果更新 IDS/IPS 配置文件中的特征码设置,则优先使用配置文件设置。

    下表介绍了每个签名操作的含义。

    操作 描述

    警示

    生成警示并且不执行自动预防措施。

    丢弃

    生成警示并丢弃违规的数据包。

    拒绝

    生成警示并丢弃违规的数据包。对于 TCP 流量,IDS 生成 TCP 重置数据包,并将其发送到连接的源和目标。对于其他协议,将 ICMP 错误数据包发送到连接的源和目标。

对节点启用 IDS/IPS 和恶意软件防护

启动主机和集群的东西向流量部分中,执行以下配置:

  • 在独立 ESXi 主机上开启 NSX IDS/IPS。
  • 选择要在东西向流量上开启 NSX IDS/IPS 的 ESXi 主机集群。
  • 如果尚未在 ESXi 主机集群上部署 NSX 分布式恶意软件防护 服务,请单击恶意软件防护列中的在服务虚拟机部署中定义链接。有关在主机集群上部署 NSX 分布式恶意软件防护 服务的说明,请参见 部署 NSX 分布式恶意软件防护 服务
注:
  • 不要在使用分布式负载均衡器的环境中启用 NSX Distributed IDS/IPSNSX 不支持带分布式负载均衡器的 IDS/IPS。
  • 要使 NSX Distributed IDS/IPS 正常运行,必须启用分布式防火墙 (DFW)。如果流量被 DFW 规则阻止,IDS/IPS 将看不到流量。
启动网关的南北向流量部分中,执行以下配置:
  • 选择要在南北向流量上开启 NSX IDS/IPS 的 Tier-1 网关。
  • 选择要在南北向流量上开启 NSX 恶意软件防护 的 Tier-1 网关。
重要说明: 在南北向流量上, NSX 支持以下功能:
  • NSX 恶意软件防护 功能(仅限在 Tier-1 网关上)。
  • 网关防火墙上的 NSX IDS/IPS 功能(仅限在 Tier-1 网关上)。