NSX Manager UI 提供了一个通用规则表,用于添加分布式防火墙上 NSX 入侵检测/防御和 NSX 恶意软件防护 的规则。

  • NSX 4.0 中,在分布式东西向流量上,仅支持对 Windows 可移植可执行 (PE) 文件进行恶意软件检测和防护,这些文件由 Windows 客户机端点(虚拟机)上 GI 瘦代理提取。NSX 分布式恶意软件防护 不支持其他文件类别。
  • NSX 4.0.1.1 开始,在分布式东西向流量上,支持对 Windows 和 Linux 客户机端点上的所有文件类别进行恶意软件检测和防御。要查看支持的文件类别列表,请参见 NSX 恶意软件防护 支持的文件类别
  • 支持的最大文件大小限制为 64 MB。

前提条件

对于 NSX 恶意软件防护
对于 NSX IDS/IPS

过程

  1. 从浏览器中,登录到 https://<NSX Manager IP 地址> 中的 NSX Manager
  2. 导航到 安全 > IDS/IPS 和恶意软件防护 > 分布式规则
  3. 单击添加策略,创建用于组织规则的区域。
    1. 输入策略的名称。
    2. (可选) 在策略行中,单击齿轮图标以配置高级策略选项。这些选项仅适用于 NSX Distributed IDS/IPS,而不适用于 NSX 分布式恶意软件防护
      选项 说明

      有状态

      有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。

      已锁定

      可以锁定策略,以防止多个用户对相同区域进行编辑。锁定某个区域时,必须包含一条注释。

      有些角色(如企业管理员)具有完全访问凭据,无法锁定。请参见基于角色的访问控制

  4. 单击添加规则并配置规则设置。
    1. 输入规则的名称。
    2. 根据需要 IDS 检查的流量配置目标服务列。对于源和目标,IDS 支持“通用”和“仅 IP 地址”组类型。
      分布式恶意软件防护防火墙规则不支持这三列。始终将它们设置为“任意”。但是,您必须限制分布式恶意软件防护规则的范围,方法是选择 应用对象列中的组。
    3. 安全配置文件列中,选择要用于此规则的配置文件。
      可以选择 NSX IDS/IPS 配置文件或 NSX 恶意软件防护 配置文件,但不能同时选择两者。换句话说,规则中仅支持一个安全配置文件。
    4. 应用对象列中,选择任意一个选项。
      选项 说明
      DFW 当前,分布式恶意软件防护规则在应用对象中不支持 DFW。可以将分布式 IDS/IPS 规则应用于 DFW。IDS/IPS 规则将应用于使用 NSX IDS/IPS 激活的所有主机集群上的工作负载虚拟机。
      此规则仅应用于属于选定组成员的虚拟机。
    5. 模式列中,选择任意一个选项。
      选项 说明
      仅检测

      对于 NSX 恶意软件防护 服务:此规则检测虚拟机上的恶意文件,但不会采取预防措施。换言之,恶意文件将下载到虚拟机上。

      对于 NSX IDS/IPS 服务:此规则检测针对特征码的入侵,但不执行任何操作。

      检测和阻止

      对于 NSX 恶意软件防护 服务:此规则检测虚拟机上已知的恶意文件,并阻止在虚拟机上下载这些文件。

      对于 NSX IDS/IPS 服务:此规则检测针对特征码的入侵,并根据 IDS/IPS 配置文件或全局特征码配置中的特征码配置丢弃或拒绝流量。

    6. (可选) 单击齿轮图标以配置其他规则设置。这些设置仅适用于 NSX Distributed IDS/IPS,而不适用于 NSX 分布式恶意软件防护
      选项 说明
      日志记录 默认情况下,将禁用日志记录。日志存储在 ESXi 主机上的 /var/log/dfwpktlogs.log 文件中。
      方向 指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量。“出站”表示只检查从对象流出的流量。“双向”表示检查两个方向的流量。
      IP 协议 基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。
      超额订阅 NSX 4.0.1.1 开始,您可以配置超额订阅时应丢弃多余的流量还是应绕过 IDS/IPS 引擎。此处输入的值将覆盖在全局设置中为超额订阅设置的值。
      日志标签 启用日志记录后,日志标签存储在防火墙日志中。
  5. (可选) 重复步骤 4,在同一策略中添加更多规则。
  6. 单击发布
    规则将保存并推送到主机。您可以单击图形图标以查看 NSX Distributed IDS/IPS 的规则统计信息。
    注: 不支持 NSX 分布式恶意软件防护 防火墙规则的规则统计信息。

结果

在端点虚拟机上提取文件时,文件事件生成并显示在恶意软件防护仪表板和安全概览仪表板上。如果这些文件是恶意文件,则会实施安全策略。如果这些文件没有危害性,则会将它们下载到虚拟机上。

对于使用 IDS/IPS 配置文件配置的规则,如果系统检测到恶意流量,则会生成入侵事件并在 IDS/IPS 仪表板上显示此事件。系统会根据您在规则中配置的操作丢弃、拒绝流量或生成流量警报。

示例

有关为虚拟机端点上的恶意软件检测和防御配置分布式防火墙规则的端到端示例,请参见 示例:为 NSX 分布式恶意软件防护 添加规则

下一步做什么

恶意软件防护仪表板上监控和分析文件事件。有关详细信息,请参见监控文件事件

IDS/IPS 仪表板上监控和分析入侵事件。有关详细信息,请参见 监控 IDS/IPS 事件