NSX Manager UI 提供了一个通用规则表,用于添加分布式防火墙上 NSX 入侵检测/防御和 NSX 恶意软件防护 的规则。
- 在 NSX 4.0 中,在分布式东西向流量上,仅支持对 Windows 可移植可执行 (PE) 文件进行恶意软件检测和防护,这些文件由 Windows 客户机端点(虚拟机)上 GI 瘦代理提取。NSX 分布式恶意软件防护 不支持其他文件类别。
- 从 NSX 4.0.1.1 开始,在分布式东西向流量上,支持对 Windows 和 Linux 客户机端点上的所有文件类别进行恶意软件检测和防御。要查看支持的文件类别列表,请参见 NSX 恶意软件防护 支持的文件类别。
- 支持的最大文件大小限制为 64 MB。
前提条件
对于
NSX 恶意软件防护:
- NSX 恶意软件防护 服务虚拟机部署在为 NSX 准备的 vSphere 主机集群上。有关详细说明,请参见部署 NSX 分布式恶意软件防护 服务。
- 添加恶意软件防护配置文件。
- 创建组并在这些组中添加要防御恶意软件的虚拟机。您可以将虚拟机添加为静态成员,也可以定义评估虚拟机是否为有效成员的动态成员资格条件。有关详细说明,请参见添加组。
对于
NSX IDS/IPS:
- 添加 NSX IDS/IPS 配置文件。
- 在 vSphere 主机集群上打开或激活 NSX IDS/IPS。( )
过程
结果
在端点虚拟机上提取文件时,文件事件生成并显示在恶意软件防护仪表板和安全概览仪表板上。如果这些文件是恶意文件,则会实施安全策略。如果这些文件没有危害性,则会将它们下载到虚拟机上。
对于使用 IDS/IPS 配置文件配置的规则,如果系统检测到恶意流量,则会生成入侵事件并在 IDS/IPS 仪表板上显示此事件。系统会根据您在规则中配置的操作丢弃、拒绝流量或生成流量警报。
示例
下一步做什么
在恶意软件防护仪表板上监控和分析文件事件。有关详细信息,请参见监控文件事件。
在 IDS/IPS 仪表板上监控和分析入侵事件。有关详细信息,请参见 监控 IDS/IPS 事件。