如果跳过了 IDS/IPS 和恶意软件防护设置向导而未配置任何设置,或者在配置过程中跳过此向导,则可以从 IDS/IPS 和恶意软件防护设置页面继续执行配置过程。

要在 NSX Manager UI 中打开此页面,请导航到 安全 > IDS/IPS 和恶意软件防护 > 设置

配置设置分为三个选项卡页面:
  • 已共享
  • IDS/IPS
  • 恶意软件防护

共享设置

顾名思义,这些设置通用于 NSX IDS/IPS 和 NSX 恶意软件防护
配置 Internet 代理服务器

NSX IDS/IPS 不一定需要 Internet 连接才能正常运行。NSX IDS/IPS 使用特征码来检测和防止入侵。如果您的 NSX 环境具有 Internet 连接,NSX Manager 可以直接从 Internet 或通过 NSX 代理服务器自动下载最新的入侵检测特征码。如果未在 NSX 环境中配置 Internet 连接,您可以使用 API 手动下载 NSX 入侵检测特征码包 (.zip) 文件,然后将特征码包上载到 NSX Manager。要了解有关手动上载特征码的更多信息,请参见脱机下载和上载 NSX 入侵检测特征码

NSX 恶意软件防护 还使用特征码来检测和防止恶意软件。但是,仅当 NSX 环境具有 Internet 连接时,NSX Manager 才能下载最新的特征码。无法手动将最新特征码上载到 NSX ManagerNSX 恶意软件防护 还会将文件发送到 NSX Advanced Threat Prevention 云服务以进行详细的云文件分析。文件将由 NSX Application Platform 发送到云,而不是由 NSX Manager 发送。NSX Application Platform 不支持代理服务器配置,它需要直接访问 Internet。

如果 NSX Manager 通过 NSX 代理服务器访问 Internet,请单击 Internet 代理服务器链接并指定以下设置:

  • 方案(HTTP 或 HTTPS)
  • 主机的 IP 地址
  • 端口号
  • 用户名和密码
定义恶意软件防护和 IDS/IPS 部署的范围

启动主机和集群的东西向流量部分中,执行以下配置:

  • 在独立 ESXi 主机上开启 NSX IDS/IPS。
  • 选择要在东西向流量上开启 NSX IDS/IPS 的 ESXi 主机集群。
  • 如果尚未在 ESXi 主机集群上部署 NSX 分布式恶意软件防护 服务,请单击恶意软件防护列中的在服务虚拟机部署中定义链接。有关在主机集群上部署 NSX 分布式恶意软件防护 服务的说明,请参见 部署 NSX 分布式恶意软件防护 服务
启动网关的南北向流量部分中,执行以下配置:
  • 选择要在南北向流量上开启 NSX IDS/IPS 的 Tier-1 网关。
  • 选择要在南北向流量上开启 NSX 恶意软件防护 的 Tier-1 网关。
重要说明: 在南北向流量上, NSX 支持以下功能:
  • NSX 恶意软件防护 功能(仅限在 Tier-1 网关上)。
  • 网关防火墙上的 NSX IDS/IPS 功能(仅限在 Tier-1 网关上)。

IDS/IPS 设置

在数据中心配置 Internet 连接后,默认情况下,NSX Manager 每 20 分钟检查一次云上是否有新的入侵检测特征码。当有新的更新可用时,页面中将会显示一个横幅,其中包含立即更新链接。

如果数据中心没有 Internet 连接,您可以手动下载 IDS 特征码包 (.zip) 文件,然后将文件上载到 NSX Manager。有关详细说明,请参见脱机下载和上载 NSX 入侵检测特征码

您可以在此页面上执行以下特征码管理任务:

  • 要查看特征码版本或要添加除特征码默认版本以外的其他版本,请单击查看和更改

    目前,将保留两个版本的特征码。每当版本提交标识号发生更改时,都会下载新版本。

  • 要自动从云端下载入侵检测特征码并将其应用于数据中心内的主机和 Edge,请打开自动更新切换开关。

    关闭此选项后,将停止自动下载特征码。您可以手动下载 IDS 特征码包 (.zip) 文件,然后将该文件上载到 NSX Manager

  • 要查看传输节点上的特征码下载状态,请单击状态字段中的链接。
  • 要全局排除特定特征码或将其操作更改为警示、丢弃或拒绝,请单击查看并管理特征码集

    为特征码选择一个操作,然后单击保存。全局特征码管理设置中所做的更改适用于所有 IDS/IPS 配置文件。但是,如果更新 IDS/IPS 配置文件中的特征码设置,则优先使用配置文件设置。

    下表介绍了每个签名操作的含义。

    操作 描述

    警示

    生成警示并且不执行自动预防措施。

    丢弃

    生成警示并丢弃违规的数据包。

    拒绝

    生成警示并丢弃违规的数据包。对于 TCP 流量,IDS 生成 TCP 重置数据包,并将其发送到连接的源和目标。对于其他协议,将 ICMP 错误数据包发送到连接的源和目标。

您还可以管理以下高级设置:

  • 要将 IDS/IPS 事件发送给外部 syslog 服务器,请打开 Syslog 切换开关。
  • NSX 4.0.1.1 开始,您还可以配置超额订阅时应丢弃多余的流量还是应绕过 IDS/IPS 引擎。单击超额订阅字段中的相应选项。

恶意软件防护设置

NSX 恶意软件防护需要在 NSX Application Platform 中部署某些微服务。

如果未在数据中心部署 NSX Application Platform,此页面将显示以下标题:

尚未部署恶意软件防护。
执行以下步骤:
  1. 阅读屏幕上的文本,然后单击转到 NSX Application Platform
  2. 在继续进行平台部署之前,请阅读部署和管理 VMware NSX Application Platform出版物中的 NSX Application Platform 部署清单(网址:https://docs.vmware.com/cn/VMware-NSX-T-Data-Center/index.html)。从此链接的左侧导航窗格中,展开版本 4.0,然后单击出版物名称。
  3. 部署 NSX Application Platform。有关更多详细信息,请参见部署和管理 VMware NSX Application Platform出版物。
  4. 平台上的激活 NSX 恶意软件防护功能。

NSX Application Platform 上激活 NSX 恶意软件防护 功能后,恶意软件防护设置页面将显示允许列表部分。您可能需要刷新几次此页面才能看到此部分。

允许列表
使用 NSX Manager UI 或 API,可以替代或禁止 NSX 计算的文件的判定结果。被推翻的文件判定结果优先于 NSX 计算的判定结果。允许列表表格显示所有判定结果为禁止的文件。此表格最初为空。使用 恶意软件防护仪表板开始监控数据中心内的文件事件,并根据特定安全要求禁止文件判定结果时,禁止的文件将添加到允许列表表格中。

要了解有关推翻文件判定结果的更多信息,请参见 将文件添加到允许列表