NSX Manager UI 提供了一个通用规则表,用于添加分布式防火墙上 NSX 入侵检测/防御和 NSX 恶意软件防护 的规则。
过程
- 从浏览器中,登录到 https://<NSX Manager IP 地址> 中的 NSX Manager。
- 导航到 。
- 单击添加策略,创建用于组织规则的区域。
- 输入策略的名称。
- (可选) 在策略行中,单击齿轮图标以配置高级策略选项。这些选项仅适用于 NSX Distributed IDS/IPS,而不适用于 NSX 分布式恶意软件防护。
| 选项 |
描述 |
| 有状态 |
有状态防火墙监控活动连接的状态,并使用此信息来确定允许哪些数据包通过防火墙。 |
| 已锁定 |
可以锁定策略,以防止多个用户对相同区域进行编辑。锁定某个区域时,必须包含一条注释。 有些角色(如企业管理员)具有完全访问凭据,无法锁定。请参见基于角色的访问控制。 |
- 单击添加规则并配置规则设置。
- 输入规则的名称。
- 根据需要 IDS 检查的流量配置源、目标和服务列。对于源和目标,IDS 支持“通用”和“仅 IP 地址”组类型。
分布式恶意软件防护防火墙规则不支持这三列。始终将它们设置为“任意”。但是,您必须限制分布式恶意软件防护规则的范围,方法是选择
应用对象列中的组。
- 在安全配置文件列中,选择要用于此规则的配置文件。
可以选择
NSX IDS/IPS 配置文件或
NSX 恶意软件防护 配置文件,但不能同时选择两者。换句话说,规则中仅支持一个安全配置文件。
- 在应用对象列中,选择任意一个选项。
| 选项 |
描述 |
| DFW |
当前,分布式恶意软件防护规则在应用对象中不支持 DFW。可以将分布式 IDS/IPS 规则应用于 DFW。IDS/IPS 规则将应用于使用 NSX IDS/IPS 激活的所有主机集群上的工作负载虚拟机。 |
| 组 |
此规则仅应用于属于选定组成员的虚拟机。 |
- 在模式列中,选择任意一个选项。
| 选项 |
描述 |
| 仅检测 |
对于 NSX 恶意软件防护 服务:此规则检测虚拟机上的恶意文件,但不会采取预防措施。换言之,恶意文件将下载到虚拟机上。 对于 NSX IDS/IPS 服务:此规则检测针对特征码的入侵,但不执行任何操作。 |
| 检测并阻止 |
对于 NSX 恶意软件防护 服务:此规则检测虚拟机上已知的恶意文件,并阻止在虚拟机上下载这些文件。 对于 NSX IDS/IPS 服务:此规则检测针对特征码的入侵,并根据 IDS/IPS 配置文件或全局特征码配置中的特征码配置丢弃或拒绝流量。 |
- (可选) 单击齿轮图标以配置其他规则设置。这些设置仅适用于 NSX Distributed IDS/IPS,而不适用于 NSX 分布式恶意软件防护。
| 选项 |
描述 |
| 日志记录 |
默认情况下,将禁用日志记录。日志存储在 ESXi 主机上的 /var/log/dfwpktlogs.log 文件中。 |
| 方向 |
指从目标对象角度来看的流量方向。“入站”表示只检查流入对象的流量。“出站”表示只检查从对象流出的流量。“双向”表示检查两个方向的流量。 |
| IP 协议 |
基于 IPv4、IPv6 或 IPv4-IPv6 实施规则。 |
| 超额订阅 |
您可以配置超额订阅时 IDS/IPS 引擎应丢弃还是绕过多余的流量。此处输入的值将覆盖在全局设置中为超额订阅设置的值。 |
| 日志标签 |
启用日志记录后,日志标签存储在防火墙日志中。 |
- (可选) 重复步骤 4,在同一策略中添加更多规则。
- 单击发布。
规则将保存并推送到主机。您可以单击图形图标以查看
NSX Distributed IDS/IPS 的规则统计信息。
注: 不支持
NSX 分布式恶意软件防护 防火墙规则的规则统计信息。
结果
在端点虚拟机上提取文件时,文件事件生成并显示在恶意软件防护仪表板和安全概览仪表板上。如果这些文件是恶意文件,则会实施安全策略。如果这些文件没有危害性,则会将它们下载到虚拟机上。
对于使用 IDS/IPS 配置文件配置的规则,如果系统检测到恶意流量,则会生成入侵事件并在 IDS/IPS 仪表板上显示此事件。系统会根据您在规则中配置的操作丢弃、拒绝流量或生成流量警报。
下一步做什么
在 Malware Prevention 仪表板上监控和分析文件事件。有关详细信息,请参见监控文件事件。
在
IDS/IPS 仪表板上监控和分析入侵事件。有关详细信息,请参见
监控 IDS/IPS 事件。
