NSX 入侵检测和防御服务 (IDS/IPS) 通过将流量与一组已知的入侵检测特征码进行比较,监控东西向流量和南北向流量,以检测恶意流量模式。NSX 恶意软件防护 从东西向流量和南北向流量中提取文件,并分析这些文件以了解恶意行为。 后续主题 NSX IDS/IPS 和 NSX 恶意软件防护 入门指南阅读本节中的主题可大致了解 NSX IDS/IPS 和 NSX 恶意软件防护 功能。了解系统要求、使用的术语,并完成必备条件任务,做好数据中心使用这两个功能的准备。 脱机下载和上载 NSX 入侵检测特征码如果未在 NSX 中配置 Internet 连接,您可以使用 API 手动下载 NSX 入侵检测特征码包 (.zip) 文件,然后将特征码包上载到 NSX Manager。执行以下步骤以在脱机模式下下载特征码并将其上载到 NSX。 通过自定义特征码增强威胁管理NSX IDS/IPS 能够管理与自定义应用程序和零日漏洞相关的威胁。 使用阈值和速率筛选器触发 NSX IDS/IPS 事件您可以通过配置阈值和速率筛选器来管理为系统特征码生成 NSX IDS/IPS 事件的速率。 添加安全配置文件安全配置文件包括 IDS/IPS 配置文件和恶意软件防护配置文件。要在数据中心中实施 NSX IDS/IPS 和 NSX 恶意软件防护 安全保护,必须将安全配置文件附加到分布式防火墙规则和网关防火墙规则。 在分布式防火墙上使用 NSX IDS/IPS 和 NSX 恶意软件防护您可以使用 NSX IDS/IPS 功能检测分布式东西向流量中的恶意流量模式,并使用 NSX 恶意软件防护 功能检测分布式东西向流量中的恶意文件。 在网关防火墙上使用 NSX IDS/IPS 和 NSX 恶意软件防护您可以使用 NSX IDS/IPS 功能检测南北向流量中的恶意流量模式,并使用 NSX 恶意软件防护 功能检测南北向流量中的恶意文件。 分布式 IDS/IPS 日志为 NSX-T IDS/IPS 启用日志记录后,您可以查看日志文件以解决问题。 监控文件事件在南北向流量中,当 NSX Edge 上的 IDS 引擎提取文件,以及在分布式东西向流量中,当虚拟机端点上的 NSX 客户机侦测代理提取文件时,都会生成文件事件。 监控 IDS/IPS 事件您可以监控事件并查看过去 14 天的数据。 导出和下载数据包捕获文件您可以在 NSX Manager 上导出 PCAP 文件,然后下载所导出的文件。 管理 NSX 恶意软件防护您可以使用安全性选项卡中的 NSX Application Platform 页面升级或删除 NSX 恶意软件防护 功能。 NSX 恶意软件防护 故障排除使用本章中的信息,了解日志消息,解决 syslog 问题,并对 NSX 恶意软件防护 功能可能出现的常见问题进行故障排除。 父主题: 安全性