Die NSX Manager-Benutzeroberfläche bietet eine gemeinsame Regeltabelle zum Hinzufügen von Regeln für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware-Schutz auf einer Gateway-Firewall.

Ob die Gateway-Firewallregel nur NSX IDS/IPS oder nur NSX Malware-Schutz oder beides erzwingt, richtet sich nach den Sicherheitsprofilen, die Sie der Regel hinzufügen.

Wichtig: In NSX-T Data Center 3.2 ist NSX IDS/IPS auf der Gateway-Firewall im Modus für die technische Vorschau verfügbar. Verwenden Sie diese Funktion nur für experimentelle Zwecke.

Voraussetzungen

Für NSX Malware-Schutz:
Für NSX IDS/IPS:

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Gateway-Regeln.
  3. Wenn Sie eine Richtlinie für ein bestimmtes Gateway hinzufügen möchten, müssen Sie sich auf der Registerkarte Gateway-spezifische Regeln befinden. Wählen Sie dort ein Gateway aus. Wenn Sie eine Richtlinie für mehrere Gateways hinzufügen möchten, müssen Sie sich auf der Registerkarte Alle freigegebenen Regeln befinden.
  4. Klicken Sie auf Richtlinie hinzufügen, um einen Abschnitt zum Organisieren der Regeln zu erstellen.
    1. Geben Sie einen Namen für die Richtlinie ein.
    2. (Optional) Klicken Sie in der Richtlinienzeile auf das Zahnradsymbol, um erweiterte Richtlinienoptionen zu konfigurieren. Diese Optionen gelten nur für NSX IDS/IPS und nicht für NSX Malware-Schutz.
      Option Beschreibung

      Statusbehaftet

      Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.

      Gesperrt

      Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.

    3. Klicken Sie auf „Veröffentlichen“, um die Richtlinie zu veröffentlichen.
  5. Klicken Sie auf Regel hinzufügen und konfigurieren Sie die Regeleinstellungen.
    1. Geben Sie einen Namen für die Regel ein.
    2. Klicken Sie in der Spalte Quellen auf das Bearbeitungssymbol und wählen Sie die Gruppen aus, die als Quelle der Regel verwendet werden sollen. Wenn die Quelle nicht angegeben ist, wird standardmäßig „Alle“ verwendet.
      Informationen zum Hinzufügen von Gruppen finden Sie unter Hinzufügen einer Gruppe.
    3. Klicken Sie in der Spalte Ziele auf das Bearbeitungssymbol und wählen Sie die Gruppen aus, die als Ziel der Regel verwendet werden sollen. Wenn kein Ziel angegeben ist, wird standardmäßig „Alle“ verwendet.
    4. Klicken Sie in der Spalte Dienste auf das Bearbeitungssymbol und wählen Sie die Dienste aus, die in der Regel verwendet werden sollen. Wenn der Dienst nicht angegeben ist, wird standardmäßig „Alle“ verwendet.
      Hinweis:
      • Wenn Sie auf das Bearbeitungssymbol klicken, zeigt die Benutzeroberfläche eine Liste aller verfügbaren Dienste an. Allerdings unterstützt NSX Malware-Schutz derzeit die Erkennung der Dateiübertragung nur für die folgenden Dienste: HTTP, HTTPS, FTP und SMB.
      • NSX Malware-Schutz auf der Gateway-Firewall unterstützt derzeit nicht das Extrahieren und Analysieren von Dateien, die über HTTP hochgeladen werden. Wenn Dateien jedoch über FTP hochgeladen werden, wird die Extraktion und Analyse der Dateien zur Erkennung von bösartigem Verhalten unterstützt.
    5. Klicken Sie in der Spalte Sicherheitsprofile auf das Bearbeitungssymbol und wählen Sie die Profile aus, die der Firewallregel hinzugefügt werden sollen.
      Sie können maximal zwei Sicherheitsprofile auswählen: ein NSX IDS/IPS-Profil und ein NSX Malware-Schutz-Profil.
    6. Wenn Sie die Regel für ein bestimmtes Gateway hinzufügen, wird in der Spalte Angewendet auf der Name dieses Gateways angezeigt.
      Wenn Sie freigegebene Regeln hinzufügen, klicken Sie auf das Bearbeitungssymbol in der Spalte Angewendet auf und wählen Sie die Gateways aus, auf die Sie die Regel anwenden möchten.

      Standardmäßig werden Gateway-Firewallregeln auf alle verfügbaren Uplink- und Dienstschnittstellen auf den ausgewählten Gateways angewendet.

    7. Wählen Sie in der Spalte Modus eine der Optionen aus.
      Option Beschreibung
      Nur erkennen Die Regel erkennt schädliche Dateien, schädlichen Datenverkehr oder beides auf den ausgewählten Gateways, je nachdem, welches Profil an die Regel angehängt ist. Es werden keine vorbeugenden Maßnahmen ergriffen.
      Erkennen und verhindern NSX Malware-Schutz unterstützt diesen Modus derzeit nicht. Allerdings können Regeln mit NSX IDS/IPS-Profil schädlichen Datenverkehr auf den ausgewählten Gateways erkennen und blockieren.
    8. (Optional) Klicken Sie auf das Zahnradsymbol, um weitere Regeleinstellungen zu konfigurieren. Diese Einstellungen gelten nur für NSX IDS/IPS und nicht für NSX Malware-Schutz.
      Option Beschreibung
      Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi- und KVM-Hosts gespeichert.

      NSX Malware-Schutz wird nur auf ESXi-Hosts unterstützt. KVM-Hosts werden nicht unterstützt.

      Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. EINGEHEND bedeutet, dass nur der Datenverkehr zum Objekt überprüft wird. AUSGEHEND bedeutet, dass nur der Datenverkehr vom Objekt überprüft wird. „Ein-/Ausgehend“ bedeutet, dass der Datenverkehr in beide Richtungen überprüft wird.
      IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
      Protokollbezeichnung Die Protokollbezeichnung wird im Firewallprotokoll gespeichert, wenn die Protokollierung aktiviert ist.
  6. (Optional) Wiederholen Sie Schritt 4, um weitere Regeln in derselben Richtlinie hinzuzufügen.
  7. Klicken Sie auf Veröffentlichen. Sie können auf das Diagrammsymbol klicken, um Regelstatistiken für NSX IDS/IPS in der Gateway-Firewall anzuzeigen.
    Die Regeln werden gespeichert und an die NSX Edges übertragen.

Ergebnisse

Wenn Dateien auf den Tier-1-Gateways erkannt werden, werden Dateiereignisse generiert und im Dashboard Malware-Schutz und im Dashboard Sicherheitsübersicht angezeigt.

Für mit dem IDS/IPS-Profil konfigurierte Regeln gilt: Wenn das System schädlichen Datenverkehr erkennt, generiert es ein Eindringereignis. Sie können die Ereignisdetails im Dashboard IDS/IPS oder im Dashboard Sicherheitsübersicht anzeigen.

Beispiel

Ein End-to-End-Beispiel für die Konfiguration von Gateway-Firewallregeln mit NSX Malware-Schutz finden Sie unter Beispiel: Hinzufügen von Regeln für NSX Malware-Schutz auf einer Gateway-Firewall.

Nächste Maßnahme

Überwachen und analysieren Sie Dateiereignisse auf dem Dashboard Malware-Schutz. Weitere Informationen finden Sie unter Überwachen von Dateiereignissen.

Über das IDS/IPS-Dashboard können Sie Eindringereignisse überwachen und analysieren. Weitere Informationen finden Sie unter Überwachen von IDS/IPS-Ereignissen.