Wenn in Ihrem NSX-T Data Center keine Internetkonnektivität konfiguriert ist, können Sie die Paketdatei (.zip) für die NSX-Signatur zur Erkennung von Eindringversuchen mithilfe von APIs manuell herunterladen und das Signaturpaket dann in den NSX Manager hochladen. Führen Sie die folgenden Schritte aus, um Signaturen im Offline-Modus herunterzuladen und in das NSX-T Data Center hochzuladen.

Schritt 1: NSX-T beim Cloud-Dienst registrieren

Registrieren Sie NSX-T über die folgende API beim Cloud-Dienst. Bevor Sie mit der Kommunikation mit dem Cloud-Dienst beginnen, müssen Sie die Registrierung über diese API vornehmen. Lizenzschlüssel stammen aus der NSX Distributed Threat-Lizenz und weisen das folgende Format auf: 00000-00000-00000-00000-00000. Wenn der Lizenzschlüssel gültig ist, generiert die API client_id und client_secret und gibt diese zurück. Die Informationen zur Lizenz werden in der Cloud gespeichert. Client_secret wird als Anforderung für die Authentifizierungs-API verwendet. Wenn der Client zuvor registriert wurde, aber keinen Zugriff auf client_id und client_secret hat, muss der Client die Registrierung mithilfe derselben API wiederholen.

URI-Pfad:

POST https://api.nsx-sec-prod.com/1.0/auth/register
Text:
{
"license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
"device_type":"NSX-IDPS",
"client_id": "client_username"
}
Antwort:
{"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}

Schritt 2: NSX-T beim Cloud-Dienst authentifizieren

Authentifizieren Sie NSX-T über die folgende API beim Cloud-Dienst. Dieser API-Aufruf authentifiziert den Client mithilfe von client_id und client_secret. Die API generiert access_token zur Verwendung in den Headern von Anforderungen an IDS-Signatur-APIs. Das Token ist 60 Minuten lang gültig. Wenn das Token abläuft, muss sich der Client mithilfe von client_id und client_secret erneut authentifizieren.

URI-Pfad:

POST https://api.nsx-sec-prod.com/1.0/auth/authenticate
Text:
{"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}

Antwort:

{
    "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "[distributed_threat_features]"
}

Schritt 3: Link der Signaturpaketdatei (ZIP) abrufen

Verwenden Sie die folgende API, um den Link der Signaturpaketdatei abzurufen. Diese API gibt einen Link zur ZIP-Datei in der Antwort zurück. Kopieren Sie den Link und fügen Sie ihn in den Browser ein, um die ZIP-Datei herunterzuladen.

URI-Pfad:

GET https://api.nsx-sec-prod.com/2.0/intrusion-services/signatures   

Auf der Registerkarte „Header“ erhält der Autorisierungsschlüssel den access_token-Wert aus der API-Antwort zum Authentifizieren.

Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
Antwort:
{
"signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
}

Schritt 4: Das Signaturpaket auf NSX Manager hochladen

  • Methode 1: Über die NSX Manager-Benutzeroberfläche hochladen

    Um die Datei über die NSX Manager-Benutzeroberfläche hochzuladen, navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Einstellungen > IDS/IPS und klicken Sie auf IDS/IPS-Signaturen hochladen. Durchsuchen Sie die gespeicherte ZIP-Signaturdatei und laden Sie die Datei hoch.

  • Methode 2: Über eine NSX-T-API hochladen

    Um die Datei mithilfe der NSX-T-API hochzuladen, verwenden Sie die folgende API.

    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures

Fehlercode-Verarbeitung für Authentifizierungs-API

Dies ist ein Beispiel für eine Fehlerantwort der Authentifizierungs-API:

{
"error_code":100101,
"error_message":"XXXXX"
}
  • Wenn Sie einen Fehlercode von 100101-100150 erhalten haben, registrieren Sie sich erneut mit der gleichen Client-ID.
  • Wenn Sie einen Fehlercode von 100151-100200 erhalten haben, registrieren Sie sich erneut mit einer anderen Client-ID.