Wenn in Ihrem NSX-T Data Center keine Internetkonnektivität konfiguriert ist, können Sie die Paketdatei (.zip) für die NSX-Signatur zur Erkennung von Eindringversuchen mithilfe von APIs manuell herunterladen und das Signaturpaket dann in den NSX Manager hochladen. Führen Sie die folgenden Schritte aus, um Signaturen im Offline-Modus herunterzuladen und in das NSX-T Data Center hochzuladen.
Schritt 1: NSX-T beim Cloud-Dienst registrieren
Registrieren Sie NSX-T über die folgende API beim Cloud-Dienst. Bevor Sie mit der Kommunikation mit dem Cloud-Dienst beginnen, müssen Sie die Registrierung über diese API vornehmen. Senden Sie alle Lizenzen, dann erhalten Sie die erforderliche Berechtigung. Wenn der Lizenzschlüssel gültig ist, generiert die API client_id und client_secret und gibt diese zurück. Die Informationen zur Lizenz werden in der Cloud gespeichert. Client_secret wird als Anforderung für die Authentifizierungs-API verwendet. Wenn der Client zuvor registriert wurde, aber keinen Zugriff auf client_id und client_secret hat, muss der Client die Registrierung mithilfe derselben API wiederholen.
URI-Pfad:
POST https://api.nsx-sec-prod.com/1.0/auth/register
{ "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"], "device_type":"NSX-Idps-Offline-Download", "client_id": "client_username" }
{"client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
Schritt 2: NSX-T beim Cloud-Dienst authentifizieren
Authentifizieren Sie NSX-T über die folgende API beim Cloud-Dienst. Dieser API-Aufruf authentifiziert den Client mithilfe von client_id und client_secret. Die API generiert access_token zur Verwendung in den Headern von Anforderungen an IDS-Signatur-APIs. Das Token ist 60 Minuten lang gültig. Wenn das Token abläuft, muss sich der Client mithilfe von client_id und client_secret erneut authentifizieren.
URI-Pfad:
POST https://api.nsx-sec-prod.com/1.0/auth/authenticate
{"client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
Antwort:
{ "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg", "token_type": "bearer", "expires_in": 3600, "scope": "[idps_scope]" }
Schritt 3: Link der Signaturpaketdatei (ZIP) abrufen
Verwenden Sie die folgende API, um den Link der Signaturpaketdatei abzurufen. NSX Cloud lädt alle 24 Stunden die neuesten Signaturen herunter und speichert die Signaturen in einer ZIP-Datei. Diese API gibt einen Link zur ZIP-Datei in der Antwort zurück. Kopieren Sie den Link und fügen Sie ihn in den Browser ein, um die ZIP-Datei herunterzuladen.
URI-Pfad:
GET https://api.nsx-sec-prod.com/1.0/intrusion-services/signatures
Auf der Registerkarte „Header“ erhält der Autorisierungsschlüssel den access_token-Wert aus der API-Antwort zum Authentifizieren.
Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
{ ""signatures_url": "https://ncs-idps-eu-central-1-prod-signatures.s3.eu-central-1.amazonaws.com/IDSSignatures_1706050811658.zip? X-Amz-Security-Token=IQoJb3JpZ2luX2VjEN7%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaDGV1LWNlbnRyYWwtMSJGMEQCIDAPvmPd%2B%2B TfMB8Ip4uQ8%2F31s%2FtlYtuEvkmpXJ%2Bth9GyAiAySVdeDVLXOgOEyb%2BalsLPXvJFetYijQFEzxT7GKWdoSq1AwiX%2F%2F%2F%2F%2F%2F% 2F%2F%2F%2F8BEAMaDDg1MDUzNDQwNDY2MSIMsq6k%2Bf%2B%2Bap%2FVy9zkKokDc2v6Y79oWgTN7sfFAmuVxkmIVcsTT5QZWb349IX1SaQTXsc0 WE8EERO7TOE2L0%2FyRJbUQsj2z3U%2F82ovdA2iodmsn8e%2Bhqdfr2yNUnqrsLeoqbJ317rcFEzlTBhxXgYnDT3%2BtKoyWodbGgG0zXQdvq3aU nOH3zwscveKsBu5ugWJMv9iPeXwGxFx7hzDgI8JM2ZuiSP%2FAcSi13FK%2Bp8Oul07HNTKYt6b%2F%2BmPtssZE0EQCOdU%2FGOm1BVPJcKR5Dx 7lCoXr0KWIzzKMEpkVR4kyrhW%2Ff%2F%2FI9PgqN8XZ8aTnA0FdY8EaQVp20QH19OopNP26tLGjQFyccC%2BReQOX7L8SCGHF7BOqzLVYJLS5u5h H%2B1D%2BsV8c8nCOOsylK5uLJdPBWjGkBgrhpjAusaoEOOnatqS7GO2PK2cEutFegjcqILdyd9dlqpzPguOqMg5%2FKEFS%2FPZnn1yznaI12AH ydNhO1SAOEA5RgFEtOyBr2h3msx4guPbmF7FbAh4KF%2BOzN%2Fk3Quk3Xt9kbtPMOO2y60GOp4BmoR9ydv%2FNn3yzD3q%2Fk8nxfu8V3ODuQbHo XKgYZoN1dWcjxZGlWTo2Is1R0Wh39CNGbLEEV5OeClfvXQA1OIkecD6LQIG6GFfEiv7S0C3PwLYFUHcP4RtZu22HQiRKPJd9KDPJ8RkUxHPNRPJY 8nXO5hn7XFK80KXgNF1srUiulti1dItCXs%2FzqocFN%2Fk6GnJyNUX99jFI3om3hiANQA%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz- Date=20240125T220636Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIA4MB6NCI247AYBKPS%2F202401 25%2Feu-central-1%2Fs3%2Faws4_request&X-Amz-Signature=b4e210c3ce98e7e792e97333072bd97c4193eab6ba0ecc6016b5d830685fafaa", "signature_version": "3", "sha256_checksum":"d0b7a20eb9b57c9abd90f95c6a29af5f2056fea4a01eb9c8a30a87e0d0fd43a5", "last_updated": "2020-03-01T23:59:59Z", "version_name": "IDS/IPSSignature.3.2020-03-01T23:59:59Z" }
Schritt 4: Das Signaturpaket auf NSX Manager hochladen
- Methode 1: Über die NSX Manager-Benutzeroberfläche hochladen
Um die Datei über die NSX Manager-Benutzeroberfläche hochzuladen, navigieren Sie zu und klicken Sie auf IDS/IPS-Signaturen hochladen. Durchsuchen Sie die gespeicherte ZIP-Signaturdatei und laden Sie die Datei hoch.
- Methode 2: Über eine NSX-T-API hochladen
Um die Datei mithilfe der NSX-T-API hochzuladen, verwenden Sie die folgende API.
POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures
Fehlercode-Verarbeitung für Authentifizierungs-API
Dies ist ein Beispiel für eine Fehlerantwort der Authentifizierungs-API:
{ "error_code":100101, "error_message":"XXXXX" }
- Wenn Sie einen Fehlercode von 100101-100150 erhalten haben, registrieren Sie sich erneut mit der gleichen Client-ID.
- Wenn Sie einen Fehlercode von 100151-100200 erhalten haben, registrieren Sie sich erneut mit einer anderen Client-ID.