Sie können NSX IDS/IPS- und NSX Malware-Schutz-Funktionen nur dann in Ihrer NSX-T Data Center-Umgebung einrichten, wenn Ihr Datencenter eine geeignete Lizenz verwendet.
Informationen zu Lizenzen, die zum Ausführen der NSX Advanced Threat Prevention-Lösung erforderlich sind, finden Sie unter Lizenztypen im Abschnitt Sicherheitslizenzen.
Die Vorbereitung des Datencenters für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware-Schutz umfasst mehrere Schritte. Für diese Schritte können Sie den Assistenten Einrichtung von IDS/IPS und Malware-Schutz verwenden.
Der Setup-Assistent ist wie ein Onboarding-Vorgang. Er führt Sie durch eine Abfolge von Schritten, um das Datencenter für diese beiden Sicherheitsfunktionen vorzubereiten. Navigieren Sie zu
, um diesen Assistenten auszuführen.Wenn NSX-T erkennt, dass keine entsprechenden Lizenzen hinzugefügt werden, wird auf der Seite der folgende Text angezeigt:
IDS/IPS und Malware-Schutz wird mit der aktuellen Lizenz nicht unterstützt.
Wenn NSX-T erkennt, dass entsprechende Lizenzen hinzugefügt wurden, werden auf der Seite die Schaltflächen Setup starten und Setup überspringen angezeigt.
Klicken Sie auf Setup starten, um mit dem Setup-Assistenten zu beginnen. Folgen Sie den Anweisungen auf dem Bildschirm und in dieser Dokumentation, um die Schritte im Assistenten auszuführen.
- Wenn Sie Ihren Fortschritt in einer beliebigen Phase speichern und den Assistenten beenden möchten, klicken Sie auf Zurück zur Hauptseite. Später können Sie die Einrichtung von dort aus fortsetzen, wo Sie aufgehört haben.
- Wenn Sie den Setup-Assistenten zurücksetzen und neu starten möchten, klicken Sie auf Abbrechen. Durch das Abbrechen des Setups werden die im Assistenten vorgenommenen Auswahlkonfigurationen entfernt. Es werden jedoch keine Bereitstellungen entfernt, die Sie im Assistenten abgeschlossen haben. Wenn Sie beispielsweise die Bereitstellung der NSX Application Platform und der NSX Malware-Schutz-Dienst-VM auf Hostclustern abgeschlossen haben, bevor Sie den Assistenten zurücksetzen, werden diese Bereitstellungen beibehalten.
- Wenn Sie den Setup-Assistenten nicht verwenden möchten und die beiden Sicherheitsfunktionen später selbst einrichten möchten, klicken Sie auf Setup überspringen. NSX Manager zeigt diese Meldung nicht mehr an. Später können Sie zu navigieren und das Datencenter für beide Funktionen einrichten. Informationen zur Verwendung der Seite Einstellungen für IDS/IPS und Malware-Schutz finden Sie unter Konfigurieren der Einstellungen für NSX IDS/IPS und NSX Malware-Schutz.
Ausgewählte Funktionen | Angezeigte Registerkarten |
---|---|
IDS/IPS für horizontalen Datenverkehr oder IDS/IPS für vertikalen Datenverkehr (in NSX-T Data Center 3.2.0 war diese Funktion nur im Tech Preview-Modus verfügbar. Ab NSX-T Data Center 3.2.1 ist die Funktion für Produktionsumgebungen verfügbar und erhält vollständigen Support.) |
NSX-Proxy konfigurieren Signaturen verwalten Knoten aktivieren |
Malware-Schutz nur für horizontalen Datenverkehr |
NSX-Proxy konfigurieren NSX Application Platform bereitstellen Dienst-VM bereitstellen |
Malware-Schutz nur für vertikalen Datenverkehr |
NSX-Proxy konfigurieren NSX Application Platform bereitstellen Knoten aktivieren |
Malware-Schutz sowohl für horizontalen als auch für vertikalen Datenverkehr | NSX-Proxy konfigurieren NSX Application Platform bereitstellen Dienst-VM bereitstellen Knoten aktivieren |
Alle Funktionen ausgewählt |
Alle fünf Registerkarten im Assistenten werden angezeigt |
Konfigurieren des NSX-Proxyservers für Internetkonnektivität
NSX IDS/IPS benötigt zum Funktionieren nicht unbedingt eine Internetverbindung. NSX IDS/IPS verwendet Signaturen zum Erkennen und Verhindern von Eindringversuchen. Wenn Ihre NSX-T Data Center-Umgebung mit dem Internet verbunden ist, kann NSX Manager die neuesten Signaturen zur Erkennung von Eindringversuchen automatisch entweder direkt aus dem Internet oder über einen NSX-Proxyserver herunterladen. Wenn in Ihrer NSX-Umgebung keine Internetkonnektivität konfiguriert ist, können Sie die Paketdatei (.zip) für die NSX-Signatur zur Erkennung von Eindringversuchen mithilfe von APIs manuell herunterladen und das Signaturpaket dann in den NSX Manager hochladen. Weitere Informationen zum manuellen Hochladen der Signaturen finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.
NSX Malware-Schutz verwendet auch Signaturen zum Erkennen und Verhindern von Malware. NSX Manager kann jedoch nur dann die neuesten Signaturen herunterladen, wenn Ihre NSX-T Data Center-Umgebung über eine Internetverbindung verfügt. Sie können die neuesten Signaturen nicht manuell in NSX Manager hochladen. NSX Malware-Schutz sendet auch Dateien an den NSX Advanced Threat Prevention-Cloud-Dienst für eine detaillierte Cloud-Dateianalyse. Dateien werden von der NSX Application Platform und nicht vom NSX Manager an die Cloud gesendet. NSX Application Platform unterstützt keine Proxyserverkonfiguration und erfordert einen direkten Zugriff auf das Internet.
- Schema (HTTP oder HTTPS)
- IP-Adresse des Hosts
- Portnummer
- Benutzername und Kennwort
NSX Application Platform bereitstellen
Für NSX Malware-Schutz müssen bestimmte Mikrodienste in NSX Application Platform bereitgestellt werden. Sie müssen zuerst die NSX Application Platform bereitstellen und dann NSX Malware-Schutz aktivieren. Nachdem diese Funktion aktiviert wurde, werden die für NSX Malware-Schutz erforderlichen Mikrodienste in der Plattform bereitgestellt.
Virtuelle Dienstmaschine bereitstellen
Für horizontalen Datenverkehr im Datencenter müssen Sie den NSX Distributed Malware Prevention-Dienst auf vSphere-Hostclustern bereitstellen, die für NSX vorbereitet sind. Wenn dieser Dienst bereitgestellt wird, wird auf jedem Host des vSphere-Clusters eine virtuelle Dienstmaschine (SVM) installiert, und NSX Malware-Schutz wird auf dem Hostcluster aktiviert.
Ein Ringdiagramm auf dieser Seite zeigt die Anzahl der Hostcluster in dem Datencenter an, in dem der NSX Distributed Malware Prevention-Dienst bereitgestellt bzw. nicht bereitgestellt wird.
Detaillierte Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX Distributed Malware Prevention-Diensts.
Kehren Sie nach der Dienstbereitstellung auf den Hostclustern zu dieser Seite im Assistenten zurück und klicken Sie auf Weiter, um fortzufahren.
Signaturen verwalten
Wenn die Internetkonnektivität in Ihrem Datencenter konfiguriert ist, überprüft NSX Manager standardmäßig alle 20 Minuten, ob neue Signaturen zur Erkennung von Eindringversuchen in der Cloud verfügbar sind. Wenn ein neues Update verfügbar ist, wird auf der Seite ein Banner mit dem Link Jetzt Update durchführen angezeigt.
Wenn das Datencenter über keine Internetkonnektivität verfügt, können Sie die IDS-Signaturpaketdatei (.zip) manuell herunterladen und dann in NSX Manager hochladen. Eine detaillierte Anleitung finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.
- Signaturverwaltung
-
Signaturverwaltungsaufgaben sind optional. Bei Bedarf können Sie diese später auf der Seite Einstellungen für IDS/IPS und Malware-Schutz erledigen. ( ).
- Aktivieren Sie die Option Neue Versionen automatisch aktualisieren, um Signaturen für die Erkennung von Eindringversuchen automatisch auf die Hosts und Edges im Datencenter anzuwenden, nachdem diese aus der Cloud heruntergeladen wurden.
Wenn diese Option deaktiviert ist, werden die Signaturen in der aufgeführten Version angehalten.
- Klicken Sie auf Versionen anzeigen und ändern, um zusätzlich zur Standardeinstellung eine weitere Version der Signaturen hinzuzufügen.
Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.
- Klicken Sie auf Globalen Signatursatz anzeigen und verwalten, um spezifische Signaturaktionen zum Warnen/Verwerfen/Ablehnen global zu ändern.
Wählen Sie eine Aktion für die Signatur aus und klicken Sie auf Speichern. Die in den Einstellungen für die globale Signaturverwaltung vorgenommenen Änderungen gelten für alle IDS-/IPS-Profile. Wenn Sie jedoch die Signatureinstellungen in einem IDS/IPS-Profil aktualisieren, haben die Profileinstellungen Vorrang.
In der folgenden Tabelle wird die Bedeutung der einzelnen Signaturaktionen erläutert.
Aktion Beschreibung Warnung
Eine Warnung wird generiert und es wird keine automatische vorbeugende Aktion durchgeführt.
Verwerfen
Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen.
Ablehnen
Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet.
- Aktivieren Sie die Option Neue Versionen automatisch aktualisieren, um Signaturen für die Erkennung von Eindringversuchen automatisch auf die Hosts und Edges im Datencenter anzuwenden, nachdem diese aus der Cloud heruntergeladen wurden.
Knoten für IDS/IPS und Malware-Schutz aktivieren
Führen Sie im Abschnitt Hosts und Cluster für horizontalen Datenverkehr aktivieren die folgenden Konfigurationen durch:
- Aktivieren Sie NSX IDS/IPS auf den eigenständigen ESXi-Hosts.
- Wählen Sie die ESXi-Hostcluster aus, in denen Sie NSX IDS/IPS für den horizontalen Datenverkehr aktivieren möchten.
- Wenn der NSX Distributed Malware Prevention-Dienst noch nicht auf ESXi-Hostclustern bereitgestellt wurde, klicken Sie in der Spalte Malware-Schutz auf den Link Definiert in Dienst-VM-Bereitstellung. Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX Distributed Malware Prevention-Diensts.
- Aktivieren Sie NSX Distributed IDS/IPS nicht in einer Umgebung, die Distributed Load Balancer verwendet. NSX unterstützt die Verwendung von IDS/IPS mit einem Distributed Load Balancer nicht.
- Damit NSX Distributed IDS/IPS funktioniert, muss die verteilte Firewall (DFW) aktiviert sein. Wenn der Datenverkehr durch eine DFW-Regel blockiert ist, kann IDS/IPS den Datenverkehr nicht sehen.
- Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX IDS/IPS für den vertikalen Datenverkehr aktivieren möchten.
- Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX Malware-Schutz für den vertikalen Datenverkehr aktivieren möchten.
- NSX Malware-Schutz-Funktion nur auf Tier-1-Gateways.
- NSX IDS/IPS-Funktion für die Gateway-Firewall nur auf Tier-1-Gateways. In NSX-T Data Center 3.2.0 war NSX IDS/IPS nur auf der Gateway-Firewall im Modus für die technische Vorschau verfügbar. Ab NSX-T Data Center 3.2.1 ist NSX IDS/IPS auf der Gateway-Firewall für Produktionsumgebungen verfügbar und erhält vollständigen Support. Weitere Informationen finden Sie im Dokument Versionshinweise für NSX-T Data Center.