Sie können die Funktionen NSX IDS/IPS und NSX Malware-Schutz nur dann in Ihrer NSX-T Data Center-Umgebung einrichten, wenn Ihr Datencenter eine geeignete Lizenz verwendet.

Informationen zu Lizenzen, die zum Ausführen der NSX Advanced Threat Prevention-Lösung erforderlich sind, finden Sie unter Lizenztypen im Abschnitt Sicherheitslizenzen.

Die Vorbereitung eines NSX-T Data Center für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware-Schutz umfasst mehrere Schritte. Für diese Schritte können Sie den Assistenten Einrichtung von IDS/IPS und Malware-Schutz verwenden.

Der Setup-Assistent ist wie ein Onboarding-Vorgang. Er führt Sie durch eine Abfolge von Schritten, um das Datencenter für diese beiden Sicherheitsfunktionen vorzubereiten. Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz, um diesen Assistenten auszuführen.

Wenn NSX-T erkennt, dass keine entsprechenden Lizenzen hinzugefügt werden, wird auf der Seite der folgende Text angezeigt:

IDS/IPS und Malware-Schutz wird mit der aktuellen Lizenz nicht unterstützt.

Wenn NSX-T erkennt, dass entsprechende Lizenzen hinzugefügt wurden, werden auf der Seite die Schaltflächen Setup starten und Setup überspringen angezeigt.

Klicken Sie auf Setup starten, um mit dem Setup-Assistenten zu beginnen. Folgen Sie den Anweisungen auf dem Bildschirm und in dieser Dokumentation, um die Schritte im Assistenten auszuführen.

  • Wenn Sie Ihren Fortschritt in einer beliebigen Phase speichern und den Assistenten beenden möchten, klicken Sie auf Zurück zur Hauptseite. Später können Sie die Einrichtung von dort aus fortsetzen, wo Sie aufgehört haben.
  • Wenn Sie den Setup-Assistenten zurücksetzen und neu starten möchten, klicken Sie auf Abbrechen. Durch das Abbrechen des Setups werden die im Assistenten vorgenommenen Auswahlkonfigurationen entfernt. Es werden jedoch keine Bereitstellungen entfernt, die Sie im Assistenten abgeschlossen haben. Wenn Sie beispielsweise die Bereitstellung der NSX Application Platform und der NSX Malware-Schutz-Dienst-VM auf Hostclustern abgeschlossen haben, bevor Sie den Assistenten zurücksetzen, werden diese Bereitstellungen beibehalten.
  • Wenn Sie den Setup-Assistenten nicht verwenden möchten und die beiden Sicherheitsfunktionen später selbst einrichten möchten, klicken Sie auf Setup überspringen. NSX Manager zeigt diese Meldung nicht mehr an. Später können Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Einstellungen navigieren und das Datencenter für beide Funktionen einrichten. Informationen zur Verwendung der Seite Einstellungen für IDS/IPS und Malware-Schutz finden Sie unter Konfigurieren der Einstellungen für NSX IDS/IPS und NSX Malware-Schutz.
Standardmäßig sind alle Kontrollkästchen in den Funktionskarten von IDS/IPS und Malware-Schutz für die Einrichtung ausgewählt. Sie können die Auswahl bei Bedarf bearbeiten. Wenn Sie fortfahren möchten, klicken Sie auf Weiter. Von Ihrer Auswahl hängt ab, welche Registerkarten im Assistenten angezeigt werden, wie in der folgenden Tabelle erläutert.
Ausgewählte Funktionen Angezeigte Registerkarten

IDS/IPS für horizontalen Datenverkehr

oder

IDS/IPS für vertikalen Datenverkehr (Tech-Preview-Modus)

NSX-Proxy konfigurieren

Signaturen verwalten

Knoten aktivieren

Malware-Schutz nur für horizontalen Datenverkehr

NSX-Proxy konfigurieren

NSX Application Platform bereitstellen

Dienst-VM bereitstellen

Malware-Schutz nur für vertikalen Datenverkehr

NSX-Proxy konfigurieren

NSX Application Platform bereitstellen

Knoten aktivieren

Malware-Schutz sowohl für horizontalen als auch für vertikalen Datenverkehr

NSX-Proxy konfigurieren

NSX Application Platform bereitstellen

Dienst-VM bereitstellen

Knoten aktivieren

Alle Funktionen ausgewählt

Alle fünf Registerkarten im Assistenten werden angezeigt

Konfigurieren des NSX-Proxyservers für Internetkonnektivität

NSX Malware-Schutz funktioniert nur, wenn Ihr NSX-T Data Center mit dem Internet verbunden ist. NSX IDS/IPS kann in einem Netzwerk ohne Internetkonnektivität verwendet werden; allerdings müssen Sie die IDS-/IPS-Signaturen manuell aktualisieren.

Klicken Sie auf den Link Zum NSX-Proxyserver und geben Sie die folgenden Einstellungen an:
  • Schema (HTTP oder HTTPS)
  • IP-Adresse des Hosts
  • Portnummer
  • Benutzername und Kennwort

NSX Application Platform bereitstellen

Für NSX Malware-Schutz müssen bestimmte Mikrodienste in NSX Application Platform bereitgestellt werden. Sie müssen zuerst die NSX Application Platform bereitstellen und dann NSX Malware-Schutz aktivieren. Nachdem diese Funktion aktiviert wurde, werden die für NSX Malware-Schutz erforderlichen Mikrodienste in der Plattform bereitgestellt.

Zusammenfassung: Sie müssen die folgenden Aufgaben in der angegebenen Reihenfolge ausführen:
  1. NSX Application Platform bereitstellen
  2. Aktivieren von NSX Malware-Schutz

Virtuelle Dienstmaschine bereitstellen

Für horizontalen Datenverkehr im Datencenter müssen Sie den NSX Distributed Malware Prevention-Dienst auf vSphere-Hostclustern bereitstellen, die für NSX vorbereitet sind. Wenn dieser Dienst bereitgestellt wird, wird auf jedem Host des vSphere-Clusters eine virtuelle Dienstmaschine (SVM) installiert, und NSX Malware-Schutz wird auf dem Hostcluster aktiviert.

Ein Ringdiagramm auf dieser Seite zeigt die Anzahl der Hostcluster in dem Datencenter an, in dem der NSX Distributed Malware Prevention-Dienst bereitgestellt bzw. nicht bereitgestellt wird.

Detaillierte Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX Distributed Malware Prevention-Diensts.

Kehren Sie nach der Dienstbereitstellung auf den Hostclustern zu dieser Seite im Assistenten zurück und klicken Sie auf Weiter, um fortzufahren.

Signaturen verwalten

Wenn die Internetkonnektivität in Ihrem Datencenter konfiguriert ist, überprüft NSX Manager standardmäßig alle 20 Minuten, ob neue Signaturen zur Erkennung von Eindringversuchen in der Cloud verfügbar sind. Wenn ein neues Update verfügbar ist, wird auf der Seite ein Banner mit dem Link Jetzt Update durchführen angezeigt.

Wenn das Datencenter über keine Internetkonnektivität verfügt, können Sie die IDS-Signaturpaketdatei (.zip) manuell herunterladen und dann in NSX Manager hochladen. Eine detaillierte Anleitung finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.

Signaturverwaltung

Signaturverwaltungsaufgaben sind optional. Bei Bedarf können Sie diese später auf der Seite Einstellungen für IDS/IPS und Malware-Schutz erledigen. (Sicherheit > IDS/IPS und Malware-Schutz > Einstellungen > IDS/IPS).

  • Aktivieren Sie die Option Neue Versionen automatisch aktualisieren, um Signaturen für die Erkennung von Eindringversuchen automatisch auf die Hosts und Edges im Datencenter anzuwenden, nachdem diese aus der Cloud heruntergeladen wurden.

    Wenn diese Option deaktiviert ist, werden die Signaturen in der aufgeführten Version angehalten.

  • Klicken Sie auf Versionen anzeigen und ändern, um zusätzlich zur Standardeinstellung eine weitere Version der Signaturen hinzuzufügen.

    Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.

  • Klicken Sie auf Globalen Signatursatz anzeigen und verwalten, um spezifische Signaturaktionen zum Warnen/Verwerfen/Ablehnen global zu ändern.

    Wählen Sie eine Aktion für die Signatur aus und klicken Sie auf Speichern. Die in den Einstellungen für die globale Signaturverwaltung vorgenommenen Änderungen gelten für alle IDS-/IPS-Profile. Wenn Sie jedoch die Signatureinstellungen in einem IDS/IPS-Profil aktualisieren, haben die Profileinstellungen Vorrang.

    In der folgenden Tabelle wird die Bedeutung der einzelnen Signaturaktionen erläutert.

    Aktion Beschreibung

    Warnung

    Eine Warnung wird generiert und es wird keine automatische vorbeugende Aktion durchgeführt.

    Verwerfen

    Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen.

    Ablehnen

    Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet.

Knoten für IDS/IPS und Malware-Schutz aktivieren

Führen Sie im Abschnitt Hosts und Cluster für horizontalen Datenverkehr aktivieren die folgenden Konfigurationen durch:

  • Aktivieren Sie NSX IDS/IPS auf den eigenständigen ESXi-Hosts.
  • Wählen Sie die ESXi-Hostcluster aus, in denen Sie NSX IDS/IPS für den horizontalen Datenverkehr aktivieren möchten.
  • Wenn der NSX Distributed Malware Prevention-Dienst noch nicht auf ESXi-Hostclustern bereitgestellt wurde, klicken Sie in der Spalte Malware-Schutz auf den Link Definiert in Dienst-VM-Bereitstellung. Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX Distributed Malware Prevention-Diensts.
Hinweis:
  • Aktivieren Sie NSX Distributed IDS/IPS nicht in einer Umgebung, die Distributed Load Balancer verwendet. NSX Data Center unterstützt die Verwendung von IDS/IPS mit einem Distributed Load Balancer nicht.
  • Damit NSX Distributed IDS/IPS funktioniert, muss die verteilte Firewall (DFW) aktiviert sein. Wenn der Datenverkehr durch eine DFW-Regel blockiert ist, kann IDS/IPS den Datenverkehr nicht sehen.
Führen Sie im Abschnitt Gateways für vertikalen Datenverkehr aktivieren die folgenden Konfigurationen aus:
  • Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX IDS/IPS für den vertikalen Datenverkehr aktivieren möchten.
  • Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX Malware-Schutz für den vertikalen Datenverkehr aktivieren möchten.
Wichtig: Für den vertikalen Datenverkehr unterstützt NSX-T Data Center 3.2 Folgendes:
  • NSX Malware-Schutz-Funktion nur auf Tier-1-Gateways.
  • NSX IDS/IPS-Funktion für die Gateway-Firewall nur auf Tier-1-Gateways im Modus für die technische Vorschau. Verwenden Sie sie nur für Versuchszwecke.