Vorbereiten des Datencenters für NSX IDS/IPS und NSX Malware-Schutz

Sie können NSX IDS/IPS- und NSX Malware-Schutz-Funktionen nur dann in Ihrer NSX-Umgebung einrichten, wenn Ihr Datencenter eine geeignete Lizenz verwendet.

Informationen zu Lizenzen, die zum Ausführen der NSX Advanced Threat Prevention-Lösung erforderlich sind, finden Sie unter Lizenztypen im Abschnitt Sicherheitslizenzen.

Die Vorbereitung des Datencenters für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware-Schutz umfasst mehrere Schritte. Für diese Schritte können Sie den Assistenten Einrichtung von IDS/IPS und Malware-Schutz verwenden.

Der Setup-Assistent ist wie ein Onboarding-Vorgang. Er führt Sie durch eine Abfolge von Schritten, um das Datencenter für diese beiden Sicherheitsfunktionen vorzubereiten. Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz, um diesen Assistenten auszuführen.

Wenn NSX erkennt, dass keine entsprechenden Lizenzen hinzugefügt werden, wird auf der Seite der folgende Text angezeigt:

IDS/IPS und Malware-Schutz wird mit der aktuellen Lizenz nicht unterstützt.

Wenn NSX erkennt, dass entsprechende Lizenzen hinzugefügt wurden, werden auf der Seite die Schaltflächen Setup starten und Setup überspringen angezeigt.

Klicken Sie auf Setup starten, um mit dem Setup-Assistenten zu beginnen. Folgen Sie den Anweisungen auf dem Bildschirm und in dieser Dokumentation, um die Schritte im Assistenten auszuführen.

Wenn Sie Ihren Fortschritt in einer beliebigen Phase speichern und den Assistenten beenden möchten, klicken Sie auf Zurück zur Hauptseite. Später können Sie die Einrichtung von dort aus fortsetzen, wo Sie aufgehört haben.
Wenn Sie den Setup-Assistenten zurücksetzen und neu starten möchten, klicken Sie auf Abbrechen. Durch das Abbrechen des Setups werden die im Assistenten vorgenommenen Auswahlkonfigurationen entfernt. Es werden jedoch keine Bereitstellungen entfernt, die Sie im Assistenten abgeschlossen haben. Wenn Sie beispielsweise die Bereitstellung der NSX Application Platform und der NSX Malware-Schutz-Dienst-VM auf Hostclustern abgeschlossen haben, bevor Sie den Assistenten zurücksetzen, werden diese Bereitstellungen beibehalten.
Wenn Sie den Setup-Assistenten nicht verwenden möchten und die beiden Sicherheitsfunktionen später selbst einrichten möchten, klicken Sie auf Setup überspringen. NSX Manager zeigt diese Meldung nicht mehr an. Später können Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Einstellungen navigieren und das Datencenter für beide Funktionen einrichten. Informationen zur Verwendung der Seite Einstellungen für IDS/IPS und Malware-Schutz finden Sie unter Konfigurieren der Einstellungen für NSX IDS/IPS und NSX Malware-Schutz.

Standardmäßig sind alle Kontrollkästchen in den Funktionskarten von IDS/IPS und Malware-Schutz für die Einrichtung ausgewählt. Sie können die Auswahl bei Bedarf bearbeiten. Wenn Sie fortfahren möchten, klicken Sie auf Weiter. Von Ihrer Auswahl hängt ab, welche Registerkarten im Assistenten angezeigt werden, wie in der folgenden Tabelle erläutert.

Hinweis: NSX Application Platform ist eine Voraussetzung für NSX Malware-Schutz, aber nicht für NSX IDS/IPS.

Ausgewählte Funktionen	Angezeigte Registerkarten
IDS/IPS für horizontalen Datenverkehr oder IDS/IPS für vertikalen Datenverkehr	NSX-Proxy konfigurieren Signaturen verwalten Knoten aktivieren
Malware-Schutz nur für horizontalen Datenverkehr	NSX-Proxy konfigurieren NSX Application Platform bereitstellen Dienst-VM bereitstellen
Malware-Schutz nur für vertikalen Datenverkehr	NSX-Proxy konfigurieren NSX Application Platform bereitstellen Knoten aktivieren
Malware-Schutz sowohl für horizontalen als auch für vertikalen Datenverkehr	NSX-Proxy konfigurieren NSX Application Platform bereitstellen Dienst-VM bereitstellen Knoten aktivieren
Alle Funktionen ausgewählt	Alle fünf Registerkarten im Assistenten werden angezeigt

Konfigurieren des NSX-Proxyservers für Internetkonnektivität

NSX IDS/IPS benötigt zum Funktionieren nicht unbedingt eine Internetverbindung. NSX IDS/IPS verwendet Signaturen zum Erkennen und Verhindern von Eindringversuchen. Wenn Ihre NSX-Umgebung mit dem Internet verbunden ist, kann NSX Manager die neuesten Signaturen zur Erkennung von Eindringversuchen automatisch entweder direkt aus dem Internet oder über einen NSX-Proxyserver herunterladen. Wenn in Ihrer NSX-Umgebung keine Internetkonnektivität konfiguriert ist, können Sie die Paketdatei (.zip) für die NSX-Signatur zur Erkennung von Eindringversuchen mithilfe von APIs manuell herunterladen und das Signaturpaket dann in den NSX Manager hochladen. Weitere Informationen zum manuellen Hochladen der Signaturen finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.

NSX Malware-Schutz verwendet auch Signaturen zum Erkennen und Verhindern von Malware. NSX Manager kann jedoch nur dann die neuesten Signaturen herunterladen, wenn Ihre NSX-Umgebung über eine Internetverbindung verfügt. Sie können die neuesten Signaturen nicht manuell in NSX Manager hochladen. NSX Malware-Schutz sendet auch Dateien an den NSX Advanced Threat Prevention-Cloud-Dienst für eine detaillierte Cloud-Dateianalyse. Dateien werden von der NSX Application Platform und nicht vom NSX Manager an die Cloud gesendet. NSX Application Platform unterstützt keine Proxyserverkonfiguration und erfordert einen direkten Zugriff auf das Internet.

Wenn NSX Manager über einen NSX-Proxyserver auf das Internet zugreift, klicken Sie auf den Link Zum NSX-Proxyserver und geben Sie die folgenden Einstellungen an:

Schema (HTTP oder HTTPS)
IP-Adresse des Hosts
Portnummer
Benutzername und Kennwort

NSX Application Platform bereitstellen

Für NSX Malware-Schutz müssen bestimmte Mikrodienste in NSX Application Platform bereitgestellt werden. Sie müssen zuerst die NSX Application Platform bereitstellen und dann NSX Malware-Schutz aktivieren. Nachdem diese Funktion aktiviert wurde, werden die für NSX Malware-Schutz erforderlichen Mikrodienste in der Plattform bereitgestellt.

Zusammenfassung: Sie müssen die folgenden Aufgaben in der angegebenen Reihenfolge ausführen:

Hinweis: Die Versionsverwaltung der NSX Malware-Schutz-Funktion in NSX Application Platform entspricht der NSX Application Platform-Versionsnummer und nicht der NSX-Produktversionsnummer.

Virtuelle Dienstmaschine bereitstellen

Für horizontalen Datenverkehr im Datencenter müssen Sie den NSX Distributed Malware Prevention-Dienst auf vSphere-Hostclustern bereitstellen, die für NSX vorbereitet sind. Wenn dieser Dienst bereitgestellt wird, wird auf jedem Host des vSphere-Clusters eine virtuelle Dienstmaschine (SVM) installiert, und NSX Malware-Schutz wird auf dem Hostcluster aktiviert.

Ein Ringdiagramm auf dieser Seite zeigt die Anzahl der Hostcluster in dem Datencenter an, in dem der NSX Distributed Malware Prevention-Dienst bereitgestellt bzw. nicht bereitgestellt wird.

Detaillierte Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX Distributed Malware Prevention-Diensts.

Kehren Sie nach der Dienstbereitstellung auf den Hostclustern zu dieser Seite im Assistenten zurück und klicken Sie auf Weiter, um fortzufahren.

Hinweis: Hochverfügbarkeit wird für die virtuelle Dienst-VM des NSX Distributed Malware Prevention-Diensts nicht unterstützt.

Signaturen verwalten

Wenn die Internetkonnektivität in Ihrem Datencenter konfiguriert ist, überprüft NSX Manager standardmäßig alle 20 Minuten, ob neue Signaturen zur Erkennung von Eindringversuchen in der Cloud verfügbar sind. Wenn ein neues Update verfügbar ist, wird auf der Seite ein Banner mit dem Link Jetzt Update durchführen angezeigt.

Wenn das Datencenter über keine Internetkonnektivität verfügt, können Sie die IDS-Signaturpaketdatei (.zip) manuell herunterladen und dann in NSX Manager hochladen. Eine detaillierte Anleitung finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.

Signaturverwaltung

Signaturverwaltungsaufgaben sind optional. Falls erforderlich, können Sie das zu einem späteren Zeitpunkt tun. Navigieren Sie dafür zu Sicherheit > IDS/IPS und Malware-Schutz > Einstellungen > IDS/IPS.

Um die Signaturversion anzuzeigen oder zusätzlich zum Standard eine weitere Version der Signaturen hinzuzufügen, klicken Sie auf Anzeigen und ändern.
Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.
Um Signaturen zur Erkennung von Eindringversuchen automatisch aus der Cloud herunterzuladen und auf die Hosts und Edges im Datencenter anzuwenden, aktivieren Sie die Umschaltoption Auto-Update.
Ist diese Option deaktiviert, wird der automatische Download von Signaturen beendet. Sie können das IDS-Signaturpaket (.zip) manuell herunterladen und dann in NSX Manager hochladen.
Um den Status des Signaturdownloads auf Transportknoten anzuzeigen, klicken Sie auf den Link im Feld Status.

Um bestimmte Signaturen global auszuschließen oder ihre Aktion in Warnung, Verwerfen oder Ablehnen zu ändern, klicken Sie auf Signatursatz anzeigen und verwalten.

Wählen Sie eine Aktion für die Signatur aus und klicken Sie auf Speichern. Die in den Einstellungen für die globale Signaturverwaltung vorgenommenen Änderungen gelten für alle IDS-/IPS-Profile. Wenn Sie jedoch die Signatureinstellungen in einem IDS/IPS-Profil aktualisieren, haben die Profileinstellungen Vorrang.

In der folgenden Tabelle wird die Bedeutung der einzelnen Signaturaktionen erläutert.

Aktion	Beschreibung
Warnung	Eine Warnung wird generiert und es wird keine automatische vorbeugende Aktion durchgeführt.
Verwerfen	Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen.
Ablehnen	Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet.

Knoten für IDS/IPS und Malware-Schutz aktivieren

Führen Sie im Abschnitt Hosts und Cluster für horizontalen Datenverkehr aktivieren die folgenden Konfigurationen durch:

Aktivieren Sie NSX IDS/IPS auf den eigenständigen ESXi-Hosts.
Wählen Sie die ESXi-Hostcluster aus, in denen Sie NSX IDS/IPS für den horizontalen Datenverkehr aktivieren möchten.
Wenn der NSX Distributed Malware Prevention-Dienst noch nicht auf ESXi-Hostclustern bereitgestellt wurde, klicken Sie in der Spalte Malware-Schutz auf den Link Definiert in Dienst-VM-Bereitstellung. Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX Distributed Malware Prevention-Diensts.

Hinweis:

Aktivieren Sie NSX Distributed IDS/IPS nicht in einer Umgebung, die Distributed Load Balancer verwendet. NSX unterstützt die Verwendung von IDS/IPS mit einem Distributed Load Balancer nicht.
Damit NSX Distributed IDS/IPS funktioniert, muss die verteilte Firewall (DFW) aktiviert sein. Wenn der Datenverkehr durch eine DFW-Regel blockiert ist, kann IDS/IPS den Datenverkehr nicht sehen.

Führen Sie im Abschnitt Gateways für vertikalen Datenverkehr aktivieren die folgenden Konfigurationen aus:

Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX IDS/IPS für den vertikalen Datenverkehr aktivieren möchten.
Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX Malware-Schutz für den vertikalen Datenverkehr aktivieren möchten.

Wichtig: Für den vertikalen Datenverkehr unterstützt NSX Folgendes:

NSX Malware-Schutz-Funktion nur auf Tier-1-Gateways.
NSX IDS/IPS-Funktion für die Gateway-Firewall nur auf Tier-1-Gateways.