Wenn Sie den Setup-Assistenten für IDS/IPS und Malware-Schutz übersprungen haben, ohne Einstellungen zu konfigurieren, oder wenn Sie den Assistenten mitten im Konfigurationsvorgang abgebrochen haben, können Sie den Konfigurationsvorgang über die Seite Einstellungen für IDS/IPS und Malware-Schutz fortsetzen.

Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Einstellungen, um diese Seite in der NSX Manager-Benutzeroberfläche zu öffnen.

Die Konfigurationseinstellungen sind auf drei Registerkarten zusammengefasst:
  • Freigegeben
  • IDS/IPS
  • Malware-Schutz

Freigegebene Einstellungen

Wie der Name nahelegt, handelt es sich um gemeinsame Einstellungen für NSX IDS/IPS und NSX Malware-Schutz.
Konfigurieren der Internet-Proxyservers

NSX IDS/IPS benötigt zum Funktionieren nicht unbedingt eine Internetverbindung. NSX IDS/IPS verwendet Signaturen zum Erkennen und Verhindern von Eindringversuchen. Wenn Ihre NSX-Umgebung mit dem Internet verbunden ist, kann NSX Manager die neuesten Signaturen zur Erkennung von Eindringversuchen automatisch entweder direkt aus dem Internet oder über einen NSX-Proxyserver herunterladen. Wenn in Ihrer NSX-Umgebung keine Internetkonnektivität konfiguriert ist, können Sie die Paketdatei (.zip) für die NSX-Signatur zur Erkennung von Eindringversuchen mithilfe von APIs manuell herunterladen und das Signaturpaket dann in den NSX Manager hochladen. Weitere Informationen zum manuellen Hochladen der Signaturen finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.

NSX Malware-Schutz verwendet auch Signaturen zum Erkennen und Verhindern von Malware. NSX Manager kann jedoch nur dann die neuesten Signaturen herunterladen, wenn Ihre NSX-Umgebung über eine Internetverbindung verfügt. Sie können die neuesten Signaturen nicht manuell in NSX Manager hochladen. NSX Malware-Schutz sendet auch Dateien an den NSX Advanced Threat Prevention-Cloud-Dienst für eine detaillierte Cloud-Dateianalyse. Dateien werden von der NSX Application Platform und nicht vom NSX Manager an die Cloud gesendet. NSX Application Platform unterstützt keine Proxyserverkonfiguration und erfordert einen direkten Zugriff auf das Internet.

Wenn NSX Manager über einen NSX-Proxyserver auf das Internet zugreift, klicken Sie auf den Link Internet-Proxyserver und geben Sie die folgenden Einstellungen an:

  • Schema (HTTP oder HTTPS)
  • IP-Adresse des Hosts
  • Portnummer
  • Benutzername und Kennwort
Geltungsbereich für Malware-Schutz und IDS-/IPS-Bereitstellung definieren

Führen Sie im Abschnitt Hosts und Cluster für horizontalen Datenverkehr aktivieren die folgenden Konfigurationen durch:

  • Aktivieren Sie NSX IDS/IPS auf den eigenständigen ESXi-Hosts.
  • Wählen Sie die ESXi-Hostcluster aus, in denen Sie NSX IDS/IPS für den horizontalen Datenverkehr aktivieren möchten.
  • Wenn der NSX Distributed Malware Prevention-Dienst noch nicht auf ESXi-Hostclustern bereitgestellt wurde, klicken Sie in der Spalte Malware-Schutz auf den Link Definiert in Dienst-VM-Bereitstellung. Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX Distributed Malware Prevention-Diensts.
Führen Sie im Abschnitt Gateways für vertikalen Datenverkehr aktivieren die folgenden Konfigurationen aus:
  • Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX IDS/IPS für den vertikalen Datenverkehr aktivieren möchten.
  • Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX Malware-Schutz für den vertikalen Datenverkehr aktivieren möchten.
Wichtig: Für den vertikalen Datenverkehr unterstützt NSX Folgendes:
  • NSX Malware-Schutz-Funktion nur auf Tier-1-Gateways.
  • NSX IDS/IPS-Funktion für die Gateway-Firewall nur auf Tier-1-Gateways.

IDS/IPS-Einstellungen

Wenn die Internetkonnektivität in Ihrem Datencenter konfiguriert ist, überprüft NSX Manager standardmäßig alle 20 Minuten, ob neue Signaturen zur Erkennung von Eindringversuchen in der Cloud verfügbar sind. Wenn ein neues Update verfügbar ist, wird auf der Seite ein Banner mit dem Link Jetzt Update durchführen angezeigt.

Wenn das Datencenter über keine Internetkonnektivität verfügt, können Sie die IDS-Signaturpaketdatei (.zip) manuell herunterladen und dann in NSX Manager hochladen. Eine detaillierte Anleitung finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.

Sie können die folgenden Signaturverwaltungsaufgaben auf dieser Seite durchführen:

  • Um die Signaturversion anzuzeigen oder zusätzlich zum Standard eine weitere Version der Signaturen hinzuzufügen, klicken Sie auf Anzeigen und ändern.

    Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.

  • Um Signaturen zur Erkennung von Eindringversuchen automatisch aus der Cloud herunterzuladen und auf die Hosts und Edges im Datencenter anzuwenden, aktivieren Sie die Umschaltoption Auto-Update.

    Ist diese Option deaktiviert, wird der automatische Download von Signaturen beendet. Sie können das IDS-Signaturpaket (.zip) manuell herunterladen und dann in NSX Manager hochladen.

  • Um den Status des Signaturdownloads auf Transportknoten anzuzeigen, klicken Sie auf den Link im Feld Status.
  • Um bestimmte Signaturen global auszuschließen oder ihre Aktion in Warnung, Verwerfen oder Ablehnen zu ändern, klicken Sie auf Signatursatz anzeigen und verwalten.

    Wählen Sie eine Aktion für die Signatur aus und klicken Sie auf Speichern. Die in den Einstellungen für die globale Signaturverwaltung vorgenommenen Änderungen gelten für alle IDS-/IPS-Profile. Wenn Sie jedoch die Signatureinstellungen in einem IDS/IPS-Profil aktualisieren, haben die Profileinstellungen Vorrang.

    In der folgenden Tabelle wird die Bedeutung der einzelnen Signaturaktionen erläutert.

    Aktion Beschreibung

    Warnung

    Eine Warnung wird generiert und es wird keine automatische vorbeugende Aktion durchgeführt.

    Verwerfen

    Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen.

    Ablehnen

    Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet.

Sie können auch die folgenden erweiterten Einstellungen verwalten:

  • Um IDS/IPS-Ereignisse an externe Syslog-Verbraucher zu senden, aktivieren Sie die Umschaltoption Syslog.
  • Ab NSX 4.0.1.1 können Sie auch konfigurieren, ob übermäßiger Datenverkehr verworfen werden soll oder die IDS/IPS-Engine im Falle einer Abonnementüberschreitung umgehen soll. Klicken Sie im Feld Abonnementüberschreitung auf die entsprechende Option.

Einstellungen für den Malware-Schutz

Für NSX Malware-Schutz müssen bestimmte Mikrodienste in NSX Application Platform bereitgestellt werden.

Wenn NSX Application Platform nicht in Ihrem Datencenter bereitgestellt wird, wird auf dieser Seite der folgende Titel angezeigt:

Malware-Schutz ist noch nicht bereitgestellt.
Führen Sie die folgenden Schritte aus:
  1. Lesen Sie den Text auf dem Bildschirm und klicken Sie auf Zu NSX Application Platform wechseln.
  2. Lesen Sie in der Veröffentlichung Bereitstellung und Verwaltung von VMware NSX Application Platform unter https://docs.vmware.com/de/VMware-NSX-T-Data-Center/index.html die Checkliste für die NSX Application Platform-Bereitstellung, bevor Sie die Bereitstellung der Plattform durchführen. Erweitern Sie im linken Navigationsbereich unter diesem Link Version 4.0 und klicken Sie dann auf den Namen der Veröffentlichung.
  3. Stellen Sie NSX Application Platform bereit. Weitere Informationen finden Sie in der Veröffentlichung Bereitstellung und Verwaltung von VMware NSX Application Platform.
  4. Aktivieren von NSX Malware-Schutz-Funktion auf der Plattform.

Nachdem die NSX Malware-Schutz-Funktion in NSX Application Platform aktiviert wurde, wird auf der Seite mit Einstellungen für Malware-Schutz der Abschnitt Positivliste angezeigt. Möglicherweise müssen Sie die Seite mehrmals aktualisieren, um diesen Abschnitt anzuzeigen.

Positivliste
Über die NSX Manager-Benutzeroberfläche oder die API können Sie die von NSX berechnete Bewertung der Datei überschreiben oder unterdrücken. Diese überschriebene Dateibewertung hat Vorrang vor der von NSX berechneten Bewertung. In der Positivlistentabelle werden alle Dateien mit unterdrückter Bewertung angezeigt. Am Anfang ist diese Tabelle leer. Wenn Sie die Überwachung der Dateiereignisse in Ihrem Datencenter über das Dashboard Malware-Schutz starten und Dateibewertungen auf der Grundlage Ihrer spezifischen Sicherheitsanforderungen unterdrücken, werden die unterdrückten Dateien zur Positivlistentabelle hinzugefügt.

Weitere Informationen zum Überschreiben von Dateibewertungen finden Sie unter Hinzufügen einer Datei zur Positivliste.