Die NSX Manager-Benutzeroberfläche bietet eine gemeinsame Regeltabelle zum Hinzufügen von Regeln für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware-Schutz auf einer Gateway-Firewall.
Ob die Gateway-Firewallregel nur NSX IDS/IPS oder nur NSX Malware-Schutz oder beides erzwingt, richtet sich nach den Sicherheitsprofilen, die Sie der Regel hinzufügen.
Prozedur
- Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
- Navigieren Sie zu .
- Wenn Sie eine Richtlinie für ein bestimmtes Gateway hinzufügen möchten, müssen Sie sich auf der Registerkarte Gateway-spezifische Regeln befinden. Wählen Sie dort ein Gateway aus. Wenn Sie eine Richtlinie für mehrere Gateways hinzufügen möchten, müssen Sie sich auf der Registerkarte Alle freigegebenen Regeln befinden.
- Klicken Sie auf Richtlinie hinzufügen, um einen Abschnitt zum Organisieren der Regeln zu erstellen.
- Geben Sie einen Namen für die Richtlinie ein.
- (Optional) Klicken Sie in der Richtlinienzeile auf das Zahnradsymbol, um erweiterte Richtlinienoptionen zu konfigurieren. Diese Optionen gelten nur für NSX IDS/IPS und nicht für NSX Malware-Schutz.
Option |
Beschreibung |
Statusbehaftet |
Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen. |
Gesperrt |
Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen. |
- Klicken Sie auf „Veröffentlichen“, um die Richtlinie zu veröffentlichen.
- Klicken Sie auf Regel hinzufügen und konfigurieren Sie die Regeleinstellungen.
- Geben Sie einen Namen für die Regel ein.
- Klicken Sie in der Spalte Quellen auf das Bearbeitungssymbol und wählen Sie die Gruppen aus, die als Quelle der Regel verwendet werden sollen. Wenn die Quelle nicht angegeben ist, wird standardmäßig „Alle“ verwendet.
- Klicken Sie in der Spalte Ziele auf das Bearbeitungssymbol und wählen Sie die Gruppen aus, die als Ziel der Regel verwendet werden sollen. Wenn kein Ziel angegeben ist, wird standardmäßig „Alle“ verwendet.
- Klicken Sie in der Spalte Dienste auf das Bearbeitungssymbol und wählen Sie die Dienste aus, die in der Regel verwendet werden sollen. Wenn der Dienst nicht angegeben ist, wird standardmäßig „Alle“ verwendet.
Hinweis:
- Wenn Sie auf das Bearbeitungssymbol klicken, zeigt die Benutzeroberfläche eine Liste aller verfügbaren Dienste an. Allerdings unterstützt NSX Malware-Schutz derzeit die Erkennung der Dateiübertragung nur für die folgenden Dienste: HTTP, HTTPS, FTP und SMB.
- NSX Malware-Schutz auf der Gateway-Firewall unterstützt derzeit nicht das Extrahieren und Analysieren von Dateien, die über HTTP hochgeladen werden. Wenn Dateien jedoch über FTP hochgeladen werden, wird die Extraktion und Analyse der Dateien zur Erkennung von bösartigem Verhalten unterstützt.
- Klicken Sie in der Spalte Sicherheitsprofile auf das Bearbeitungssymbol und wählen Sie die Profile aus, die der Firewallregel hinzugefügt werden sollen.
Sie können maximal zwei Sicherheitsprofile auswählen: ein
NSX IDS/IPS-Profil und ein
NSX Malware-Schutz-Profil.
- Wenn Sie die Regel für ein bestimmtes Gateway hinzufügen, wird in der Spalte Angewendet auf der Name dieses Gateways angezeigt.
Wenn Sie freigegebene Regeln hinzufügen, klicken Sie auf das Bearbeitungssymbol in der Spalte
Angewendet auf und wählen Sie die Gateways aus, auf die Sie die Regel anwenden möchten.
Standardmäßig werden Gateway-Firewallregeln auf alle verfügbaren Uplink- und Dienstschnittstellen auf den ausgewählten Gateways angewendet.
- Wählen Sie in der Spalte Modus eine der Optionen aus.
Option |
Beschreibung |
Nur erkennen |
Die Regel erkennt schädliche Dateien, schädlichen Datenverkehr oder beides auf den ausgewählten Gateways, je nachdem, welches Profil an die Regel angehängt ist. Es werden keine vorbeugenden Maßnahmen ergriffen. |
Erkennen und verhindern |
NSX Malware-Schutz unterstützt diesen Modus derzeit nicht. Allerdings können Regeln mit NSX IDS/IPS-Profil schädlichen Datenverkehr auf den ausgewählten Gateways erkennen und blockieren. |
- (Optional) Klicken Sie auf das Zahnradsymbol, um weitere Regeleinstellungen zu konfigurieren. Diese Einstellungen gelten nur für NSX IDS/IPS und nicht für NSX Malware-Schutz.
Option |
Beschreibung |
Protokollierung |
Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert. |
Richtung |
Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. EINGEHEND bedeutet, dass nur der Datenverkehr zum Objekt überprüft wird. AUSGEHEND bedeutet, dass nur der Datenverkehr vom Objekt überprüft wird. „Ein-/Ausgehend“ bedeutet, dass der Datenverkehr in beide Richtungen überprüft wird. |
Abonnementüberschreitung |
Konfigurieren Sie, ob übermäßiger Datenverkehr verworfen werden soll oder die IDS/IPS-Engine im Falle einer Abonnementüberschreitung umgehen soll. Der hier eingegebene Wert überschreibt den für die Abonnementüberschreitung festgelegten Wert in der globalen Einstellung. |
IP-Protokoll |
Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6). |
- (Optional) Wiederholen Sie Schritt 4, um weitere Regeln in derselben Richtlinie hinzuzufügen.
- Klicken Sie auf Veröffentlichen. Sie können auf das Diagrammsymbol klicken, um Regelstatistiken für NSX IDS/IPS in der Gateway-Firewall anzuzeigen.
Die Regeln werden gespeichert und an die NSX Edges übertragen.
Ergebnisse
Wenn Dateien auf den Tier-1-Gateways erkannt werden, werden Dateiereignisse generiert und im Dashboard Malware-Schutz und im Dashboard Sicherheitsübersicht angezeigt.
Für mit dem IDS/IPS-Profil konfigurierte Regeln gilt: Wenn das System schädlichen Datenverkehr erkennt, generiert es ein Eindringereignis. Sie können die Ereignisdetails im Dashboard IDS/IPS oder im Dashboard Sicherheitsübersicht anzeigen.
Nächste Maßnahme
Überwachen und analysieren Sie Dateiereignisse auf dem Dashboard Malware Prevention. Weitere Informationen finden Sie unter Überwachen von Dateiereignissen.
Über das
IDS/IPS-Dashboard können Sie Eindringereignisse überwachen und analysieren. Weitere Informationen finden Sie unter
Überwachen von IDS/IPS-Ereignissen.