Die NSX Manager-Benutzeroberfläche bietet eine gemeinsame Regeltabelle zum Hinzufügen von Regeln für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware Prevention auf einer Gateway-Firewall.

Ob die Gateway-Firewallregel nur NSX IDS/IPS oder nur NSX Malware Prevention oder beides erzwingt, richtet sich nach den Sicherheitsprofilen, die Sie der Regel hinzufügen.

Beachten Sie, dass die Konfiguration einer NSX IDS/IPS-Regel im Modus „Nur erkennen“ oder „Erkennen und Erzwingen“ auf einem Tier-1-Gateway mit konfiguriertem Load Balancer nicht unterstützt wird.

Voraussetzungen

Für NSX Malware Prevention:
Für NSX IDS/IPS:

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Gateway-Regeln.
  3. Wenn Sie eine Richtlinie für ein bestimmtes Gateway hinzufügen möchten, müssen Sie sich auf der Registerkarte Gateway-spezifische Regeln befinden. Wählen Sie dort ein Gateway aus. Wenn Sie eine Richtlinie für mehrere Gateways hinzufügen möchten, müssen Sie sich auf der Registerkarte Alle freigegebenen Regeln befinden.
  4. Klicken Sie auf Richtlinie hinzufügen, um einen Abschnitt zum Organisieren der Regeln zu erstellen.
    1. Geben Sie einen Namen für die Richtlinie ein.
    2. (Optional) Klicken Sie in der Richtlinienzeile auf das Zahnradsymbol, um erweiterte Richtlinienoptionen zu konfigurieren. Diese Optionen gelten nur für NSX IDS/IPS und nicht für NSX Malware Prevention.
      Option Beschreibung

      Statusbehaftet

      Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.

      Gesperrt

      Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.
    3. Klicken Sie auf „Veröffentlichen“, um die Richtlinie zu veröffentlichen.
  5. Klicken Sie auf Regel hinzufügen und konfigurieren Sie die Regeleinstellungen.
    1. Geben Sie einen Namen für die Regel ein.
    2. Klicken Sie in der Spalte Quellen auf das Bearbeitungssymbol und wählen Sie die Gruppen aus, die als Quelle der Regel verwendet werden sollen. Wenn die Quelle nicht angegeben ist, wird standardmäßig „Alle“ verwendet.
      Informationen zum Hinzufügen von Gruppen finden Sie unter Hinzufügen einer Gruppe.
    3. Klicken Sie in der Spalte Ziele auf das Bearbeitungssymbol und wählen Sie die Gruppen aus, die als Ziel der Regel verwendet werden sollen. Wenn kein Ziel angegeben ist, wird standardmäßig „Alle“ verwendet.
    4. Klicken Sie in der Spalte Dienste auf das Bearbeitungssymbol und wählen Sie die Dienste aus, die in der Regel verwendet werden sollen. Wenn der Dienst nicht angegeben ist, wird standardmäßig „Alle“ verwendet.
      Hinweis:
      • Wenn Sie auf das Bearbeitungssymbol klicken, zeigt die Benutzeroberfläche eine Liste aller verfügbaren Dienste an. Allerdings unterstützt NSX Malware Prevention derzeit die Erkennung der Dateiübertragung nur für die folgenden Dienste: HTTP, HTTPS, FTP und SMB.
      • NSX Malware Prevention auf der Gateway-Firewall unterstützt derzeit nicht das Extrahieren und Analysieren von Dateien, die über HTTP hochgeladen werden. Wenn Dateien jedoch über FTP hochgeladen werden, wird die Extraktion und Analyse der Dateien zur Erkennung von bösartigem Verhalten unterstützt.
    5. Klicken Sie in der Spalte Sicherheitsprofile auf das Bearbeitungssymbol und wählen Sie die Profile aus, die der Firewallregel hinzugefügt werden sollen.
      Sie können maximal zwei Sicherheitsprofile auswählen: ein NSX IDS/IPS-Profil und ein NSX Malware Prevention-Profil.
    6. Wenn Sie die Regel für ein bestimmtes Gateway hinzufügen, wird in der Spalte Angewendet auf der Name dieses Gateways angezeigt. Für ein Tier-0-Gateway können Sie auf das Bearbeitungssymbol klicken, um weitere Auswahlmöglichkeiten zu treffen.
      Für ein Tier-1-Gateway können Sie nur die Regel angeben, die auf das Gateway angewendet werden soll. Für ein Tier-0-Gateway können Sie die Regel angeben, die auf das Gateway, einzelne Schnittstellen oder Schnittstellengruppen angewendet werden soll.

      Wenn Sie freigegebene Regeln hinzufügen, klicken Sie auf das Bearbeitungssymbol in der Spalte Angewendet auf und wählen Sie die Gateways und Schnittstellen aus, auf die Sie die Regel anwenden möchten.

      Eine Regel, die für ein Gateway gilt, gilt für alle Uplink-Schnittstellen und Dienstschnittstellen auf dem Gateway.

    7. Wählen Sie in der Spalte Modus eine der Optionen aus.
      Option Beschreibung
      Nur erkennen Die Regel erkennt schädliche Dateien, schädlichen Datenverkehr oder beides auf den ausgewählten Gateways, je nachdem, welches Profil an die Regel angehängt ist. Es werden keine vorbeugenden Maßnahmen ergriffen.
      Erkennen und verhindern NSX Malware Prevention unterstützt diesen Modus derzeit nicht. Allerdings können Regeln mit NSX IDS/IPS-Profil schädlichen Datenverkehr auf den ausgewählten Gateways erkennen und blockieren.
    8. (Optional) Klicken Sie auf das Zahnradsymbol, um weitere Regeleinstellungen zu konfigurieren. Diese Einstellungen gelten nur für NSX IDS/IPS und nicht für NSX Malware Prevention.
      Option Beschreibung
      Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert.
      Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. EINGEHEND bedeutet, dass nur der Datenverkehr zum Objekt überprüft wird. AUSGEHEND bedeutet, dass nur der Datenverkehr vom Objekt überprüft wird. „Ein-/Ausgehend“ bedeutet, dass der Datenverkehr in beide Richtungen überprüft wird.
      Abonnementüberschreitung Konfigurieren Sie, ob übermäßiger Datenverkehr verworfen werden soll oder die IDS/IPS-Engine im Falle einer Abonnementüberschreitung umgehen soll. Der hier eingegebene Wert überschreibt den für die Abonnementüberschreitung festgelegten Wert in der globalen Einstellung.
      IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
  6. (Optional) Wiederholen Sie Schritt 4, um weitere Regeln in derselben Richtlinie hinzuzufügen.
  7. Klicken Sie auf Veröffentlichen. Sie können auf das Diagrammsymbol klicken, um Regelstatistiken für NSX IDS/IPS in der Gateway-Firewall anzuzeigen.
    Die Regeln werden gespeichert und an die NSX Edges übertragen.

Ergebnisse

Wenn Dateien auf den Tier-1-Gateways erkannt werden, werden Dateiereignisse generiert und im Dashboard Malware-Schutz und im Dashboard Sicherheitsübersicht angezeigt.

Für mit dem IDS/IPS-Profil konfigurierte Regeln gilt: Wenn das System schädlichen Datenverkehr erkennt, generiert es ein Eindringereignis. Sie können die Ereignisdetails im Dashboard IDS/IPS oder im Dashboard Sicherheitsübersicht anzeigen.

Beispiel

Ein End-to-End-Beispiel für die Konfiguration von Gateway-Firewallregeln mit NSX Malware Prevention finden Sie unter Beispiel: Hinzufügen von Regeln für NSX Malware Prevention auf einer Gateway-Firewall.

Nächste Maßnahme

Überwachen und analysieren Sie Dateiereignisse auf dem Dashboard Malware-Schutz. Weitere Informationen finden Sie unter Überwachen von Dateiereignissen.

Über das IDS/IPS-Dashboard können Sie Eindringereignisse überwachen und analysieren. Weitere Informationen finden Sie unter Überwachen von IDS/IPS-Ereignissen.