Sie können NSX IDS/IPS- und NSX Malware Prevention-Funktionen nur dann in Ihrer NSX-Umgebung einrichten, wenn Ihr Datencenter eine geeignete Lizenz verwendet.
Informationen zu Lizenzen, die zum Ausführen der NSX Advanced Threat Prevention-Lösung erforderlich sind, finden Sie unter Lizenztypen im Abschnitt Sicherheitslizenzen.
Die Vorbereitung des Datencenters für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware Prevention umfasst mehrere Schritte. Für diese Schritte können Sie den Assistenten Einrichtung von IDS/IPS und Malware-Schutz verwenden.
Der Setup-Assistent ist wie ein Onboarding-Vorgang. Er führt Sie durch eine Abfolge von Schritten, um das Datencenter für diese beiden Sicherheitsfunktionen vorzubereiten. Navigieren Sie zu
, um diesen Assistenten auszuführen.Wenn NSX erkennt, dass keine entsprechenden Lizenzen hinzugefügt werden, wird auf der Seite der folgende Text angezeigt:
IDS/IPS und Malware-Schutz wird mit der aktuellen Lizenz nicht unterstützt.
Wenn NSX erkennt, dass entsprechende Lizenzen hinzugefügt wurden, werden auf der Seite die Schaltflächen Setup starten und Setup überspringen angezeigt.
Klicken Sie auf Setup starten, um mit dem Setup-Assistenten zu beginnen. Folgen Sie den Anweisungen auf dem Bildschirm und in dieser Dokumentation, um die Schritte im Assistenten auszuführen.
- Wenn Sie Ihren Fortschritt in einer beliebigen Phase speichern und den Assistenten beenden möchten, klicken Sie auf Zurück zur Hauptseite. Später können Sie die Einrichtung von dort aus fortsetzen, wo Sie aufgehört haben.
- Wenn Sie den Setup-Assistenten zurücksetzen und neu starten möchten, klicken Sie auf Abbrechen. Durch das Abbrechen des Setups werden die im Assistenten vorgenommenen Auswahlkonfigurationen entfernt. Es werden jedoch keine Bereitstellungen entfernt, die Sie im Assistenten abgeschlossen haben. Wenn Sie beispielsweise die Bereitstellung der NSX Application Platform und der NSX Malware Prevention-Dienst-VM auf Hostclustern abgeschlossen haben, bevor Sie den Assistenten zurücksetzen, werden diese Bereitstellungen beibehalten.
- Wenn Sie den Setup-Assistenten nicht verwenden möchten und die beiden Sicherheitsfunktionen später selbst einrichten möchten, klicken Sie auf Setup überspringen. NSX Manager zeigt diese Meldung nicht mehr an. Später können Sie zu navigieren und das Datencenter für beide Funktionen einrichten. Informationen zur Verwendung der Seite Einstellungen für IDS/IPS und Malware-Schutz finden Sie unter Konfigurieren der Einstellungen für NSX IDS/IPS und NSX Malware Prevention.
Ausgewählte Funktionen | Angezeigte Registerkarten |
---|---|
IDS/IPS für horizontalen Datenverkehr oder IDS/IPS für vertikalen Datenverkehr |
NSX-Proxy konfigurieren Signaturen verwalten Knoten aktivieren |
Malware-Schutz nur für horizontalen Datenverkehr |
NSX-Proxy konfigurieren NSX Application Platform bereitstellen Dienst-VM bereitstellen |
Malware-Schutz nur für vertikalen Datenverkehr |
NSX-Proxy konfigurieren NSX Application Platform bereitstellen Knoten aktivieren |
Malware-Schutz sowohl für horizontalen als auch für vertikalen Datenverkehr | NSX-Proxy konfigurieren NSX Application Platform bereitstellen Dienst-VM bereitstellen Knoten aktivieren |
Alle Funktionen ausgewählt |
Alle fünf Registerkarten im Assistenten werden angezeigt |
Konfigurieren des NSX-Proxyservers für Internetkonnektivität
NSX IDS/IPS benötigt zum Funktionieren nicht unbedingt eine Internetverbindung. NSX IDS/IPS verwendet Signaturen zum Erkennen und Verhindern von Eindringversuchen. Wenn Ihre NSX-Umgebung mit dem Internet verbunden ist, kann NSX Manager die neuesten Signaturen zur Erkennung von Eindringversuchen automatisch entweder direkt aus dem Internet oder über einen NSX-Proxyserver herunterladen. Wenn in Ihrer NSX-Umgebung keine Internetkonnektivität konfiguriert ist, können Sie die Paketdatei (.zip) für die NSX-Signatur zur Erkennung von Eindringversuchen mithilfe von APIs manuell herunterladen und das Signaturpaket dann in den NSX Manager hochladen. Weitere Informationen zum manuellen Hochladen der Signaturen finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.
NSX Malware Prevention verwendet auch Signaturen zum Erkennen und Verhindern von Malware. NSX Manager kann jedoch nur dann die neuesten Signaturen herunterladen, wenn Ihre NSX-Umgebung über eine Internetverbindung verfügt. Sie können die neuesten Signaturen nicht manuell in NSX Manager hochladen. NSX Malware Prevention sendet auch Dateien an den NSX Advanced Threat Prevention-Cloud-Dienst für eine detaillierte Cloud-Dateianalyse. Dateien werden von der NSX Application Platform und nicht vom NSX Manager an die Cloud gesendet. NSX Application Platform unterstützt keine Proxyserverkonfiguration und erfordert einen direkten Zugriff auf das Internet.
- Schema (HTTP oder HTTPS)
- IP-Adresse des Hosts
- Portnummer
- Benutzername und Kennwort
NSX Application Platform bereitstellen
Für NSX Malware Prevention müssen bestimmte Mikrodienste in NSX Application Platform bereitgestellt werden. Sie müssen zuerst die NSX Application Platform bereitstellen und dann NSX Malware Prevention aktivieren. Nachdem diese Funktion aktiviert wurde, werden die für NSX Malware Prevention erforderlichen Mikrodienste in der Plattform bereitgestellt.
Virtuelle Dienstmaschine bereitstellen
Für horizontalen Datenverkehr im Datencenter müssen Sie den NSX Distributed Malware Prevention-Dienst auf vSphere-Hostclustern bereitstellen, die für NSX vorbereitet sind. Wenn dieser Dienst bereitgestellt wird, wird auf jedem Host des vSphere-Clusters eine virtuelle Dienstmaschine (SVM) installiert, und NSX Malware Prevention wird auf dem Hostcluster aktiviert.
Ein Ringdiagramm auf dieser Seite zeigt die Anzahl der Hostcluster in dem Datencenter an, in dem der NSX Distributed Malware Prevention-Dienst bereitgestellt bzw. nicht bereitgestellt wird.
Detaillierte Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX-Dienstes „Verteilter Malware-Schutz“.
Kehren Sie nach der Dienstbereitstellung auf den Hostclustern zu dieser Seite im Assistenten zurück und klicken Sie auf Weiter, um fortzufahren.
Signaturen verwalten
Wenn die Internetkonnektivität in Ihrem Datencenter konfiguriert ist, überprüft NSX Manager standardmäßig alle 20 Minuten, ob neue Signaturen zur Erkennung von Eindringversuchen in der Cloud verfügbar sind. Wenn ein neues Update verfügbar ist, wird auf der Seite ein Banner mit dem Link Jetzt Update durchführen angezeigt.
Wenn das Datencenter über keine Internetkonnektivität verfügt, können Sie die IDS-Signaturpaketdatei (.zip) manuell herunterladen und dann in NSX Manager hochladen. Eine detaillierte Anleitung finden Sie unter Offline-Herunterladen und ‑Hochladen von NSX-Signaturen zur Erkennung von Eindringversuchen.
- Signaturverwaltung
-
Signaturverwaltungsaufgaben sind optional. Falls erforderlich, können Sie das zu einem späteren Zeitpunkt tun. Navigieren Sie dafür zu
.- Um die Signaturversion anzuzeigen oder zusätzlich zum Standard eine weitere Version der Signaturen hinzuzufügen, klicken Sie auf Anzeigen und ändern.
Momentan werden zwei Signaturen beibehalten. Bei jeder Änderung der Commit-Identifikationsnummer der Version wird eine neue Version heruntergeladen.
- Um Signaturen zur Erkennung von Eindringversuchen automatisch aus der Cloud herunterzuladen und auf die Hosts und Edges im Datencenter anzuwenden, aktivieren Sie die Umschaltoption Auto-Update.
Ist diese Option deaktiviert, wird der automatische Download von Signaturen beendet. Sie können das IDS-Signaturpaket (.zip) manuell herunterladen und dann in NSX Manager hochladen.
- Um den Status des Signaturdownloads auf Transportknoten anzuzeigen, klicken Sie auf den Link im Feld Status.
- Um bestimmte Signaturen global auszuschließen oder ihre Aktion in Warnung, Verwerfen oder Ablehnen zu ändern, klicken Sie auf Signatursatz anzeigen und verwalten.
Wählen Sie eine Aktion für die Signatur aus und klicken Sie auf Speichern. Die in den Einstellungen für die globale Signaturverwaltung vorgenommenen Änderungen gelten für alle IDS-/IPS-Profile. Wenn Sie jedoch die Signatureinstellungen in einem IDS/IPS-Profil aktualisieren, haben die Profileinstellungen Vorrang.
In der folgenden Tabelle wird die Bedeutung der einzelnen Signaturaktionen erläutert.
Aktion Beschreibung Warnung
Eine Warnung wird generiert und es wird keine automatische vorbeugende Aktion durchgeführt.
Verwerfen
Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen.
Ablehnen
Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet.
- Um die Signaturversion anzuzeigen oder zusätzlich zum Standard eine weitere Version der Signaturen hinzuzufügen, klicken Sie auf Anzeigen und ändern.
Knoten für IDS/IPS und Malware-Schutz aktivieren
Führen Sie im Abschnitt Hosts und Cluster für horizontalen Datenverkehr aktivieren die folgenden Konfigurationen durch:
- Aktivieren Sie NSX IDS/IPS auf den eigenständigen ESXi-Hosts.
- Wählen Sie die ESXi-Hostcluster aus, in denen Sie NSX IDS/IPS für den horizontalen Datenverkehr aktivieren möchten.
- Wenn der NSX Distributed Malware Prevention-Dienst noch nicht auf ESXi-Hostclustern bereitgestellt wurde, klicken Sie in der Spalte Malware-Schutz auf den Link Definiert in Dienst-VM-Bereitstellung. Anweisungen zum Bereitstellen des NSX Distributed Malware Prevention-Diensts auf einem Hostcluster finden Sie unter Bereitstellen des NSX-Dienstes „Verteilter Malware-Schutz“.
- Aktivieren Sie NSX Distributed IDS/IPS nicht in einer Umgebung, die Distributed Load Balancer verwendet. NSX unterstützt die Verwendung von IDS/IPS mit einem Distributed Load Balancer nicht.
- Damit NSX Distributed IDS/IPS funktioniert, muss die verteilte Firewall (DFW) aktiviert sein. Wenn der Datenverkehr durch eine DFW-Regel blockiert ist, kann IDS/IPS den Datenverkehr nicht sehen.
- Wählen Sie die Gateways aus, auf denen Sie NSX IDS/IPS für den vertikalen Datenverkehr aktivieren möchten.
- Wählen Sie die Tier-1-Gateways aus, auf denen Sie NSX Malware Prevention für den vertikalen Datenverkehr aktivieren möchten.
- NSX Malware Prevention nur auf Tier-1-Gateways.
- NSX IDS/IPS wird für die Gateway-Firewall sowohl auf Tier-0- als auch auf Tier-1-Gateways unterstützt.