Die NSX Manager-Benutzeroberfläche bietet eine gemeinsame Regeltabelle zum Hinzufügen von Regeln für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware Prevention auf einer verteilten Firewall.
Voraussetzungen
Für
NSX Malware Prevention:
- Die virtuelle Maschine für den NSX Malware Prevention-Dienst wird auf vSphere-Hostclustern bereitgestellt, die für NSX vorbereitet sind. Eine detaillierte Anleitung finden Sie unter Bereitstellen des NSX-Dienstes „Verteilter Malware-Schutz“.
- Hinzufügen eines Malware-Schutzprofils.
- Erstellen Sie Gruppen und fügen Sie in diesen Gruppen VMs hinzu, die Sie vor Malware schützen möchten. Sie können VMs als statische Mitglieder hinzufügen oder dynamische Mitgliedschaftskriterien definieren, die VMs als effektive Mitglieder bewerten. Eine detaillierte Anleitung finden Sie unter Hinzufügen einer Gruppe.
Prozedur
- Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
- Navigieren Sie zu .
- Klicken Sie auf Richtlinie hinzufügen, um einen Abschnitt zum Organisieren der Regeln zu erstellen.
- Geben Sie einen Namen für die Richtlinie ein.
- (Optional) Klicken Sie in der Richtlinienzeile auf das Zahnradsymbol, um erweiterte Richtlinienoptionen zu konfigurieren. Diese Optionen gelten nur für NSX Distributed IDS/IPS und nicht für NSX Distributed Malware Prevention.
Option |
Beschreibung |
Statusbehaftet |
Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen. |
Gesperrt |
Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen. Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden. Siehe Rollenbasierte Zugriffssteuerung. |
- Klicken Sie auf Regel hinzufügen und konfigurieren Sie die Regeleinstellungen.
- Geben Sie einen Namen für die Regel ein.
- Konfigurieren Sie die Spalten Quellen, Ziele und Dienste basierend auf dem Datenverkehr, der eine IDS-Überprüfung erfordert. IDS unterstützt für Quelle und Ziel die Gruppentypen „Generisch“ und „Nur IP-Adressen“.
Für Firewallregeln für verteilten Malware-Schutz werden diese drei Spalten nicht unterstützt. Behalten Sie die Einstellung „Alle“ bei. Sie müssen jedoch den Geltungsbereich der Regeln für verteilten Malware-Schutz einschränken, indem Sie die Gruppen in der Spalte
Angewendet auf auswählen.
- Wählen Sie in der Spalte Sicherheitsprofile das Profil aus, das für diese Regel verwendet werden soll.
Sie können ein
NSX IDS/IPS- oder
NSX Malware Prevention-Profil auswählen, aber nicht beides. Das bedeutet, dass in einer Regel nur ein Sicherheitsprofil unterstützt wird.
- Wählen Sie in der Spalte Angewendet auf eine der Optionen aus.
Option |
Beschreibung |
DFW |
Derzeit unterstützen Regeln für verteilten Malware-Schutz DFW in Angewendet auf nicht. Regeln für verteilte IDS/IPS können auf DFW angewendet werden. Die IDS/IPS-Regeln werden auf Arbeitslast-VMs auf allen Hostclustern angewendet, die mit NSX IDS/IPS aktiviert sind. |
Gruppen |
Die Regel wird nur auf die VMs angewendet, die Mitglieder der ausgewählten Gruppen sind. |
- Wählen Sie in der Spalte Modus eine der Optionen aus.
Option |
Beschreibung |
Nur erkennen |
Für den NSX Malware Prevention-Dienst: Die Regel erkennt schädliche Dateien auf den VMs, aber es werden keine Schutzmaßnahmen durchgeführt. Das bedeutet, dass schädliche Dateien auf die VMs heruntergeladen werden. Für NSX IDS/IPS-Dienst: Die Regel erkennt Eindringversuche anhand von Signaturen und führt keine Aktion aus. |
Erkennen und verhindern |
Für NSX Malware Prevention-Dienst: Die Regel erkennt bekannte schädliche Dateien auf den VMs und blockiert sie, damit sie nicht auf die VMs heruntergeladen werden. Für den NSX IDS/IPS-Dienst: Die Regel erkennt Eindringversuche anhand von Signaturen und verwirft den Datenverkehr oder lehnt ihn ab. Dies hängt jeweils von der Signaturkonfiguration im IDS/IPS-Profil oder in der globalen Signaturkonfiguration ab. |
- (Optional) Klicken Sie auf das Zahnradsymbol, um weitere Regeleinstellungen zu konfigurieren. Diese Einstellungen gelten nur für NSX Distributed IDS/IPS und nicht für NSX Distributed Malware Prevention.
Option |
Beschreibung |
Protokollierung |
Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert. |
Richtung |
Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. EINGEHEND bedeutet, dass nur der Datenverkehr zum Objekt überprüft wird. AUSGEHEND bedeutet, dass nur der Datenverkehr vom Objekt überprüft wird. „Ein-/Ausgehend“ bedeutet, dass der Datenverkehr in beide Richtungen überprüft wird. |
IP-Protokoll |
Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6). |
Abonnementüberschreitung |
Sie können konfigurieren, ob übermäßiger Datenverkehr verworfen wird oder die IDS/IPS-Engine im Falle einer Abonnementüberschreitung umgehen soll. Der hier eingegebene Wert überschreibt den für die Abonnementüberschreitung festgelegten Wert in der globalen Einstellung. |
Protokollbezeichnung |
Die Protokollbezeichnung wird im Firewallprotokoll gespeichert, wenn die Protokollierung aktiviert ist. |
- (Optional) Wiederholen Sie Schritt 4, um weitere Regeln in derselben Richtlinie hinzuzufügen.
- Klicken Sie auf Veröffentlichen.
Die Regeln werden gespeichert und an die Hosts übertragen. Mit einem Klick auf das Diagrammsymbol können Sie Regelstatistiken für
NSX Distributed IDS/IPS anzeigen.
Hinweis: Regelstatistiken für Firewallregeln für
NSX Distributed Malware Prevention werden nicht unterstützt.
Ergebnisse
Wenn Dateien auf den Endpoint-VMs extrahiert werden, werden Dateiereignisse generiert und im Dashboard Malware-Schutz sowie im Dashboard Sicherheitsübersicht angezeigt. Wenn die Dateien schädlich sind, wird die Sicherheitsrichtlinie erzwungen. Wenn die Dateien ungefährlich sind, werden sie auf die VMs heruntergeladen.
Für mit dem IDS/IPS-Profil konfigurierte Regeln gilt: Wenn das System schädlichen Datenverkehr erkennt, generiert es ein Eindringereignis und zeigt dieses auf dem IDS/IPS-Dashboard an. Das System verwirft den Datenverkehr, lehnt ihn ab oder generiert einen Alarm dafür, je nachdem, welche Aktion Sie in der Regel konfiguriert haben.
Nächste Maßnahme
Überwachen und analysieren Sie Dateiereignisse auf dem Dashboard Malware-Schutz. Weitere Informationen finden Sie unter Überwachen von Dateiereignissen.
Über das
IDS/IPS-Dashboard können Sie Eindringereignisse überwachen und analysieren. Weitere Informationen finden Sie unter
Überwachen von IDS/IPS-Ereignissen.