Die NSX Manager-Benutzeroberfläche bietet eine gemeinsame Regeltabelle zum Hinzufügen von Regeln für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware Prevention auf einer verteilten Firewall.

Voraussetzungen

Für NSX Malware Prevention:
Für NSX IDS/IPS:

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Verteilte Regeln.
  3. Klicken Sie auf Richtlinie hinzufügen, um einen Abschnitt zum Organisieren der Regeln zu erstellen.
    1. Geben Sie einen Namen für die Richtlinie ein.
    2. (Optional) Klicken Sie in der Richtlinienzeile auf das Zahnradsymbol, um erweiterte Richtlinienoptionen zu konfigurieren. Diese Optionen gelten nur für NSX Distributed IDS/IPS und nicht für NSX Distributed Malware Prevention.
      Option Beschreibung

      Statusbehaftet

      Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.

      Gesperrt

      Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen.

      Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden. Siehe Rollenbasierte Zugriffssteuerung.

  4. Klicken Sie auf Regel hinzufügen und konfigurieren Sie die Regeleinstellungen.
    1. Geben Sie einen Namen für die Regel ein.
    2. Konfigurieren Sie die Spalten Quellen, Ziele und Dienste basierend auf dem Datenverkehr, der eine IDS-Überprüfung erfordert. IDS unterstützt für Quelle und Ziel die Gruppentypen „Generisch“ und „Nur IP-Adressen“.
      Für Firewallregeln für verteilten Malware-Schutz werden diese drei Spalten nicht unterstützt. Behalten Sie die Einstellung „Alle“ bei. Sie müssen jedoch den Geltungsbereich der Regeln für verteilten Malware-Schutz einschränken, indem Sie die Gruppen in der Spalte Angewendet auf auswählen.
    3. Wählen Sie in der Spalte Sicherheitsprofile das Profil aus, das für diese Regel verwendet werden soll.
      Sie können ein NSX IDS/IPS- oder NSX Malware Prevention-Profil auswählen, aber nicht beides. Das bedeutet, dass in einer Regel nur ein Sicherheitsprofil unterstützt wird.
    4. Wählen Sie in der Spalte Angewendet auf eine der Optionen aus.
      Option Beschreibung
      DFW Derzeit unterstützen Regeln für verteilten Malware-Schutz DFW in Angewendet auf nicht. Regeln für verteilte IDS/IPS können auf DFW angewendet werden. Die IDS/IPS-Regeln werden auf Arbeitslast-VMs auf allen Hostclustern angewendet, die mit NSX IDS/IPS aktiviert sind.
      Gruppen Die Regel wird nur auf die VMs angewendet, die Mitglieder der ausgewählten Gruppen sind.
    5. Wählen Sie in der Spalte Modus eine der Optionen aus.
      Option Beschreibung
      Nur erkennen

      Für den NSX Malware Prevention-Dienst: Die Regel erkennt schädliche Dateien auf den VMs, aber es werden keine Schutzmaßnahmen durchgeführt. Das bedeutet, dass schädliche Dateien auf die VMs heruntergeladen werden.

      Für NSX IDS/IPS-Dienst: Die Regel erkennt Eindringversuche anhand von Signaturen und führt keine Aktion aus.

      Erkennen und verhindern

      Für NSX Malware Prevention-Dienst: Die Regel erkennt bekannte schädliche Dateien auf den VMs und blockiert sie, damit sie nicht auf die VMs heruntergeladen werden.

      Für den NSX IDS/IPS-Dienst: Die Regel erkennt Eindringversuche anhand von Signaturen und verwirft den Datenverkehr oder lehnt ihn ab. Dies hängt jeweils von der Signaturkonfiguration im IDS/IPS-Profil oder in der globalen Signaturkonfiguration ab.

    6. (Optional) Klicken Sie auf das Zahnradsymbol, um weitere Regeleinstellungen zu konfigurieren. Diese Einstellungen gelten nur für NSX Distributed IDS/IPS und nicht für NSX Distributed Malware Prevention.
      Option Beschreibung
      Protokollierung Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert.
      Richtung Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. EINGEHEND bedeutet, dass nur der Datenverkehr zum Objekt überprüft wird. AUSGEHEND bedeutet, dass nur der Datenverkehr vom Objekt überprüft wird. „Ein-/Ausgehend“ bedeutet, dass der Datenverkehr in beide Richtungen überprüft wird.
      IP-Protokoll Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
      Abonnementüberschreitung Sie können konfigurieren, ob übermäßiger Datenverkehr verworfen wird oder die IDS/IPS-Engine im Falle einer Abonnementüberschreitung umgehen soll. Der hier eingegebene Wert überschreibt den für die Abonnementüberschreitung festgelegten Wert in der globalen Einstellung.
      Protokollbezeichnung Die Protokollbezeichnung wird im Firewallprotokoll gespeichert, wenn die Protokollierung aktiviert ist.
  5. (Optional) Wiederholen Sie Schritt 4, um weitere Regeln in derselben Richtlinie hinzuzufügen.
  6. Klicken Sie auf Veröffentlichen.
    Die Regeln werden gespeichert und an die Hosts übertragen. Mit einem Klick auf das Diagrammsymbol können Sie Regelstatistiken für NSX Distributed IDS/IPS anzeigen.
    Hinweis: Regelstatistiken für Firewallregeln für NSX Distributed Malware Prevention werden nicht unterstützt.

Ergebnisse

Wenn Dateien auf den Endpoint-VMs extrahiert werden, werden Dateiereignisse generiert und im Dashboard Malware-Schutz sowie im Dashboard Sicherheitsübersicht angezeigt. Wenn die Dateien schädlich sind, wird die Sicherheitsrichtlinie erzwungen. Wenn die Dateien ungefährlich sind, werden sie auf die VMs heruntergeladen.

Für mit dem IDS/IPS-Profil konfigurierte Regeln gilt: Wenn das System schädlichen Datenverkehr erkennt, generiert es ein Eindringereignis und zeigt dieses auf dem IDS/IPS-Dashboard an. Das System verwirft den Datenverkehr, lehnt ihn ab oder generiert einen Alarm dafür, je nachdem, welche Aktion Sie in der Regel konfiguriert haben.

Beispiel

Ein End-to-End-Beispiel für die Konfiguration einer Regel für die verteilte Firewall zur Malware-Erkennung und ‑Verhinderung auf VM-Endpoints finden Sie unter Beispiel: Hinzufügen von Regeln für NSX Distributed Malware Prevention.

Nächste Maßnahme

Überwachen und analysieren Sie Dateiereignisse auf dem Dashboard Malware-Schutz. Weitere Informationen finden Sie unter Überwachen von Dateiereignissen.

Über das IDS/IPS-Dashboard können Sie Eindringereignisse überwachen und analysieren. Weitere Informationen finden Sie unter Überwachen von IDS/IPS-Ereignissen.