La interfaz de usuario de NSX Manager proporciona una tabla de reglas comunes para agregar reglas para NSX Intrusion Detection/Prevention y Prevención de malware de NSX en un firewall de puerta de enlace.

Los perfiles de seguridad que se agregan a la regla determinan si la regla de firewall de puerta de enlace aplica solo NSX IDS/IPS, solo Prevención de malware de NSX, o ambos.

Importante: En NSX-T Data Center 3.2, la función IDS/IPS de NSX en el firewall de puerta de enlace está disponible en el modo de vista previa técnica. Utilice esta función solo para fines experimentales.

Requisitos previos

Para Prevención de malware de NSX:
Para NSX IDS/IPS:
  • Agregar un perfil de NSX IDS/IPS.
  • Active o habilite NSX IDS/IPS en las puertas de enlace de nivel 1. (Seguridad > IDS/IPS y prevención de malware > Configuración > Compartido)

Procedimiento

  1. Desde su explorador, inicie sesión en un NSX Manager en https://nsx-manager-ip-address.
  2. Desplácese a Seguridad > IDS/IPS y prevención de malware > Reglas de puerta de enlace.
  3. Si desea agregar una directiva para una puerta de enlace específica, asegúrese de estar en la pestaña Reglas específicas de la puerta de enlace y seleccione una puerta de enlace. Si desea agregar una directiva para varias puertas de enlace, asegúrese de estar en la pestaña Todos las reglas compartidas.
  4. Haga clic en Agregar directiva para crear una sección para organizar las reglas.
    1. Introduzca un nombre para la directiva.
    2. (opcional) En la fila de la directiva, haga clic en el icono de engranaje para configurar las opciones avanzadas de la directiva. Estas opciones solo se aplican a NSX IDS/IPS y no a Prevención de malware de NSX.
      Opción Descripción

      Con estado

      Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall.

      Bloqueado

      La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Cuando bloquea una sección, debe incluir un comentario.

    3. Haga clic en Publicar cambios para publicar la directiva.
  5. Haga clic en Agregar regla y configure las opciones de la regla.
    1. Introduzca un nombre para la regla.
    2. En la columna Orígenes, haga clic en el icono de edición y seleccione los grupos que desea usar como el origen de la regla. Si no se especifica el origen, el valor predeterminado será Cualquiera.
      Para obtener información sobre cómo agrear grupos, consulte Agregar un grupo.
    3. En la columna Destinos, haga clic en el icono de edición y seleccione los grupos que desea usar como el destino de la regla. Si no se especifica el destino, el valor predeterminado será Cualquiera.
    4. En la columna Servicios, haga clic en el icono de edición y seleccione los servicios que dese usar en la regla. Si no se especifica el servicio, el valor predeterminado será Cualquiera.
      Nota:
      • Al hacer clic en el icono editar, la interfaz de usuario muestra una lista de todos los servicios disponibles. Sin embargo, por el momento Prevención de malware de NSX admite la detección de la transferencia de archivos solo para los siguientes servicios: HTTP, HTTPS, FTP y SMB.
      • Prevención de malware de NSX en el firewall de puerta de enlace no admite actualmente la extracción y el análisis de archivos cargados mediante HTTP. Sin embargo, si los archivos se cargan mediante FTP, se admite la extracción y el análisis de los archivos para detectar comportamientos malintencionados.
    5. En la columna Perfiles de seguridad, haga clic en el icono editar y seleccione los perfiles que desea agregar a la regla de firewall.
      Puede seleccionar un máximo de dos perfiles de seguridad: un perfil de NSX IDS/IPS y un perfil de Prevención de malware de NSX.
    6. Si va a agregar la regla para una puerta de enlace específica, la columna Se aplica a mostrará el nombre de esa puerta de enlace.
      Si va a agregar reglas compartidas, haga clic en el icono editar de la columna Se aplica a y seleccione las puertas de enlace a las que desea aplicar la regla.

      De forma predeterminada, las reglas de firewall de puerta de enlace se aplican a todas las interfaces de vínculos superiores e interfaces de servicio disponibles en las puertas de enlace seleccionadas.

    7. En la columna Modo, seleccione una de las opciones.
      Opción Descripción
      Solo detectar La regla detecta archivos malintencionados, tráfico malintencionado o ambos en las puertas de enlace seleccionadas en función del perfil asociado a la regla. No se realiza ninguna acción preventiva.
      Detectar y prevenir Prevención de malware de NSX no admite este modo actualmente. Sin embargo, las reglas con perfil de IDS/IPS de NSX pueden detectar y bloquear el tráfico malintencionado en las puertas de enlace seleccionadas.
    8. (opcional) Haga clic en el icono de engranaje para configurar los ajustes de otra regla: Esta configuración solo se aplica a NSX IDS/IPS y no a Prevención de malware de NSX.
      Opción Descripción
      Registro El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log de los hosts KVM y ESXi.

      Prevención de malware de NSX solo se admite en hosts ESXi. No se admiten hosts KVM.

      Dirección Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. IN significa que solo se comprobará el tráfico hacia el objeto. OUT significa que solo se comprobará el tráfico procedente del objeto. In-Out significa que se comprobará el tráfico en ambas direcciones.
      Protocolo IP Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6.
      Etiqueta de registro La etiqueta de registro está almacenada en el registro del firewall cuando el registro está habilitado.
  6. (opcional) Repita el paso 4 para agregar más reglas en la misma directiva.
  7. Haga clic en Publicar. Puede hacer clic en el icono de gráfico para ver las estadísticas de las reglas de NSX IDS/IPS en el firewall de puerta de enlace.
    Las reglas se guardan y se insertan en las instancias de Edge NSX.

Resultados

Cuando se detectan archivos en las puertas de enlace de nivel 1, los eventos de archivo se generan y se muestran en el panel de control Prevención de malware y en el panel de control Información general de seguridad.

Para las reglas configuradas con el perfil de IDS/IPS, si el sistema detecta tráfico malintencionado, genera un evento de intrusión. Puede ver los detalles del evento en el panel de control IDS/IPS o en el panel de control Información general de seguridad.

Ejemplo

Para ver un ejemplo de extremo a extremo de la configuración de reglas de firewall de puerta de enlace con Prevención de malware de NSX, consulte Ejemplo: Agregar reglas para Prevención de malware de NSX en un firewall de puerta de enlace.

Qué hacer a continuación

Supervise y analice los eventos de archivos en el panel de control Prevención de malware. Para obtener más información, consulte Supervisar eventos de archivos.

Supervise y analice los eventos de intrusión en el panel de control IDS/IPS. Para obtener más información, consulte Supervisar eventos de IDS/IPS.