En este ejemplo, su objetivo es crear directivas de seguridad con reglas de firewall de puerta de enlace que detecten archivos malintencionados en el tráfico norte-sur, que pasa por las instancias de NSX Edge en NSX-T Data Center.

En este ejemplo, tenga en cuenta que la topología de red es como se muestra en la siguiente figura. Agregará reglas de prevención de malware de puerta de enlace para detectar malware en las puertas de enlace de nivel 1 T1-GW1 y T1-GW2. Ambas puertas de enlace de nivel 1 tienen un segmento de superposición asociado. Las máquinas virtuales de carga de trabajo se asocian a los segmentos superpuestos. Ambas puertas de enlace de nivel 1 están conectadas a una sola puerta de enlace de nivel 0, que a su vez está conectada al conmutador físico de la parte superior del bastidor para habilitar la conectividad con la red pública externa.


Topología de red con dos puertas de enlace de nivel 1 conectadas a una sola puerta de enlace de nivel 0.

Asunciones:

  • Los siguientes grupos se agregan al inventario de NSX-T.
    Nombre del grupo Tipo de grupo Notas

    Norte

    Solo direcciones IP

    Este grupo contiene un rango de direcciones IP públicas. Por ejemplo, 12.1.1.10-12.1.1.100

    Sur

    Genérico

    Este grupo contiene un segmento de superposición (Segment1), que está asociado a T1-GW1, como miembro estático.

  • Se agrega un perfil de prevención de malware denominado Profile_T1-GW con la siguiente configuración:
    • Se seleccionan todas las opciones de la categoría de archivos.
    • Se seleccionó la opción Análisis de archivos de nube.

    Utilizará este perfil de prevención de malware en las reglas de firewall de puerta de enlace de ambas puertas de enlace de nivel 1.

Requisitos previos

  • Las instancias de NSX Edge con formato Extragrande se implementan en el centro de datos y se configuran como nodos de transporte de Edge.
  • La función Prevención de malware de NSX está activada en las puertas de enlace de nivel 1: T1-GW1 y T1-GW2.

Procedimiento

  1. En su navegador, inicie sesión en un NSX Manager en https://dirección-ip-nsx-manager.
  2. Desplácese a Seguridad > IDS/IPS y prevención de malware > Reglas de puerta de enlace.
  3. En la página Reglas específicas de la puerta de enlace, en el menú desplegable Puerta de enlace, seleccione T1-GW1.
  4. Haga clic en Agregar directiva para crear una sección e introduzca un nombre para la directiva.
    Por ejemplo, escriba . Policy_T1-GW1.
  5. Haga clic en Agregar regla y configure dos reglas con las siguientes configuraciones.
    Nombre ID Orígenes Destinos Servicios Perfiles de seguridad Se aplica a Modo
    N_to_S 1011 Norte Sur HTTP Profile_T1-GW T1-GW1 Solo detectar
    S_to_N 1010 Sur Norte HTTP Profile_T1-GW T1-GW1 Solo detectar

    Los identificadores de regla de esta tabla solo son de referencia. Pueden variar en su entorno de NSX-T.

    Analicemos el significado de estas reglas:
    • Regla 1011: Esta regla se aplica en T1-GW1 cuando las máquinas del rango de IP pública inician conexiones HTTP (12.1.1.10-12.1.1.100), y las máquinas virtuales de carga de trabajo que están asociadas al Segmento 1 aceptan estas conexiones. Si se detecta un archivo en la conexión HTTP, se generará un evento de archivo y se analizará el archivo en busca de comportamiento malintencionado.
    • Regla 1010: Esta regla se aplica a T1-GW1 cuando las conexiones HTTP las inician las máquinas virtuales de carga de trabajo en el Segmento 1 y las máquinas en el rango de IP pública (12.1.1.10-12.1.1.100) aceptan estas conexiones. Si se detecta un archivo en el tráfico HTTP, se generará un evento de archivo y se analizará el archivo en busca de comportamiento malintencionado.
  6. Publique las reglas.
  7. En la página Reglas específicas de la puerta de enlace, en el menú desplegable Puerta de enlace, seleccione T1-GW2.
  8. Haga clic en Agregar directiva para crear una sección e introduzca un nombre para la directiva.
    Por ejemplo, escriba . Policy_T1-GW2.
  9. Haga clic en Agregar regla y configure una regla Cualquiera-Cualquiera de la siguiente manera.
    Nombre ID Orígenes Destinos Servicios Perfiles de seguridad Se aplica a Modo
    Any_Traffic 1006 Cualquiera Cualquiera Cualquiera Profile_T1-GW T1-GW2 Solo detectar

    Esta regla se aplica en T1-GW2 cuando cualquier tipo de tráfico se inicia desde cualquier origen y lo acepta cualquier destino. Si se detecta un archivo en el tráfico, se generará un evento de archivo y se analizará el archivo en busca de comportamiento malintencionado.

  10. Publique las reglas.

Ejemplo

Escenario: En la misma topología que se muestra anteriormente, supongamos que una máquina virtual en el segmento 1 desea transmitir un archivo a una máquina virtual en el segmento 2. En este caso, el archivo atraviesa ambas puertas de enlace de nivel 1: T1-GW1 y T1-GW2. Dado que el perfil de prevención de malware está configurado en ambas puertas de enlace de nivel 1, el archivo se inspecciona dos veces y se generan dos eventos de archivo. Este comportamiento es correcto.