La interfaz de usuario de NSX Manager proporciona una tabla de reglas comunes para agregar reglas para NSX Intrusion Detection/Prevention y Prevención de malware de NSX en un firewall de puerta de enlace.
Los perfiles de seguridad que se agregan a la regla determinan si la regla de firewall de puerta de enlace aplica solo NSX IDS/IPS, solo Prevención de malware de NSX, o ambos.
Requisitos previos
Para
Prevención de malware de NSX:
Procedimiento
- En su navegador, inicie sesión en un NSX Manager en https://dirección-ip-nsx-manager.
- Desplácese a .
- Si desea agregar una directiva para una puerta de enlace específica, asegúrese de estar en la pestaña Reglas específicas de la puerta de enlace y seleccione una puerta de enlace. Si desea agregar una directiva para varias puertas de enlace, asegúrese de estar en la pestaña Todos las reglas compartidas.
- Haga clic en Agregar directiva para crear una sección para organizar las reglas.
- Introduzca un nombre para la directiva.
- (opcional) En la fila de la directiva, haga clic en el icono de engranaje para configurar las opciones avanzadas de la directiva. Estas opciones solo se aplican a NSX IDS/IPS y no a Prevención de malware de NSX.
Opción |
Descripción |
Con estado |
Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall. |
Bloqueado |
La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Cuando bloquea una sección, debe incluir un comentario. |
- Haga clic en Publicar cambios para publicar la directiva.
- Haga clic en Agregar regla y configure las opciones de la regla.
- Introduzca un nombre para la regla.
- En la columna Orígenes, haga clic en el icono de edición y seleccione los grupos que desea usar como el origen de la regla. Si no se especifica el origen, el valor predeterminado será Cualquiera.
- En la columna Destinos, haga clic en el icono de edición y seleccione los grupos que desea usar como el destino de la regla. Si no se especifica el destino, el valor predeterminado será Cualquiera.
- En la columna Servicios, haga clic en el icono de edición y seleccione los servicios que dese usar en la regla. Si no se especifica el servicio, el valor predeterminado será Cualquiera.
Nota:
- Al hacer clic en el icono editar, la interfaz de usuario muestra una lista de todos los servicios disponibles. Sin embargo, por el momento Prevención de malware de NSX admite la detección de la transferencia de archivos solo para los siguientes servicios: HTTP, HTTPS, FTP y SMB.
- Prevención de malware de NSX en el firewall de puerta de enlace no admite actualmente la extracción y el análisis de archivos cargados mediante HTTP. Sin embargo, si los archivos se cargan mediante FTP, se admite la extracción y el análisis de los archivos para detectar comportamientos malintencionados.
- En la columna Perfiles de seguridad, haga clic en el icono editar y seleccione los perfiles que desea agregar a la regla de firewall.
Puede seleccionar un máximo de dos perfiles de seguridad: un perfil de
NSX IDS/IPS y un perfil de
Prevención de malware de NSX.
- Si va a agregar la regla para una puerta de enlace específica, la columna Se aplica a mostrará el nombre de esa puerta de enlace.
Si va a agregar reglas compartidas, haga clic en el icono editar de la columna
Se aplica a y seleccione las puertas de enlace a las que desea aplicar la regla.
De forma predeterminada, las reglas de firewall de puerta de enlace se aplican a todas las interfaces de vínculos superiores e interfaces de servicio disponibles en las puertas de enlace seleccionadas.
- En la columna Modo, seleccione una de las opciones.
Opción |
Descripción |
Solo detectar |
La regla detecta archivos malintencionados, tráfico malintencionado o ambos en las puertas de enlace seleccionadas en función del perfil asociado a la regla. No se realiza ninguna acción preventiva. |
Detectar y prevenir |
Prevención de malware de NSX no admite este modo actualmente. Sin embargo, las reglas con perfil de IDS/IPS de NSX pueden detectar y bloquear el tráfico malintencionado en las puertas de enlace seleccionadas. |
- (opcional) Haga clic en el icono de engranaje para configurar los ajustes de otra regla: Esta configuración solo se aplica a NSX IDS/IPS y no a Prevención de malware de NSX.
Opción |
Descripción |
Registro |
El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log de los hosts ESXi. |
Dirección |
Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. IN significa que solo se comprobará el tráfico hacia el objeto. OUT significa que solo se comprobará el tráfico procedente del objeto. In-Out significa que se comprobará el tráfico en ambas direcciones. |
Sobresuscripción |
Configure si el exceso de tráfico debe descartarse o debe omitir el motor IDS/IPS en caso de sobresuscripción. El valor introducido aquí superará el valor establecido para la sobresuscripción en la configuración global. |
Protocolo IP |
Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6. |
- (opcional) Repita el paso 4 para agregar más reglas en la misma directiva.
- Haga clic en Publicar. Puede hacer clic en el icono de gráfico para ver las estadísticas de las reglas de NSX IDS/IPS en el firewall de puerta de enlace.
Las reglas se guardan y se insertan en las instancias de Edge NSX.
Resultados
Cuando se detectan archivos en las puertas de enlace de nivel 1, los eventos de archivo se generan y se muestran en el panel de control Prevención de malware y en el panel de control Información general de seguridad.
Para las reglas configuradas con el perfil de IDS/IPS, si el sistema detecta tráfico malintencionado, genera un evento de intrusión. Puede ver los detalles del evento en el panel de control IDS/IPS o en el panel de control Información general de seguridad.
Qué hacer a continuación
Supervise y analice los eventos de archivos en el panel de control Prevención de malware. Para obtener más información, consulte Supervisar eventos de archivos.
Supervise y analice los eventos de intrusión en el panel de control
IDS/IPS. Para obtener más información, consulte
Supervisar eventos de IDS/IPS.