La interfaz de usuario de NSX Manager proporciona una tabla de reglas comunes para agregar reglas para NSX Intrusion Detection/Prevention y Prevención de malware de NSX en un firewall distribuido.
- En NSX 4.0, la detección y prevención de malware en el tráfico este-oeste distribuido solo se admite para archivos ejecutables portátiles (PE) Windows extraídos por la instancia de Thin Agent de GI en los endpoints invitados (VM) Windows. NSX Distributed Malware Prevention no admite otras categorías de archivos.
- A partir de NSX 4.0.1.1, la detección y prevención de malware en el tráfico este-oeste distribuido es compatible con todas las categorías de archivos en endpoints invitados de Linux y Windows. Para ver la lista de categorías de archivos compatibles, consulte Categorías de archivos compatibles con Prevención de malware de NSX.
- El límite de tamaño máximo de archivo admitido es 64 MB.
Requisitos previos
Para
Prevención de malware de NSX:
- La máquina virtual de servicio de Prevención de malware de NSX se implementa en clústeres de hosts de vSphere preparados para NSX. Para obtener instrucciones detalladas, consulte Implementar el servicio NSX Distributed Malware Prevention.
- Cómo agregar un perfil de prevención de malware.
- Cree grupos y agregue las máquinas virtuales que desea proteger contra malware en estos grupos. Puede agregar máquinas virtuales como miembros estáticos o definir criterios de pertenencia dinámicos que evalúen a las máquinas virtuales como miembros efectivos. Para obtener instrucciones detalladas, consulte Agregar un grupo.
Procedimiento
- Desde su explorador, inicie sesión en un NSX Manager en https://nsx-manager-ip-address.
- Desplácese a .
- Haga clic en Agregar directiva para crear una sección para organizar las reglas.
- Introduzca un nombre para la directiva.
- (opcional) En la fila de la directiva, haga clic en el icono de engranaje para configurar las opciones avanzadas de la directiva. Estas opciones solo se aplican a NSX Distributed IDS/IPS y no a NSX Distributed Malware Prevention.
Opción |
Descripción |
Con estado |
Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall. |
Bloqueado |
La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Cuando bloquea una sección, debe incluir un comentario. Algunas funciones, como administrador de organización, tienen credenciales de acceso completo y no se pueden bloquear. Consulte Control de acceso basado en funciones. |
- Haga clic en Agregar regla y configure las opciones de la regla.
- Introduzca un nombre para la regla.
- Configure las columnas Orígenes, Destinos y Servicios en función del tráfico que requiera la inspección de IDS. IDS admite los tipos de grupo Genérico y Solo direcciones IP para el origen y el destino.
Estas tres columnas no son compatibles con las reglas de firewall de prevención de malware distribuido. Manténgalos como Cualquiera. Sin embargo, debe limitar el ámbito de las reglas de prevención de malware distribuido seleccionando los grupos en la columna
Se aplica a.
- En la columna Perfiles de seguridad, seleccione el perfil que se utilizará para esta regla.
Puede seleccionar un perfil de
NSX IDS/IPS o un perfil de
Prevención de malware de NSX, pero no ambos. En otras palabras, solo se admite un perfil de seguridad en una regla.
- En la columna Se aplica a, seleccione una de las opciones.
Opción |
Descripción |
DFW |
Actualmente, las reglas de prevención de malware distribuido no admiten DFW en Se aplica a. Las reglas de IDS/IPS distribuido se pueden aplicar a DFW. Las reglas de IDS/IPS se aplican a las máquinas virtuales de carga de trabajo en todos los clústeres de hosts que se activan con la función IDS/IPS de NSX. |
Grupos |
La regla se aplica solo a las máquinas virtuales que son miembros de los grupos seleccionados. |
- En la columna Modo, seleccione una de las opciones.
Opción |
Descripción |
Solo detectar |
Para el servicio Prevención de malware de NSX: la regla detecta archivos malintencionados en las máquinas virtuales, pero no se realiza ninguna acción preventiva. En otras palabras, los archivos malintencionados se descargan en las máquinas virtuales. Para el servicio NSX IDS/IPS: la regla detecta intrusiones en las firmas y no realiza ninguna acción. |
Detectar y prevenir |
Para el servicio Prevención de malware de NSX: la regla detecta archivos malintencionados conocidos en las máquinas virtuales y los bloquea para que no se descarguen en las máquinas virtuales. Para el servicio NSX IDS/IPS: la regla detecta intrusiones frente a firmas y descarta o rechaza el tráfico en función de la configuración de firma en el perfil de IDS/IPS o en la configuración de firma global. |
- (opcional) Haga clic en el icono de engranaje para configurar los ajustes de otra regla: Esta configuración solo se aplica a NSX Distributed IDS/IPS y no a NSX Distributed Malware Prevention.
Opción |
Descripción |
Registro |
El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log de los hosts ESXi. |
Dirección |
Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. IN significa que solo se comprobará el tráfico hacia el objeto. OUT significa que solo se comprobará el tráfico procedente del objeto. In-Out significa que se comprobará el tráfico en ambas direcciones. |
Protocolo IP |
Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6. |
Sobresuscripción |
A partir de NSX 4.0.1.1, puede configurar si el exceso de tráfico debe descartarse o debe omitir el motor IDS/IPS en caso de sobresuscripción. El valor introducido aquí superará el valor establecido para la sobresuscripción en la configuración global. |
Etiqueta de registro |
La etiqueta de registro está almacenada en el registro del firewall cuando el registro está habilitado. |
- (opcional) Repita el paso 4 para agregar más reglas en la misma directiva.
- Haga clic en Publicar.
Las reglas se guardan y se envían a los hosts. Puede hacer clic en el icono de gráfico para ver las estadísticas de las reglas de
NSX Distributed IDS/IPS.
Nota: No se admiten las estadísticas de reglas para reglas de firewall de
NSX Distributed Malware Prevention.
Resultados
Cuando se extraen archivos en las máquinas virtuales del endpoint, los eventos de archivo se generan y se muestran en el panel de control Prevención de malware y en el panel de control Información general de seguridad. Si los archivos son malintencionados, se aplica la directiva de seguridad. Si los archivos son benignos, se descargan en las máquinas virtuales.
Para las reglas configuradas con el perfil de IDS/IPS, si el sistema detecta tráfico malintencionado, genera un evento de intrusión y lo muestra en el panel de control IDS/IPS. El sistema descarta, rechaza o genera una alarma para el tráfico en función de la acción que configuró en la regla.
Qué hacer a continuación
Supervise y analice los eventos de archivos en el panel de control Prevención de malware. Para obtener más información, consulte Supervisar eventos de archivos.
Supervise y analice los eventos de intrusión en el panel de control
IDS/IPS. Para obtener más información, consulte
Supervisar eventos de IDS/IPS.