La interfaz de usuario de NSX Manager proporciona una tabla de reglas comunes para agregar reglas para NSX Intrusion Detection/Prevention y NSX Malware Prevention en un firewall de puerta de enlace.

Los perfiles de seguridad que se agregan a la regla determinan si la regla de firewall de puerta de enlace aplica solo NSX IDS/IPS, solo NSX Malware Prevention, o ambos.

Tenga en cuenta que no se admite la configuración de una regla de NSX IDS/IPS en el modo Solo detectar o Detectar y aplicar en una puerta de enlace de nivel 1 configurada con un equilibrador de carga.

Requisitos previos

Para NSX Malware Prevention:
Para NSX IDS/IPS:
  • Agregar un perfil de NSX IDS/IPS.
  • Active o habilite NSX IDS/IPS en las puertas de enlace. (Seguridad > IDS/IPS y prevención de malware > Configuración > Compartido)

Procedimiento

  1. En su navegador, inicie sesión en un NSX Manager en https://dirección-ip-nsx-manager.
  2. Desplácese a Seguridad > IDS/IPS y prevención de malware > Reglas de puerta de enlace.
  3. Si desea agregar una directiva para una puerta de enlace específica, asegúrese de estar en la pestaña Reglas específicas de la puerta de enlace y seleccione una puerta de enlace. Si desea agregar una directiva para varias puertas de enlace, asegúrese de estar en la pestaña Todos las reglas compartidas.
  4. Haga clic en Agregar directiva para crear una sección para organizar las reglas.
    1. Introduzca un nombre para la directiva.
    2. (opcional) En la fila de la directiva, haga clic en el icono de engranaje para configurar las opciones avanzadas de la directiva. Estas opciones solo se aplican a NSX IDS/IPS y no a NSX Malware Prevention.
      Opción Descripción

      Con estado

      Un firewall con estado supervisa el estado de las conexiones activas y utiliza esta información para determinar a qué paquetes se les permite atravesar el firewall.

      Bloqueado

      La directiva se puede bloquear para impedir que varios usuarios editen las mismas secciones. Cuando bloquea una sección, debe incluir un comentario.
    3. Haga clic en Publicar cambios para publicar la directiva.
  5. Haga clic en Agregar regla y configure las opciones de la regla.
    1. Introduzca un nombre para la regla.
    2. En la columna Orígenes, haga clic en el icono de edición y seleccione los grupos que desea usar como el origen de la regla. Si no se especifica el origen, el valor predeterminado será Cualquiera.
      Para obtener información sobre cómo agrear grupos, consulte Agregar un grupo.
    3. En la columna Destinos, haga clic en el icono de edición y seleccione los grupos que desea usar como el destino de la regla. Si no se especifica el destino, el valor predeterminado será Cualquiera.
    4. En la columna Servicios, haga clic en el icono de edición y seleccione los servicios que dese usar en la regla. Si no se especifica el servicio, el valor predeterminado será Cualquiera.
      Nota:
      • Al hacer clic en el icono editar, la interfaz de usuario muestra una lista de todos los servicios disponibles. Sin embargo, por el momento NSX Malware Prevention admite la detección de la transferencia de archivos solo para los siguientes servicios: HTTP, HTTPS, FTP y SMB.
      • NSX Malware Prevention en el firewall de puerta de enlace no admite actualmente la extracción y el análisis de archivos cargados mediante HTTP. Sin embargo, si los archivos se cargan mediante FTP, se admite la extracción y el análisis de los archivos para detectar comportamientos malintencionados.
    5. En la columna Perfiles de seguridad, haga clic en el icono editar y seleccione los perfiles que desea agregar a la regla de firewall.
      Puede seleccionar un máximo de dos perfiles de seguridad: un perfil de NSX IDS/IPS y un perfil de NSX Malware Prevention.
    6. Si va a agregar la regla para una puerta de enlace específica, la columna Se aplica a mostrará el nombre de esa puerta de enlace. Para una puerta de enlace de nivel 0, puede hacer clic en el icono Editar para realizar otras opciones.
      Para una puerta de enlace de nivel 1, solo puede especificar la regla que se aplicará a la puerta de enlace. Para una puerta de enlace de nivel 0, puede especificar la regla que se aplicará a la puerta de enlace, a las interfaces individuales o a los grupos de interfaces.

      Si va a agregar reglas compartidas, haga clic en el icono editar de la columna Se aplica a y seleccione las puertas de enlace e interfaces a las que desea aplicar la regla.

      Una regla que se aplique a una puerta de enlace se aplica a todas las interfaces de vínculo superior y de servicio en la puerta de enlace.

    7. En la columna Modo, seleccione una de las opciones.
      Opción Descripción
      Solo detectar La regla detecta archivos malintencionados, tráfico malintencionado o ambos en las puertas de enlace seleccionadas en función del perfil asociado a la regla. No se realiza ninguna acción preventiva.
      Detectar y prevenir NSX Malware Prevention no admite este modo actualmente. Sin embargo, las reglas con perfil de IDS/IPS de NSX pueden detectar y bloquear el tráfico malintencionado en las puertas de enlace seleccionadas.
    8. (opcional) Haga clic en el icono de engranaje para configurar los ajustes de otra regla: Esta configuración solo se aplica a NSX IDS/IPS y no a NSX Malware Prevention.
      Opción Descripción
      Registro El registro se desactiva de forma predeterminada. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log de los hosts ESXi.
      Dirección Hace referencia a la dirección del tráfico desde el punto de vista del objeto de destino. IN significa que solo se comprobará el tráfico hacia el objeto. OUT significa que solo se comprobará el tráfico procedente del objeto. In-Out significa que se comprobará el tráfico en ambas direcciones.
      Sobresuscripción Configure si el exceso de tráfico debe descartarse o debe omitir el motor IDS/IPS en caso de sobresuscripción. El valor introducido aquí superará el valor establecido para la sobresuscripción en la configuración global.
      Protocolo IP Aplique la regla basada en IPv4, IPv6 o tanto en IPv4 como en IPv6.
  6. (opcional) Repita el paso 4 para agregar más reglas en la misma directiva.
  7. Haga clic en Publicar. Puede hacer clic en el icono de gráfico para ver las estadísticas de las reglas de NSX IDS/IPS en el firewall de puerta de enlace.
    Las reglas se guardan y se insertan en las instancias de Edge NSX.

Resultados

Cuando se detectan archivos en las puertas de enlace de nivel 1, los eventos de archivo se generan y se muestran en el panel de control Prevención de malware y en el panel de control Información general de seguridad.

Para las reglas configuradas con el perfil de IDS/IPS, si el sistema detecta tráfico malintencionado, genera un evento de intrusión. Puede ver los detalles del evento en el panel de control IDS/IPS o en el panel de control Información general de seguridad.

Ejemplo

Para ver un ejemplo de extremo a extremo de la configuración de reglas de firewall de puerta de enlace con NSX Malware Prevention, consulte Ejemplo: Agregar reglas para NSX Malware Prevention en un firewall de puerta de enlace.

Qué hacer a continuación

Supervise y analice los eventos de archivos en el panel de control Prevención de malware. Para obtener más información, consulte Supervisar eventos de archivos.

Supervise y analice los eventos de intrusión en el panel de control IDS/IPS. Para obtener más información, consulte Supervisar eventos de IDS/IPS.