Si omitió el asistente Configuración de IDS/IPS y prevención de malware sin establecer ninguna configuración, o si omitió el asistente a mitad del proceso de configuración, puede continuar con el proceso desde la página Configuración de IDS/IPS y prevención de malware.
Para abrir esta página en la interfaz de usuario de NSX Manager, desplácese hasta .
- Compartido
- IDS/IPS
- Prevención de malware
Configuración compartida
- Configurar servidor proxy de Internet
-
NSX IDS/IPS no requiere una conexión a Internet para funcionar. NSX IDS/IPS usa firmas para detectar y evitar intrusiones. Si su entorno de NSX tiene conexión a Internet, NSX Manager podrá descargar automáticamente las firmas de detección de intrusiones más recientes directamente de Internet o a través de un servidor proxy de NSX. Si la conectividad a Internet no está configurada en su entorno de NSX, puede utilizar las API para descargar manualmente el archivo de paquete de firmas de detección de intrusiones de NSX (.zip) y, a continuación, cargar el paquete de firmas en NSX Manager. Para obtener más información sobre cómo cargar las firmas manualmente, consulte Descargar y cargar firmas de detección de intrusiones de NSX sin conexión.
NSX Malware Prevention también utiliza firmas para detectar y prevenir malware. Sin embargo, NSX Manager solo podrá descargar las firmas más recientes cuando su entorno de NSX tenga conexión a Internet. No puede cargar manualmente las firmas más recientes en NSX Manager. NSX Malware Prevention también envía archivos al servicio de nube de NSX Advanced Threat Prevention para un análisis detallado de los archivos de nube. Los archivos se envían a la nube mediante Plataforma de aplicaciones NSX y no mediante NSX Manager. Plataforma de aplicaciones NSX no admite la configuración del servidor proxy y requiere acceso directo a Internet.
Si NSX Manager accede a Internet a través de un servidor proxy de NSX, haga clic en el vínculo Servidor proxy de Internet y especifique los siguiente ajustes:
- Esquema (HTTP o HTTPS)
- Dirección IP del host
- Número de puerto
- Nombre de usuario y contraseña
- Definir ámbito para la prevención de malware e implementación de IDS/IPS
-
En la sección Activar hosts y clústeres para el tráfico de este a oeste, realice las siguientes configuraciones:
- Active la función IDS/IPS de NSX en los hosts ESXi independientes.
- Seleccione los clústeres de hosts ESXi en los que desea activar la función IDS/IPS de NSX en el tráfico este-oeste.
- Si el servicio de NSX Distributed Malware Prevention aún no está implementado en los clústeres de hosts ESXi, haga clic en el vínculo Definido en la implementación de la máquina virtual de servicio en la columna Prevención de malware. Para obtener instrucciones sobre cómo implementar el servicio NSX Distributed Malware Prevention en un clúster de hosts, consulte Implementar el servicio de prevención de malware distribuido de NSX.
En la sección Activar puertas de enlace para el tráfico norte-sur, realice las siguientes configuraciones:- Seleccione las puertas de enlace en las que desea activar la función IDS/IPS de NSX en el tráfico norte-sur.
- Seleccione las puertas de enlace de nivel 1 en las que desea activar NSX Malware Prevention en el tráfico norte-sur.
Importante: En el tráfico norte-sur, NSX admite lo siguiente:- NSX Malware Prevention solo en puertas de enlace de nivel 1.
- NSX IDS/IPS en el firewall de las puertas de enlace de nivel 0 y nivel 1.
Configuración de IDS/IPS
Cuando se configura la conectividad de Internet en el centro de datos, NSX Manager comprueba la disponibilidad de nuevas firmas de detección de intrusiones en la nube cada 20 minutos de forma predeterminada. Cuando haya una nueva actualización disponible, se mostrará un banner en la página con el vínculo Actualizar ahora.
Si el centro de datos no tiene conectividad a Internet, puede descargar manualmente el archivo del paquete de firmas de IDS (.zip) y, a continuación, cargar el archivo en NSX Manager. Para obtener instrucciones detalladas, consulte Descargar y cargar firmas de detección de intrusiones de NSX sin conexión.
Puede realizar las siguientes tareas de administración de firmas en esta página:
- Para ver la versión de la firma o agregar otra versión de las firmas además de la predeterminada, haga clic en Ver y cambiar.
Actualmente, se mantienen dos versiones de las firmas. Cada vez que se produzca un cambio en el número de identificación de la confirmación de versión, se descargará una nueva versión.
- Para descargar automáticamente las firmas de detección de intrusiones de la nube y aplicarlas a los hosts y las instancias de Edge en el centro de datos, active el botón de alternancia Actualización automática.
Cuando esta opción está desactivada, se detendrá la descarga automática de firmas. Puede descargar manualmente el archivo del paquete de firmas de IDS (.zip) y cargar el archivo en NSX Manager.
- Para ver el estado de descarga de firmas en los nodos de transporte, haga clic en el vínculo del campo Estado.
- Para excluir globalmente firmas específicas o cambiar su acción a alertar, descartar o rechazar, haga clic en Ver y administrar el conjunto de firmas.
Seleccione una Acción para la firma y haga clic en Guardar. Los cambios realizados en la configuración global de administración de firmas se aplican a todos los perfiles de IDS/IPS. Sin embargo, si actualiza la configuración de firma en un perfil de IDS/IPS, la configuración del perfil tendrá prioridad.
En la siguiente tabla se explica el significado de cada acción de firma.
Acción Descripción Alerta
Se genera una alerta y no se lleva a cabo ninguna acción preventiva automática.
Quitar
Se genera una alerta y se descartan los paquetes problemáticos.
Rechazar
Se genera una alerta y se descartan los paquetes problemáticos. Para los flujos de TCP, se genera un paquete de restablecimiento de TCP mediante IDS y se envía al origen y destino de la conexión. Para otros protocolos, se envía un paquete ICMP-error al origen y al destino de la conexión.
También puede administrar las siguientes opciones avanzadas:
- Para enviar eventos de IDS/IPS a consumidores de syslog externos, active el botón de alternancia Syslog.
- Para configurar si el motor IDS/IPS debe descartar u omitir el exceso de tráfico en caso de sobresuscripción, haga clic en la opción adecuada del campo Sobresuscripción.
Ajustes de Prevención de malware
NSX Malware Prevention requiere la implementación de ciertos microservicios en Plataforma de aplicaciones NSX.
Si Plataforma de aplicaciones NSX no está implementado en el centro de datos, esta página mostrará el siguiente título:
Prevención de malware aún no está implementado.- Lea el texto en pantalla y haga clic en Ir a NSX Application Platform.
- Antes de continuar con la implementación de la plataforma, lea la lista de comprobación de implementación de Plataforma de aplicaciones NSX en la publicación de Implementar y administrar VMware NSX Application Platform en https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html. En el panel de navegación izquierdo en este vínculo expanda la versión del producto y haga clic en el nombre de la publicación.
- Implemente Plataforma de aplicaciones NSX. Para obtener más información, consulte la publicación de Implementar y administrar VMware NSX Application Platform
- Función Activar NSX Malware Prevention en la plataforma.
Después de activar la función de NSX Malware Prevention en Plataforma de aplicaciones NSX, la página de configuración Prevención de malware muestra la sección Lista de permitidos. Es posible que tenga que actualizar la página varias veces para ver esta sección.
- Lista de permitidos
-
Con la API o la interfaz de usuario de
NSX Manager, puede anular o suprimir el veredicto del archivo que
NSX ha calculado. Este veredicto de archivo anulado tiene prioridad sobre el veredicto calculado de
NSX. La tabla Lista de permitidos muestra todos los archivos con el veredicto suprimido. Esta tabla está inicialmente vacía. Cuando se inicia la supervisión de los eventos de archivo en el centro de datos mediante el uso del panel de control de
Prevención de malware y se suprimen los veredictos de archivo en función de los requisitos de seguridad específicos, los archivos eliminados se agregan a la tabla Lista de permitidos.
Para obtener más sobre la anulación de los veredictos de los archivos, consulte Agregar un archivo a la lista de permitidos.