L'interface utilisateur de NSX Manager fournit un tableau de règles commun pour ajouter des règles pour la détection/prévention des intrusions NSX et Protection contre les programmes malveillants NSX sur un pare-feu de passerelle.

Les profils de sécurité que vous ajoutez à la règle déterminent si la règle de pare-feu de passerelle applique uniquement NSX IDS/IPS, ou uniquement Protection contre les programmes malveillants NSX, ou les deux.

Important : Dans NSX-T Data Center 3.2.0, NSX IDS/IPS sur le pare-feu de passerelle est disponible en mode tech preview uniquement. À partir de NSX-T Data Center 3.2.1, cette fonctionnalité est disponible pour les environnements de production et dispose d'une prise en charge complète. Pour plus d'informations, reportez-vous à Notes de mise à jour de NSX-T Data Center.

Conditions préalables

Pour Protection contre les programmes malveillants NSX :
Pour NSX IDS/IPS :
  • Ajouter un profil NSX IDS/IPS.
  • Activez NSX IDS/IPS sur les passerelles de niveau 1. (Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres > Partagé)

Procédure

  1. À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Règles de passerelle.
  3. Si vous souhaitez ajouter une stratégie pour une passerelle spécifique, vérifiez que vous êtes dans l'onglet Règles spécifiques à la passerelle et sélectionnez une passerelle. Si vous souhaitez ajouter une stratégie pour plusieurs passerelles, vérifiez que vous êtes dans l'onglet Toutes les règles partagées.
  4. Cliquez sur Ajouter une stratégie pour créer une section pour organiser les règles.
    1. Entrez le nom de la stratégie.
    2. (Facultatif) Dans la ligne stratégie, cliquez sur l'icône d'engrenage pour configurer les options de stratégie avancées. Ces options s'appliquent uniquement à NSX IDS/IPS et non à Protection contre les programmes malveillants NSX.
      Option Description

      Avec état

      Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.

      Verrouillé

      La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section.
    3. Cliquez sur Publier pour publier la stratégie.
  5. Cliquez sur Ajouter une règle et configurez les paramètres de la règle.
    1. Entrez un nom pour la règle.
    2. Dans la colonne Sources, cliquez sur l'icône de modification et sélectionnez les groupes à utiliser en tant que source de la règle. Si la source n'est pas spécifiée, elle est définie par défaut sur Quelconque.
      Pour plus d'informations sur l'ajout de groupes, reportez-vous à la section Ajouter un groupe.
    3. Dans la colonne Destinations, cliquez sur l'icône de modification et sélectionnez les groupes à utiliser en tant que destination de la règle. Si la destination n'est pas spécifiée, elle est définie par défaut sur Quelconque.
    4. Dans la colonne Services, cliquez sur l'icône de modification et sélectionnez les services à utiliser dans la règle. Si le service n'est pas spécifié, il est défini par défaut sur Quelconque.
      Note :
      • Lorsque vous cliquez sur l'icône Modifier, l'interface utilisateur affiche une liste de tous les services disponibles. Toutefois, Protection contre les programmes malveillants NSX prend actuellement en charge la détection du transfert de fichiers uniquement pour les services suivants : HTTP, HTTPS, FTP et SMB.
      • À l'heure actuelle, Protection contre les programmes malveillants NSX sur le pare-feu de passerelle ne prend pas en charge l'extraction et l'analyse de fichiers chargés à l'aide de HTTP. Cependant, si des fichiers sont téléchargés à l'aide de FTP, l'extraction et l'analyse des fichiers pour détecter un comportement malveillant sont prises en charge.
    5. Dans la colonne Profils de sécurité, cliquez sur l'icône de modification et sélectionnez les profils à ajouter à la règle de pare-feu.
      Vous pouvez sélectionner un maximum de deux profils de sécurité : un profil NSX IDS/IPS et un profil Protection contre les programmes malveillants NSX.
    6. Si vous ajoutez la règle pour une passerelle spécifique, la colonne Appliqué à affiche le nom de cette passerelle.
      Si vous ajoutez des règles partagées, cliquez sur l'icône modifier dans la colonne Appliqué à, puis sélectionnez les passerelles auxquelles vous souhaitez appliquer la règle.

      Par défaut, les règles de pare-feu de passerelle sont appliquées à toutes les interfaces de liaison montante et toutes les interfaces de service disponibles sur les passerelles sélectionnées.

    7. Dans la colonne Mode, sélectionnez l'une des options.
      Option Description
      Détecter uniquement La règle détecte les fichiers malveillants, le trafic malveillant ou les deux, sur les passerelles sélectionnées en fonction du profil associé à la règle. Aucune action préventive n'est effectuée.
      Détecter et empêcher À l'heure actuelle, Protection contre les programmes malveillants NSX ne prend pas en charge ce mode. Cependant, les règles avec le profil NSX IDS/IPS peuvent détecter et bloquer le trafic malveillant sur les passerelles sélectionnées.
    8. (Facultatif) Cliquez sur l'icône d'engrenage pour configurer d'autres paramètres de règle. Ces paramètres s'appliquent uniquement à NSX IDS/IPS et non à Protection contre les programmes malveillants NSX.
      Option Description
      Journalisation La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi et KVM.

      Protection contre les programmes malveillants NSX est pris en charge uniquement sur les hôtes ESXi. Les hôtes KVM ne sont pas pris en charge.
      Direction Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié. OUT signifie que seul le trafic provenant de l'objet est vérifié. In-Out signifie que le trafic dans les deux sens est vérifié.
      Protocole IP Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois.
      Étiquette de journal L'étiquette de journal est stockée dans le journal du pare-feu lorsque la journalisation est activée.
  6. (Facultatif) Répétez l'étape 4 pour ajouter d'autres règles dans la même stratégie.
  7. Cliquez sur Publier. Vous pouvez cliquer sur l'icône de graphique pour afficher les statistiques de règle pour NSX IDS/IPS sur le pare-feu de passerelle.
    Les règles sont enregistrées et transférées vers les dispositifs NSX Edge.

Résultats

Lorsque des fichiers sont détectés sur les passerelles de niveau 1, des événements de fichiers sont générés et affichés sur le tableau de bord Protection contre les programmes malveillants et le tableau de bord Présentation de la sécurité.

Pour les règles configurées avec un profil IDS/IPS, si le système détecte un trafic malveillant, il génère un événement d'intrusion. Vous pouvez afficher les détails de l'événement sur le tableau de bord IDS/IPS ou sur le tableau de bord Présentation de la sécurité.

Exemple

Pour obtenir un exemple de bout en bout de configuration de règles de pare-feu de passerelle avec Protection contre les programmes malveillants NSX, reportez-vous à la section Exemple : ajouter des règles pour Protection contre les programmes malveillants NSX sur un pare-feu de passerelle.

Que faire ensuite

Surveillez et analysez les événements de fichiers sur le tableau de bord Protection contre les programmes malveillants. Pour plus d'informations, reportez-vous à la section Surveillance des événements de fichiers.

Surveillez et analysez les événements d'intrusion sur le tableau de bord IDS/IPS. Pour plus d'informations, reportez-vous à la section Surveillance des événements IDS/IPS.