Dans cet exemple, votre objectif est de créer des stratégies de sécurité avec des règles de pare-feu de passerelle qui détectent des fichiers malveillants sur le trafic nord-sud, qui transite par les dispositifs NSX Edge dans votre NSX-T Data Center.

Pour cet exemple, tenez compte du fait que votre topologie réseau est comme indiqué dans la figure suivante. Vous allez ajouter des règles de protection contre les programmes malveillants de passerelle pour détecter les programmes malveillants sur les passerelles de niveau 1 : T1-GW1 et T1-GW2. Un segment de superposition est attaché aux deux passerelles de niveau 1. Les machines virtuelles de charge de travail sont attachées aux segments de superposition. Les deux passerelles de niveau 1 sont connectées à une seule passerelle de niveau 0, qui à son tour est connectée au commutateur ToR (Top-of-Rack) physique pour activer la connectivité avec le réseau public externe.


Topologie réseau avec deux passerelles de niveau 1 connectées à une seule passerelle de niveau 0.

Hypothèses :

  • Les groupes suivants sont ajoutés dans l'inventaire NSX-T.
    Nom de groupe Type de groupe Remarques

    Nord

    Adresses IP uniquement

    Ce groupe contient une plage d'adresses IP publiques. Par exemple, 12.1.1.10-12.1.1.100

    Sud

    Générique

    Ce groupe contient un segment de superposition (Segment1), qui est attaché à T1-GW1, en tant que membre statique.

  • Un profil de protection contre les programmes malveillants nommé Profile_T1-GW est ajouté avec la configuration suivante :
    • Toutes les options de catégorie de fichier sont sélectionnées.
    • L'option Analyse de fichier cloud est sélectionnée.

    Vous utiliserez ce profil de protection contre les programmes malveillants dans les règles de pare-feu de passerelle des deux passerelles de niveau 1.

Conditions préalables

  • Des dispositifs NSX Edge avec un facteur de forme maxi grand sont déployés dans votre centre de données et configurés en tant que nœuds de transport Edge.
  • La fonctionnalité Protection contre les programmes malveillants NSX est activée sur les passerelles de niveau 1 : T1-GW1 et T1-GW2.

Procédure

  1. À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Règles de passerelle.
  3. Sur la page Règles spécifiques à la passerelle, dans le menu déroulant Passerelle, sélectionnez T1-GW1.
  4. Cliquez sur Ajouter une stratégie pour créer une section et entrez un nom pour la stratégie.
    Par exemple, entrez Policy_T1-GW1.
  5. Cliquez sur Ajouter une règle et configurez deux règles avec les configurations suivantes.
    Nom ID Sources Destinations Services Profils de sécurité Appliqué à Mode
    N_vers_S 1011 Nord Sud HTTP Profil_T1-GW T1-GW1 Détecter uniquement
    S_vers_N 1010 Sud Nord HTTP Profil_T1-GW T1-GW1 Détecter uniquement

    Les ID de règle dans ce tableau sont fournis uniquement à des fins de référence. Ils peuvent varier dans votre environnement NSX-T.

    Découvrons la signification de ces règles :
    • Règle 1011 : cette règle est appliquée sur T1-GW1 lorsque les connexions HTTP sont initiées par les machines de la plage d'adresses IP publiques (12.1.1.10-12.1.1.100) et que ces connexions sont acceptées par les machines virtuelles de charge de travail attachées au segment 1. Si un fichier est détecté dans la connexion HTTP, un événement de fichier est généré et le fichier est analysé pour un comportement malveillant.
    • Règle 1010 : cette règle est appliquée sur T1-GW1 lorsque les connexions HTTP sont initiées par les machines virtuelles de charge de travail sur Segment1 et que ces connexions sont acceptées par les machines dans la plage d'adresses IP publiques (12.1.1.10-12.1.1.100). Si un fichier est détecté dans le trafic HTTP, un événement de fichier est généré et le fichier est analysé pour un comportement malveillant.
  6. Publiez les règles.
  7. Sur la page Règles spécifiques à la passerelle, dans le menu déroulant Passerelle, sélectionnez T1-GW2.
  8. Cliquez sur Ajouter une stratégie pour créer une section et entrez un nom pour la stratégie.
    Par exemple, entrez Policy_T1-GW2.
  9. Cliquez sur Ajouter une règle et configurez une règle Any-Any comme suit.
    Nom ID Sources Destinations Services Profils de sécurité Appliqué à Mode
    Tout_Trafic 1006 Quelconque Quelconque Quelconque Profil_T1-GW T1-GW2 Détecter uniquement

    Cette règle est appliquée sur T1-GW2 lorsqu'un type quelconque de trafic est initié à partir d'une source quelconque et accepté par une destination quelconque. Si un fichier est détecté dans le trafic, un événement de fichier est généré et le fichier est analysé pour un comportement malveillant.

  10. Publiez les règles.

Exemple

Scénario : dans la même topologie que celle indiquée précédemment, supposons qu'une machine virtuelle sur Segment1 souhaite transmettre un fichier à une machine virtuelle sur Segment2. Dans ce cas, le fichier traverse les deux passerelles de niveau 1 : T1-GW1 et T1-GW2. Comme le profil de protection contre les programmes malveillants est configuré sur les deux passerelles de niveau 1, le fichier est inspecté deux fois et deux événements de fichier sont générés. Ce comportement est normal.