L'interface utilisateur NSX Manager fournit un tableau de règles commun pour ajouter des règles pour la détection/prévention des intrusions NSX et pour Protection contre les programmes malveillants NSX sur un pare-feu distribué.
Conditions préalables
Pour
Protection contre les programmes malveillants NSX :
Procédure
- À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
- Accédez à .
- Cliquez sur Ajouter une stratégie pour créer une section pour organiser les règles.
- Entrez le nom de la stratégie.
- (Facultatif) Dans la ligne stratégie, cliquez sur l'icône d'engrenage pour configurer les options de stratégie avancées. Ces options s'appliquent uniquement à NSX Distributed IDS/IPS et non à Protection contre les programmes malveillants distribués NSX.
Option |
Description |
Avec état |
Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu. |
Verrouillé |
La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section. Certains rôles, tels Administrateur d'entreprise, disposent d'informations d'identification d'accès complet et ne peuvent pas être verrouillés. Reportez-vous à la section Contrôle d'accès basé sur les rôles. |
- Cliquez sur Ajouter une règle et configurez les paramètres de la règle.
- Entrez un nom pour la règle.
- Configurez les colonnes Sources, Destinations et Services en fonction du trafic nécessitant une inspection IDS. IDS prend en charge les types de groupe Générique et Adresses IP uniquement pour la source et la destination.
Ces trois colonnes ne sont pas prises en charge pour les règles de pare-feu de protection contre les programmes malveillants distribués. Conservez-les comme Quelconque. Cependant, vous devez limiter l'étendue des règles de protection contre les programmes malveillants distribués en sélectionnant les groupes dans la colonne
Appliqué à.
- Dans la colonne Profils de sécurité, sélectionnez le profil à utiliser pour cette règle.
Vous pouvez sélectionner un profil
NSX IDS/IPS ou un profil
Protection contre les programmes malveillants NSX, mais pas les deux. En d'autres termes, un seul profil de sécurité est pris en charge dans une règle.
- Dans la colonne Appliqué à, sélectionnez l'une des options.
Option |
Description |
DFW |
Actuellement, les règles de protection contre les programmes malveillants distribués ne prennent pas en charge DFW dans Appliqué à. Les règles IDS/IPS distribuées peuvent être appliquées à DFW. Les règles IDS/IPS sont appliquées aux machines virtuelles de charge de travail sur tous les clusters d'hôtes activés avec NSX IDS/IPS. |
Groupes |
La règle est appliquée uniquement aux machines virtuelles qui sont membres des groupes sélectionnés. |
- Dans la colonne Mode, sélectionnez l'une des options.
Option |
Description |
Détecter uniquement |
Pour le service Protection contre les programmes malveillants NSX : la règle détecte les fichiers malveillants sur les machines virtuelles, mais aucune action préventive n'est effectuée. En d'autres termes, des fichiers malveillants sont téléchargés sur les machines virtuelles. Pour le service NSX IDS/IPS : la règle détecte les intrusions par rapport aux signatures et n'effectue aucune action. |
Détecter et empêcher |
Pour le service Protection contre les programmes malveillants NSX : la règle détecte les fichiers malveillants connus sur les machines virtuelles et les empêche d'être téléchargées sur les machines virtuelles. Pour le service NSX IDS/IPS : la règle détecte les intrusions contre les signatures et abandonne ou rejette le trafic en fonction de la configuration de la signature dans le profil IDS/IPS ou dans la configuration de signature globale. |
- (Facultatif) Cliquez sur l'icône d'engrenage pour configurer d'autres paramètres de règle. Ces paramètres s'appliquent uniquement à NSX Distributed IDS/IPS et non à Protection contre les programmes malveillants distribués NSX.
Option |
Description |
Journalisation |
La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi. |
Direction |
Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié. OUT signifie que seul le trafic provenant de l'objet est vérifié. In-Out signifie que le trafic dans les deux sens est vérifié. |
Protocole IP |
Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois. |
Surabonnement |
Vous pouvez configurer si le trafic en excès doit être abandonné ou contourné par le moteur IDS/IPS en cas de surabonnement. La valeur entrée ici remplacera la valeur définie pour le surabonnement dans le paramètre global. |
Étiquette de journal |
L'étiquette de journal est stockée dans le journal du pare-feu lorsque la journalisation est activée. |
- (Facultatif) Répétez l'étape 4 pour ajouter d'autres règles dans la même stratégie.
- Cliquez sur Publier.
Les règles sont enregistrées et transférées aux hôtes. Vous pouvez cliquer sur l'icône de graphique pour afficher les statistiques de règle pour
NSX Distributed IDS/IPS.
Note : Les statistiques de règle pour les règles de pare-feu
Protection contre les programmes malveillants distribués NSX ne sont pas prises en charge.
Résultats
Lorsque des fichiers sont extraits sur les machines virtuelles de point de terminaison, des événements de fichiers sont générés et affichés dans le tableau de bord Protection contre les programmes malveillants et Présentation de la sécurité. Si les fichiers sont malveillants, la stratégie de sécurité est appliquée. Si les fichiers sont inoffensifs, ils sont téléchargés sur les machines virtuelles.
Pour les règles configurées avec le profil IDS/IPS, si le système détecte un trafic malveillant, il génère un événement d'intrusion et l'affiche sur le tableau de bord IDS/IPS. Le système abandonne, rejette ou génère une alarme pour le trafic en fonction de l'action que vous avez configurée dans la règle.
Que faire ensuite
Surveillez et analysez les événements de fichiers sur le tableau de bord de Malware Prevention. Pour plus d'informations, reportez-vous à la section Surveillance des événements de fichiers.
Surveillez et analysez les événements d'intrusion sur le tableau de bord
IDS/IPS. Pour plus d'informations, reportez-vous à la section
Surveillance des événements IDS/IPS.