L'interface utilisateur de NSX Manager fournit un tableau de règles commun pour ajouter des règles pour la détection/prévention des intrusions NSX et Prévention des logiciels malveillants de NSX sur un pare-feu de passerelle.
Les profils de sécurité que vous ajoutez à la règle déterminent si la règle de pare-feu de passerelle applique uniquement NSX IDS/IPS, ou uniquement Prévention des logiciels malveillants de NSX, ou les deux.
Notez que la configuration d'une règle NSX IDS/IPS en mode Détecter uniquement ou Détecter et appliquer sur une passerelle de niveau 1 configurée avec un équilibreur de charge n'est pas prise en charge.
Conditions préalables
Pour
Prévention des logiciels malveillants de NSX :
Procédure
- À partir de votre navigateur, connectez-vous à une instance de NSX Manager sur https://nsx-manager-ip-address.
- Accédez à .
- Si vous souhaitez ajouter une stratégie pour une passerelle spécifique, vérifiez que vous êtes dans l'onglet Règles spécifiques à la passerelle et sélectionnez une passerelle. Si vous souhaitez ajouter une stratégie pour plusieurs passerelles, vérifiez que vous êtes dans l'onglet Toutes les règles partagées.
- Cliquez sur Ajouter une stratégie pour créer une section pour organiser les règles.
- Entrez le nom de la stratégie.
- (Facultatif) Dans la ligne stratégie, cliquez sur l'icône d'engrenage pour configurer les options de stratégie avancées. Ces options s'appliquent uniquement à NSX IDS/IPS et non à Prévention des logiciels malveillants de NSX.
Option |
Description |
Avec état |
Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu. |
Verrouillé |
La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section. |
- Cliquez sur Publier pour publier la stratégie.
- Cliquez sur Ajouter une règle et configurez les paramètres de la règle.
- Entrez un nom pour la règle.
- Dans la colonne Sources, cliquez sur l'icône de modification et sélectionnez les groupes à utiliser en tant que source de la règle. Si la source n'est pas spécifiée, elle est définie par défaut sur Quelconque.
Pour plus d'informations sur l'ajout de groupes, reportez-vous à la section
Ajouter un groupe.
- Dans la colonne Destinations, cliquez sur l'icône de modification et sélectionnez les groupes à utiliser en tant que destination de la règle. Si la destination n'est pas spécifiée, elle est définie par défaut sur Quelconque.
- Dans la colonne Services, cliquez sur l'icône de modification et sélectionnez les services à utiliser dans la règle. Si le service n'est pas spécifié, il est défini par défaut sur Quelconque.
Note :
- Lorsque vous cliquez sur l'icône Modifier, l'interface utilisateur affiche une liste de tous les services disponibles. Toutefois, Prévention des logiciels malveillants de NSX prend actuellement en charge la détection du transfert de fichiers uniquement pour les services suivants : HTTP, HTTPS, FTP et SMB.
- À l'heure actuelle, Prévention des logiciels malveillants de NSX sur le pare-feu de passerelle ne prend pas en charge l'extraction et l'analyse de fichiers chargés à l'aide de HTTP. Cependant, si des fichiers sont téléchargés à l'aide de FTP, l'extraction et l'analyse des fichiers pour détecter un comportement malveillant sont prises en charge.
- Dans la colonne Profils de sécurité, cliquez sur l'icône de modification et sélectionnez les profils à ajouter à la règle de pare-feu.
Vous pouvez sélectionner un maximum de deux profils de sécurité : un profil
NSX IDS/IPS et un profil
Prévention des logiciels malveillants de NSX.
- Si vous ajoutez la règle pour une passerelle spécifique, la colonne Appliqué à affiche le nom de cette passerelle. Pour une passerelle de niveau 0, vous pouvez cliquer sur l'icône Modifier pour effectuer d'autres choix.
Pour une passerelle de niveau 1, vous pouvez uniquement spécifier la règle à appliquer à la passerelle. Pour une passerelle de niveau 0, vous pouvez spécifier la règle à appliquer à la passerelle, aux interfaces individuelles ou aux groupes d'interfaces.
Si vous ajoutez des règles partagées, cliquez sur l'icône Modifier dans la colonne Appliqué à, puis sélectionnez les passerelles et les interfaces auxquelles vous souhaitez appliquer la règle.
Une règle qui s'applique à une passerelle s'appliquera à toutes les interfaces de liaison montante et à toutes les interfaces de service sur la passerelle.
- Dans la colonne Mode, sélectionnez l'une des options.
Option |
Description |
Détecter uniquement |
La règle détecte les fichiers malveillants, le trafic malveillant ou les deux, sur les passerelles sélectionnées en fonction du profil associé à la règle. Aucune action préventive n'est effectuée. |
Détecter et empêcher |
À l'heure actuelle, Prévention des logiciels malveillants de NSX ne prend pas en charge ce mode. Cependant, les règles avec le profil NSX IDS/IPS peuvent détecter et bloquer le trafic malveillant sur les passerelles sélectionnées. |
- (Facultatif) Cliquez sur l'icône d'engrenage pour configurer d'autres paramètres de règle. Ces paramètres s'appliquent uniquement à NSX IDS/IPS et non à Prévention des logiciels malveillants de NSX.
Option |
Description |
Journalisation |
La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi. |
Direction |
Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié. OUT signifie que seul le trafic provenant de l'objet est vérifié. In-Out signifie que le trafic dans les deux sens est vérifié. |
Surabonnement |
Configurez si le trafic en excès doit être abandonné ou doit contourner le moteur IDS/IPS en cas de surabonnement. La valeur entrée ici remplacera la valeur définie pour le surabonnement dans le paramètre global. |
Protocole IP |
Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois. |
- (Facultatif) Répétez l'étape 4 pour ajouter d'autres règles dans la même stratégie.
- Cliquez sur Publier. Vous pouvez cliquer sur l'icône de graphique pour afficher les statistiques de règle pour NSX IDS/IPS sur le pare-feu de passerelle.
Les règles sont enregistrées et transférées vers les dispositifs NSX Edge.
Résultats
Lorsque des fichiers sont détectés sur les passerelles de niveau 1, des événements de fichiers sont générés et affichés sur le tableau de bord Protection contre les programmes malveillants et le tableau de bord Présentation de la sécurité.
Pour les règles configurées avec un profil IDS/IPS, si le système détecte un trafic malveillant, il génère un événement d'intrusion. Vous pouvez afficher les détails de l'événement sur le tableau de bord IDS/IPS ou sur le tableau de bord Présentation de la sécurité.
Que faire ensuite
Surveillez et analysez les événements de fichiers sur le tableau de bord Protection contre les programmes malveillants. Pour plus d'informations, reportez-vous à la section Surveillance des événements de fichiers.
Surveillez et analysez les événements d'intrusion sur le tableau de bord
IDS/IPS. Pour plus d'informations, reportez-vous à la section
Surveillance des événements IDS/IPS.