In quest'esempio, l'obiettivo è creare criteri di protezione con regole del firewall del gateway che rilevano file dannosi nel traffico verticale, che passa attraverso le NSX Edge nella NSX-T Data Center.

Per quest'esempio, si tenga presente che la topologia di rete è come illustrato nella figura seguente. Aggiungerete regole di prevenzione malware del gateway per rilevare malware nei gateway di livello 1: T1-GW1 e T1-GW2. In entrambi i gateway di livello 1 è collegato un segmento di overlay. Le macchine virtuali del carico di lavoro sono collegate ai segmenti di overlay. Entrambi i gateway di livello 1 sono connessi a un singolo gateway di livello 0, che a sua volta è connesso allo switch top-of-rack fisico per abilitare la connettività con la rete pubblica esterna.


Topologia di rete con due gateway di livello 1 connessi a un singolo gateway di livello 0.

Ipotesi:

  • Nell'inventario del NSX-T vengono aggiunti i gruppi seguenti.
    Nome gruppo Tipo gruppo Note

    A nord

    Solo indirizzi IP

    Questo gruppo contiene un intervallo di IP pubblici. Ad esempio, 12.1.1.10-12.1.1.100

    A sud

    Generico

    Questo gruppo contiene un segmento di overlay (Segment1), che è collegato al T1-GW1 come membro statico.
  • Viene aggiunto un profilo di Prevenzione malware denominato Profile_T1-GW con la seguente configurazione:
    • Tutte le opzioni della categoria del file sono selezionate.
    • L'opzioneAnalisi dei file cloud è selezionata.

    Questo profilo di prevenzione malware verrà utilizzato nelle regole del firewall del gateway di entrambi i gateway di livello 1.

Prerequisiti

  • NSX Edge con fattore di forma molto grande vengono distribuiti nel Data Center e configurati come nodi di trasporto dell'Edge.

  • La funzionalitàPrevenzione malware NSX è attivata o attivata nei gateway di livello 1: T1-GW1 e T1-GW2.

Procedura

  1. Dal browser accedere a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Passare a Sicurezza > IDS/IPS e prevenzione malware > Regole gateway.
  3. Nella pagina Regole specifiche del gateway , nel menu a discesa Gateway , selezionare T1-GW1.
  4. Fare clic su Aggiungi criterio per creare una sezione e immettere un nome per il criterio.
    Ad esempio, inserire Policy_T1-GW1.
  5. Fare clic su Aggiungi regola e configurare due regole con le configurazioni seguenti.
    Nome ID Fonti Destinazioni Servizi Profili di sicurezza Si applica a Modalità
    N_to_S 1011 A nord A sud HTTP Profile_T1-GW T1-GW1 Rileva solo
    S_to_N 1010 A sud A nord HTTP Profile_T1-GW T1-GW1 Rileva solo

    Gli ID delle regole in questa tabella sono solo di riferimento. Possono variare in ambiente NSX-T.

    Comprendiamo il significato delle seguenti regole:
    • Regola 1011: questa regola viene applicata in T1-GW1 quando le connessioni HTTP vengono avviate dalle macchine nell'intervallo IP pubblico (12.1.1.10-12.1.1.100) e queste connessioni vengono accettate dalle macchine virtuali del carico di lavoro collegate al Segment1. Se viene rilevato un file nella connessione HTTP, viene generato un evento file e questo viene analizzato per rilevare comportamenti dannosi.
    • Regola 1010: questa regola viene applicata in T1-GW1 quando le connessioni HTTP vengono avviate dalle macchine virtuali del carico di lavoro in Segment1 e queste connessioni vengono accettate dalle macchine nell'intervallo IP pubblico (12.1.1.10-12.1.1.100). Se viene rilevato un file nel traffico HTTP, viene generato un evento file e questo viene analizzato per rilevare comportamenti dannosi.
  6. Pubblicare le regole.
  7. Nella pagina Regole specifiche del gateway , nel menu a discesa Gateway , selezionare T1-GW2.
  8. Fare clic su Aggiungi criterio per creare una sezione e immettere un nome per il criterio.
    Ad esempio, inserire Policy_T1-GW2.
  9. Fare clic su Aggiungi regola e configurare una regola Qualsiasi-Qualsiasi regola come indicato di seguito.
    Nome ID Fonti Destinazioni Servizi Profili di sicurezza Si applica a Modalità
    Any_Traffic 1006 Qualsiasi Qualsiasi Qualsiasi Profile_T1-GW T1-GW2 Rileva solo

    Questa regola viene applicata in T1-GW2 quando qualsiasi tipo di traffico viene avviato da qualsiasi origine e accettato da qualsiasi destinazione. Se viene rilevato un file nel traffico, viene generato un evento file e questo viene analizzato per rilevare comportamenti dannosi.

  10. Pubblicare le regole.

Esempio

Scenario: nella stessa topologia illustrata in precedenza, si supponga che una macchina virtuale in Segment1 desideri trasmettere un file a una macchina virtuale in Segment2. In questo caso, il file attraversa entrambi i gateway di livello 1: T1-GW1 e T1-GW2. Poiché il profilo di prevenzione malware è configurato su entrambi i gateway di livello 1, il file viene esaminato due volte e vengono generati due eventi di file. Questo comportamento è previsto.