L'interfaccia utente di NSX Manager fornisce una tabella di regole comuni per aggiungere regole per la funzionalità di rilevamento e prevenzione delle intrusioni di NSX e Prevenzione malware NSX in un firewall del gateway.
I profili di sicurezza aggiunti alla regola determinano se la regola del firewall del gateway applica solo IDS/IPS di NSX, solo Prevenzione malware NSX o entrambi.
Prerequisiti
Per
Prevenzione malware NSX:
Procedura
- Dal browser accedere a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
- Passare a .
- Se si desidera aggiungere un criterio per un gateway specifico, assicurarsi di trovarsi nella scheda Regole specifiche del gateway e selezionare un gateway. Se si desidera aggiungere un criterio per più gateway, assicurarsi di trovarsi nella scheda Tutte le regole condivise.
- Fare clic su Aggiungi criterio per creare una sezione per l'organizzazione delle regole.
- Immettere un nome per il criterio.
- (Facoltativo) Nella riga del criterio fare clic sull'icona a forma di ingranaggio per configurare le opzioni avanzate dei criteri. Queste opzioni si applicano solo a IDS/IPS di NSX e non a Prevenzione malware NSX.
Opzione |
Descrizione |
Stateful |
Un firewall stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall. |
Bloccato |
Il criterio può essere bloccato per impedire a più utenti di modificare le stesse sezioni. Quando si blocca una sezione, è necessario includere un commento. |
- Fare clic su Pubblica per pubblicare il criterio.
- Fare clic su Aggiungi regola e configurare le impostazioni della regola.
- Immettere un nome per la regola.
- Nella colonna Origini fare clic sull'icona di modifica e selezionare i gruppi da utilizzare come origine della regola. Se l'origine non è specificata, viene utilizzato il valore Qualsiasi per impostazione predefinita.
- Nella colonna Destinazioni fare clic sull'icona di modifica e selezionare i gruppi da utilizzare come destinazione della regola. Se la destinazione non è specificata, viene utilizzato il valore Qualsiasi per impostazione predefinita.
- Nella colonna Servizi fare clic sull'icona di modifica e selezionare i servizi da utilizzare nella regola. Se il servizio non è specificato, viene utilizzato il valore Qualsiasi per impostazione predefinita.
Nota:
- Quando si fa clic sull'icona di modifica, nell'interfaccia utente viene visualizzato un elenco di tutti i servizi disponibili. Tuttavia, Prevenzione malware NSX supporta al momento il rilevamento del trasferimento dei file solo per i seguenti servizi: HTTP, HTTPS, FTP e SMB.
- Prevenzione malware NSX nel firewall del gateway al momento non supporta l'estrazione e l'analisi dei file caricati tramite HTTP. Tuttavia, se i file vengono caricati tramite FTP, l'estrazione e l'analisi dei file per rilevare un comportamento dannoso sono supportate.
- Nella colonna Profili di sicurezza fare clic sull'icona di modifica e selezionare i profili da aggiungere alla regola del firewall.
È possibile selezionare al massimo due profili di sicurezza, un profilo
NSX IDS/IPS e un profilo
Prevenzione malware NSX.
- Se si aggiunge la regola per un gateway specifico, nella colonna Si applica a viene visualizzato il nome di tale gateway.
Se si aggiungono regole condivise, fare clic sull'icona di modifica nella colonna
Si applica a e selezionare i gateway a cui si desidera applicare la regola.
Per impostazione predefinita, le regole del firewall del gateway vengono applicate a tutte le interfacce di uplink e servizio disponibili nel gateway selezionato.
- Nella colonna Modalità selezionare una delle opzioni.
Opzione |
Descrizione |
Rileva solo |
La regola rileva file dannosi, traffico dannoso o entrambi nei gateway selezionati in base al profilo collegato alla regola. Non viene eseguita alcuna azione preventiva. |
Rileva e impedisci |
Prevenzione malware NSX al momento non supporta questa modalità. Tuttavia, le regole con profilo IDS/IPS di NSX possono rilevare e bloccare il traffico dannoso nei gateway selezionati. |
- (Facoltativo) Fare clic sull'icona a forma di ingranaggio per configurare le altre impostazioni della regola. Queste impostazioni si applicano solo a IDS/IPS di NSX e non a Prevenzione malware NSX.
Opzione |
Descrizione |
Registrazione |
La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati nel file /var/log/dfwpktlogs.log negli host ESXi. |
Direzione |
Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. IN significa che viene controllato solo il traffico verso l'oggetto. OUT indica che viene controllato solo il traffico proveniente dall'oggetto. Ingresso/uscita significa che viene controllato il traffico in entrambe le direzioni. |
Oversubscription |
Configurare se il traffico in eccesso deve essere eliminato o se deve ignorare il motore IDS/IPS in caso di oversubscription. Il valore immesso qui sovrascriverà il set di valori per l'oversubscription nell'impostazione globale. |
Protocollo IP |
Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6. |
- (Facoltativo) Ripetere il passaggio 4 per aggiungere altre regole nello stesso criterio.
- Fare clic su Pubblica. È possibile fare clic sull'icona del grafico per visualizzare le statistiche della regola per IDS/IPS di NSX nel firewall del gateway.
Le regole vengono salvate e sottoposte a push negli NSX Edge.
risultati
Quando vengono rilevati file nei gateway di livello 1, gli eventi file vengono generati e visualizzati nel dashboard Prevenzione malware e nel dashboard Panoramica della sicurezza.
Per le regole configurate con il profilo IDS/IPS, se il sistema rileva traffico dannoso, genera un evento intrusione. È possibile visualizzare i dettagli dell'evento nel dashboard IDS/IPS o nel dashboard Panoramica della sicurezza.
Operazioni successive
Monitorare e analizzare gli eventi dei file nel dashboard Prevenzione malware. Per ulteriori informazioni, vedere Monitoraggio degli eventi file.
Monitorare e analizzare gli eventi intrusione nel dashboard
IDS/IPS. Per ulteriori informazioni, vedere
Monitoraggio degli eventi di IDS/IPS.