L'interfaccia utente di NSX Manager fornisce una tabella di regole comuni per aggiungere regole per la funzionalità di rilevamento e prevenzione delle intrusioni di NSX e Prevenzione malware NSX in un firewall distribuito.

  • In NSX 4.0, il rilevamento e la prevenzione di malware nel traffico est-ovest distribuito sono supportati solo per i file Portable Executable (PE) di Windows estratti dall'agente thin GI negli endpoint guest Windows (macchine virtuali). Altre categorie di file non sono supportate da Prevenzione malware distribuita NSX.
  • A partire da NSX 4.0.1.1, il rilevamento e la prevenzione di malware nel traffico est-ovest distribuito è supportato per tutte le categorie di file sugli endpoint guest Windows e Linux. Per visualizzare l'elenco delle categorie di file supportate, vedere Categorie di file supportate per Prevenzione malware NSX.
  • Il limite massimo delle dimensioni dei file supportato è 64 MB.

Prerequisiti

Per Prevenzione malware NSX:
Per NSX IDS/IPS:

Procedura

  1. Dal browser accedere a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Passare a Sicurezza > IDS/IPS e prevenzione malware > Regole distribuite.
  3. Fare clic su Aggiungi criterio per creare una sezione per l'organizzazione delle regole.
    1. Immettere un nome per il criterio.
    2. (Facoltativo) Nella riga del criterio fare clic sull'icona a forma di ingranaggio per configurare le opzioni avanzate dei criteri. Queste opzioni si applicano solo a NSX Distributed IDS/IPS e non a Prevenzione malware distribuita NSX.
      Opzione Descrizione

      Stateful

      Un firewall di tipo stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.

      Bloccato

      Il criterio può essere bloccato per impedire a più utenti di modificare le stesse sezioni. Quando si blocca una sezione, è necessario includere un commento.

      Alcuni ruoli, come l'amministratore per l'azienda, dispongono di credenziali di accesso complete e non possono essere bloccati. Vedere Controllo degli accessi in base al ruolo.

  4. Fare clic su Aggiungi regola e configurare le impostazioni della regola.
    1. Immettere un nome per la regola.
    2. Configurare le colonne Origini, Destinazioni e Servizi in base al traffico che richiede l'ispezione di IDS. IDS supporta i tipi di gruppo Generico e Solo indirizzi IP per l'origine e la destinazione.
      Queste tre colonne non sono supportate per le regole del firewall per la prevenzione malware distribuita. Lasciare il valore Qualsiasi. È tuttavia necessario limitare l'ambito delle regole di prevenzione malware distribuita selezionando i gruppi nella colonna Si applica a.
    3. Nella colonna Profili di sicurezza selezionare il profilo da utilizzare per questa regola.
      È possibile selezionare un profilo NSX IDS/IPS o un profilo Prevenzione malware NSX, ma non entrambi. In altre parole, una regola supporta un solo profilo di sicurezza.
    4. Nella colonna Si applica a selezionare una delle opzioni.
      Opzione Descrizione
      DFW Attualmente, le regole di prevenzione malware distribuita non supportano DFW in Si applica a. Le regole di IDS/IPS distribuiti possono essere applicate a DFW. Le regole IDS/IPS vengono applicate alle macchine virtuali del carico di lavoro in tutti i cluster di host attivati con NSX IDS/IPS.
      Gruppi La regola viene applicata solo alle macchine virtuali che sono membri dei gruppi selezionati.
    5. Nella colonna Modalità selezionare una delle opzioni.
      Opzione Descrizione
      Rileva solo

      Per il servizio Prevenzione malware NSX: la regola rileva file dannosi nelle macchine virtuali, ma non viene eseguita alcuna azione preventiva. In altre parole, i file dannosi vengono scaricati nelle macchine virtuali.

      Per il servizio IDS/IPS di NSX: la regola rileva intrusioni in base alle firme e non esegue alcuna azione.

      Rileva e impedisci

      Per il servizio Prevenzione malware NSX: la regola rileva file dannosi noti nelle macchine virtuali e ne impedisce il download nelle macchine virtuali.

      Per il servizio IDS/IPS di NSX: la regola rileva intrusioni in base alle firme e interrompe o rifiuta il traffico a seconda della configurazione della firma nel profilo IDS/IPS o nella configurazione della firma globale.

    6. (Facoltativo) Fare clic sull'icona a forma di ingranaggio per configurare le altre impostazioni della regola. Queste impostazioni si applicano solo a NSX Distributed IDS/IPS e non a Prevenzione malware distribuita NSX.
      Opzione Descrizione
      Registrazione La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati nel file /var/log/dfwpktlogs.log negli host ESXi.
      Direzione Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. IN significa che viene controllato solo il traffico verso l'oggetto. OUT indica che viene controllato solo il traffico proveniente dall'oggetto. Ingresso/uscita significa che viene controllato il traffico in entrambe le direzioni.
      Protocollo IP Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6.
      Oversubscription A partire da NSX 4.0.1.1, è possibile configurare se il traffico in eccesso deve essere eliminato o se deve ignorare il motore IDS/IPS in caso di oversubscription. Il valore immesso qui sovrascriverà il set di valori per l'oversubscription nell'impostazione globale.
      Etichetta registro L'etichetta del registro viene archiviata nel registro del firewall quando la registrazione è abilitata.
  5. (Facoltativo) Ripetere il passaggio 4 per aggiungere altre regole nello stesso criterio.
  6. Fare clic su Pubblica.
    Le regole vengono salvate e sottoposte a push negli host. È possibile fare clic sull'icona del grafico per visualizzare le statistiche delle regole per NSX Distributed IDS/IPS.
    Nota: Le statistiche per le regole del firewall di Prevenzione malware distribuita NSX non sono supportate.

risultati

Quando si estraggono file nelle macchine virtuali dell'endpoint, gli eventi file vengono generati e visualizzati nel dashboard Prevenzione malware e nel dashboard Panoramica della sicurezza. Se i file sono dannosi, viene applicato il criterio di sicurezza. Se i file non sono dannosi, vengono scaricati nelle macchine virtuali.

Per le regole configurate con il profilo IDS/IPS, se il sistema rileva traffico dannoso, genera un evento intrusione e lo visualizza nel dashboard IDS/IPS. Il sistema elimina, rifiuta o genera un avviso per il traffico in base all'azione configurata nella regola.

Esempio

Per un esempio end-to-end di configurazione di una regola del firewall distribuito per il rilevamento e la prevenzione di malware negli endpoint delle macchine virtuali, vedere Esempio: Aggiungi regole per Prevenzione malware distribuita NSX.

Operazioni successive

Monitorare e analizzare gli eventi dei file nel dashboard Prevenzione malware. Per ulteriori informazioni, vedere Monitoraggio degli eventi file.

Monitorare e analizzare gli eventi intrusione nel dashboard IDS/IPS. Per ulteriori informazioni, vedere Monitoraggio degli eventi di IDS/IPS.