Aggiunta di regole per NSX Distributed IDS/IPS e Prevenzione malware distribuita NSX

L'interfaccia utente di NSX Manager fornisce una tabella di regole comuni per aggiungere regole per la funzionalità di rilevamento e prevenzione delle intrusioni di NSX e Prevenzione malware NSX in un firewall distribuito.

Prerequisiti

Per Prevenzione malware NSX:

La macchina virtuale del servizio Prevenzione malware NSX viene distribuita in cluster di host vSphere preparati per NSX. Per istruzioni dettagliate, vedere Distribuzione di un Prevenzione malware distribuita NSX servizio.
Aggiunta di un profilo di prevenzione malware.
Creare gruppi e aggiungere macchine virtuali che si desidera proteggere dai malware in tali gruppi. È possibile aggiungere macchine virtuali come membri statici o definire criteri di appartenenza dinamica che valutano le macchine virtuali come membri effettivi. Per istruzioni dettagliate, vedere Aggiunta di un gruppo.

Per NSX IDS/IPS:

Aggiunta di un profilo NSX IDS/IPS.
Attivare NSX IDS/IPS nei cluster di host vSphere. (Sicurezza > IDS/IPS e prevenzione malware > Impostazioni > Condivise).

Procedura

Dal browser accedere a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
Passare a Sicurezza > IDS/IPS e prevenzione malware > Regole distribuite.

Fare clic su Aggiungi criterio per creare una sezione per l'organizzazione delle regole.

Immettere un nome per il criterio.

(Facoltativo) Nella riga del criterio fare clic sull'icona a forma di ingranaggio per configurare le opzioni avanzate dei criteri. Queste opzioni si applicano solo a NSX Distributed IDS/IPS e non a Prevenzione malware distribuita NSX.

Opzione	Descrizione
Stateful	Un firewall di tipo stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.
Bloccato	Il criterio può essere bloccato per impedire a più utenti di modificare le stesse sezioni. Quando si blocca una sezione, è necessario includere un commento. Alcuni ruoli, come l'amministratore aziendale, dispongono di credenziali di accesso complete e non possono essere bloccati. Vedere Controllo degli accessi in base al ruolo.

Fare clic su Aggiungi regola e configurare le impostazioni della regola.

Immettere un nome per la regola.
Configurare le colonne Origini, Destinazioni e Servizi in base al traffico che richiede l'ispezione di IDS. IDS supporta i tipi di gruppo Generico e Solo indirizzi IP per l'origine e la destinazione.
Queste tre colonne non sono supportate per le regole del firewall per la prevenzione malware distribuita. Lasciare il valore Qualsiasi. È tuttavia necessario limitare l'ambito delle regole di prevenzione malware distribuita selezionando i gruppi nella colonna Si applica a.
Nella colonna Profili di sicurezza selezionare il profilo da utilizzare per questa regola.
È possibile selezionare un profilo NSX IDS/IPS o un profilo Prevenzione malware NSX, ma non entrambi. In altre parole, una regola supporta un solo profilo di sicurezza.

Nella colonna Si applica a selezionare una delle opzioni.

Opzione	Descrizione
DFW	Attualmente, le regole di prevenzione malware distribuita non supportano DFW in Si applica a. Le regole di IDS/IPS distribuiti possono essere applicate a DFW. Le regole IDS/IPS vengono applicate alle macchine virtuali del carico di lavoro in tutti i cluster di host attivati con NSX IDS/IPS.
Gruppi	La regola viene applicata solo alle macchine virtuali che sono membri dei gruppi selezionati.

Nella colonna Modalità selezionare una delle opzioni.

Opzione	Descrizione
Rileva solo	Per il servizio Prevenzione malware NSX: la regola rileva file dannosi nelle macchine virtuali, ma non viene eseguita alcuna azione preventiva. In altre parole, i file dannosi vengono scaricati nelle macchine virtuali. Per il servizio IDS/IPS di NSX: la regola rileva intrusioni in base alle firme e non esegue alcuna azione.
Rileva e impedisci	Per il servizio Prevenzione malware NSX: la regola rileva file dannosi noti nelle macchine virtuali e ne impedisce il download nelle macchine virtuali. Per il servizio IDS/IPS di NSX: la regola rileva intrusioni in base alle firme e interrompe o rifiuta il traffico a seconda della configurazione della firma nel profilo IDS/IPS o nella configurazione della firma globale.

Opzione

Descrizione

Rileva solo

Per il servizio Prevenzione malware NSX: la regola rileva file dannosi nelle macchine virtuali, ma non viene eseguita alcuna azione preventiva. In altre parole, i file dannosi vengono scaricati nelle macchine virtuali.

Per il servizio IDS/IPS di NSX: la regola rileva intrusioni in base alle firme e non esegue alcuna azione.

Rileva e impedisci

Per il servizio Prevenzione malware NSX: la regola rileva file dannosi noti nelle macchine virtuali e ne impedisce il download nelle macchine virtuali.

Per il servizio IDS/IPS di NSX: la regola rileva intrusioni in base alle firme e interrompe o rifiuta il traffico a seconda della configurazione della firma nel profilo IDS/IPS o nella configurazione della firma globale.

(Facoltativo) Fare clic sull'icona a forma di ingranaggio per configurare le altre impostazioni della regola. Queste impostazioni si applicano solo a NSX Distributed IDS/IPS e non a Prevenzione malware distribuita NSX.

Opzione	Descrizione
Registrazione	La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati nel file /var/log/dfwpktlogs.log negli host ESXi.
Direzione	Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. IN significa che viene controllato solo il traffico verso l'oggetto. OUT indica che viene controllato solo il traffico proveniente dall'oggetto. Ingresso/uscita significa che viene controllato il traffico in entrambe le direzioni.
Protocollo IP	Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6.
Oversubscription	È possibile configurare se il traffico in eccesso deve essere eliminato o se deve ignorare il motore IDS/IPS in caso di oversubscription. Il valore immesso qui sovrascriverà il set di valori per l'oversubscription nell'impostazione globale.
Etichetta registro	L'etichetta del registro viene archiviata nel registro del firewall quando la registrazione è abilitata.

(Facoltativo) Ripetere il passaggio 4 per aggiungere altre regole nello stesso criterio.
Fare clic su Pubblica.
Le regole vengono salvate e sottoposte a push negli host. È possibile fare clic sull'icona del grafico per visualizzare le statistiche delle regole per NSX Distributed IDS/IPS.
Nota: Le statistiche per le regole del firewall di Prevenzione malware distribuita NSX non sono supportate.

risultati

Quando si estraggono file nelle macchine virtuali dell'endpoint, gli eventi file vengono generati e visualizzati nel dashboard Prevenzione malware e nel dashboard Panoramica della sicurezza. Se i file sono dannosi, viene applicato il criterio di sicurezza. Se i file non sono dannosi, vengono scaricati nelle macchine virtuali.

Per le regole configurate con il profilo IDS/IPS, se il sistema rileva traffico dannoso, genera un evento intrusione e lo visualizza nel dashboard IDS/IPS. Il sistema elimina, rifiuta o genera un avviso per il traffico in base all'azione configurata nella regola.

Esempio

Per un esempio end-to-end di configurazione di una regola del firewall distribuito per il rilevamento e la prevenzione di malware negli endpoint delle macchine virtuali, vedere Esempio: Aggiungi regole per Prevenzione malware distribuita NSX.

Operazioni successive

Monitorare e analizzare gli eventi dei file nel dashboard Prevenzione malware. Per ulteriori informazioni, vedere Monitoraggio degli eventi file.

Monitorare e analizzare gli eventi intrusione nel dashboard IDS/IPS. Per ulteriori informazioni, vedere Monitoraggio degli eventi di IDS/IPS.