Se è stata saltata la procedura guidata Configurazione di IDS/IPS e prevenzione malware senza configurare alcuna impostazione o se durante il processo di configurazione è stata interrotta la procedura guidata, è possibile continuare il processo di configurazione dalla pagina Impostazioni IDS/IPS e prevenzione malware.

Per aprire questa pagina nell'interfaccia utente di NSX Manager, passare a Sicurezza > IDS/IPS e prevenzione malware > Impostazioni.

Le impostazioni di configurazione sono raggruppate in tre pagine di schede:
  • Condiviso
  • IDS/IPS
  • Prevenzione malware

Impostazioni condivise

Come suggerito dal nome, queste impostazioni sono comuni a NSX IDS/IPS e Prevenzione malware NSX.
Configura server proxy Internet

NSX IDS/IPS non richiede necessariamente una connessione Internet per funzionare. NSX IDS/IPS utilizza le firme per rilevare e impedire le intrusioni. Se l'ambiente NSX dispone della connettività Internet, NSX Manager può scaricare automaticamente le firme di rilevamento delle intrusioni più recenti direttamente da Internet o tramite un server proxy NSX. Se la connettività Internet non è configurata nell'ambiente NSX, è possibile utilizzare le API per scaricare manualmente il file del bundle delle firme del rilevamento delle intrusioni (.zip) di NSX e quindi caricare il bundle delle firme in NSX Manager. Per ulteriori informazioni sul caricamento manuale delle firme, vedere Download e caricamento offline delle firme del rilevamento delle intrusioni di NSX.

Prevenzione malware NSX utilizza inoltre le firme per rilevare e impedire i malware. Tuttavia, NSX Manager può scaricare le firme più recenti solo quando nell'ambiente NSX è disponibile la connettività Internet. Non è possibile caricare manualmente le firme più recenti in NSX Manager. Prevenzione malware NSX invia i file anche al servizio cloud NSX Advanced Threat Prevention per un'analisi dettagliata dei file cloud. I file vengono inviati al cloud da NSX Application Platform e non da NSX Manager. NSX Application Platform non supporta la configurazione del server proxy e richiede l'accesso diretto a Internet.

Se NSX Manager accede a Internet tramite un server proxy NSX, fare clic sul collegamento Server proxy Internet e specificare le impostazioni seguenti:

  • Schema (HTTP o HTTPS)
  • Indirizzo IP dell'host
  • Numero di porta
  • Nome utente e password
Definire l'ambito per la distribuzione di prevenzione malware e IDS/IPS

Nella sezione Attiva host e cluster per il traffico est-ovest, eseguire le seguenti configurazioni:

  • Attivare NSX IDS/IPS negli host ESXi autonomi.
  • Selezionare i cluster di host ESXi in cui si desidera attivare NSX IDS/IPS nel traffico est-ovest.
  • Se il servizio Prevenzione malware distribuita NSX non è già distribuito nei cluster di host ESXi, fare clic sul collegamento Definito nella distribuzione della macchina virtuale del servizio nella colonna Prevenzione malware. Per istruzioni sulla distribuzione del servizio Prevenzione malware distribuita NSX in un cluster di host, vedere Distribuzione di un Prevenzione malware distribuita NSX servizio.
Nella sezione Attiva gateway per il traffico nord-sud, eseguire le seguenti configurazioni:
  • Selezionare i gateway di livello 1 in cui si desidera attivare NSX IDS/IPS nel traffico nord-sud.
  • Selezionare i gateway di livello 1 in cui si desidera attivare Prevenzione malware NSX per il traffico nord-sud.
Importante: Nel traffico nord-sud, NSX supporta:
  • Funzionalità Prevenzione malware NSX solo sui gateway di livello 1.
  • NSX IDS/IPS sulla funzionalità Firewall del gateway solo sui gateway di livello 1.

Impostazioni IDS/IPS

Quando la connettività Internet è configurata nel data center, per impostazione predefinita NSX Manager verifica la disponibilità di nuove firme di rilevamento delle intrusioni nel cloud ogni 20 minuti. Quando è disponibile un nuovo aggiornamento, nella pagina viene visualizzato un banner con il collegamento Aggiorna ora.

Se il data center non dispone di connettività Internet, è possibile scaricare manualmente il file del bundle delle firme IDS (.zip), quindi caricarlo in NSX Manager. Per istruzioni dettagliate, vedere Download e caricamento offline delle firme del rilevamento delle intrusioni di NSX.

In questa pagina è possibile eseguire le seguenti attività di gestione delle firme:

  • Per visualizzare la versione della firma o aggiungere un'altra versione delle firme oltre a quella predefinita, fare clic su Visualizza e modifica.

    Al momento vengono mantenute due versioni delle firme. Ogni volta che viene apportata una modifica al numero di identificazione del commit della versione, viene scaricata una nuova versione.

  • Per scaricare automaticamente le firme di rilevamento delle intrusioni dal cloud e applicarle agli host e agli Edge nel data center, attivare l'interruttore Aggiornamento automatico.

    Quando questa opzione è disattivata, il download automatico delle firme viene interrotto. È possibile scaricare manualmente il file del bundle delle firme IDS (.zip) e quindi caricarlo in NSX Manager.

  • Per visualizzare lo stato del download delle firme nei nodi di trasporto, fare clic sul link nel campo Stato.
  • Per escludere globalmente firme specifiche o per modificare l'azione per avvisare, rimuovere o rifiutare, fare clic su Visualizza e gestisci il set di firme.

    Selezionare un'Azione per la firma e fare clic su Salva. Le modifiche apportate nelle impostazioni di gestione delle firme globali sono applicabili a tutti i profili IDS/IPS. Tuttavia, se si aggiornano le impostazioni della firma in un profilo IDS/IPS, le impostazioni del profilo hanno la precedenza.

    La tabella seguente illustra il significato di ciascuna azione di firma.

    Azione Descrizione

    Avviso

    Viene generato un avviso e non viene eseguita alcuna azione preventiva automatica.

    Elimina

    Viene generato un avviso e i pacchetti danneggiati vengono eliminati.

    Rifiuta

    Viene generato un avviso e i pacchetti danneggiati vengono eliminati. Per i flussi TCP, un pacchetto di reimpostazione TCP viene generato da IDS e inviato all'origine e alla destinazione della connessione. Per gli altri protocolli, un pacchetto di errore ICMP viene inviato all'origine e alla destinazione della connessione.

È anche possibile gestire le seguenti impostazioni avanzate:

  • Per inviare eventi IDS/IPS ai consumer syslog esterni, attivare l'interruttore Syslog.
  • Per configurare se il traffico in eccesso deve essere eliminato o deve essere ignorato dal motore IDS/IPS in caso di oversubscription, fare clic sull'opzione appropriata nel campo Oversubscription.

Impostazioni della prevenzione malware

Prevenzione malware NSX richiede la distribuzione di alcuni microservizi in NSX Application Platform.

Se NSX Application Platform non è distribuita nel data center, in questa pagina viene visualizzato il seguente titolo:

La prevenzione malware non è ancora stata configurata.
Eseguire i seguenti passaggi:
  1. Leggere il testo nella schermata e fare clic su Passare a NSX Application Platform.
  2. Prima di procedere con la distribuzione della piattaforma, leggere l'elenco di controllo della distribuzione di NSX Application Platform nella pubblicazione Distribuzione e gestione di VMware NSX Application Platform alla pagina https://docs.vmware.com/it/VMware-NSX-T-Data-Center/index.html. Nel riquadro di navigazione a sinistra in questo link, espandere la versione del prodotto e quindi fare clic sul nome della pubblicazione.
  3. Distribuire NSX Application Platform. Per ulteriori dettagli, consultare la pubblicazione Distribuzione e gestione di VMware NSX Application Platform.
  4. Attivazione di Prevenzione malware NSX funzionalità sulla piattaforma.

Dopo l'attivazione della funzionalità Prevenzione malware NSX in NSX Application Platform, nella pagina delle impostazioni della prevenzione malware viene visualizzata la sezione Lista consentita. Potrebbe essere necessario aggiornare più volte la pagina per visualizzare questa sezione.

Lista consentita
Utilizzando l'interfaccia utente o l'API di NSX Manager, è possibile sovrascrivere o eliminare il verdetto del file che NSX ha elaborato. Questo verdetto del file sovrascritto ha la precedenza sul verdetto elaborato da NSX. Nella tabella Lista consentita sono visualizzati tutti i file con verdetto eliminato. La tabella è inizialmente vuota. Quando si inizia il monitoraggio degli eventi relativi ai file nel data center utilizzando il dashboard della prevenzione malware e si eliminano i verdetti dei file in base ai requisiti di sicurezza specifici, i file eliminati vengono aggiunti alla tabella Lista consentita.

Per ulteriori informazioni sulla sovrascrittura dei verdetti dei file, vedere Aggiunta di un file nella lista consentita.