L'interfaccia utente di NSX Manager fornisce una tabella di regole comuni per aggiungere regole per la funzionalità di rilevamento e prevenzione delle intrusioni di NSX e Prevenzione malware NSX in un firewall del gateway.

I profili di sicurezza aggiunti alla regola determinano se la regola del firewall del gateway applica solo IDS/IPS di NSX, solo Prevenzione malware NSX o entrambi.

Si tenga presente che la configurazione di una regola NSX IDS/IPS in modalità Rileva solo o Rileva e applica in un gateway di livello 1 configurato con un bilanciamento del carico non è supportata.

Prerequisiti

Per Prevenzione malware NSX:
Per IDS/IPS di NSX:

Procedura

  1. Dal browser accedere a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Passare a Sicurezza > IDS/IPS e prevenzione malware > Regole gateway.
  3. Se si desidera aggiungere un criterio per un gateway specifico, assicurarsi di trovarsi nella scheda Regole specifiche del gateway e selezionare un gateway. Se si desidera aggiungere un criterio per più gateway, assicurarsi di trovarsi nella scheda Tutte le regole condivise.
  4. Fare clic su Aggiungi criterio per creare una sezione per l'organizzazione delle regole.
    1. Immettere un nome per il criterio.
    2. (Facoltativo) Nella riga del criterio fare clic sull'icona a forma di ingranaggio per configurare le opzioni avanzate dei criteri. Queste opzioni si applicano solo a IDS/IPS di NSX e non a Prevenzione malware NSX.
      Opzione Descrizione

      Stateful

      Un firewall stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall.

      Bloccato

      Il criterio può essere bloccato per impedire a più utenti di modificare le stesse sezioni. Quando si blocca una sezione, è necessario includere un commento.

    3. Fare clic su Pubblica per pubblicare il criterio.
  5. Fare clic su Aggiungi regola e configurare le impostazioni della regola.
    1. Immettere un nome per la regola.
    2. Nella colonna Origini fare clic sull'icona di modifica e selezionare i gruppi da utilizzare come origine della regola. Se l'origine non è specificata, viene utilizzato il valore Qualsiasi per impostazione predefinita.
      Per informazioni sull'aggiunta di gruppi, vedere Aggiunta di un gruppo.
    3. Nella colonna Destinazioni fare clic sull'icona di modifica e selezionare i gruppi da utilizzare come destinazione della regola. Se la destinazione non è specificata, viene utilizzato il valore Qualsiasi per impostazione predefinita.
    4. Nella colonna Servizi fare clic sull'icona di modifica e selezionare i servizi da utilizzare nella regola. Se il servizio non è specificato, viene utilizzato il valore Qualsiasi per impostazione predefinita.
      Nota:
      • Quando si fa clic sull'icona di modifica, nell'interfaccia utente viene visualizzato un elenco di tutti i servizi disponibili. Tuttavia, Prevenzione malware NSX supporta al momento il rilevamento del trasferimento dei file solo per i seguenti servizi: HTTP, HTTPS, FTP e SMB.
      • Prevenzione malware NSX nel firewall del gateway al momento non supporta l'estrazione e l'analisi dei file caricati tramite HTTP. Tuttavia, se i file vengono caricati tramite FTP, l'estrazione e l'analisi dei file per rilevare un comportamento dannoso sono supportate.
    5. Nella colonna Profili di sicurezza fare clic sull'icona di modifica e selezionare i profili da aggiungere alla regola del firewall.
      È possibile selezionare al massimo due profili di sicurezza, un profilo NSX IDS/IPS e un profilo Prevenzione malware NSX.
    6. Se si aggiunge la regola per un gateway specifico, nella colonna Si applica a viene visualizzato il nome di tale gateway. Per un gateway di livello 0, è possibile fare clic sull'icona di modifica per effettuare ulteriori scelte.
      Per un gateway di livello 1, è possibile solo specificare la regola da applicare al gateway. Per un gateway di livello 0, è possibile specificare la regola da applicare al gateway, alle singole interfacce o ai gruppi di interfacce.

      Se si aggiungono regole condivise, fare clic sull'icona di modifica nella colonna Si applica a e selezionare i gateway e le interfacce a cui si desidera applicare la regola.

      Una regola che si applica a un gateway verrà applicata a tutte le interfacce di uplink e le interfacce di servizio nel gateway.

    7. Nella colonna Modalità selezionare una delle opzioni.
      Opzione Descrizione
      Rileva solo La regola rileva file dannosi, traffico dannoso o entrambi nei gateway selezionati in base al profilo collegato alla regola. Non viene eseguita alcuna azione preventiva.
      Rileva e impedisci Prevenzione malware NSX al momento non supporta questa modalità. Tuttavia, le regole con profilo IDS/IPS di NSX possono rilevare e bloccare il traffico dannoso nei gateway selezionati.
    8. (Facoltativo) Fare clic sull'icona a forma di ingranaggio per configurare le altre impostazioni della regola. Queste impostazioni si applicano solo a IDS/IPS di NSX e non a Prevenzione malware NSX.
      Opzione Descrizione
      Registrazione La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati nel file /var/log/dfwpktlogs.log negli host ESXi.
      Direzione Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. IN significa che viene controllato solo il traffico verso l'oggetto. OUT indica che viene controllato solo il traffico proveniente dall'oggetto. Ingresso/uscita significa che viene controllato il traffico in entrambe le direzioni.
      Oversubscription Configurare se il traffico in eccesso deve essere eliminato o se deve ignorare il motore IDS/IPS in caso di oversubscription. Il valore immesso qui sovrascriverà il set di valori per l'oversubscription nell'impostazione globale.
      Protocollo IP Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6.
  6. (Facoltativo) Ripetere il passaggio 4 per aggiungere altre regole nello stesso criterio.
  7. Fare clic su Pubblica. È possibile fare clic sull'icona del grafico per visualizzare le statistiche della regola per IDS/IPS di NSX nel firewall del gateway.
    Le regole vengono salvate e sottoposte a push negli NSX Edge.

risultati

Quando vengono rilevati file nei gateway di livello 1, gli eventi file vengono generati e visualizzati nel dashboard Prevenzione malware e nel dashboard Panoramica della sicurezza.

Per le regole configurate con il profilo IDS/IPS, se il sistema rileva traffico dannoso, genera un evento intrusione. È possibile visualizzare i dettagli dell'evento nel dashboard IDS/IPS o nel dashboard Panoramica della sicurezza.

Esempio

Per un esempio end-to-end di configurazione delle regole del firewall del gateway con Prevenzione malware NSX, vedere Esempio: Aggiungi regole per Prevenzione malware NSX su un firewall del gateway.

Operazioni successive

Monitorare e analizzare gli eventi dei file nel dashboard Prevenzione malware. Per ulteriori informazioni, vedere Monitoraggio degli eventi file.

Monitorare e analizzare gli eventi intrusione nel dashboard IDS/IPS. Per ulteriori informazioni, vedere Monitoraggio degli eventi di IDS/IPS.