L'interfaccia utente di NSX Manager fornisce una tabella di regole comuni per aggiungere regole per la funzionalità di rilevamento e prevenzione delle intrusioni di NSX e Prevenzione malware NSX in un firewall distribuito.
Prerequisiti
Per
Prevenzione malware NSX:
Procedura
- Dal browser accedere a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
- Passare a .
- Fare clic su Aggiungi criterio per creare una sezione per l'organizzazione delle regole.
- Immettere un nome per il criterio.
- (Facoltativo) Nella riga del criterio fare clic sull'icona a forma di ingranaggio per configurare le opzioni avanzate dei criteri. Queste opzioni si applicano solo a NSX Distributed IDS/IPS e non a Prevenzione malware distribuita NSX.
Opzione |
Descrizione |
Stateful |
Un firewall di tipo stateful monitora lo stato delle connessioni attive e utilizza queste informazioni per determinare quali pacchetti consentire attraverso il firewall. |
Bloccato |
Il criterio può essere bloccato per impedire a più utenti di modificare le stesse sezioni. Quando si blocca una sezione, è necessario includere un commento. Alcuni ruoli, come l'amministratore aziendale, dispongono di credenziali di accesso complete e non possono essere bloccati. Vedere Controllo degli accessi in base al ruolo. |
- Fare clic su Aggiungi regola e configurare le impostazioni della regola.
- Immettere un nome per la regola.
- Configurare le colonne Origini, Destinazioni e Servizi in base al traffico che richiede l'ispezione di IDS. IDS supporta i tipi di gruppo Generico e Solo indirizzi IP per l'origine e la destinazione.
Queste tre colonne non sono supportate per le regole del firewall per la prevenzione malware distribuita. Lasciare il valore Qualsiasi. È tuttavia necessario limitare l'ambito delle regole di prevenzione malware distribuita selezionando i gruppi nella colonna
Si applica a.
- Nella colonna Profili di sicurezza selezionare il profilo da utilizzare per questa regola.
È possibile selezionare un profilo
NSX IDS/IPS o un profilo
Prevenzione malware NSX, ma non entrambi. In altre parole, una regola supporta un solo profilo di sicurezza.
- Nella colonna Si applica a selezionare una delle opzioni.
Opzione |
Descrizione |
DFW |
Attualmente, le regole di prevenzione malware distribuita non supportano DFW in Si applica a. Le regole di IDS/IPS distribuiti possono essere applicate a DFW. Le regole IDS/IPS vengono applicate alle macchine virtuali del carico di lavoro in tutti i cluster di host attivati con NSX IDS/IPS. |
Gruppi |
La regola viene applicata solo alle macchine virtuali che sono membri dei gruppi selezionati. |
- Nella colonna Modalità selezionare una delle opzioni.
Opzione |
Descrizione |
Rileva solo |
Per il servizio Prevenzione malware NSX: la regola rileva file dannosi nelle macchine virtuali, ma non viene eseguita alcuna azione preventiva. In altre parole, i file dannosi vengono scaricati nelle macchine virtuali. Per il servizio IDS/IPS di NSX: la regola rileva intrusioni in base alle firme e non esegue alcuna azione. |
Rileva e impedisci |
Per il servizio Prevenzione malware NSX: la regola rileva file dannosi noti nelle macchine virtuali e ne impedisce il download nelle macchine virtuali. Per il servizio IDS/IPS di NSX: la regola rileva intrusioni in base alle firme e interrompe o rifiuta il traffico a seconda della configurazione della firma nel profilo IDS/IPS o nella configurazione della firma globale. |
- (Facoltativo) Fare clic sull'icona a forma di ingranaggio per configurare le altre impostazioni della regola. Queste impostazioni si applicano solo a NSX Distributed IDS/IPS e non a Prevenzione malware distribuita NSX.
Opzione |
Descrizione |
Registrazione |
La registrazione è disattivata per impostazione predefinita. I registri vengono archiviati nel file /var/log/dfwpktlogs.log negli host ESXi. |
Direzione |
Si riferisce alla direzione del traffico dal punto di vista dell'oggetto di destinazione. IN significa che viene controllato solo il traffico verso l'oggetto. OUT indica che viene controllato solo il traffico proveniente dall'oggetto. Ingresso/uscita significa che viene controllato il traffico in entrambe le direzioni. |
Protocollo IP |
Applicare la regola in base a IPv4, IPv6 o entrambi IPv4-IPv6. |
Oversubscription |
È possibile configurare se il traffico in eccesso deve essere eliminato o se deve ignorare il motore IDS/IPS in caso di oversubscription. Il valore immesso qui sovrascriverà il set di valori per l'oversubscription nell'impostazione globale. |
Etichetta registro |
L'etichetta del registro viene archiviata nel registro del firewall quando la registrazione è abilitata. |
- (Facoltativo) Ripetere il passaggio 4 per aggiungere altre regole nello stesso criterio.
- Fare clic su Pubblica.
Le regole vengono salvate e sottoposte a push negli host. È possibile fare clic sull'icona del grafico per visualizzare le statistiche delle regole per
NSX Distributed IDS/IPS.
Nota: Le statistiche per le regole del firewall di
Prevenzione malware distribuita NSX non sono supportate.
risultati
Quando si estraggono file nelle macchine virtuali dell'endpoint, gli eventi file vengono generati e visualizzati nel dashboard Prevenzione malware e nel dashboard Panoramica della sicurezza. Se i file sono dannosi, viene applicato il criterio di sicurezza. Se i file non sono dannosi, vengono scaricati nelle macchine virtuali.
Per le regole configurate con il profilo IDS/IPS, se il sistema rileva traffico dannoso, genera un evento intrusione e lo visualizza nel dashboard IDS/IPS. Il sistema elimina, rifiuta o genera un avviso per il traffico in base all'azione configurata nella regola.
Operazioni successive
Monitorare e analizzare gli eventi dei file nel dashboard Prevenzione malware. Per ulteriori informazioni, vedere Monitoraggio degli eventi file.
Monitorare e analizzare gli eventi intrusione nel dashboard
IDS/IPS. Per ulteriori informazioni, vedere
Monitoraggio degli eventi di IDS/IPS.