NSX Manager ユーザー インターフェイスには、ゲートウェイ ファイアウォールに NSX 侵入検知/防止と NSX マルウェア防止のルールを追加するための共通のルール テーブルがあります。

ルールに追加するセキュリティ プロファイルにより、ゲートウェイ ファイアウォール ルールが NSX IDS/IPS または NSX マルウェア防止に適用されるのか、両方に適用されるのかが決まります。

重要: NSX-T Data Center 3.2.0 では、ゲートウェイ ファイアウォールの NSX IDS/IPS は技術プレビュー モードでのみ利用できます。 NSX-T Data Center 3.2.1 以降では、この機能は本番環境で利用でき、完全にサポートされています。詳細については、『 NSX-T Data Center リリース ノート』を参照してください。

前提条件

NSX マルウェア防止の場合:
NSX IDS/IPS の場合:
  • NSX IDS/IPS プロファイルの追加
  • Tier-1 ゲートウェイで NSX IDS/IPS を有効または有効にします([セキュリティ] > [IDS/IPS とマルウェア防止] > [設定] > [共有])。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [セキュリティ] > [IDS/IPS とマルウェア防止] > [ゲートウェイ ルール] に移動します。
  3. 特定のゲートウェイのポリシーを追加する場合は、[ゲートウェイ固有のルール] タブが表示されていることを確認してから、ゲートウェイを選択します。複数のゲートウェイにポリシーを追加する場合は、[すべての共有ルール] タブが表示されていることを確認します。
  4. [ポリシーの追加] をクリックして、ルールを整理するセクションを作成します。
    1. ポリシーの名前を入力します。
    2. (オプション) ポリシー行で歯車アイコンをクリックして、詳細なポリシー オプションを構成します。これらのオプションは、NSX IDS/IPS にのみ適用されます。NSX マルウェア防止には適用されません。
      オプション 説明

      ステートフル

      ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。

      ロック済み

      複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。
    3. [公開] をクリックして、ポリシーを公開します。
  5. [ルールの追加] をクリックして、ルールを構成します。
    1. ルールの名前を入力します。
    2. [送信元] 列で編集アイコンをクリックし、ルールの送信元として使用するグループを選択します。送信元が指定されていない場合、デフォルトは「任意」になります。
      グループの追加方法については、 グループの追加を参照してください。
    3. [宛先] 列で編集アイコンをクリックし、ルールの宛先として使用するグループを選択します。宛先が指定されていない場合、デフォルトは「任意」になります。
    4. [サービス] 列で編集アイコンをクリックして、ルールで使用するサービスを選択します。サービスが指定されていない場合、デフォルトは「任意」になります。
      注:
      • 編集アイコンをクリックすると、使用可能なすべてのサービスのリストがユーザー インターフェイスに表示されます。ただし、NSX マルウェア防止は現在、HTTP、HTTPS、FTP、SMB のサービスに対してのみファイル転送の検出をサポートしています。
      • 現在、ゲートウェイ ファイアウォールの NSX マルウェア防止は、HTTP を使用してアップロードされたファイルの抽出と分析をサポートしていません。ただし、FTP を使用してファイルをアップロードする場合は、ファイルの抽出と分析で悪意のある動作が検出されます。
    5. [セキュリティ プロファイル] 列で編集アイコンをクリックし、ファイアウォール ルールに追加するプロファイルを選択します。
      最大 2 つのセキュリティ プロファイルを選択できます(1 つは NSX IDS/IPS プロファイル、もう 1 つは NSX マルウェア防止プロファイル)。
    6. 特定のゲートウェイのルールを追加すると、[適用先] 列にそのゲートウェイの名前が表示されます。
      共有ルールを追加する場合は、 [適用先] 列の編集アイコンをクリックして、ルールを適用するゲートウェイを選択します。

      デフォルトでは、ゲートウェイ ファイアウォール ルールは、選択したゲートウェイで使用可能なすべてのアップリンク インターフェイスとサービス インターフェイスに適用されます。

    7. [モード] 列で、いずれか 1 つのオプションを選択します。
      オプション 説明
      検出のみ このルールは、ルールのプロファイルに応じて、選択したゲートウェイで悪質なファイル、悪質なトラフィック、またはその両方を検出します。予防的なアクションは実行されません。
      検出して防止 現在、NSX マルウェア防止はこのモードをサポートしていません。ただし、NSX IDS/IPS プロファイルを含むルールは、選択したゲートウェイで悪質なトラフィックを検出してブロックできます。
    8. (オプション) 歯車アイコンをクリックして、他のルールの設定を構成します。これらの設定は、NSX IDS/IPS にのみ適用されます。NSX マルウェア防止には適用されません。
      オプション 説明
      ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi および KVM ホストの /var/log/dfwpktlogs.log ファイルに保存されます。

      NSX マルウェア防止は、 ESXi ホストでのみサポートされます。KVM ホストはサポートされません。
      方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。IN は、オブジェクトへのトラフィックのみがチェックされます。OUT は、オブジェクトからのトラフィックのみがチェックされます。In-Out は、両方向のトラフィックがチェックされます。
      IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
      ログ ラベル ログを有効にすると、ログ ラベルがファイアウォール ログに保存されます。
  6. (オプション) 手順 4 を繰り返して、同じポリシーにルールを追加します。
  7. [公開] をクリックします。グラフ アイコンをクリックすると、ゲートウェイ ファイアウォールの NSX IDS/IPS のルール統計情報を表示できます。
    ルールが保存され、NSX Edge にプッシュされます。

結果

Tier-1 ゲートウェイでファイルが検出されると、ファイル イベントが生成され、[マルウェア防止] ダッシュボードと [セキュリティの概要] ダッシュボードに表示されます。

IDS/IPS プロファイルで構成されたルールの場合、システムが悪質なトラフィックを検出すると、侵入イベントが生成されます。イベントの詳細は、[IDS/IPS] ダッシュボードまたは [セキュリティの概要] ダッシュボードで確認できます。

NSX マルウェア防止を使用してゲートウェイ ファイアウォール ルールを構成する詳しい例については、例:ゲートウェイ ファイアウォールでの NSX マルウェア防止のルールの追加を参照してください。

次のタスク

[マルウェア防止] ダッシュボードでファイル イベントをモニターし、分析します。詳細については、ファイル イベントのモニタリングを参照してください。

[IDS/IPS] ダッシュボードで侵入イベントをモニターし、分析します。詳細については、 IDS/IPS のモニタリングを参照してください。