この例では、North-South トラフィック上の悪質なファイルを検出するゲートウェイ ファイアウォール ルールを使用して、セキュリティ ポリシーを作成します。これは、NSX-T Data Center 内の NSX Edge を通過します。

この例では、ネットワーク トポロジーが次の図のようになっているとします。ゲートウェイ マルウェア防止ルールを追加して、Tier-1 ゲートウェイ(T1-GW1 および T1-GW2)のマルウェアを検出します。両方の Tier-1 ゲートウェイにオーバーレイ セグメントが接続されています。ワークロード仮想マシンがオーバーレイ セグメントに接続されています。両方の Tier-1 ゲートウェイが 1 つの Tier-0 ゲートウェイに接続され、さらに物理トップオブラック スイッチに接続されています。これにより、外部パブリック ネットワークとの接続が可能になっています。


単一の Tier-0 ゲートウェイに接続された 2 つの Tier-1 ゲートウェイのあるネットワーク トポロジー。

仮定:

  • 次のグループが NSX-T インベントリに追加されます。
    グループ名 グループ タイプ 注:

    North

    IP アドレスのみ

    このグループにはパブリック IP 範囲が含まれています。例:12.1.1.10-12.1.1.100

    South

    汎用

    このグループには、静的メンバーとして T1-GW1 に接続されたオーバーレイ セグメント (Segment1) が含まれています。
  • Profile_T1-GW という名前のマルウェア防止プロファイルが次の構成で追加されます。
    • すべてのファイル カテゴリ オプションが選択されています。
    • [クラウド ファイル分析] オプションが選択されています。

    このマルウェア防止プロファイルを両方の Tier-1 ゲートウェイのゲートウェイ ファイアウォール ルールで使用します。

前提条件

  • Extra Large フォーム ファクタが NSX Edge がデータセンターに展開され、Edge トランスポート ノードとして構成されている。

  • NSX マルウェア防止機能が、Tier-1 ゲートウェイ(T1-GW1 および T1-GW2)で有効またはアクティベーションされている。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [セキュリティ] > [IDS/IPS とマルウェア防止] > [ゲートウェイ ルール] に移動します。
  3. [ゲートウェイ固有のルール] ページの [ゲートウェイ] ドロップダウン メニューで、[T1-GW1] を選択します。
  4. [ポリシーの追加] をクリックしてセクションを作成し、ポリシーの名前を入力します。
    たとえば、 Policy_T1-GW1 と入力します。
  5. [ルールの追加] をクリックして、次の構成で 2 つのルールを構成します。
    名前 ID 送信元 宛先 サービス セキュリティ プロファイル 適用先 モード
    N_to_S 1011 North South HTTP Profile_T1-GW T1-GW1 検出のみ
    S_to_N 1010 South North HTTP Profile_T1-GW T1-GW1 検出のみ

    この表のルール ID は参照用です。NSX-T 環境によって異なる場合があります。

    このルールの意味を考えてみましょう。
    • ルール 1011:パブリック IP 範囲 (12.1.1.10-12.1.1.100) 内のマシンから HTTP 接続が開始し、これらの接続が Segment1 に接続しているワークロード仮想マシンによって受け入れられた場合に、このルールが T1-GW1 に適用されます。HTTP 接続でファイルが検出されると、ファイル イベントが生成され、ファイルは悪意のある動作について分析されます。
    • ルール 1010:Segment1 上のワークロード仮想マシンから HTTP 接続が開始し、これらの接続がパブリック IP 範囲 (12.1.1.10-12.1.1.100) 内のマシンによって受け入れられた場合に、このルールが T1-GW1 に適用されます。HTTP トラフィックでファイルが検出されると、ファイル イベントが生成され、ファイルは悪意のある動作について分析されます。
  6. ルールを公開します。
  7. [ゲートウェイ固有のルール] ページの [ゲートウェイ] ドロップダウン メニューで、[T1-GW2] を選択します。
  8. [ポリシーの追加] をクリックしてセクションを作成し、ポリシーの名前を入力します。
    たとえば、 Policy_T1-GW2 と入力します。
  9. [ルールの追加] をクリックして、次のような Any-Any ルールを構成します。
    名前 ID 送信元 宛先 サービス セキュリティ プロファイル 適用先 モード
    Any_Traffic 1006 任意 任意 任意 Profile_T1-GW T1-GW2 検出のみ

    任意の送信元から任意のタイプのトラフィックが開始し、任意の宛先によって受け入れられた場合に、このルールが T1-GW2 に適用されます。トラフィックでファイルが検出されると、ファイル イベントが生成され、ファイルは悪意のある動作について分析されます。

  10. ルールを公開します。

シナリオ:前に示したのと同じトポロジで、Segment1 の仮想マシンが Segment2 の仮想マシンにファイルを送信するとします。この場合、ファイルは Tier-1 ゲートウェイ T1-GW1 と T1-GW2 の両方を経由します。マルウェア防止プロファイルが両方の Tier-1 ゲートウェイで構成されているため、ファイルは 2 回検査され、2 つのファイル イベントが生成されます。これは通常の動作です。