NSX Manager ユーザー インターフェイスには、ゲートウェイ ファイアウォールに NSX 侵入検知/防止と NSX Malware Preventionのルールを追加するための共通のルール テーブルがあります。

ルールに追加するセキュリティ プロファイルにより、ゲートウェイ ファイアウォール ルールが NSX IDS/IPS または NSX Malware Preventionに適用されるのか、両方に適用されるのかが決まります。

ロード バランサで構成された Tier-1 ゲートウェイで、[検出のみ] または [検出して適用] モードで NSX IDS/IPS ルールを構成することはサポートされていないことに注意してください。

前提条件

NSX Malware Prevention の場合:
NSX IDS/IPS の場合:
  • NSX IDS/IPS プロファイルの追加
  • ゲートウェイで NSX IDS/IPS をオンまたは有効にします([セキュリティ] > [IDS/IPS とマルウェア防止] > [設定] > [共有])。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [セキュリティ] > [IDS/IPS とマルウェア防止] > [ゲートウェイ ルール] に移動します。
  3. 特定のゲートウェイのポリシーを追加する場合は、[ゲートウェイ固有のルール] タブが表示されていることを確認してから、ゲートウェイを選択します。複数のゲートウェイにポリシーを追加する場合は、[すべての共有ルール] タブが表示されていることを確認します。
  4. [ポリシーの追加] をクリックして、ルールを整理するセクションを作成します。
    1. ポリシーの名前を入力します。
    2. (オプション) ポリシー行で歯車アイコンをクリックして、詳細なポリシー オプションを構成します。これらのオプションは、NSX IDS/IPS にのみ適用されます。NSX Malware Preventionには適用されません。
      オプション 説明

      ステートフル

      ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。

      ロック済み

      複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。
    3. [公開] をクリックして、ポリシーを公開します。
  5. [ルールの追加] をクリックして、ルールを構成します。
    1. ルールの名前を入力します。
    2. [送信元] 列で編集アイコンをクリックし、ルールの送信元として使用するグループを選択します。送信元が指定されていない場合、デフォルトは「任意」になります。
      グループの追加方法については、 グループの追加を参照してください。
    3. [宛先] 列で編集アイコンをクリックし、ルールの宛先として使用するグループを選択します。宛先が指定されていない場合、デフォルトは「任意」になります。
    4. [サービス] 列で編集アイコンをクリックして、ルールで使用するサービスを選択します。サービスが指定されていない場合、デフォルトは「任意」になります。
      注:
      • 編集アイコンをクリックすると、使用可能なすべてのサービスのリストがユーザー インターフェイスに表示されます。ただし、NSX Malware Preventionは現在、HTTP、HTTPS、FTP、SMB のサービスに対してのみファイル転送の検出をサポートしています。
      • 現在、ゲートウェイ ファイアウォールの NSX Malware Preventionは、HTTP を使用してアップロードされたファイルの抽出と分析をサポートしていません。ただし、FTP を使用してファイルをアップロードする場合は、ファイルの抽出と分析で悪意のある動作が検出されます。
    5. [セキュリティ プロファイル] 列で編集アイコンをクリックし、ファイアウォール ルールに追加するプロファイルを選択します。
      最大 2 つのセキュリティ プロファイルを選択できます(1 つは NSX IDS/IPS プロファイル、もう 1 つは NSX Malware Preventionプロファイル)。
    6. 特定のゲートウェイのルールを追加すると、[適用先] 列にそのゲートウェイの名前が表示されます。Tier-0 ゲートウェイの場合は、編集アイコンをクリックしてさらに選択できます。
      Tier-1 ゲートウェイの場合は、ゲートウェイに適用するルールのみを指定できます。Tier-0 ゲートウェイの場合は、ゲートウェイ、個々のインターフェイス、またはインターフェイス グループに適用するルールを指定できます。

      共有ルールを追加する場合は、[適用先] 列の編集アイコンをクリックして、ルールを適用するゲートウェイとインターフェイスを選択します。

      ゲートウェイに適用されるルールは、ゲートウェイ上のすべてのアップリンク インターフェイスとサービス インターフェイスに適用されます。

    7. [モード] 列で、いずれか 1 つのオプションを選択します。
      オプション 説明
      検出のみ このルールは、ルールのプロファイルに応じて、選択したゲートウェイで悪質なファイル、悪質なトラフィック、またはその両方を検出します。予防的なアクションは実行されません。
      検出して防止 現在、NSX Malware Preventionはこのモードをサポートしていません。ただし、NSX IDS/IPS プロファイルを含むルールは、選択したゲートウェイで悪質なトラフィックを検出してブロックできます。
    8. (オプション) 歯車アイコンをクリックして、他のルールの設定を構成します。これらの設定は、NSX IDS/IPS にのみ適用されます。NSX Malware Preventionには適用されません。
      オプション 説明
      ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
      方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。IN は、オブジェクトへのトラフィックのみがチェックされます。OUT は、オブジェクトからのトラフィックのみがチェックされます。In-Out は、両方向のトラフィックがチェックされます。
      オーバーサブスクリプション オーバーサブスクリプションが発生した場合に、超過トラフィックをドロップするか、IDS/IPS エンジンをバイパスするかを構成します。ここで入力した値は、グローバル設定でオーバーサブスクリプションに設定された値を上書きします。
      IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
  6. (オプション) 手順 4 を繰り返して、同じポリシーにルールを追加します。
  7. [公開] をクリックします。グラフ アイコンをクリックすると、ゲートウェイ ファイアウォールの NSX IDS/IPS のルール統計情報を表示できます。
    ルールが保存され、NSX Edge にプッシュされます。

結果

Tier-1 ゲートウェイでファイルが検出されると、ファイル イベントが生成され、[マルウェア防止] ダッシュボードと [セキュリティの概要] ダッシュボードに表示されます。

IDS/IPS プロファイルで構成されたルールの場合、システムが悪質なトラフィックを検出すると、侵入イベントが生成されます。イベントの詳細は、[IDS/IPS] ダッシュボードまたは [セキュリティの概要] ダッシュボードで確認できます。

NSX Malware Preventionを使用してゲートウェイ ファイアウォール ルールを構成する詳しい例については、例:ゲートウェイ ファイアウォールでの NSX Malware Preventionのルールの追加を参照してください。

次のタスク

[マルウェア防止] ダッシュボードでファイル イベントをモニターし、分析します。詳細については、「ファイル イベントのモニタリング」を参照してください。

[IDS/IPS] ダッシュボードで侵入イベントをモニターし、分析します。詳細については、「 IDS/IPS のモニタリング」を参照してください。