맬웨어 차단 프로파일은 맬웨어에 대해 분석하려는 파일 범주와 세부적인 분석을 위해 NSX에서 파일을 클라우드로 보낼지를 결정합니다.

방화벽 규칙에서 기본 맬웨어 차단 프로파일을 사용하거나 보안 정책의 요구 사항에 따라 새 프로파일을 추가할 수 있습니다. 프로파일에서 NSX 맬웨어 차단이 악의적인 동작을 캡처하고 분석해야 하는 파일 범주를 선택할 수 있습니다. 파일 분석은 NSX 맬웨어 차단에 대해 활성화된 NSX 호스트 전송 노드 및 NSX Edge 전송 노드에서 로컬로 수행됩니다. 파일을 클라우드로 전송하도록 선택하면 클라우드에서도 자세한 파일 분석이 수행됩니다.

NSX 4.0에서는 분산 맬웨어 차단 방화벽 규칙에 대해 지원되는 파일 범주에 일부 제한 사항이 적용됩니다. 하지만 NSX 4.0.1.1부터는 제한이 제거됩니다. 자세한 내용은 NSX 맬웨어 차단에 대해 지원되는 파일 범주를 참조하십시오.

프로파일을 분산 맬웨어 차단 규칙에 적용하면 NSX 맬웨어 차단은 호스트 전송 노드에서 가로채거나 캡처된 파일을 분석합니다. 프로파일을 게이트웨이 맬웨어 차단 규칙에 적용하면 NSX 맬웨어 차단은 Edge 전송 노드에서 가로채거나 캡처된 파일을 분석합니다.

구성이 서로 다른 여러 맬웨어 차단 프로파일을 추가하고 분산 맬웨어 차단 방화벽 규칙 및 게이트웨이 맬웨어 차단 방화벽 규칙에서 별도의 프로파일을 사용할 수 있습니다. NSX 맬웨어 차단에 대해 활성화한 각 Tier-1 게이트웨이의 방화벽 규칙에서 다른 프로파일을 사용할 수 있습니다. 예를 들어 두 개의 프로파일 A와 B가 있다고 가정해 보겠습니다. 프로파일 A 구성에서는 분석을 위해 클라우드로 파일을 보내지 않도록 선택하지만 프로파일 B에서는 분석을 위해 파일을 클라우드로 보내도록 선택합니다. 분산 맬웨어 차단 규칙에 프로파일 A를 사용하고 게이트웨이 맬웨어 차단 규칙에 프로파일 B를 사용합니다.

경고: 분산 맬웨어 차단 규칙 및 게이트웨이 맬웨어 차단 규칙에 대해 서로 다르거나 일관되지 않은 맬웨어 차단 프로파일 구성을 사용하거나 NSX 맬웨어 차단에 대해 활성화된 각 Tier-1 게이트웨이에서 서로 다른 프로파일 구성을 사용하는 경우 주의해야 합니다. 서로 다른 프로파일 구성을 사용하면 파일을 가로챈 위치(호스트 전송 노드 또는 Edge 전송 노드)에 따라 NSX에서 다른 결과를 반환할 수 있습니다. 클라우드 파일 분석은 샌드박스 및 기계 학습 기술을 포함한 심층적인 컨텐츠 검사를 수행합니다. 이 심층 컨텐츠 검사로 보다 정확하게 맬웨어 동작을 감지할 수 있습니다. 로컬 파일 분석에는 리소스가 부족하여 이러한 심층 분석을 수행할 수 없으므로 정확한 결과를 얻을 수 없습니다.

한 번에 하나의 맬웨어 차단 프로파일만 방화벽 규칙에 연결할 수 있습니다. 그러나 필요한 경우 단일 맬웨어 차단 프로파일을 여러 분산 맬웨어 차단 규칙 및 게이트웨이 맬웨어 차단 규칙에 동시에 연결할 수 있습니다.

사전 요구 사항

NSX 맬웨어 차단을 위해 NSX를 설정합니다.

자세한 지침은 NSX IDS/IPS 및 NSX 맬웨어 차단에 대한 데이터 센터 준비 항목을 참조하십시오.

프로시저

  1. 브라우저에서 관리자 권한으로 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
  2. 보안 > IDS/IPS 및 맬웨어 차단 > 프로파일 > 맬웨어 차단로 이동합니다.
  3. 프로파일 추가를 클릭합니다.
  4. 프로파일의 이름을 입력합니다.
  5. (선택 사항) 프로파일에 대한 설명을 입력하고 태그를 추가합니다.
  6. 로컬 파일 분석 및 클라우드 파일 분석에 포함할 파일 범주를 선택합니다. 기본적으로 모든 범주가 선택됩니다.
    참고: NSX 4.0에서 파일 범주 옵션은 게이트웨이 맬웨어 차단 규칙에만 적용됩니다. 분산 맬웨어 차단 규칙의 경우 맬웨어 감지 및 차단은 Windows 게스트 끝점(VM)의 Windows PE(Portable Executable) 파일에 대해서만 지원됩니다. 다른 파일 범주는 VM의 맬웨어 감지 및 차단이 지원되지 않습니다. 즉, NSX 4.0은 분산 맬웨어 차단 규칙에 대해 파일 범주 옵션을 무시합니다.

    NSX 4.0.1.1부터 파일 범주 옵션은 분산 맬웨어 차단 규칙 및 게이트웨이 맬웨어 차단 규칙 두 가지 모두에 적용됩니다.

  7. (선택 사항) NSX Advanced Threat Prevention 클라우드 서비스에 파일 보내기 확인란을 선택 취소합니다.
    기본적으로 클라우드 파일 분석이 선택됩니다.
  8. 저장을 클릭합니다.

결과

맬웨어 차단 프로파일이 저장되고 상태 열에 성공이 표시됩니다.

다음에 수행할 작업

보안 정책의 요구 사항에 따라 이 프로파일을 게이트웨이 맬웨어 차단 규칙이나 분산 맬웨어 차단 규칙 중 하나 또는 둘 다에 연결합니다.