NSX Manager UI는 분산 방화벽에서 NSX 침입 감지/방지 및 NSX 맬웨어 차단에 대한 규칙을 추가하는 공통 규칙 테이블을 제공합니다.

  • NSX 4.0에서 분산 East-West 트래픽의 감지 및 차단은 Windows 게스트 끝점(VM)의 GI Thin Agent에서 추출한 WINDOWS PE(이식 가능한 실행 파일) 파일에 대해서만 지원합니다. 다른 파일 범주는 NSX Distributed Malware Prevention에서 지원되지 않습니다.
  • NSX 4.0.1.1부터는 분산 East-West 트래픽의 맬웨어 감지 및 차단이 Windows 및 Linux 게스트 끝점의 모든 파일 범주에 대해 지원됩니다. 지원되는 파일 범주 목록을 보려면 NSX 맬웨어 차단에 대해 지원되는 파일 범주 항목을 참조하십시오.
  • 지원되는 최대 파일 크기 제한은 64MB입니다.

사전 요구 사항

NSX 맬웨어 차단:
  • NSX 맬웨어 차단 서비스 가상 시스템은 NSX용으로 준비한 vSphere 호스트 클러스터에 배포됩니다. 자세한 지침은 NSX Distributed Malware Prevention 서비스 배포 항목을 참조하십시오.
  • 맬웨어 차단 프로파일 추가 항목을 참조하십시오.
  • 그룹을 생성하고 이러한 그룹의 맬웨어로부터 보호하려는 VM을 추가합니다. VM을 고정 멤버로 추가하거나 VM을 유효한 멤버로 평가하는 동적 멤버 자격 조건을 정의할 수 있습니다. 자세한 지침은 그룹 추가 항목을 참조하십시오.
NSX IDS/IPS:
  • NSX IDS/IPS 프로파일 추가 항목을 참조하십시오.
  • vSphere 호스트 클러스터에서 NSX IDS/IPS를 설정하거나 활성화합니다(보안 > IDS/IPS 및 맬웨어 차단 > 설정 > 공유).

프로시저

  1. 브라우저의 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
  2. 보안 > IDS/IPS 및 맬웨어 차단 > 분산 규칙로 이동합니다.
  3. 정책 추가를 클릭하여 규칙을 구성하기 위한 섹션을 생성합니다.
    1. 정책의 이름을 입력합니다.
    2. (선택 사항) 정책 행에서 톱니 바퀴 아이콘을 클릭하여 고급 정책 옵션을 구성합니다. 이러한 옵션은 NSX 분산 IDS/IPS에만 적용되며 NSX Distributed Malware Prevention에는 적용되지 않습니다.
      옵션 설명

      상태 저장

      상태 저장 방화벽은 활성 연결 상태를 모니터링하고 이 정보를 사용하여 방화벽을 통해 보낼 패킷을 결정합니다.

      잠김

      여러 사용자가 동일한 섹션을 편집하지 못하도록 정책을 잠글 수 있습니다. 섹션을 잠글 때는 주석을 포함해야 합니다.

      엔터프라이즈 관리자와 같은 일부 역할은 전체 액세스 자격 증명을 가지며 잠글 수 없습니다. 역할 기반 액세스 제어 항목을 참조하십시오.

  4. 규칙 추가를 클릭하고 규칙 설정을 구성합니다.
    1. 규칙의 이름을 입력합니다.
    2. IDS 검사가 필요한 트래픽을 기준으로 소스, 대상서비스 열을 구성합니다. IDS는 소스 및 대상에 대해 일반 및 IP 주소만 그룹 유형을 지원합니다.
      이러한 3개의 열은 분산 맬웨어 차단 방화벽 규칙에 대해 지원되지 않습니다. [임의] 상태로 유지합니다. 그러나 적용 대상 열에서 그룹을 선택하여 분산 맬웨어 차단 규칙의 범위를 제한해야 합니다.
    3. 보안 프로파일 열에서 이 규칙에 사용할 프로파일을 선택합니다.
      NSX IDS/IPS 프로파일 또는 NSX 맬웨어 차단 프로파일을 선택할 수 있지만 둘 다 선택할 수는 없습니다. 즉, 하나의 규칙에는 하나의 보안 프로파일만 지원됩니다.
    4. 적용 대상 열에서 옵션 중 하나를 선택합니다.
      옵션 설명
      DFW 현재, 분산 맬웨어 차단 규칙은 적용 대상에서 DFW를 지원하지 않습니다. 분산 IDS/IPS 규칙을 DFW에 적용할 수 있습니다. IDS/IPS 규칙은 NSX IDS/IPS로 활성화된 모든 호스트 클러스터의 워크로드 VM에 적용됩니다.
      그룹 규칙은 선택한 그룹의 멤버인 VM에만 적용됩니다.
    5. 모드 열에서 옵션 중 하나를 선택합니다.
      옵션 설명
      감지만

      NSX 맬웨어 차단 서비스의 경우: 규칙은 VM에서 악성 파일을 감지하지만 예방적 조치는 수행되지 않습니다. 즉, 악성 파일이 VM에 다운로드됩니다.

      NSX IDS/IPS 서비스의 경우: 규칙은 서명에 대한 침입을 감지하고 어떤 작업도 수행하지 않습니다.

      감지 및 방지

      NSX 맬웨어 차단 서비스의 경우: 규칙은 VM에서 알려진 악성 파일을 감지하고 VM에서 다운로드되지 못하도록 차단합니다.

      NSX IDS/IPS 서비스의 경우: 규칙은 서명에 대한 침입을 감지하고 IDS/IPS 프로파일의 서명 구성 또는 글로벌 서명 구성에 따라 트래픽을 삭제하거나 거부합니다.

    6. (선택 사항) 톱니바퀴 아이콘을 클릭하여 다른 규칙 설정을 구성합니다. 이러한 설정은 NSX 분산 IDS/IPS에만 적용되며 NSX Distributed Malware Prevention에는 적용되지 않습니다.
      옵션 설명
      로깅 로깅이 기본으로 꺼져 있습니다. 로그는 ESXi 호스트의 /var/log/dfwpktlogs.log 파일에 저장됩니다.
      방향 대상 개체의 관점에서 트래픽 방향을 나타냅니다. IN에서는 개체로 들어오는 트래픽만 검사합니다. OUT에서는 개체에서 나가는 트래픽만 검사합니다. In-Out에서는 양방향 트래픽을 모두 검사합니다.
      IP 프로토콜 IPv4, IPv6 또는 IPv4-IPv6 둘 모두를 기반으로 규칙을 적용합니다.
      초과 구독 NSX 4.0.1.1부터 초과 구독 시 과도한 트래픽을 삭제할지 아니면 IDS/IPS 엔진을 우회해야 하는지를 구성할 수 있습니다. 여기에 입력한 값은 글로벌 설정에서 초과 구독에 대해 설정한 값을 재정의합니다.
      로그 레이블 로그 레이블은 로깅이 사용하도록 설정된 경우 방화벽 로그에 저장됩니다.
  5. (선택 사항) 4단계를 반복하여 동일한 정책에 규칙을 더 추가합니다.
  6. 게시를 클릭합니다.
    규칙이 저장되고 호스트에 푸시됩니다. 그래프 아이콘을 클릭하여 NSX 분산 IDS/IPS에 대한 규칙 통계를 볼 수 있습니다.
    참고: NSX Distributed Malware Prevention 방화벽 규칙에 대한 규칙 통계는 지원되지 않습니다.

결과

끝점 VM에서 파일을 추출하면 파일 이벤트가 생성되어 맬웨어 차단 대시보드와 보안 개요 대시보드에 표시됩니다. 파일이 악의적인 경우 보안 정책이 적용됩니다. 파일이 무해하면 VM에 다운로드됩니다.

IDS/IPS 프로파일로 구성된 규칙의 경우 시스템이 악의적인 트래픽을 감지하면 침입 이벤트가 생성되고 IDS/IPS 대시보드에 표시됩니다. 시스템은 규칙에서 구성한 작업을 기준으로 트래픽에 대한 경보를 삭제, 거부 또는 생성합니다.

VM 끝점의 맬웨어 감지 및 방지를 위한 분산 방화벽 규칙을 구성하는 전체 예를 보려면 예: NSX Distributed Malware Prevention에 대한 규칙 추가를 참조하십시오.

다음에 수행할 작업

맬웨어 차단 대시보드에서 파일 이벤트를 모니터링하고 분석합니다. 자세한 내용은 파일 이벤트 모니터링 항목을 참조하십시오.

IDS/IPS 대시보드에서 침입 이벤트를 모니터링하고 분석합니다. 자세한 내용은 IDS/IPS 이벤트 모니터링을 참조하십시오.