설정을 구성하지 않고 IDS/IPS 및 맬웨어 차단 설정 마법사를 건너뛰거나 구성 프로세스 중에 마법사를 건너뛴 경우 IDS/IPS 및 맬웨어 차단 설정 페이지에서 구성 프로세스를 계속할 수 있습니다.

NSX Manager UI에서 이 페이지를 열려면 보안 > IDS/IPS 및 맬웨어 차단 > 설정으로 이동합니다.

구성 설정은 다음 3개의 탭 페이지로 그룹화되어 있습니다.
  • 공유
  • IDS/IPS
  • 맬웨어 차단

공유 설정

이름으로 알 수 있듯이 이러한 설정은 NSX IDS/IPS 및 NSX 맬웨어 차단에서 공통입니다.
인터넷 프록시 서버 구성

NSX IDS/IPS가 작동하는 데 반드시 인터넷 연결이 필요하지는 않습니다. NSX IDS/IPS는 침입을 감지하고 방지하기 위해 서명을 사용합니다. NSX 환경이 인터넷에 연결된 경우 NSX Manager는 인터넷에서 직접 또는 NSX 프록시 서버를 통해 최신 침입 감지 서명을 자동으로 다운로드할 수 있습니다. NSX 환경에 인터넷 연결이 구성되지 않은 경우 API를 사용하여 NSX 침입 감지 서명 번들(.zip) 파일을 수동으로 다운로드한 다음, 서명 번들을 NSX Manager에 업로드할 수 있습니다. 서명을 수동으로 업로드하는 방법에 대한 자세한 내용은 오프라인으로 NSX Intrusion Detection 서명 다운로드 및 업로드 항목을 참조하십시오.

NSX 맬웨어 차단 또한 서명을 사용하여 맬웨어를 감지하고 방지합니다. 그러나 NSX ManagerNSX 환경이 인터넷에 연결된 경우에만 최신 서명을 다운로드할 수 있습니다. NSX Manager에 최신 서명을 수동으로 업로드할 수 없습니다. NSX 맬웨어 차단에서는 자세한 클라우드 파일 분석을 위해 NSX Advanced Threat Prevention 클라우드 서비스로 파일을 전송합니다. 파일은 NSX Manager가 아닌 NSX Application Platform에 의해 클라우드로 전송됩니다. NSX Application Platform은 프록시 서버 구성을 지원하지 않으며 인터넷에 직접 액세스해야 합니다.

NSX Manager가 NSX 프록시 서버를 통해 인터넷에 액세스하는 경우 인터넷 프록시 서버 링크를 클릭하고 다음 설정을 지정합니다.

  • 체계(HTTP 또는 HTTPS)
  • 호스트의 IP 주소
  • 포트 번호
  • 사용자 이름 및 암호
맬웨어 차단 및 IDS/IPS 배포 범위 정의

East-West 트래픽을 위한 호스트 및 클러스터 활성화 섹션에서 다음 구성을 수행합니다.

  • 독립형 ESXi 호스트에서 NSX IDS/IPS를 켭니다.
  • East-West 트래픽에 대해 NSX IDS/IPS를 켜려는 ESXi 호스트 클러스터를 선택합니다.
  • NSX Distributed Malware Prevention 서비스가 아직 ESXi 호스트 클러스터에 배포되지 않은 경우 맬웨어 차단 열의 서비스 VM 배포에 정의 링크를 클릭합니다. 호스트 클러스터에 NSX Distributed Malware Prevention 서비스를 배포하는 방법에 대한 지침은 NSX Distributed Malware Prevention 서비스 배포 항목을 참조하십시오.
North-South 트래픽을 위한 게이트웨이 활성화 섹션에서 다음 구성을 수행합니다.
  • North-South 트래픽에 대해 NSX IDS/IPS를 켜려는 Tier-1 게이트웨이를 선택합니다.
  • North-South 트래픽에 대해 NSX 맬웨어 차단를 켜려는 Tier-1 게이트웨이를 선택합니다.
중요: North-South 트래픽에서 NSX는 다음을 지원합니다.
  • Tier-1 게이트웨이에서만 NSX 맬웨어 차단 기능.
  • Tier-1 게이트웨이에서만 게이트웨이 방화벽의 NSX IDS/IPS 기능.

IDS/IPS 설정

데이터 센터에 인터넷 연결이 구성된 경우 NSX Manager는 기본적으로 20분마다 클라우드에서 새로운 침입 감지 서명의 가용성을 확인합니다. 새 업데이트를 사용할 수 있는 경우 지금 업데이트 링크를 사용하여 페이지 전체에 배너가 표시됩니다.

데이터 센터에 인터넷 연결이 없으면 IDS 서명 번들(.zip) 파일을 수동으로 다운로드한 다음, 파일을 NSX Manager에 업로드할 수 있습니다. 자세한 지침은 오프라인으로 NSX Intrusion Detection 서명 다운로드 및 업로드 항목을 참조하십시오.

이 페이지에서 다음 서명 관리 작업을 수행할 수 있습니다.

  • 서명 버전을 보거나 기본값 외에 다른 버전의 서명을 추가하려면 보기 및 변경을 클릭합니다.

    현재는 두 가지 버전의 서명이 유지됩니다. 버전 커밋 ID 번호가 변경될 때마다 새 버전이 다운로드됩니다.

  • 클라우드에서 침입 감지 서명을 자동으로 다운로드하고 데이터 센터의 호스트 및 Edge에 적용하려면 자동 업데이트 토글을 설정합니다.

    이 옵션을 끄면 서명의 자동 다운로드가 중지됩니다. IDS 서명 번들(.zip) 파일을 수동으로 다운로드한 다음, 파일을 NSX Manager에 업로드할 수 있습니다.

  • 전송 노드에서 서명 다운로드 상태를 보려면 상태 필드에서 해당 링크를 클릭합니다.
  • 특정 서명을 전역적으로 제외하거나 해당 작업을 경고, 삭제 또는 거부로 변경하려면 서명 집합 보기 및 관리를 클릭합니다.

    서명에 대한 작업을 선택하고 저장을 클릭합니다. 글로벌 서명 관리 설정에서 수행된 변경 내용은 모든 IDS/IPS 프로파일에 적용됩니다. 그러나 IDS/IPS 프로파일에서 서명 설정을 업데이트하는 경우 프로파일 설정이 우선적으로 적용됩니다.

    다음 표에서는 각 서명 작업의 의미를 설명합니다.

    작업 설명

    경고

    경고가 생성되고 자동 예방 조치가 수행되지 않습니다.

    삭제

    경고가 생성되고 잘못된 패킷이 삭제됩니다.

    거절

    경고가 생성되고 잘못된 패킷이 삭제됩니다. TCP 흐름의 경우 IDS에서 TCP 재설정 패킷이 생성되고 연결의 소스 및 대상으로 전송됩니다. 다른 프로토콜의 경우, ICMP 오류 패킷이 연결의 소스 및 대상으로 전송됩니다.

다음과 같은 고급 설정을 관리할 수도 있습니다.

  • IDS/IPS 이벤트를 외부 Syslog 소비자에게 보내려면 Syslog 토글을 켜십시오.
  • NSX 4.0.1.1부터 초과 구독 시 과도한 트래픽을 삭제할지 아니면 IDS/IPS 엔진을 우회해야 하는지를 구성할 수도 있습니다. 초과 구독 필드에서 적절한 옵션을 클릭합니다.

맬웨어 차단 설정

NSX 맬웨어 차단을 위해서는 NSX Application Platform에 특정 마이크로 서비스를 배포해야 합니다.

NSX Application Platform이 데이터 센터에 배포되지 않은 경우 이 페이지에는 다음 제목이 표시됩니다.

맬웨어 차단이 아직 배포되지 않음.
다음 단계를 수행합니다.
  1. 화면 텍스트를 읽고 NSX Application Platform으로 이동을 클릭합니다.
  2. 플랫폼 배포를 진행하기 전에 https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/index.html에 있는 "VMware NSX Application Platform 배포 및 관리" 발행물의 NSX Application Platform 배포 검사 목록을 읽으십시오. 이 링크의 왼쪽 탐색 창에서 버전 4.0을 확장한 다음, 게시 이름을 클릭합니다.
  3. NSX Application Platform를 배포합니다. 자세한 내용은 "VMware NSX Application Platform 배포 및 관리" 발행물을 참조하십시오.
  4. 플랫폼의 NSX 맬웨어 차단 활성화 기능

NSX Application Platform에서 NSX 맬웨어 차단 기능이 활성화되면 맬웨어 차단 설정 페이지에 허용 목록 섹션이 표시됩니다. 이 섹션을 보기 위해 페이지를 여러 번 새로 고쳐야 할 수 있습니다.

허용 목록
NSX Manager UI 또는 API를 사용하여 NSX에서 계산한 파일의 결과를 재정의하거나 표시하지 않을 수 있습니다. 이 재정의된 파일 상태는 NSX에서 계산된 결과보다 우선합니다. 허용 목록 테이블에는 결과 표시가 억제된 모든 파일이 표시됩니다. 이 테이블은 처음에는 비어 있습니다. 맬웨어 차단 대시보드를 사용하여 데이터 센터의 파일 이벤트 모니터링을 시작하고 특정 보안 요구 사항에 따라 파일 결과를 표시하지 않도록 하면 표시가 억제된 파일이 허용 목록 테이블에 추가됩니다.

파일 결과 재정의에 대한 자세한 내용은 허용 목록에 파일 추가 항목을 참조하십시오.