NSX-T IDS/IPS 可以透過檢查我們的雲端式服務,自動將簽章套用至您的主機,並更新入侵偵測簽章。

若要讓 IDS/IPS 正常運作,則必須啟用分散式防火牆 (DFW)。如果流量由 DFW 規則封鎖,則 IDS/IPS 無法看到流量。

透過切換已啟用列,即可在獨立主機上啟用入侵偵測及防護。如果偵測到 VC 叢集,則也可以透過選取叢集並按一下啟用,以叢集為基礎啟用 IDS/IPS。

簽章

可透過設定檔將簽章套用至 IDS 規則。系統會將單一設定檔套用至相符的流量。依預設,NSX Manager 會每日檢查一次新的簽章。新的簽章更新版本會每兩週發佈一次 (含額外的非排程 0 天更新)。有新的更新可用時,頁面上會顯示一個橫幅,其中含有立即更新連結。

如果選取自動更新新的版本,則在從雲端下載簽章後,會自動將簽章套用至您的主機。如果自動更新已停用,則簽章會停止在所列的版本。除了預設值以外,若要新增另一個版本,請按一下檢視和變更版本。目前會維護兩個版本的簽章。每當版本認可識別號碼有所變更時,即會下載新版本。

如果已針對 NSX Manager 設定 Proxy 伺服器以存取網際網路,請按一下 Proxy 設定並完成組態。

全域簽章管理

您可以透過設定檔和全域變更簽章。在設定檔中所做的簽章變更會覆寫全域變更。若要將特定的簽章動作全域變更為警示/捨棄/拒絕,請按一下 檢視和管理全域簽章集。選取簽章的 動作,然後按一下 儲存
動作 說明
警示 產生警示,且不會採取任何自動的預防動作。
捨棄 產生警示,且會捨棄違規的封包。
拒絕 產生警示,且會捨棄違規的封包。對於 TCP 流量,IDS 會產生 TCP 重設封包,並傳送至連線的來源與目的地。對於其他通訊協定,系統會將 ICMP 錯誤封包傳送至連線的來源與目的地。

離線下載和上傳簽章

NSX-T IDS/IPS 可以透過檢查我們的雲端式服務,自動將簽章套用至您的主機,並更新入侵偵測簽章。從 NSX-T Data Center 3.1.2 開始,若要下載 IDS/IPS 簽章,請移至 https://api.prod.nsxti.vmware.com/。針對新簽章的更新,請確保升級後 NSX 部署可存取 https://api.prod.nsxti.vmware.com/。

備註: 不支援 tar.gz 檔案中不存在 classification.configchangelog.jsn 檔案的服務包。
若要在 NSX Manager 沒有網際網路存取權時,下載並上傳簽章服務包:
  1. 此 API 是在與雲端服務的任何通訊開始之前要呼叫的第一個 API。授權金鑰來自於 NSX 分散式威脅防護授權。client_id 是使用者指定的名稱。系統會產生 client_secret,並將其用作驗證 API 的要求。如果用戶端先前已登錄,但沒有 client_id 和 client_secret 的存取權,則用戶端必須使用相同的 API 重新登錄。
    POST https://api.prod.nsxti.vmware.com/1.0/auth/register
    本文:
    {
    "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
    "device_type":"NSX-IDPS",
    "client_id": "client_username"
    }
    回應:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
  2. 此 API 呼叫會使用 client_id 和 client_secret 來驗證用戶端,並產生要在對 IDS 簽章 API 的請求標頭中使用的授權 Token。Token 在 60 分鐘內有效。如果 Token 到期,則用戶端必須使用 client_id 和 client_secret 進行重新驗證。
    POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
    本文:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
    回應:
    {
        "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
        "token_type": "bearer",
        "expires_in": 3600,
        "scope": "[distributed_threat_features]"
    }
  3. 此命令的回應具有 ZIP 檔案的連結。NSX Cloud 會每隔 24 小時從 GitHub 存放庫下載簽章,並將簽章儲存在 ZIP 檔案中。將簽章 URL 複製並貼上到您的瀏覽器中,即會下載該 ZIP 檔案。
    GET https://api.prod.nsxti.vmware.com/1.0/intrusion-services/signatures   

    在 [標頭] 索引標籤中,授權金鑰將具有來自驗證 API 回應的 access_token 值。

    Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    回應:
    {
    "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
    }
  4. 導覽至安全性 > 分散式 IDS > 設定。按一下右上角的上傳 IDS 簽章。導覽至儲存的簽章 ZIP 檔案,然後上傳檔案。您也可以使用 API 呼叫來上傳簽章 ZIP:
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures

驗證 API 的錯誤碼處理

以下是一個驗證 API 錯誤回應範例:

{
"error_code":100101,
"error_message":"XXXXX"
}
  • 如果您收到 100101-100150 之間的錯誤碼,請使用相同的用戶端識別碼重新登錄。
  • 如果您收到 100151-100200 之間的錯誤碼,請使用不同的用戶端識別碼重新登錄。