分散式防火牆上的 NSX 惡意程式碼防護使用 NSX Guest Introspection (GI) 架構。若要偵測和防護 Windows 客體端點 (虛擬機器) 上的惡意程式碼,必須在為 NSX 準備的 ESXi 主機叢集上部署 NSX 分散式惡意程式碼防護服務。
- 4 個 vCPU
- 6 GB 的 RAM
- 80 GB 磁碟空間
在主機叢集上部署 NSX 分散式惡意程式碼防護服務之前,必須完成下列幾節所述的必要條件。如果某些必要條件已完成,請跳過這些必要條件,並繼續執行待完成的必要條件。
在 NSX-T Data Center 中新增適當授權
若要使用 NSX 惡意程式碼防護功能,NSX-T Data Center 必須使用適當的授權。如需有關支援 NSX 惡意程式碼防護之授權的資訊,請參閱 NSX IDS/IPS 和 NSX 惡意程式碼防護的系統需求。
- 在 NSX Manager 中,導覽至。
- 輸入授權金鑰。
確認所有主機都受 vCenter Server 管理
只有受一或多個 vCenter Server 管理的 vSphere 主機叢集才支援 NSX 惡意程式碼防護功能。
若要驗證主機是否由 vCenter Server 管理,請按照下表中所述的步驟進行。
| NSX-T Data Center 版本 | 程序 |
|---|---|
| 3.2.2 |
|
| 3.2.1 或更早版本 |
|
將主機設定為傳輸節點
將傳輸節點設定檔套用至 vSphere 主機叢集,以將 vSphere 主機設定為主機傳輸節點。
產生公開金鑰-私密金鑰配對,以透過 SSH 來存取 SVM
若要從 SVM 下載記錄檔以進行疑難排解,則對 NSX 惡意程式碼防護 SVM 需具備 SSH 唯讀存取權。
對 SVM 的 admin 使用者的 SSH 存取是基於金鑰 (公開/私密金鑰配對)。在 ESXi 主機叢集上部署服務時需要公開金鑰,而當您想要啟動與 SVM 的 SSH 工作階段時,則需要私密金鑰。
您可以使用任何 SSH 金鑰產生工具,來產生公開金鑰-私密金鑰配對。但是,公開金鑰必須遵循下列子節所述的特定格式。SSH 金鑰產生工具範例包括:ssh-keygen、PuTTY 金鑰產生器等。支援的金鑰大小為 1024 位元、2048 位元和 4096 位元。
- 公開金鑰格式
-
公開金鑰必須遵循下列格式:
範例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022
如果使用的是 PuTTY 金鑰產生器,請確定公開金鑰是直接從 UI 複製。如果存在金鑰配對,請先在 PuTTY 金鑰產生器 UI 中載入私密金鑰檔案,然後複製金鑰文字方塊中顯示的公開金鑰。請避免從公開金鑰檔案複製內容。所複製的內容可能採用不同的格式,而不適用於 SVM。
如果要在 Linux 系統上使用 ssh-keygen 公用程式產生金鑰配對,則金鑰格式在公開金鑰中一律會包含 ssh-rsa。因此,在 Linux 系統上,您可以從公開金鑰檔案複製內容。
- 建議的做法
-
NSX 分散式惡意程式碼防護服務部署是在主機叢集層級進行。因此,金鑰配對將繫結至主機叢集。您可以為每個叢集上的服務部署建立新的公開-私密金鑰配對,也可以為所有叢集上的服務部署使用單一金鑰配對。
如果您打算為每個叢集上的服務部署使用不同的公開/私密金鑰配對,請確保正確命名金鑰配對,以方便識別。
最好使用「計算叢集識別碼」來識別每一個服務部署,並在金鑰配對的名稱中指定叢集識別碼。例如,假設叢集識別碼為「1234-abcd」。對於此叢集,您可以將服務部署名稱指定為「MPS-1234-abcd」,並將用於存取此服務部署的金鑰配對命名為「id_rsa_1234_abcd.pem」。此做法可方便您對每個服務部署的金鑰進行維護並建立關聯。
重要: 安全地保存私密金鑰。遺失私密金鑰可能導致無法利用 SSH 存取 NSX 惡意程式碼防護 SVM。
部署 NSX Application Platform
NSX Application Platform 是一個現代微服務平台,它裝載多項 NSX 功能,這些功能可用來收集、擷取及關聯網路流量資料。
如需有關部署平台的詳細指示,請參閱 《部署和管理 VMware NSX Application Platform》 出版品,網址是 https://docs.vmware.com/tw/VMware-NSX-T-Data-Center/index.html。從此連結的左導覽窗格,展開 3.2 版或更新版本,然後按一下出版品名稱。
啟動 NSX 惡意程式碼防護功能
如需詳細指示,請參閱啟用 NSX 惡意程式碼防護。
啟動此功能後,NSX 惡意程式碼防護所需的微服務會在 NSX Application Platform 中開始執行。
- 在 NSX Manager 中,導覽至。
- 向下捲動頁面,直到看到功能區段。
- 確認NSX 惡意程式碼防護功能卡顯示已啟動狀態。
如果狀態為關閉,請等待狀態變為已啟動後,然後再繼續進行下一步。
確認客體虛擬機器上的虛擬機器硬體組態
- 登入 vSphere Client。
- 移至主機和叢集,並導覽至叢集。
- 逐一按一下叢集中的各個虛擬機器。
- 在摘要頁面上,展開虛擬機器硬體窗格,然後查看虛擬機器的相容性資訊。虛擬機器必須為第 9 版或更新版本。
![[虛擬機器硬體] 窗格,其中反白顯示相容性資訊。](images/GUID-149036C4-6182-42D6-8927-80E47D849B33-low.png)
安裝 NSX File Introspection 驅動程式
VMware Tools for Windows 會隨附 NSX 檔案自我檢查驅動程式。但是,此驅動程式不是預設 VMware Tools 安裝架構的一部分。若要安裝此驅動程式,您必須執行自訂或完整安裝,並選取 NSX 檔案自我檢查驅動程式。
下載 NSX 惡意程式碼防護服務虛擬機器的 OVA 檔案
- 在網頁瀏覽器中,開啟下載 VMware NSX-T Data Center™ 頁面,然後使用您的 VMware 識別碼來登入。
- 下載 OVA 檔案。(VMware-NSX-Malware-Prevention-appliance-3.2.0.0-build_namber.ova)
- 使用下列命令解壓縮 OVA 檔案:
tar -xvf filename.ova
將 filename 取代為您在上一步下載的 OVA 檔案的確切名稱。
注意,以下四個檔案出現在解壓縮 OVA 檔案時所在的根目錄中。
- OVF 檔案 (.ovf)
- 資訊清單檔案 (.mf)
- 憑證檔案 (.cert)
- 虛擬機器磁碟檔 (.vmdk)
- 將所有已解壓縮的檔案複製到符合下列必要條件的 Web 伺服器:
- 必須具有透過 HTTP 對 Web 伺服器的未經驗證存取權。
- NSX Manager、您打算部署 NSX 惡意程式碼防護 SVM 的所有 ESXi 主機,以及登錄到 NSX-T 的 vCenter Server,都必須能夠存取 Web 伺服器。
- 必須將所解壓縮檔案的 MIME 類型新增至 Web 伺服器。如需有關將 MIME 類型新增至 Web 伺服器的詳細資訊,請參閱 Web 伺服器說明文件。
副檔名 MIME 類型 .ovf
application/vmware
.vmdk
application/octet-stream
.mf
text/cache-manifest
.cert
application/x-x509-user-cert
登錄 NSX 分散式惡意程式碼防護服務
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
- Web 伺服器上 OVF 檔案的完整路徑
- 部署規格的名稱 (在 vCenter Server 上 SVM 是以這個名稱來識別)
- SVM 版本號碼
{
"ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
"deployment_spec_name" : "NSX_Distributed_MPS",
"svm_version" : "3.2"
}
有關此 API 的詳細資訊 (包括範例回應),請參閱 VMware 開發人員說明文件入口網站上的《惡意程式碼防護 API 說明文件》。
- 在 NSX Manager 中,導覽至。
- 確認 VMware NSX 分散式惡意程式碼防護服務列在頁面上。
