分散式防火牆上的 NSX 惡意程式碼防護使用 NSX Guest Introspection (GI) 架構。若要偵測和防護 Windows 客體端點 (虛擬機器) 上的惡意程式碼,必須在為 NSX 準備的 ESXi 主機叢集上部署 NSX 分散式惡意程式碼防護服務。

備註: 在分散式東西向流量上,僅針對工作負載虛擬機器 (端點) 上的 GI Thin Agent 所解壓縮的 Windows 可攜式執行檔 (PE) 才支援惡意程式碼偵測與防護。 NSX 分散式惡意程式碼防護目前不支援其他檔案類別。支援的最大檔案大小限制為 64 MB。

在主機叢集上部署 NSX 分散式惡意程式碼防護服務之前,必須完成下列幾節所述的必要條件。如果某些必要條件已完成,請跳過這些必要條件,並繼續執行待完成的必要條件。

NSX-T Data Center 中新增適當授權

若要使用 NSX 惡意程式碼防護功能,NSX-T Data Center 必須使用適當的授權。如需有關支援 NSX 惡意程式碼防護之授權的資訊,請參閱 NSX IDS/IPS 和 NSX 惡意程式碼防護的系統需求

若要新增授權:
  1. NSX Manager 中,導覽至系統 > 授權 > 新增授權
  2. 輸入授權金鑰。

確認所有主機都受 vCenter Server 管理

只有受一或多個 vCenter Server 管理的 vSphere 主機叢集才支援 NSX 惡意程式碼防護功能。

  1. NSX Manager 中,導覽至系統 > 網狀架構 > 節點 > 主機傳輸節點
  2. 管理者下拉式功能表中,選取用來管理要在其中部署 NSX 惡意程式碼防護 SVM 之 vSphere 主機叢集的 vCenter Server

    會顯示 vSphere 主機叢集清單。請確認此清單包含您要啟用惡意程式碼防護的主機叢集。

將主機設定為傳輸節點

將傳輸節點設定檔套用至 vSphere 主機叢集,以將 vSphere 主機設定為主機傳輸節點。

如需詳細指示,請參閱 《NSX-T Data Center 安裝指南》中的下列主題:

產生公開金鑰-私密金鑰配對,以透過 SSH 來存取 SVM

若要從 SVM 下載記錄檔以進行疑難排解,則對 NSX 惡意程式碼防護 SVM 需具備 SSH 唯讀存取權。

對 SVM 的 admin 使用者的 SSH 存取是基於金鑰 (公開/私密金鑰配對)。在 ESXi 主機叢集上部署服務時需要公開金鑰,而當您想要啟動與 SVM 的 SSH 工作階段時,則需要私密金鑰。

您可以使用任何 SSH 金鑰產生工具,來產生公開金鑰-私密金鑰配對。但是,公開金鑰必須遵循下列子節所述的特定格式。SSH 金鑰產生工具範例包括:ssh-keygen、PuTTY 金鑰產生器等。支援的金鑰大小為 1024 位元、2048 位元和 4096 位元。

公開金鑰格式
公開金鑰必須遵循下列格式:
範例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

如果使用的是 PuTTY 金鑰產生器,請確定公開金鑰是直接從 UI 複製。如果存在金鑰配對,請先在 PuTTY 金鑰產生器 UI 中載入私密金鑰檔案,然後複製金鑰文字方塊中顯示的公開金鑰。請避免從公開金鑰檔案複製內容。所複製的內容可能採用不同的格式,而不適用於 SVM。

如果要在 Linux 系統上使用 ssh-keygen 公用程式產生金鑰配對,則金鑰格式在公開金鑰中一律會包含 ssh-rsa。因此,在 Linux 系統上,您可以從公開金鑰檔案複製內容。

建議的做法

NSX 分散式惡意程式碼防護服務部署是在主機叢集層級進行。因此,金鑰配對將繫結至主機叢集。您可以為每個叢集上的服務部署建立新的公開-私密金鑰配對,也可以為所有叢集上的服務部署使用單一金鑰配對。

如果您打算為每個叢集上的服務部署使用不同的公開/私密金鑰配對,請確保正確命名金鑰配對,以方便識別。

最好使用「計算叢集識別碼」來識別每一個服務部署,並在金鑰配對的名稱中指定叢集識別碼。例如,假設叢集識別碼為「1234-abcd」。對於此叢集,您可以將服務部署名稱指定為「MPS-1234-abcd」,並將用於存取此服務部署的金鑰配對命名為「id_rsa_1234_abcd.pem」。此做法可方便您對每個服務部署的金鑰進行維護並建立關聯。

重要: 安全地保存私密金鑰。遺失私密金鑰可能導致無法利用 SSH 存取 NSX 惡意程式碼防護 SVM。

部署 NSX Application Platform

NSX Application Platform 是一個現代微服務平台,它裝載多項 NSX 功能,這些功能可用來收集、擷取及關聯網路流量資料。

如需有關部署平台的詳細指示,請參閱 《部署和管理 VMware NSX Application Platform》 出版品,網址是 https://docs.vmware.com/tw/VMware-NSX-T-Data-Center/index.html。從此連結的左導覽窗格,展開 NSX-T Data Center 3.2 或更新版本,然後按一下出版品名稱。

啟動 NSX 惡意程式碼防護功能

如需詳細指示,請參閱啟用 NSX 惡意程式碼防護

啟動此功能後,NSX 惡意程式碼防護所需的微服務會在 NSX Application Platform 中開始執行。

在繼續執行下一步之前,請確認 NSX Application PlatformNSX 惡意程式碼防護功能的狀態。執行以下步驟:
  1. NSX Manager 中,導覽至系統 > NSX Application Platform
  2. 向下捲動頁面,直到看到功能區段。
  3. 確認NSX 惡意程式碼防護功能卡顯示已啟動狀態

如果狀態為關閉,請等待狀態變為已啟動後,然後再繼續進行下一步。

確認客體虛擬機器上的虛擬機器硬體組態

確認在 Windows 客體虛擬機器上執行的虛擬機器硬體組態為第 9 版或更新版本。執行以下步驟:
  1. 登入 vSphere Client
  2. 移至主機和叢集,並導覽至叢集。
  3. 逐一按一下叢集中的各個虛擬機器。
  4. 摘要頁面上,展開虛擬機器硬體窗格,然後查看虛擬機器的相容性資訊。虛擬機器必須為第 9 版或更新版本。
例如:
[虛擬機器硬體] 窗格,其中反白顯示相容性資訊。

安裝 NSX File Introspection 驅動程式

VMware Tools for Windows 會隨附 NSX File Introspection 驅動程式。但是,此驅動程式不是預設 VMware Tools 安裝架構的一部分。若要安裝此驅動程式,您必須執行自訂或完整安裝,並選取 NSX File Introspection 驅動程式。

如需詳細指示,請參閱在 Windows 虛擬機器上安裝 Guest Introspection 精簡型代理程式

下載 NSX 惡意程式碼防護服務虛擬機器的 OVA 檔案

  1. 在網頁瀏覽器中,開啟下載 VMware NSX-T Data Center 頁面,然後使用您的 VMware 識別碼來登入。
  2. 下載 OVA 檔案。(VMware-NSX-Malware-Prevention-appliance-3.2.0.0-build_namber.ova)
  3. 使用下列命令解壓縮 OVA 檔案:
    tar -xvf filename.ova

    filename 取代為您在上一步下載的 OVA 檔案的確切名稱。

    注意,以下四個檔案出現在解壓縮 OVA 檔案時所在的根目錄中。

    • OVF 檔案 (.ovf)
    • 資訊清單檔案 (.mf)
    • 憑證檔案 (.cert)
    • 虛擬機器磁碟檔 (.vmdk)
  4. 將所有已解壓縮的檔案複製到符合下列必要條件的 Web 伺服器:
    • 必須具有透過 HTTP 對 Web 伺服器的未經驗證存取權。
    • NSX Manager、您打算部署 NSX 惡意程式碼防護 SVM 的所有 ESXi 主機,以及登錄到 NSX-TvCenter Server,都必須能夠存取 Web 伺服器。
    • 必須將所解壓縮檔案的 MIME 類型新增至 Web 伺服器。如需有關將 MIME 類型新增至 Web 伺服器的詳細資訊,請參閱 Web 伺服器說明文件。
      副檔名 MIME 類型

      .ovf

      application/vmware

      .vmdk

      application/octet-stream

      .mf

      text/cache-manifest

      .cert

      application/x-x509-user-cert

備註: 您可以在部署 NSX Manager 應用裝置、 ESXi 主機和 vCenter Server 應用裝置的同一個網路上部署 Web 伺服器。Web 伺服器不需要存取網際網路。

登錄 NSX 分散式惡意程式碼防護服務

執行下列 POST API:
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
在此 POST API 的要求本文中,指定下列詳細資料:
  • Web 伺服器上 OVF 檔案的完整路徑
  • 部署規格的名稱 (在 vCenter Server 上 SVM 是以這個名稱來識別)
  • SVM 版本號碼
範例要求本文:
{
    "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
    "deployment_spec_name" : "NSX_Distributed_MPS",
    "svm_version" : "3.2"
}

如需有關此 API (包括範例回應) 的詳細資訊,請參閱API 參考:NSX 分散式惡意程式碼防護服務

確認服務名稱列在 目錄頁面上。執行以下步驟:
  1. NSX Manager 中,導覽至系統 > 服務部署 > 目錄
  2. 確認 VMware NSX 分散式惡意程式碼防護服務列在頁面上。