NSX 入侵偵測及防護服務 (IDS/IPS) 旨在根據一組已知的特徵碼來比較流量,以監控主機和 Edge 上的網路流量是否存在惡意活動。NSX 惡意程式碼防護的目標是從主機和 Edge 上的網路流量中擷取檔案,並分析這些檔案以瞭解惡意行為。

「NSX 入侵偵測及防護服務」概觀

NSX IDS/IPS 會根據特徵碼來比較流量,以監控主機上的網路流量是否存在可疑活動。特徵碼可針對需要偵測和報告的網路入侵類型,指定其模式。只要發現與特徵碼相符的流量模式,就會執行預先定義的動作,例如:產生警示或阻止流量抵達其目的地。

NSX-T Data Center 在下列防火牆上支援 IDS/IPS 功能:
  • 分散式防火牆:在 NSX-T Data Center 3.2 之前,IDS 的實作侷限於基於知識的特徵碼。基於知識的特徵碼納入了對應至已知攻擊類型的特定知識或模式。在此方法中,IDS 會嘗試根據特徵碼中指定的已知惡意指令序列來偵測入侵情況。因此,基於知識的特徵碼侷限於已知的攻擊,而無法涵蓋目標威脅或零時差威脅。

    NSX-T Data Center 3.2 開始,IDS 還支援基於行為的偵測。基於行為的偵測會嘗試透過精確找出與基準或正常流量不同或異常的關注事件,來識別異常行為。

    這些事件稱為資訊性事件或資訊事件,其所包含的事件可精確找出網路中的異常活動,這些活動未必存在惡意,但可在調查破口時提供有價值的資訊。與特徵碼搭配使用的是自訂偵測邏輯,此邏輯可直接更新,而無需重新編譯或修改 IDS 引擎。基於行為的偵測引進了新的 IDS 入侵嚴重性層級,即「可疑」。

  • 閘道防火牆:從 NSX-T Data Center 3.2 開始,閘道防火牆上同樣提供 IDS/IPS。
    重要:NSX-T Data Center 3.2.0 中,閘道防火牆上的 NSX IDS/IPS 僅在技術預覽模式下可用。從 NSX-T Data Center 3.2.1 開始,此功能可在生產環境中使用,並且完全支援。如需詳細資訊,請參閱 《NSX-T Data Center 版本說明》

NSX 惡意程式碼防護 概觀

NSX 惡意程式碼防護可以偵測及阻止已知的惡意檔案和未知的惡意檔案。未知的惡意檔案也稱為零時差威脅。 NSX 惡意程式碼防護會合併使用下列的技術,來偵測惡意程式碼:
  • 對已知的惡意檔案進行基於雜湊的偵測
  • 未知檔案的本機分析
  • 未知檔案的雲端分析
備註:NSX-T Data Center 3.2 中, NSX 惡意程式碼防護支援以下功能:
  • 在閘道防火牆上,僅支援惡意程式碼偵測。同時支援惡意程式碼檔案的本機分析和雲端分析。若要檢視所支援的檔案類別清單,請參閱NSX 惡意程式碼防護支援的檔案類別
  • 在分散式防火牆上,僅針對在為 NSX 準備的 vSphere 主機叢集上執行的 Windows 客體端點 (虛擬機器) 才支援惡意程式碼偵測與防護。僅支援對 Windows 可攜式執行檔 (PE) 進行本機分析和雲端分析。NSX 分散式惡意程式碼防護目前不支援其他檔案類別。
  • 支援的最大檔案大小限制為 64 MB。

NSX-T Data Center 中 NSX 惡意程式碼防護的概念性概觀。

在南北向流量上,NSX 惡意程式碼防護功能會在 NSX Edge 上使用 IDS/IPS 引擎來擷取或攔截進入資料中心的檔案。在東西向流量上,此功能會使用 NSX Guest Introspection (GI) 平台的功能。如果此檔案略過 NSX Edge 上的審查並抵達主機,則 Windows 客體虛擬機器上的 GI 精簡型代理程式會擷取此檔案。

若要偵測和防護 Windows 客體虛擬機器上的惡意程式碼,您必須在 Windows 客體虛擬機器上安裝 NSX Guest Introspection 精簡型代理程式,並在為 NSX-T Data Center 準備的 vSphere 主機叢集上部署 NSX 分散式惡意程式碼防護 服務。部署此服務後,將在 vSphere 叢集的每部主機上安裝一部服務虛擬機器 (SVM),並在主機叢集上啟用 NSX 惡意程式碼防護

Windows 版 NSX Guest Introspection 精簡型代理程式隨附於 VMware Tools 中。若要檢視您的 NSX-T Data Center 版本支援的 VMware Tools 版本,請參閱 VMware 產品互通性對照表。若要檢視特定 VMware Tools 版本支援的 Windows 客體作業系統清單,請參閱 VMware Tools 說明文件中適用於該版本的版本說明。

備註: VMware Tools 12.0.6 或更新版本支援 Windows 11 和 Windows 2022 客體作業系統版本。
NSX 惡意程式碼防護檔案事件

在南北向流量中,當 NSX Edge 上的 IDS 引擎解壓縮檔案,以及在分散式東西向流量中,當虛擬機器端點上的 NSX Guest Introspection Agent 解壓縮檔案時,都會產生檔案事件。

NSX 惡意程式碼防護功能會檢查所解壓縮的檔案,以判斷它們是正常、惡意還是可疑的檔案。對檔案每一次的唯一檢查都會在 NSX-T Data Center 中計為單一檔案事件。換句話說,檔案事件是指唯一的檔案檢查。

如需使用 UI 來監控 NSX 惡意程式碼防護檔案事件的相關資訊,請參閱監控檔案事件

如需使用 NSX 惡意程式碼防護檔案事件 API 來監控檔案事件的相關資訊,請在 VMware 開發人員說明文件入口網站中查看相關說明文件。