僅當資料中心使用適當的授權時,才能在 NSX 惡意程式碼防護環境中設定 NSX IDS/IPS 和 NSX-T Data Center 功能。

如需有關執行 NSX Advanced Threat Prevention解決方案所需授權的相關資訊,請參閱授權類型中的〈安全性授權〉一節。

準備在 NSX-T Data Center 上提供 NSX 入侵偵測/防護和 NSX 惡意程式碼防護時,會涉及多個步驟。若要執行這些步驟,您可以使用 IDS/IPS 和惡意程式碼防護設定精靈。

設定精靈類似於一項上線程序,可指導您完成一系列步驟,以便準備在資料中心提供這兩項安全性功能。若要執行此精靈,請導覽至安全性 > IDS/IPS 和惡意程式碼防護

如果 NSX-T 偵測到未新增適當的授權,此頁面會顯示下列文字:

目前授權不支援 IDS/IPS 和惡意程式碼防護。

如果 NSX-T 偵測到已新增適當的授權,此頁面會顯示啟動設定跳過設定按鈕。

若要開始設定精靈,請按一下啟動設定。按照畫面上的指示和本說明文件來完成精靈中的步驟。

  • 在任何階段,若是想儲存進度並退出精靈,請按一下返回主要頁面。之後,您可以從原先離開的位置繼續進行設定。
  • 如果您想要重設設定精靈以重新開始,請按一下取消。取消設定時,會移除您在精靈中所做的選擇,但不會移除您已在精靈中完成的任何部署。例如,如果在重設精靈之前,您已在主機叢集上完成 NSX Application PlatformNSX 惡意程式碼防護服務虛擬機器的部署,則會保留這些部署。
  • 如果您不想使用設定精靈,而想之後自行設定這兩項安全性功能,請按一下跳過設定NSX Manager 將不再顯示此精靈。之後,您可以導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 設定,在資料中心設定這兩項功能。有關使用 IDS/IPS 和惡意程式碼防護設定頁面的資訊,請參閱進行 NSX IDS/IPS 和 NSX 惡意程式碼防護設定
依預設,在設定時,會選取 [IDS/IPS 和惡意程式碼防護] 功能卡中的所有核取方塊。您可以根據需要來編輯所做的選擇。當您準備好繼續進行時,請按 下一步。您所做的選擇會決定精靈中所顯示的索引標籤,如下表中所述。
選取的功能 顯示的索引標籤

東西向流量上的 IDS/IPS

南北向流量上的 IDS/IPS (技術預覽模式)

設定 NSX Proxy

管理特徵碼

啟用節點

僅在東西向流量上提供惡意程式碼防護

設定 NSX Proxy

部署 NSX Application Platform

部署服務虛擬機器

僅在南北向流量上提供惡意程式碼防護

設定 NSX Proxy

部署 NSX Application Platform

啟用節點

在東西向流量和南北向流量上均會提供惡意程式碼防護

設定 NSX Proxy

部署 NSX Application Platform

部署服務虛擬機器

啟用節點

選取所有功能

精靈中的五個索引標籤都會顯示

設定 NSX Proxy 伺服器以具備網際網路連線功能

僅當 NSX-T Data Center 連線至網際網路時,NSX 惡意程式碼防護才能運作。NSX IDS/IPS 可以在沒有網際網路連線的網路中運作,但您需要手動更新 IDS/IPS 特徵碼。

按一下 移至 NSX Proxy 伺服器連結,並指定下列設定:
  • 配置 (HTTP 或 HTTPS)
  • 主機的 IP 位址
  • 連接埠號碼
  • 使用者名稱和密碼

部署 NSX Application Platform

NSX 惡意程式碼防護需要在 NSX Application Platform 中部署某些微服務。您必須先部署 NSX Application Platform,然後再啟動 NSX 惡意程式碼防護功能。啟動此功能後,NSX 惡意程式碼防護所需的微服務將部署在平台中。

總之,您必須依給定的順序來執行下列工作:
  1. 部署 NSX Application Platform
  2. 啟用 NSX 惡意程式碼防護

部署服務虛擬機器

對於資料中心的東西向流量,您必須在針對 NSX 所準備的 vSphere 主機叢集上部署 NSX 分散式惡意程式碼防護服務。部署此服務後,將在 vSphere 叢集的每部主機上安裝一部服務虛擬機器 (SVM),並在主機叢集上啟用 NSX 惡意程式碼防護

此頁面上的環圈圖顯示資料中心中,已部署和未部署 NSX 分散式惡意程式碼防護服務的主機叢集數目。

如需有關在主機叢集上部署 NSX 分散式惡意程式碼防護服務的詳細指示,請參閱部署 NSX 分散式惡意程式碼防護服務

在主機叢集上完成此服務部署後,請回到精靈中的此頁面,然後按下一步以繼續進行。

管理特徵碼

在資料中心設定網際網路連線時,依預設,NSX Manager 每 20 分鐘會檢查一次雲端上是否有新的入侵偵測特徵碼。當有新的更新可用時,該頁面上會顯示一個橫幅,其中包含立即更新連結。

如果資料中心沒有網際網路連線,您可以手動下載 IDS 特徵碼服務包 (.zip) 檔案,然後將檔案上傳到 NSX Manager。如需詳細指示,請參閱離線下載及上傳 NSX 入侵偵測特徵碼

特徵碼管理

特徵碼管理工作是選用的。如有需要,您可以稍後在 IDS/IPS 和惡意程式碼防護設定頁面上執行這些工作。(安全性 > IDS/IPS 和惡意程式碼防護 > 設定 > IDS/IPS)。

  • 開啟自動更新新的版本選項,以便從雲端下載的入侵偵測特徵碼能自動套用至資料中心內的主機和 Edge。

    如果關閉此選項,特徵碼將停在列出的版本。

  • 按一下檢視和變更版本,以新增特徵碼的其他版本 (除預設版本之外)。

    目前會維護兩個版本的特徵碼。每當版本認可識別號碼有所變更時,即會下載新版本。

  • 按一下檢視和管理全域特徵碼集,可將特定特徵碼的動作全域變更為警示、捨棄或拒絕。

    對特徵碼選取動作,然後按一下儲存。全域特徵碼管理設定中所做的變更適用於所有 IDS/IPS 設定檔。但是,如果您更新 IDS/IPS 設定檔中的特徵碼設定,則優先使用設定檔的設定。

    下表說明每一個特徵碼動作的意義。

    動作 說明

    警示

    產生警示,且不會執行任何自動預防動作。

    捨棄

    產生警示,且會捨棄違規的封包。

    拒絕

    產生警示,且會捨棄違規的封包。對於 TCP 流量,IDS 會產生 TCP 重設封包,並傳送至連線的來源與目的地。對於其他通訊協定,系統會將 ICMP 錯誤封包傳送至連線的來源與目的地。

對節點啟用 IDS/IPS 和惡意程式碼防護

啟動東西向流量的主機和叢集區段中,執行下列設定:

  • 在獨立 ESXi 主機上開啟 NSX IDS/IPS。
  • 選取您要對東西向流量啟動 NSX IDS/IPS 的 ESXi 主機叢集。
  • 如果尚未將 NSX 分散式惡意程式碼防護服務部署在 ESXi 主機叢集上,請按一下惡意程式碼防護資料行中的定義在服務虛擬機器部署中連結。如需有關在主機叢集上部署 NSX 分散式惡意程式碼防護服務的說明,請參閱部署 NSX 分散式惡意程式碼防護服務
備註:
  • 請勿在使用分散式負載平衡器的環境中啟用 NSX Distributed IDS/IPSNSX Data Center 不支援 IDS/IPS 與分散式負載平衡器搭配使用。
  • 若要讓 NSX Distributed IDS/IPS 正常運作,必須啟用分散式防火牆 (DFW)。如果流量被 DFW 規則封鎖,則 IDS/IPS 無法看到流量。
啟動南北向流量的閘道區段中,執行下列設定:
  • 選取您要對南北向流量啟動 NSX IDS/IPS 的第 1 層閘道。
  • 選取您要對南北向流量啟動 NSX 惡意程式碼防護的第 1 層閘道。
重要: 在南北向流量上, NSX-T Data Center 3.2 支援:
  • NSX 惡意程式碼防護功能 (僅限在第 1 層閘道上)。
  • 閘道防火牆的 NSX IDS/IPS 功能 (僅限在技術預覽模式下的第 1 層閘道上)。僅將它用於實驗性目的。