僅當資料中心使用適當的授權時,才能在 NSX-T Data Center 環境中設定 NSX IDS/IPS 和 NSX 惡意程式碼防護 功能。
如需有關執行 NSX Advanced Threat Prevention解決方案所需授權的相關資訊,請參閱授權類型中的〈安全性授權〉一節。
準備在資料中心上提供 NSX 入侵偵測/防護和 NSX 惡意程式碼防護 時,會涉及多個步驟。若要執行這些步驟,您可以使用 IDS/IPS 和惡意程式碼防護設定精靈。
設定精靈類似於一項上線程序,可指導您完成一系列步驟,以便準備在資料中心提供這兩項安全性功能。若要執行此精靈,請導覽至
。如果 NSX-T 偵測到未新增適當的授權,此頁面會顯示下列文字:
目前授權不支援 IDS/IPS 和惡意程式碼防護。
如果 NSX-T 偵測到已新增適當的授權,此頁面會顯示啟動設定和跳過設定按鈕。
若要開始設定精靈,請按一下啟動設定。按照畫面上的指示和本說明文件來完成精靈中的步驟。
- 在任何階段,若是想儲存進度並退出精靈,請按一下返回主要頁面。之後,您可以從原先離開的位置繼續進行設定。
- 如果您想要重設設定精靈以重新開始,請按一下取消。取消設定時,會移除您在精靈中所做的選擇,但不會移除您已在精靈中完成的任何部署。例如,如果在重設精靈之前,您已在主機叢集上完成 NSX Application Platform 和 NSX 惡意程式碼防護服務虛擬機器的部署,則會保留這些部署。
- 如果您不想使用設定精靈,而想之後自行設定這兩項安全性功能,請按一下跳過設定。NSX Manager 將不再顯示此精靈。之後,您可以導覽至 ,在資料中心設定這兩項功能。有關使用 IDS/IPS 和惡意程式碼防護設定頁面的資訊,請參閱進行 NSX IDS/IPS 和 NSX 惡意程式碼防護設定。
選取的功能 | 顯示的索引標籤 |
---|---|
東西向流量上的 IDS/IPS 或 南北向流量上的 IDS/IPS (在 NSX-T Data Center 3.2.0 中,只在技術預覽模式下才能使用此功能。從 NSX-T Data Center 3.2.1 開始,此功能可在生產環境中使用,並且完全支援。) |
設定 NSX Proxy 管理特徵碼 啟用節點 |
僅在東西向流量上提供惡意程式碼防護 |
設定 NSX Proxy 部署 NSX Application Platform 部署服務虛擬機器 |
僅在南北向流量上提供惡意程式碼防護 |
設定 NSX Proxy 部署 NSX Application Platform 啟用節點 |
在東西向流量和南北向流量上均會提供惡意程式碼防護 | 設定 NSX Proxy 部署 NSX Application Platform 部署服務虛擬機器 啟用節點 |
選取所有功能 |
精靈中的五個索引標籤都會顯示 |
設定 NSX Proxy 伺服器以具備網際網路連線功能
NSX IDS/IPS 未必需要網際網路連線才能正常運作。NSX IDS/IPS 會使用特徵碼來偵測及防止入侵。如果您的 NSX-T Data Center 環境具有網際網路連線,NSX Manager 可以直接從網際網路或透過 NSX Proxy 伺服器,自動下載最新的入侵偵測特徵碼。如果您的 NSX 環境中未設定網際網路連線,您可以使用 API 手動下載 NSX 入侵偵測特徵碼服務包 (.zip) 檔案,然後將特徵碼服務包上傳至 NSX Manager。如需進一步瞭解如何手動上傳特徵碼,請參閱離線下載及上傳 NSX 入侵偵測特徵碼。
NSX 惡意程式碼防護 也會使用特徵碼來偵測和防止惡意程式碼。但是,僅當 NSX-T Data Center 環境具有網際網路連線時,NSX Manager 才能下載最新的特徵碼。您無法手動將最新特徵碼上傳至 NSX Manager。NSX 惡意程式碼防護 還會將檔案傳送到 NSX Advanced Threat Prevention 雲端服務,以進行詳細的雲端檔案分析。檔案會由 NSX Application Platform 傳送到雲端,而不是由 NSX Manager 傳送。NSX Application Platform 不支援 Proxy 伺服器組態,它需要直接存取網際網路。
- 配置 (HTTP 或 HTTPS)
- 主機的 IP 位址
- 連接埠號碼
- 使用者名稱和密碼
部署 NSX Application Platform
NSX 惡意程式碼防護需要在 NSX Application Platform 中部署某些微服務。您必須先部署 NSX Application Platform,然後再啟動 NSX 惡意程式碼防護功能。啟動此功能後,NSX 惡意程式碼防護所需的微服務將部署在平台中。
部署服務虛擬機器
對於資料中心的東西向流量,您必須在針對 NSX 所準備的 vSphere 主機叢集上部署 NSX 分散式惡意程式碼防護服務。部署此服務後,將在 vSphere 叢集的每部主機上安裝一部服務虛擬機器 (SVM),並在主機叢集上啟用 NSX 惡意程式碼防護。
此頁面上的環圈圖顯示資料中心中,已部署和未部署 NSX 分散式惡意程式碼防護服務的主機叢集數目。
如需有關在主機叢集上部署 NSX 分散式惡意程式碼防護服務的詳細指示,請參閱部署 NSX 分散式惡意程式碼防護服務。
在主機叢集上完成此服務部署後,請回到精靈中的此頁面,然後按下一步以繼續進行。
管理特徵碼
在資料中心設定網際網路連線時,依預設,NSX Manager 每 20 分鐘會檢查一次雲端上是否有新的入侵偵測特徵碼。當有新的更新可用時,該頁面上會顯示一個橫幅,其中包含立即更新連結。
如果資料中心沒有網際網路連線,您可以手動下載 IDS 特徵碼服務包 (.zip) 檔案,然後將檔案上傳到 NSX Manager。如需詳細指示,請參閱離線下載及上傳 NSX 入侵偵測特徵碼。
- 特徵碼管理
-
特徵碼管理工作是選用的。如有需要,您可以稍後在 IDS/IPS 和惡意程式碼防護設定頁面上執行這些工作。( )。
- 開啟自動更新新的版本選項,以便從雲端下載的入侵偵測特徵碼能自動套用至資料中心內的主機和 Edge。
如果關閉此選項,特徵碼將停在列出的版本。
- 按一下檢視和變更版本,以新增特徵碼的其他版本 (除預設版本之外)。
目前會維護兩個版本的特徵碼。每當版本認可識別號碼有所變更時,即會下載新版本。
- 按一下檢視和管理全域特徵碼集,可將特定特徵碼的動作全域變更為警示、捨棄或拒絕。
對特徵碼選取動作,然後按一下儲存。全域特徵碼管理設定中所做的變更適用於所有 IDS/IPS 設定檔。但是,如果您更新 IDS/IPS 設定檔中的特徵碼設定,則優先使用設定檔的設定。
下表說明每一個特徵碼動作的意義。
動作 說明 警示
產生警示,且不會執行任何自動預防動作。
捨棄
產生警示,且會捨棄違規的封包。
拒絕
產生警示,且會捨棄違規的封包。對於 TCP 流量,IDS 會產生 TCP 重設封包,並傳送至連線的來源與目的地。對於其他通訊協定,系統會將 ICMP 錯誤封包傳送至連線的來源與目的地。
- 開啟自動更新新的版本選項,以便從雲端下載的入侵偵測特徵碼能自動套用至資料中心內的主機和 Edge。
對節點啟用 IDS/IPS 和惡意程式碼防護
在啟動東西向流量的主機和叢集區段中,執行下列設定:
- 在獨立 ESXi 主機上開啟 NSX IDS/IPS。
- 選取您要對東西向流量啟動 NSX IDS/IPS 的 ESXi 主機叢集。
- 如果尚未將 NSX 分散式惡意程式碼防護服務部署在 ESXi 主機叢集上,請按一下惡意程式碼防護資料行中的定義在服務虛擬機器部署中連結。如需有關在主機叢集上部署 NSX 分散式惡意程式碼防護服務的說明,請參閱部署 NSX 分散式惡意程式碼防護服務。
- 請勿在使用分散式負載平衡器的環境中啟用 NSX Distributed IDS/IPS。NSX 不支援 IDS/IPS 與分散式負載平衡器搭配使用。
- 若要讓 NSX Distributed IDS/IPS 正常運作,必須啟用分散式防火牆 (DFW)。如果流量被 DFW 規則封鎖,則 IDS/IPS 無法看到流量。
- 選取您要對南北向流量啟動 NSX IDS/IPS 的第 1 層閘道。
- 選取您要對南北向流量啟動 NSX 惡意程式碼防護的第 1 層閘道。
- NSX 惡意程式碼防護功能 (僅限在第 1 層閘道上)。
- 閘道防火牆上的 NSX IDS/IPS 功能 (僅限在第 1 層閘道上)。在 NSX-T Data Center 3.2.0 中,閘道防火牆上的 NSX IDS/IPS 僅在技術預覽模式下可用。從 NSX-T Data Center 3.2.1 開始,閘道防火牆上的 NSX IDS/IPS 可在生產環境中使用,並且完全支援。如需詳細資訊,請參閱《NSX-T Data Center 版本說明》。