NSX Manager UI 提供一個通用規則表,為分散式防火牆上的 NSX 入侵偵測/防護和 NSX 惡意程式碼防護新增規則。
在 NSX-T Data Center 3.2 中,NSX 分散式惡意程式碼防護服務僅可在 Windows 客體端點 (虛擬機器) 上偵測及防止惡意程式碼。
備註: 在分散式東西向流量上,僅針對工作負載虛擬機器 (端點) 上的 GI Thin Agent 所解壓縮的 Windows 可攜式執行檔 (PE) 才支援惡意程式碼偵測與防護。
NSX 分散式惡意程式碼防護目前不支援其他檔案類別。支援的最大檔案大小限制為 64 MB。
必要條件
對於
NSX 惡意程式碼防護:
- NSX 惡意程式碼防護服務虛擬機器是部署在為 NSX 準備的 vSphere 主機叢集上。如需詳細指示,請參閱部署 NSX 分散式惡意程式碼防護服務。
- 新增惡意程式碼防護設定檔。
- 建立群組,並在這些群組中新增需要防範惡意程式碼的虛擬機器。您可以新增虛擬機器作為靜態成員,也可以定義評估虛擬機器是否為有效成員的動態成員資格準則。如需詳細指示,請參閱新增群組。
對於
NSX IDS/IPS:
- 新增 NSX IDS/IPS 設定檔。
- 在 NSX IDS/IPS 主機叢集上啟動或啟用 vSphere。( )。
程序
結果
在端點虛擬機器上擷取檔案時,會產生檔案事件並顯示在惡意程式碼防護儀表板上和安全性概觀儀表板上。如果這些檔案是惡意的,則會強制執行安全性原則。如果這些檔案沒有危害性,則會將它們下載到虛擬機器上。
對於使用 IDS/IPS 設定檔所設定的規則,如果系統偵測到惡意流量,它會產生入侵事件,並在 IDS/IPS 儀表板上顯示此事件。系統會根據您在規則中設定的動作,來捨棄、拒絕流量或對流量產生警示。
範例
下一步
在惡意程式碼防護儀表板上監控和分析檔案事件。如需詳細資訊,請參閱監控檔案事件。
在 IDS/IPS 儀表板上監控和分析入侵事件。如需詳細資訊,請參閱 監控 IDS/IPS 事件。