如果您跳過 IDS/IPS 和惡意程式碼防護設定精靈而未進行任何設定,或您在組態程序期間跳過此精靈,您可以從 IDS/IPS 和惡意程式碼防護設定頁面繼續執行組態程序。

若要在 NSX Manager UI 中開啟此頁面,請導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 設定

組態設定分成三個索引標籤頁面:
  • 共用
  • IDS/IPS
  • 惡意程式碼防護

共用設定

顧名思義,這些是 NSX IDS/IPS 和 NSX 惡意程式碼防護 的一般設定。
設定網際網路 Proxy 伺服器

僅當 NSX-T Data Center 連線至網際網路時,NSX 惡意程式碼防護才能運作。NSX IDS/IPS 可以在沒有網際網路連線的網路中運作,但您需要手動更新 IDS/IPS 特徵碼。

按一下 網際網路 Proxy 伺服器連結,並指定以下設定:
  • 配置 (HTTP 或 HTTPS)
  • 主機的 IP 位址
  • 連接埠號碼
  • 使用者名稱和密碼
定義惡意程式碼防護和 IDS/IPS 部署的範圍

啟動東西向流量的主機和叢集區段中,執行下列設定:

  • 在獨立 ESXi 主機上開啟 NSX IDS/IPS。
  • 選取您要對東西向流量啟動 NSX IDS/IPS 的 ESXi 主機叢集。
  • 如果尚未將 NSX 分散式惡意程式碼防護服務部署在 ESXi 主機叢集上,請按一下惡意程式碼防護資料行中的定義在服務虛擬機器部署中連結。如需有關在主機叢集上部署 NSX 分散式惡意程式碼防護服務的說明,請參閱部署 NSX 分散式惡意程式碼防護服務
啟動南北向流量的閘道區段中,執行下列設定:
  • 選取您要對南北向流量啟動 NSX IDS/IPS 的第 1 層閘道。
  • 選取您要對南北向流量啟動 NSX 惡意程式碼防護的第 1 層閘道。
重要: 在南北向流量上, NSX-T Data Center 3.2 支援:
  • NSX 惡意程式碼防護功能 (僅限在第 1 層閘道上)。
  • 閘道防火牆的 NSX IDS/IPS 功能 (僅限在技術預覽模式下的第 1 層閘道上)。僅將它用於實驗性目的。

IDS/IPS 設定

在資料中心設定網際網路連線時,依預設,NSX Manager 每 20 分鐘會檢查一次雲端上是否有新的入侵偵測特徵碼。當有新的更新可用時,該頁面上會顯示一個橫幅,其中包含立即更新連結。

如果資料中心沒有網際網路連線,您可以手動下載 IDS 特徵碼服務包 (.zip) 檔案,然後將檔案上傳到 NSX Manager。如需詳細指示,請參閱離線下載及上傳 NSX 入侵偵測特徵碼

您可以在此頁面上執行以下特徵碼管理工作:

  • 開啟自動更新新的版本選項,以便從雲端下載的入侵偵測特徵碼能自動套用至資料中心內的主機和 Edge。

    如果關閉此選項,特徵碼將停在列出的版本。

  • 按一下檢視和變更版本,以新增特徵碼的其他版本 (除預設版本之外)。

    目前會維護兩個版本的特徵碼。每當版本認可識別號碼有所變更時,即會下載新版本。

  • 按一下檢視和管理全域特徵碼集,可將特定特徵碼的動作全域變更為警示、捨棄或拒絕。

    對特徵碼選取動作,然後按一下儲存。全域特徵碼管理設定中所做的變更適用於所有 IDS/IPS 設定檔。但是,如果您更新 IDS/IPS 設定檔中的特徵碼設定,則優先使用設定檔的設定。

    下表說明每一個特徵碼動作的意義。

    動作 說明

    警示

    產生警示,且不會執行任何自動預防動作。

    捨棄

    產生警示,且會捨棄違規的封包。

    拒絕

    產生警示,且會捨棄違規的封包。對於 TCP 流量,IDS 會產生 TCP 重設封包,並傳送至連線的來源與目的地。對於其他通訊協定,系統會將 ICMP 錯誤封包傳送至連線的來源與目的地。

惡意程式碼防護設定

NSX 惡意程式碼防護需要在 NSX Application Platform 中部署某些微服務。

如果未在資料中心部署 NSX Application Platform,此頁面將顯示以下標題:

惡意程式碼防護尚未部署。
執行以下步驟:
  1. 閱讀螢幕上的文字,然後按一下移至 NSX Application Platform
  2. 在繼續進行平台部署之前,請閱讀 《部署和管理 VMware NSX Application Platform》 出版品中的 NSX Application Platform 部署檢查清單 (網址:https://docs.vmware.com/tw/VMware-NSX-T-Data-Center/index.html)。從此連結的左導覽窗格,展開 NSX-T Data Center 3.2 或更新版本,然後按一下出版品名稱。
  3. 部署 NSX Application Platform。如需更多詳細資料,請參閱《部署和管理 VMware NSX Application Platform》 出版品。
  4. 平台上的啟用 NSX 惡意程式碼防護功能。

NSX Application Platform 上啟動 NSX 惡意程式碼防護功能之後,惡意程式碼防護設定頁面將顯示允許清單區段。您可能需要重新整理頁面幾次,才能看到此區段。

允許清單
使用 NSX Manager UI 或 API,可以覆寫或隱藏 NSX-T 計算的檔案判定結果。覆寫的檔案判定結果優先於 NSX-T 計算的判定結果。允許清單表格顯示所有含有隱藏判定結果的檔案。此表格最初是空的。當您使用 惡意程式碼防護儀表板開始監控資料中心內的檔案事件,並根據特定安全需求而隱藏檔案判定結果時,隱藏的檔案將新增至允許清單表格中。

若要進一步瞭解有關覆寫檔案判定結果,請參閱將檔案新增至允許清單