分散式防火牆上的 NSX 惡意程式碼防護使用 NSX Guest Introspection (GI) 架構。若要偵測和防護客體端點 (虛擬機器) 上的惡意程式碼,必須在為 NSX 準備的 ESXi 主機叢集上部署 NSX 分散式惡意程式碼防護服務。
- 4 個 vCPU
- 6 GB 的 RAM
- 80 GB 磁碟空間
在 NSX 4.0 中,在分散式東西向流量上,僅支援對 Windows 客體端點 (虛擬機器) 上 GI 精簡型代理程式所擷取的 Windows 可攜式可執行檔 (PE),進行惡意程式碼偵測及防護。NSX 分散式惡意程式碼防護不支援其他檔案類別。
從 NSX 4.0.1.1 開始,在分散式東西向流量上,支援對 Windows 和 Linux 客體端點上的所有檔案類別,進行惡意程式碼偵測及防護。若要檢視所支援的檔案類別清單,請參閱NSX 惡意程式碼防護支援的檔案類別。
支援的最大檔案大小限制為 64 MB。
在主機叢集上部署 NSX 分散式惡意程式碼防護服務之前,必須完成下列幾節所述的必要條件。如果某些必要條件已完成,請跳過這些必要條件,並繼續執行待完成的必要條件。
在 NSX 中新增適當授權
若要使用 NSX 惡意程式碼防護功能,NSX 必須使用適當的授權。如需有關支援 NSX 惡意程式碼防護之授權的資訊,請參閱 NSX IDS/IPS 和 NSX 惡意程式碼防護的系統需求。
- 在 NSX Manager 中,導覽至 。
- 輸入授權金鑰。
確認所有主機都受 VMware vCenter 管理
只有受一或多個 vCenter Server 管理的 vSphere 主機叢集才支援 NSX 惡意程式碼防護功能。
- 在 NSX Manager 中,導覽至 。
- 在管理者下拉式功能表中,選取用來管理要在其中部署 NSX 惡意程式碼防護 SVM 之 vSphere 主機叢集的 VMware vCenter。
會顯示 vSphere 主機叢集清單。請確認此清單包含您要啟用惡意程式碼防護的主機叢集。
將主機設定為傳輸節點
將傳輸節點設定檔套用至 vSphere 主機叢集,以將 vSphere 主機設定為主機傳輸節點。
產生公開金鑰-私密金鑰配對,以透過 SSH 來存取 SVM
若要從 SVM 下載記錄檔以進行疑難排解,則對 NSX 惡意程式碼防護 SVM 需具備 SSH 唯讀存取權。
對 SVM 的 admin 使用者的 SSH 存取是基於金鑰 (公開/私密金鑰配對)。在 ESXi 主機叢集上部署服務時需要公開金鑰,而當您想要啟動與 SVM 的 SSH 工作階段時,則需要私密金鑰。
您可以使用任何 SSH 金鑰產生工具,來產生公開金鑰-私密金鑰配對。但是,公開金鑰必須遵循下列子節所述的特定格式。SSH 金鑰產生工具範例包括:ssh-keygen、PuTTY 金鑰產生器等。支援的金鑰大小為 1024 位元、2048 位元和 4096 位元。
- 公開金鑰格式
-
公開金鑰必須遵循下列格式:
範例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022
如果使用的是 PuTTY 金鑰產生器,請確定公開金鑰是直接從 UI 複製。如果存在金鑰配對,請先在 PuTTY 金鑰產生器 UI 中載入私密金鑰檔案,然後複製金鑰文字方塊中顯示的公開金鑰。請避免從公開金鑰檔案複製內容。所複製的內容可能採用不同的格式,而不適用於 SVM。
如果要在 Linux 系統上使用 ssh-keygen 公用程式產生金鑰配對,則金鑰格式在公開金鑰中一律會包含 ssh-rsa。因此,在 Linux 系統上,您可以從公開金鑰檔案複製內容。
- 建議的做法
-
NSX 分散式惡意程式碼防護服務部署是在主機叢集層級進行。因此,金鑰配對將繫結至主機叢集。您可以為每個叢集上的服務部署建立新的公開-私密金鑰配對,也可以為所有叢集上的服務部署使用單一金鑰配對。
如果您打算為每個叢集上的服務部署使用不同的公開/私密金鑰配對,請確保正確命名金鑰配對,以方便識別。
最好使用「計算叢集識別碼」來識別每一個服務部署,並在金鑰配對的名稱中指定叢集識別碼。例如,假設叢集識別碼為「1234-abcd」。對於此叢集,您可以將服務部署名稱指定為「MPS-1234-abcd」,並將用於存取此服務部署的金鑰配對命名為「id_rsa_1234_abcd.pem」。此做法可方便您對每個服務部署的金鑰進行維護並建立關聯。
重要: 安全地保存私密金鑰。遺失私密金鑰可能導致無法利用 SSH 存取 NSX 惡意程式碼防護 SVM。
部署 NSX Application Platform
NSX Application Platform 是一個現代微服務平台,它裝載多項 NSX 功能,這些功能可用來收集、擷取及關聯網路流量資料。
如需有關部署平台的詳細指示,請參閱 《部署和管理 VMware NSX Application Platform》 出版品,網址是 https://docs.vmware.com/tw/VMware-NSX/index.html。從此連結的左導覽窗格,展開 4.0 版或更新版本,然後按一下出版品名稱。
啟動 NSX 惡意程式碼防護功能
如需詳細指示,請參閱啟用 NSX 惡意程式碼防護。
啟動此功能後,NSX 惡意程式碼防護所需的微服務會在 NSX Application Platform 中開始執行。
- 在 NSX Manager 中,導覽至 。
- 向下捲動頁面,直到看到功能區段。
- 確認NSX 惡意程式碼防護功能卡顯示已啟動狀態。
如果狀態為關閉,請等待狀態變為已啟動後,然後再繼續進行下一步。
確認客體虛擬機器上的虛擬機器硬體組態
- 登入 vSphere Client。
- 移至主機和叢集,並導覽至叢集。
- 逐一按一下叢集中的各個虛擬機器。
- 在摘要頁面上,展開虛擬機器硬體窗格,然後查看虛擬機器的相容性資訊。虛擬機器必須為第 9 版或更新版本。
安裝 NSX 檔案自我檢查驅動程式
VMware Tools for Windows 會隨附 NSX 檔案自我檢查驅動程式。但是,此驅動程式不是預設 VMware Tools 安裝架構的一部分。若要安裝此驅動程式,您必須執行自訂或完整安裝,並選取 NSX 檔案自我檢查驅動程式。
適用於 Linux 的檔案自我檢查驅動程式會隨作業系統特定的套件 (OSP) 一起提供。這些套件由 VMware 套件入口網站主控。企業或安全管理員 (非 NSX 管理員) 可將 Guest Introspection 精簡型代理程式安裝在 NSX 外部的 Linux 客體虛擬機器上。Linux 不需要安裝 open-vm-tools 或 VM Tools。
下載 NSX 惡意程式碼防護服務虛擬機器的 OVA 檔案
- 在網頁瀏覽器中,開啟 VMware Customer Connect 入口網站上的所有下載項目頁面,然後使用您的 VMware 識別碼登入。
- 從所有產品下拉式功能表中,選取網路與安全性。
- 按一下 VMware NSX® 旁的下載產品。會開啟下載 VMware NSX 頁面。
- 尋找您正在使用的 NSX 授權,然後按一下移至下載。
- 下載 NSX SVM 應用裝置的 OVA 檔案 (VMware-NSX-Malware-Prevention-appliance-version_number。build_number.ova)。
- 使用下列命令解壓縮 OVA 檔案:
tar -xvf filename.ova
將 filename 取代為您在上一步下載的 OVA 檔案的確切名稱。
注意,以下四個檔案出現在解壓縮 OVA 檔案時所在的根目錄中。
- OVF 檔案 (.ovf)
- 資訊清單檔案 (.mf)
- 憑證檔案 (.cert)
- 虛擬機器磁碟檔 (.vmdk)
- 將所有已解壓縮的檔案複製到符合下列必要條件的 Web 伺服器:
- 必須具有透過 HTTP 對 Web 伺服器的未經驗證存取權。
- NSX Manager、您打算部署 NSX 惡意程式碼防護 SVM 的所有 ESXi 主機,以及登錄到 NSX 的 VMware vCenter,都必須能夠存取 Web 伺服器。
- 必須將所解壓縮檔案的 MIME 類型新增至 Web 伺服器。如需有關將 MIME 類型新增至 Web 伺服器的詳細資訊,請參閱 Web 伺服器說明文件。
副檔名 MIME 類型 .ovf
application/vmware
.vmdk
application/octet-stream
.mf
text/cache-manifest
.cert
application/x-x509-user-cert
登錄 NSX 分散式惡意程式碼防護服務
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
- Web 伺服器上 OVF 檔案的完整路徑
- 部署規格的名稱 (在 VMware vCenter 上 SVM 是以這個名稱來識別)
- SVM 版本號碼
{ "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf", "deployment_spec_name" : "NSX_Distributed_MPS", "svm_version" : "3.2" }
此 POST API 中的 svm_version 參數顯示一個範例值。您可以指定已下載的 SVM 應用裝置版本的值。
有關此 API 的詳細資訊 (包括範例回應),請參閱 VMware 開發人員說明文件入口網站上的《惡意程式碼防護 API 說明文件》。
- 在 NSX Manager 中,導覽至 。
- 確認 VMware NSX 分散式惡意程式碼防護服務列在頁面上。