在閘道防火牆上新增 NSX IDS/IPS 和 NSX 惡意程式碼防護的規則

NSX Manager UI 提供一個通用規則表，為閘道防火牆上的 NSX 入侵偵測/防護和 NSX 惡意程式碼防護新增規則。

新增到規則中的安全性設定檔決定閘道防火牆規則是僅強制執行 NSX IDS/IPS，或僅強制執行 NSX 惡意程式碼防護，還是強制執行兩者。

必要條件

對於 NSX 惡意程式碼防護：

對於 NSX IDS/IPS：

按一下新增原則，以建立用於組織規則的區段。

(選擇性) 在原則列中，按一下齒輪圖示以設定進階原則選項。這些選項僅適用於 NSX IDS/IPS，而不適用於 NSX 惡意程式碼防護。

選項	說明
可設定狀態	可設定狀態的防火牆會監控作用中連線的狀態，並使用這項資訊決定可通過防火牆的封包。
已鎖定	您可以鎖定原則，以防止多個使用者編輯相同的區段。鎖定區段時，必須加上註解。

按一下新增規則並進行規則設定。

輸入規則的名稱。
在來源資料行中，按一下編輯圖示，並選取要作為規則來源的群組。如果未指定來源，則預設為 [任何]。
如需有關新增群組的相關資訊，請參閱新增群組。
在目的地資料行中，按一下編輯圖示，並選取要作為規則目的地之群組。如果未指定目的地，則預設為 [任何]。
在服務資料行中，按一下編輯圖示，並選取用於規則的服務。如果未指定服務，則預設為 [任何]。
備註：
- 按一下編輯圖示後，UI 將顯示所有可用服務的清單。但是，NSX 惡意程式碼防護目前僅對下列服務支援檔案傳輸的偵測：HTTP、HTTPS、FTP 和 SMB。
- 閘道防火牆上的 NSX 惡意程式碼防護目前不支援擷取和分析使用 HTTP 上傳的檔案。但是，如果是使用 FTP 上傳檔案，則支援擷取和分析用於偵測惡意行為的檔案。
在安全性設定檔資料行中，按一下編輯圖示，然後選取要新增至防火牆規則的設定檔。
您最多可以選取兩個安全性設定檔：一個 NSX IDS/IPS 設定檔和一個 NSX 惡意程式碼防護設定檔。
如果要為特定閘道新增規則，則套用至資料行將顯示此閘道的名稱。
如果要新增共用規則，請按一下套用至資料行中的編輯圖示，然後選取您要套用規則的閘道。
依預設，閘道防火牆規則會套用至所選閘道上所有可用的上行介面和服務介面。

在模式資料行中，選取任一選項。

選項	說明
僅偵測	此規則根據附加到規則的設定檔，偵測所選閘道上的惡意檔案、惡意流量或兩者。不執行任何預防動作。
偵測並防止	NSX 惡意程式碼防護目前不支援此模式。但是，具有 NSX IDS/IPS 設定檔的規則可以偵測和封鎖所選閘道上的惡意流量。

(選擇性) 按一下齒輪圖示以進行其他規則設定。這些設定僅適用於 NSX IDS/IPS，而不適用於 NSX 惡意程式碼防護。

選項	說明
記錄	依預設會關閉記錄。記錄會儲存在 ESXi 主機上的 /var/log/dfwpktlogs.log 檔案中。
方向	是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量。「傳出」表示僅檢查物件發出的流量。「傳入/傳出」表示會檢查兩個方向的流量。
超額訂閱	設定在超額訂閱的情況下，應捨棄過多流量或是應略過 IDS/IPS 引擎。此處輸入的值會覆寫全域設定中所設定的超額訂閱值。
IP 通訊協定	依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。

在第 1 層閘道上偵測到檔案時，會產生檔案事件並顯示在惡意程式碼防護儀表板上和安全性概觀儀表板上。

對於使用 IDS/IPS 設定檔所設定的規則，如果系統偵測到惡意流量，它會產生入侵事件。您可以在 IDS/IPS 儀表板上或安全性概觀儀表板上檢視事件詳細資料。

如需使用 NSX 惡意程式碼防護設定閘道防火牆規則的端對端示範例，請參閱範例：為閘道防火牆上的 NSX 惡意程式碼防護新增規則。

在惡意程式碼防護儀表板上監控和分析檔案事件。如需詳細資訊，請參閱監控檔案事件。

在 IDS/IPS 儀表板上監控和分析入侵事件。如需詳細資訊，請參閱監控 IDS/IPS 事件。