在此範例中,您的目標是使用分散式惡意程式碼防護防火牆規則建立一個安全性原則,以在組織中執行資料庫伺服器和 Web 伺服器的 Windows 工作負載虛擬機器上偵測並防止惡意可攜式執行檔。

您可以使用 NSX 中的 NSX 分散式惡意程式碼防護服務來符合此目標。在此範例中,您將使用基於標籤的動態成員資格準則,對資料庫伺服器和 Web 伺服器的工作負載虛擬機器進行分組。

假設:

  • 工作負載虛擬機器分組所需的標籤已新增至 NSX 詳細目錄中,如下所示:
    • 標籤名稱:DB,範圍:伺服器
    • 標籤名稱:WEB,範圍:伺服器
  • DB 標籤指派給三個資料庫工作負載 (Windows 虛擬機器):VM1、VM2 和 VM3。
  • WEB 標籤指派給三個應用程式工作負載 (Windows 虛擬機器):VM4、VM5 和 VM6
  • 已在惡意程式碼防護設定檔中選取雲端檔案分析選項。

必要條件

NSX 惡意程式碼防護服務虛擬機器部署在執行工作負載虛擬機器的 vSphere 主機叢集上。如需詳細指示,請參閱部署 NSX 分散式惡意程式碼防護服務

程序

  1. 從瀏覽器登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 將資料庫工作負載虛擬機器和應用程式工作負載虛擬機器分成兩個群組。
    1. 導覽至詳細目錄 > 群組
    2. 按一下新增群組
    3. 如下列螢幕擷取畫面所示建立兩個群組,其中具有以標籤為基礎的動態成員資格準則以及作為成員的虛擬機器。

      - 根據指派給虛擬機器的標籤的 DB 伺服器群組動態準則。

      - 根據指派給虛擬機器的標籤的 Web 伺服器群組動態準則。
    4. 對於每個群組,在群組頁面上按一下檢視成員,然後確認是否顯示有效的成員。
      群組名稱 有效成員
      DB-Servers VM1、VM2、VM3
      Web-Servers VM4、VM5、VM6
  3. 導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 分散式規則
  4. 按一下新增原則以建立區段,然後輸入原則的名稱。
    例如,輸入 Malware-Prevention-Rules
  5. 按一下新增規則並進行規則設定。
    1. 輸入規則的名稱。
      例如,輸入 Protect-DB-Web-Servers
    2. 來源目的地服務資料行中,保留 [任意]。
    3. 安全性設定檔資料行中,選取要用於此規則的惡意程式碼防護設定檔。
    4. 套用至資料行中,選取之前建立的 DB-ServersWeb-Servers 群組。
    5. 模式資料行中,選取偵測並防止
  6. 發佈規則。

結果

規則將推送到主機。

在工作負載虛擬機器上偵測到 Windows 可攜式執行檔 (PE) 時,將產生檔案事件並顯示在惡意程式碼防護儀表板中。如果檔案是良性,則檔案將下載到工作負載虛擬機器上。如果此檔案是已知的惡意軟體,(檔案與 NSX 中的已知惡意程式碼檔案特徵碼相符),並在規則中指定了偵測並防止模式,則會在工作負載虛擬機器上封鎖此惡意檔案。

如果此檔案是未知的惡意軟體 (零時差威脅),且是首次在資料中心偵測到,則會將其下載到工作負載虛擬機器上。在 NSX 使用本機檔案分析或雲端檔案分析判斷檔案判定為惡意後,會將判定散佈到資料中心內已啟用 NSX 惡意程式碼防護的其他 ESXi 主機和 NSX Edge。在受 NSX 惡意程式碼防護保護的任何工作負載虛擬機器上再次偵測到具有相同雜湊的檔案時,將會套用安全性原則,並在工作負載虛擬機器上封鎖惡意檔案。