僅當資料中心使用適當的授權時,才能在 NSX 環境中設定 NSX IDS/IPSNSX 惡意程式碼防護 功能。

如需有關執行 NSX Advanced Threat Prevention解決方案所需授權的相關資訊,請參閱授權類型中的〈安全性授權〉一節。

準備在資料中心上提供 NSX 入侵偵測/防護和 NSX 惡意程式碼防護 時,會涉及多個步驟。若要執行這些步驟,您可以使用 IDS/IPS 和惡意程式碼防護設定精靈。

設定精靈類似於一項上線程序,可指導您完成一系列步驟,以便準備在資料中心提供這兩項安全性功能。若要執行此精靈,請導覽至安全性 > IDS/IPS 和惡意程式碼防護

如果 NSX 偵測到未新增適當的授權,此頁面會顯示下列文字:

目前授權不支援 IDS/IPS 和惡意程式碼防護。

如果 NSX 偵測到已新增適當的授權,此頁面會顯示啟動設定跳過設定按鈕。

若要開始設定精靈,請按一下啟動設定。按照畫面上的指示和本說明文件來完成精靈中的步驟。

  • 在任何階段,若是想儲存進度並退出精靈,請按一下返回主要頁面。之後,您可以從原先離開的位置繼續進行設定。
  • 如果您想要重設設定精靈以重新開始,請按一下取消。取消設定時,會移除您在精靈中所做的選擇,但不會移除您已在精靈中完成的任何部署。例如,如果在重設精靈之前,您已在主機叢集上完成 NSX Application PlatformNSX 惡意程式碼防護服務虛擬機器的部署,則會保留這些部署。
  • 如果您不想使用設定精靈,而想之後自行設定這兩項安全性功能,請按一下跳過設定NSX Manager 將不再顯示此精靈。之後,您可以導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 設定,在資料中心設定這兩項功能。有關使用 IDS/IPS 和惡意程式碼防護設定頁面的資訊,請參閱進行 NSX IDS/IPS 和 NSX 惡意程式碼防護設定
依預設,在設定時,會選取 [IDS/IPS 和惡意程式碼防護] 功能卡中的所有核取方塊。您可以根據需要來編輯所做的選擇。當您準備好繼續進行時,請按 下一步。您所做的選擇會決定精靈中所顯示的索引標籤,如下表中所述。
備註: NSX Application PlatformNSX 惡意程式碼防護 的必要條件,但不是 NSX IDS/IPS 的必要條件。
選取的功能 顯示的索引標籤

東西向流量上的 IDS/IPS

南北向流量上的 IDS/IPS

設定 NSX Proxy

管理特徵碼

啟用節點

僅在東西向流量上提供惡意程式碼防護

設定 NSX Proxy

部署 NSX Application Platform

部署服務虛擬機器

僅在南北向流量上提供惡意程式碼防護

設定 NSX Proxy

部署 NSX Application Platform

啟用節點

在東西向流量和南北向流量上均會提供惡意程式碼防護

設定 NSX Proxy

部署 NSX Application Platform

部署服務虛擬機器

啟用節點

選取所有功能

精靈中的五個索引標籤都會顯示

設定 NSX Proxy 伺服器以具備網際網路連線功能

NSX IDS/IPS 未必需要網際網路連線才能正常運作。NSX IDS/IPS 會使用特徵碼來偵測及防止入侵。如果您的 NSX 環境具有網際網路連線,NSX Manager 可以直接從網際網路或透過 NSX Proxy 伺服器,自動下載最新的入侵偵測特徵碼。如果您的 NSX 環境中未設定網際網路連線,您可以使用 API 手動下載 NSX 入侵偵測特徵碼服務包 (.zip) 檔案,然後將特徵碼服務包上傳至 NSX Manager。如需進一步瞭解如何手動上傳特徵碼,請參閱離線下載及上傳 NSX 入侵偵測特徵碼

NSX 惡意程式碼防護 也會使用特徵碼來偵測和防止惡意程式碼。但是,僅當 NSX 環境具有網際網路連線時,NSX Manager 才能下載最新的特徵碼。您無法手動將最新特徵碼上傳至 NSX ManagerNSX 惡意程式碼防護 還會將檔案傳送到 NSX Advanced Threat Prevention 雲端服務,以進行詳細的雲端檔案分析。檔案會由 NSX Application Platform 傳送到雲端,而不是由 NSX Manager 傳送。NSX Application Platform 不支援 Proxy 伺服器組態,它需要直接存取網際網路。

如果 NSX Manager 會透過 NSX Proxy 伺服器來存取網際網路,請按一下 移至 NSX Proxy 伺服器連結,並指定以下設定:
  • 配置 (HTTP 或 HTTPS)
  • 主機的 IP 位址
  • 連接埠號碼
  • 使用者名稱和密碼

部署 NSX Application Platform

NSX 惡意程式碼防護需要在 NSX Application Platform 中部署某些微服務。您必須先部署 NSX Application Platform,然後再啟動 NSX 惡意程式碼防護功能。啟動此功能後,NSX 惡意程式碼防護所需的微服務將部署在平台中。

總之,您必須依給定的順序來執行下列工作:
  1. 部署 NSX Application Platform
  2. 啟用 NSX 惡意程式碼防護
備註: NSX Application Platform 中的 NSX 惡意程式碼防護 功能版本設定,需與 NSX Application Platform 版本號碼相符,而不是與 NSX 產品版本號碼相符。

部署服務虛擬機器

對於資料中心的東西向流量,您必須在針對 NSX 所準備的 vSphere 主機叢集上部署 NSX 分散式惡意程式碼防護服務。部署此服務後,將在 vSphere 叢集的每部主機上安裝一部服務虛擬機器 (SVM),並在主機叢集上啟用 NSX 惡意程式碼防護

此頁面上的環圈圖顯示資料中心中,已部署和未部署 NSX 分散式惡意程式碼防護服務的主機叢集數目。

如需有關在主機叢集上部署 NSX 分散式惡意程式碼防護服務的詳細指示,請參閱部署 NSX 分散式惡意程式碼防護服務

在主機叢集上完成此服務部署後,請回到精靈中的此頁面,然後按下一步以繼續進行。

備註: NSX 分散式惡意程式碼防護 服務的服務虛擬機器不支援高可用性。

管理特徵碼

在資料中心設定網際網路連線時,依預設,NSX Manager 每 20 分鐘會檢查一次雲端上是否有新的入侵偵測特徵碼。當有新的更新可用時,該頁面上會顯示一個橫幅,其中包含立即更新連結。

如果資料中心沒有網際網路連線,您可以手動下載 IDS 特徵碼服務包 (.zip) 檔案,然後將檔案上傳到 NSX Manager。如需詳細指示,請參閱離線下載及上傳 NSX 入侵偵測特徵碼

特徵碼管理

特徵碼管理工作是選用的。必要時,您之後可以導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 設定 > IDS/IPS,來執行這些動作。

  • 若要檢視特徵碼版本或要新增除了特徵碼預設版本以外的其他版本,請按一下檢視和變更

    目前會維護兩個版本的特徵碼。每當版本認可識別號碼有所變更時,即會下載新版本。

  • 若要自動從雲端下載入侵偵測特徵碼,並套用至資料中心內的主機和 Edge,請開啟自動更新切換。

    當您關閉此選項時,會停止自動下載特徵碼。您可以手動下載 IDS 特徵碼服務包 (.zip) 檔案,然後將該檔案上傳至 NSX Manager

  • 若要檢視傳輸節點上的特徵碼下載狀態,請按一下狀態欄位中的連結。
  • 若要全域排除特定特徵碼,或將其動作變更為警示、捨棄或拒絕,請按一下檢視和管理特徵碼集

    對特徵碼選取動作,然後按一下儲存。全域特徵碼管理設定中所做的變更適用於所有 IDS/IPS 設定檔。但是,如果您更新 IDS/IPS 設定檔中的特徵碼設定,則優先使用設定檔的設定。

    下表說明每一個特徵碼動作的意義。

    動作 說明

    警示

    產生警示,且不會執行任何自動預防動作。

    捨棄

    產生警示,且會捨棄違規的封包。

    拒絕

    產生警示,且會捨棄違規的封包。對於 TCP 流量,IDS 會產生 TCP 重設封包,並傳送至連線的來源與目的地。對於其他通訊協定,系統會將 ICMP 錯誤封包傳送至連線的來源與目的地。

對節點啟用 IDS/IPS 和惡意程式碼防護

啟動東西向流量的主機和叢集區段中,執行下列設定:

  • 在獨立 ESXi 主機上開啟 NSX IDS/IPS。
  • 選取您要對東西向流量啟動 NSX IDS/IPS 的 ESXi 主機叢集。
  • 如果尚未將 NSX 分散式惡意程式碼防護服務部署在 ESXi 主機叢集上,請按一下惡意程式碼防護資料行中的定義在服務虛擬機器部署中連結。如需有關在主機叢集上部署 NSX 分散式惡意程式碼防護服務的說明,請參閱部署 NSX 分散式惡意程式碼防護服務
備註:
  • 請勿在使用分散式負載平衡器的環境中啟用 NSX Distributed IDS/IPSNSX 不支援 IDS/IPS 與分散式負載平衡器搭配使用。
  • 若要讓 NSX Distributed IDS/IPS 正常運作,必須啟用分散式防火牆 (DFW)。如果流量被 DFW 規則封鎖,則 IDS/IPS 無法看到流量。
啟動南北向流量的閘道區段中,執行下列設定:
  • 選取您要對南北向流量啟動 NSX IDS/IPS 的第 1 層閘道。
  • 選取您要對南北向流量啟動 NSX 惡意程式碼防護的第 1 層閘道。
重要: 在南北向流量上, NSX 支援:
  • NSX 惡意程式碼防護功能 (僅限在第 1 層閘道上)。
  • 閘道防火牆上的 NSX IDS/IPS 功能 (僅限在第 1 層閘道上)。