NSX Manager UI 提供一個通用規則表,為分散式防火牆上的 NSX 入侵偵測/防護和 NSX 惡意程式碼防護新增規則。

  • NSX 4.0 中,在分散式東西向流量上,僅支援對 Windows 客體端點 (虛擬機器) 上 GI 精簡型代理程式所擷取的 Windows 可攜式可執行檔 (PE),進行惡意程式碼偵測及防護。NSX 分散式惡意程式碼防護不支援其他檔案類別。
  • NSX 4.0.1.1 開始,在分散式東西向流量上,支援對 Windows 和 Linux 客體端點上的所有檔案類別,進行惡意程式碼偵測及防護。若要檢視所支援的檔案類別清單,請參閱NSX 惡意程式碼防護支援的檔案類別
  • 支援的最大檔案大小限制為 64 MB。

必要條件

對於 NSX 惡意程式碼防護
  • NSX 惡意程式碼防護服務虛擬機器是部署在為 NSX 準備的 vSphere 主機叢集上。如需詳細指示,請參閱部署 NSX 分散式惡意程式碼防護服務
  • 新增惡意程式碼防護設定檔
  • 建立群組,並在這些群組中新增需要防範惡意程式碼的虛擬機器。您可以新增虛擬機器作為靜態成員,也可以定義評估虛擬機器是否為有效成員的動態成員資格準則。如需詳細指示,請參閱新增群組
對於 NSX IDS/IPS
  • 新增 NSX IDS/IPS 設定檔
  • NSX IDS/IPS 主機叢集上啟動或啟用 vSphere。(安全性 > IDS/IPS 和惡意程式碼防護 > 設定 > 共用)。

程序

  1. 從瀏覽器登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 分散式規則
  3. 按一下新增原則,以建立用於組織規則的區段。
    1. 輸入原則的名稱。
    2. (選擇性) 在原則列中,按一下齒輪圖示以設定進階原則選項。這些選項僅適用於 NSX Distributed IDS/IPS,而不適用於 NSX 分散式惡意程式碼防護
      選項 說明

      可設定狀態

      可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定允許通過防火牆的封包。

      已鎖定

      您可以鎖定原則,以防止多個使用者編輯相同的區段。鎖定區段時,必須加上註解。

      某些角色 (如企業管理員) 具有完整存取認證,且無法鎖定。請參閱角色型存取控制

  4. 按一下新增規則並進行規則設定。
    1. 輸入規則的名稱。
    2. 根據需要 IDS 檢查的流量,設定來源目的地服務資料行。對於來源和目的地,IDS 支援「一般」和「僅限 IP 位址」群組類型。
      對於分散式惡意程式碼防護防火牆規則,不支援這三個資料行。將它們保留為「任何」。但是,您必須在 套用至資料行中選取群組,以限制分散式惡意程式碼防護規則的範圍。
    3. 安全性設定檔資料行中,選取要用於此規則的設定檔。
      可以選取 NSX IDS/IPS 設定檔或 NSX 惡意程式碼防護設定檔,但不能同時選取兩者。換句話說,規則中僅支援一個安全性設定檔。
    4. 套用至資料行中,選取任一選項。
      選項 說明
      DFW 目前,「分散式惡意程式碼防護」規則在套用至中不支援 DFW。可以將分散式 IDS/IPS 規則套用至 DFW。IDS/IPS 規則會套用至使用 NSX IDS/IPS 啟動的所有主機叢集上的工作負載虛擬機器。
      群組 此規則僅套用至本身為所選取群組之成員的虛擬機器。
    5. 模式資料行中,選取任一選項。
      選項 說明
      僅偵測

      對於 NSX 惡意程式碼防護服務:此規則會偵測虛擬機器上的惡意檔案,但不會採取預防措施。換言之,會將惡意檔案下載到虛擬機器上。

      對於 NSX IDS/IPS 服務:此規則會偵測針對特徵碼的入侵,但不執行任何動作。

      偵測並防止

      對於 NSX 惡意程式碼防護服務:此規則會偵測虛擬機器上已知的惡意檔案,並阻止將它們下載到虛擬機器上。

      對於 NSX IDS/IPS 服務:此規則會偵測針對特徵碼的入侵,並根據 IDS/IPS 設定檔中的特徵碼組態或全域特徵碼組態來捨棄或拒絕流量。

    6. (選擇性) 按一下齒輪圖示以進行其他規則設定。這些設定僅適用於 NSX Distributed IDS/IPS,而不適用於 NSX 分散式惡意程式碼防護
      選項 說明
      記錄 依預設會關閉記錄。記錄會儲存在 ESXi 主機上的 /var/log/dfwpktlogs.log 檔案中。
      方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量。「傳出」表示僅檢查物件發出的流量。「傳入/傳出」表示會檢查兩個方向的流量。
      IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。
      超額訂閱 NSX 4.0.1.1 開始,您可以設定在超額訂閱的情況下,應捨棄過多流量或是應略過 IDS/IPS 引擎。此處輸入的值會覆寫全域設定中所設定的超額訂閱值。
      記錄標籤 啟用記錄時,記錄標籤會儲存在防火牆記錄中。
  5. (選擇性) 重複步驟 4,在相同的原則中新增更多規則。
  6. 按一下發佈
    規則將被儲存並推送到主機。您可以按一下圖表圖示,以檢視 NSX Distributed IDS/IPS 的規則統計資料。
    備註: 不支援 NSX 分散式惡意程式碼防護防火牆規則的規則統計資料。

結果

在端點虛擬機器上擷取檔案時,會產生檔案事件並顯示在惡意程式碼防護儀表板上和安全性概觀儀表板上。如果這些檔案是惡意的,則會強制執行安全性原則。如果這些檔案沒有危害性,則會將它們下載到虛擬機器上。

對於使用 IDS/IPS 設定檔所設定的規則,如果系統偵測到惡意流量,它會產生入侵事件,並在 IDS/IPS 儀表板上顯示此事件。系統會根據您在規則中設定的動作,來捨棄、拒絕流量或對流量產生警示。

範例

如需為虛擬機器端點上的惡意程式碼偵測和防護設定分散式防火牆規則的端對端範例,請參閱 範例:為 NSX 分散式惡意程式碼防護新增規則

下一步

惡意程式碼防護儀表板上監控和分析檔案事件。如需詳細資訊,請參閱監控檔案事件

IDS/IPS 儀表板上監控和分析入侵事件。如需詳細資訊,請參閱 監控 IDS/IPS 事件