分散式防火牆上的 NSX 惡意程式碼防護使用 NSX Guest Introspection (GI) 架構。若要偵測和防護客體端點 (虛擬機器) 上的惡意程式碼,必須在為 NSX 準備的 ESXi 主機叢集上部署 NSX 分散式惡意程式碼防護服務。

在主機叢集上部署服務時,會在叢集的每台主機上部署 NSX 惡意程式碼防護服務虛擬機器 (SVM) 的執行個體。目前,已部署固定大小的 SVM,該 SVM 需要在叢集的每台主機上具有下列資源:
  • 4 個 vCPU
  • 6 GB 的 RAM
  • 80 GB 磁碟空間

在主機叢集上部署 NSX 分散式惡意程式碼防護服務之前,必須完成下列幾節所述的必要條件。如果某些必要條件已完成,請跳過這些必要條件,並繼續執行待完成的必要條件。

NSX 中新增適當授權

若要使用 NSX 惡意程式碼防護功能,NSX 必須使用適當的授權。如需有關支援 NSX 惡意程式碼防護之授權的資訊,請參閱 NSX IDS/IPS 和 NSX 惡意程式碼防護的系統需求

若要新增授權:
  1. NSX Manager 中,導覽至系統 > 授權 > 新增授權
  2. 輸入授權金鑰。

確認所有主機都受 VMware vCenter 管理

只有受一或多個 vCenter Server 管理的 vSphere 主機叢集才支援 NSX 惡意程式碼防護功能。

  1. NSX Manager 中,導覽至系統 > 網狀架構 > 主機
  2. 請確定您是在叢集索引標籤中。

    會顯示 vSphere 主機叢集清單。請確認此清單包含您要啟用 Malware Prevention 的主機叢集。

將主機設定為傳輸節點

將傳輸節點設定檔套用至 vSphere 主機叢集,以將 vSphere 主機設定為主機傳輸節點。

如需詳細指示,請參閱 《NSX 安裝指南》中的下列主題:

產生公開金鑰-私密金鑰配對,以透過 SSH 來存取 SVM

若要從 SVM 下載記錄檔以進行疑難排解,則對 NSX 惡意程式碼防護 SVM 需具備 SSH 唯讀存取權。

對 SVM 的 admin 使用者的 SSH 存取是基於金鑰 (公開/私密金鑰配對)。在 ESXi 主機叢集上部署服務時需要公開金鑰,而當您想要啟動與 SVM 的 SSH 工作階段時,則需要私密金鑰。

您可以使用任何 SSH 金鑰產生工具,來產生公開金鑰-私密金鑰配對。但是,公開金鑰必須遵循下列子節所述的特定格式。SSH 金鑰產生工具範例包括:ssh-keygen、PuTTY 金鑰產生器等。支援的金鑰大小為 1024 位元、2048 位元和 4096 位元。

公開金鑰格式
公開金鑰必須遵循下列格式:
範例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

如果使用的是 PuTTY 金鑰產生器,請確定公開金鑰是直接從 UI 複製。如果存在金鑰配對,請先在 PuTTY 金鑰產生器 UI 中載入私密金鑰檔案,然後複製金鑰文字方塊中顯示的公開金鑰。請避免從公開金鑰檔案複製內容。所複製的內容可能採用不同的格式,而不適用於 SVM。

如果要在 Linux 系統上使用 ssh-keygen 公用程式產生金鑰配對,則金鑰格式在公開金鑰中一律會包含 ssh-rsa。因此,在 Linux 系統上,您可以從公開金鑰檔案複製內容。

建議的做法

NSX 分散式惡意程式碼防護服務部署是在主機叢集層級進行。因此,金鑰配對將繫結至主機叢集。您可以為每個叢集上的服務部署建立新的公開-私密金鑰配對,也可以為所有叢集上的服務部署使用單一金鑰配對。

如果您打算為每個叢集上的服務部署使用不同的公開/私密金鑰配對,請確保正確命名金鑰配對,以方便識別。

最好使用「計算叢集識別碼」來識別每一個服務部署,並在金鑰配對的名稱中指定叢集識別碼。例如,假設叢集識別碼為「1234-abcd」。對於此叢集,您可以將服務部署名稱指定為「MPS-1234-abcd」,並將用於存取此服務部署的金鑰配對命名為「id_rsa_1234_abcd.pem」。此做法可方便您對每個服務部署的金鑰進行維護並建立關聯。

重要: 安全地保存私密金鑰。遺失私密金鑰可能導致無法利用 SSH 存取 NSX 惡意程式碼防護 SVM。

部署 NSX Application Platform

NSX Application Platform 是一個現代微服務平台,它裝載多項 NSX 功能,這些功能可用來收集、擷取及關聯網路流量資料。

如需有關部署平台的詳細指示,請參閱 《部署和管理 VMware NSX Application Platform》 出版品,網址是 https://docs.vmware.com/tw/VMware-NSX/index.html。從此連結的左導覽窗格,展開 4.0 版或更新版本,然後按一下出版品名稱。

啟動 NSX 惡意程式碼防護功能

如需詳細指示,請參閱啟用 NSX 惡意程式碼防護

啟動此功能後,NSX 惡意程式碼防護所需的微服務會在 NSX Application Platform 中開始執行。

在繼續執行下一步之前,請確認 NSX Application PlatformNSX 惡意程式碼防護功能的狀態。執行以下步驟:
  1. NSX Manager 中,導覽至系統 > NSX Application Platform
  2. 向下捲動頁面,直到看到功能區段。
  3. 確認 NSX Malware Prevention 功能卡顯示已啟動狀態

如果狀態為關閉,請等待狀態變為已啟動後,然後再繼續進行下一步。

確認客體虛擬機器上的虛擬機器硬體組態

確認在客體虛擬機器上執行的虛擬機器硬體組態為第 9 版或更新版本。執行以下步驟:
  1. 登入 vSphere Client
  2. 移至主機和叢集,並導覽至叢集。
  3. 逐一按一下叢集中的各個虛擬機器。
  4. 摘要頁面上,展開虛擬機器硬體窗格,然後查看虛擬機器的相容性資訊。虛擬機器必須為第 9 版或更新版本。
例如:
[虛擬機器硬體] 窗格,其中反白顯示相容性資訊。

安裝 NSX 檔案自我檢查驅動程式

VMware Tools for Windows 會隨附 NSX 檔案自我檢查驅動程式。但是,此驅動程式不是預設 VMware Tools 安裝架構的一部分。若要安裝此驅動程式,您必須執行自訂或完整安裝,並選取 NSX 檔案自我檢查驅動程式。

適用於 Linux 的檔案自我檢查驅動程式會隨作業系統特定的套件 (OSP) 一起提供。這些套件由 VMware 套件入口網站主控。企業或安全管理員 (非 NSX 管理員) 可將 Guest Introspection 精簡型代理程式安裝在 NSX 外部的 Linux 客體虛擬機器上。Linux 不需要安裝 open-vm-tools 或 VM Tools。

下載 NSX 惡意程式碼防護服務虛擬機器的 OVA 檔案

  1. Broadcom 支援入口網站上,登入並開啟我的下載頁面。
  2. 所有產品下拉式功能表中,選取網路與安全性
  3. 按一下 VMware NSX® 旁的下載產品。會開啟下載 VMware NSX 頁面。
  4. 尋找您正在使用的 NSX 授權,然後按一下移至下載
  5. 下載 NSX SVM 應用裝置的 OVA 檔案 (VMware-NSX-Malware-Prevention-appliance-version_numberbuild_number.ova)。
  6. 使用下列命令解壓縮 OVA 檔案:
    tar -xvf filename.ova

    filename 取代為您在上一步下載的 OVA 檔案的確切名稱。

    注意,以下四個檔案出現在解壓縮 OVA 檔案時所在的根目錄中。

    • OVF 檔案 (.ovf)
    • 資訊清單檔案 (.mf)
    • 憑證檔案 (.cert)
    • 虛擬機器磁碟檔 (.vmdk)
  7. 將所有已解壓縮的檔案複製到符合下列必要條件的 Web 伺服器:
    • 必須具有透過 HTTP 對 Web 伺服器的未經驗證存取權。
    • NSX Manager、您打算部署 NSX 惡意程式碼防護 SVM 的所有 ESXi 主機,以及登錄到 NSXVMware vCenter,都必須能夠存取 Web 伺服器。
    • 必須將所解壓縮檔案的 MIME 類型新增至 Web 伺服器。如需有關將 MIME 類型新增至 Web 伺服器的詳細資訊,請參閱 Web 伺服器說明文件。
      副檔名 MIME 類型

      .ovf

      application/vmware

      .vmdk

      application/octet-stream

      .mf

      text/cache-manifest

      .cert

      application/x-x509-user-cert

備註: 您可以在部署 NSX Manager 應用裝置、 ESXi 主機和 VMware vCenter 應用裝置的同一個網路上部署 Web 伺服器。Web 伺服器不需要存取網際網路。

登錄 NSX 分散式惡意程式碼防護服務

執行下列 POST API:
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
在此 POST API 的要求本文中,指定下列詳細資料:
  • Web 伺服器上 OVF 檔案的完整路徑
  • 部署規格的名稱 (在 VMware vCenter 上 SVM 是以這個名稱來識別)
  • SVM 版本號碼
要求本文範例:
{
    "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
    "deployment_spec_name" : "NSX_Distributed_MPS",
    "svm_version" : "3.2"
}

此 POST API 中的 svm_version 參數顯示一個範例值。您可以指定已下載的 SVM 應用裝置版本的值。

如需有關此 API 的詳細資訊 (包括範例回應),請參閱 Broadcom 開發人員入口網站上的《Malware Prevention API 說明文件》。

確認服務名稱列在 目錄頁面上。執行以下步驟:
  1. NSX Manager 中,導覽至系統 > 服務部署 > 目錄
  2. 確認 VMware NSX Distributed Malware Prevention Service 列在頁面上。