NSX Manager UI 提供一個通用規則表,為閘道防火牆上的 NSX 入侵偵測/防護和 NSX 惡意程式碼防護新增規則。

新增到規則中的安全性設定檔決定閘道防火牆規則是僅強制執行 NSX IDS/IPS,或僅強制執行 NSX 惡意程式碼防護,還是強制執行兩者。

必要條件

對於 NSX 惡意程式碼防護
對於 NSX IDS/IPS:
  • 新增 NSX IDS/IPS 設定檔
  • 在第 1 層閘道上啟動或啟用 NSX IDS/IPS。(安全性 > IDS/IPS 和惡意程式碼防護 > 設定 > 共用)

程序

  1. 從瀏覽器登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 閘道規則
  3. 如果您想要為特定閘道新增原則,請確定您在閘道特定規則索引標籤中,並選取閘道。如果您想要為多個閘道新增原則,請確定您在所有共用規則索引標籤中。
  4. 按一下新增原則,以建立用於組織規則的區段。
    1. 輸入原則的名稱。
    2. (選擇性) 在原則列中,按一下齒輪圖示以設定進階原則選項。這些選項僅適用於 NSX IDS/IPS,而不適用於 NSX 惡意程式碼防護
      選項 說明

      可設定狀態

      可設定狀態的防火牆會監控作用中連線的狀態,並使用這項資訊決定可通過防火牆的封包。

      已鎖定

      您可以鎖定原則,以防止多個使用者編輯相同的區段。鎖定區段時,必須加上註解。

    3. 按一下 [發佈] 以發佈原則。
  5. 按一下新增規則並進行規則設定。
    1. 輸入規則的名稱。
    2. 來源資料行中,按一下編輯圖示,並選取要作為規則來源的群組。如果未指定來源,則預設為 [任何]。
      如需有關新增群組的相關資訊,請參閱 新增群組
    3. 目的地資料行中,按一下編輯圖示,並選取要作為規則目的地之群組。如果未指定目的地,則預設為 [任何]。
    4. 服務資料行中,按一下編輯圖示,並選取用於規則的服務。如果未指定服務,則預設為 [任何]。
      備註:
      • 按一下編輯圖示後,UI 將顯示所有可用服務的清單。但是,NSX 惡意程式碼防護目前僅對下列服務支援檔案傳輸的偵測:HTTP、HTTPS、FTP 和 SMB。
      • 閘道防火牆上的 NSX 惡意程式碼防護目前不支援擷取和分析使用 HTTP 上傳的檔案。但是,如果是使用 FTP 上傳檔案,則支援擷取和分析用於偵測惡意行為的檔案。
    5. 安全性設定檔資料行中,按一下編輯圖示,然後選取要新增至防火牆規則的設定檔。
      您最多可以選取兩個安全性設定檔:一個 NSX IDS/IPS 設定檔和一個 NSX 惡意程式碼防護設定檔。
    6. 如果要為特定閘道新增規則,則套用至資料行將顯示此閘道的名稱。
      如果要新增共用規則,請按一下 套用至資料行中的編輯圖示,然後選取您要套用規則的閘道。

      依預設,閘道防火牆規則會套用至所選閘道上所有可用的上行介面和服務介面。

    7. 模式資料行中,選取任一選項。
      選項 說明
      僅偵測 此規則根據附加到規則的設定檔,偵測所選閘道上的惡意檔案、惡意流量或兩者。不執行任何預防動作。
      偵測並防止 NSX 惡意程式碼防護目前不支援此模式。但是,具有 NSX IDS/IPS 設定檔的規則可以偵測和封鎖所選閘道上的惡意流量。
    8. (選擇性) 按一下齒輪圖示以進行其他規則設定。這些設定僅適用於 NSX IDS/IPS,而不適用於 NSX 惡意程式碼防護
      選項 說明
      記錄 依預設會關閉記錄。記錄會儲存在 ESXi 主機上的 /var/log/dfwpktlogs.log 檔案中。
      方向 是指從目的地物件的角度而言的流量方向。「傳入」表示僅檢查傳給物件的流量。「傳出」表示僅檢查物件發出的流量。「傳入/傳出」表示會檢查兩個方向的流量。
      超額訂閱 設定在超額訂閱的情況下,應捨棄過多流量或是應略過 IDS/IPS 引擎。此處輸入的值會覆寫全域設定中所設定的超額訂閱值。
      IP 通訊協定 依 IPv4、IPv6 或 IPv4-IPv6 這兩者強制執行規則。
  6. (選擇性) 重複步驟 4,在相同的原則中新增更多規則。
  7. 按一下發佈。您可以按一下圖表圖示,以檢視閘道防火牆上 NSX IDS/IPS 的規則統計資料。
    規則將被儲存並推送到 NSX Edge。

結果

在第 1 層閘道上偵測到檔案時,會產生檔案事件並顯示在惡意程式碼防護儀表板上和安全性概觀儀表板上。

對於使用 IDS/IPS 設定檔所設定的規則,如果系統偵測到惡意流量,它會產生入侵事件。您可以在 IDS/IPS 儀表板上或安全性概觀儀表板上檢視事件詳細資料。

範例

如需使用 NSX 惡意程式碼防護設定閘道防火牆規則的端對端示範例,請參閱範例:為閘道防火牆上的 NSX 惡意程式碼防護新增規則

下一步

惡意程式碼防護儀表板上監控和分析檔案事件。如需詳細資訊,請參閱監控檔案事件

IDS/IPS 儀表板上監控和分析入侵事件。如需詳細資訊,請參閱 監控 IDS/IPS 事件