如果未在 NSX 中設定網際網路連線,您可以使用 API 手動下載 NSX 入侵偵測特徵碼服務包 (.zip) 檔案,然後將特徵碼服務包上傳至 NSX Manager。請執行以下步驟,以離線模式下載特徵碼,並將其上傳至 NSX。
步驟 1:將 NSX 登錄至雲端服務
使用下列 API 將 NSX 登錄至雲端服務。在開始與雲端服務進行任何通訊之前,您必須先使用此 API 來登錄至雲端服務。傳送所有授權,系統將提供必要的權限給您。如果授權金鑰有效,API 會產生並返回 client_id 和 client_secret。授權資訊會儲存在雲端中。Client_secret 作為驗證 API 要求用。如果用戶端先前已登錄,但沒有 client_id 和 client_secret 的存取權,則用戶端必須使用相同的 API 重新登錄。
URI 路徑:
POST https://api.prod.nsxti.vmware.com/2.0/auth/register
{ "client_type": "NSX-Idps-Offline-Download", "client_id": "client_username", "licenses": { "license_keys": ["XXXXX-XXXXX-XXXXX-XXXXX-XXXX"] } }
{ "client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
步驟 2:向雲端服務驗證 NSX
使用下列 API,向雲端服務驗證 NSX。此 API 呼叫會使用 client_id 和 client_secret,來驗證用戶端。API 會產生 access_token,以便在傳給 IDS 特徵碼 API 的要求標頭中使用。Token 在 60 分鐘內有效。如果 Token 已到期,用戶端必須使用 client_id 和 client_secret 重新進行驗證。
URI 路徑:
POST https://api.prod.nsxti.vmware.com/1.0/auth/authenticate
{ "client_id":"client_username", "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ=" }
回應:
{ "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg", "token_type": "bearer", "expires_in": 3600, "scope": "[idps_scope]" }
步驟 3:擷取特徵碼服務包 (Zip) 檔案的連結
使用下列 API 來擷取特徵碼服務包檔案的連結。NSX Cloud 每隔 24 小時會下載一次最新簽章,並將簽章儲存在 ZIP 檔案中。此 API 會在回應中傳回 ZIP 檔案連結。將連結複製並貼到瀏覽器中,然後下載 ZIP 檔案。
URI 路徑:
GET https://api.prod.nsxti.vmware.com/2.0/intrusion-services/signatures
在 [標頭] 索引標籤中,授權金鑰將具有來自驗證 API 回應的 access_token 值。
Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
{ "signatures_url": "https://cdn.prod.nsxti.vmware.com/vmware-idps-signature-us-west-2/IDSSignatures_1895.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXd lc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfG lOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7K T46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZw YxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq 2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuS UHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR 4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzP MVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm =AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz- Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz- Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e", "version": "1997", "sha256_checksum": "c9918187017af9a270d307bde6fb14cdb6b09b3c576cce7689c17ab63fb2c13c", "last_updated": "2023-11-14T15:47:30Z", "version_name": "IDPSSignatures.1997.2023-11-14T15:45:38Z" }
步驟 4:將特徵碼服務包上傳至 NSX Manager
- 方法 1:使用 NSX Manager UI 來上傳
若要從 NSX Manager UI 上傳檔案,請導覽至 ,然後按一下上傳 IDS/IPS 特徵碼。瀏覽已儲存的特徵碼 ZIP 檔案,然後上傳檔案。
- 方法 2:使用 NSX API 來上傳
若要使用 NSX API 來上傳檔案,請使用下列 API。
POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures
驗證 API 的錯誤碼處理
以下是一個驗證 API 錯誤回應範例:
{ "error_code":100101, "error_message":"XXXXX" }
- 如果您收到 100101-100150 之間的錯誤碼,請使用相同的用戶端識別碼重新登錄。
- 如果您收到 100151-100200 之間的錯誤碼,請使用不同的用戶端識別碼重新登錄。