分散式防火牆上的 NSX 惡意軟體防護使用 NSX Guest Introspection (GI) 架構。若要偵測和防護客體端點 (虛擬機器) 上的惡意程式碼,必須在為 NSX 準備的 ESXi 主機叢集上部署 NSX 分散式惡意程式碼防護服務。
- 4 個 vCPU
- 6 GB 的 RAM
- 80 GB 磁碟空間
在主機叢集上部署 NSX 分散式惡意程式碼防護服務之前,必須完成下列幾節所述的必要條件。如果某些必要條件已完成,請跳過這些必要條件,並繼續執行待完成的必要條件。
在 NSX 中新增適當授權
若要使用 NSX 惡意軟體防護功能,NSX 必須使用適當的授權。如需有關支援 NSX 惡意軟體防護之授權的資訊,請參閱 NSX IDS/IPS 和 NSX 惡意軟體防護的系統需求。
- 在 NSX Manager 中,導覽至 。
- 輸入授權金鑰。
確認所有主機都受 VMware vCenter 管理
只有受一或多個 vCenter Server 管理的 vSphere 主機叢集才支援 NSX 惡意軟體防護功能。
- 在 NSX Manager 中,導覽至 。
- 請確定您是在叢集索引標籤中。
會顯示 vSphere 主機叢集清單。請確認此清單包含您要啟用惡意程式碼防護的主機叢集。
將主機設定為傳輸節點
將傳輸節點設定檔套用至 vSphere 主機叢集,以將 vSphere 主機設定為主機傳輸節點。
產生公開金鑰-私密金鑰配對,以透過 SSH 來存取 SVM
若要從 SVM 下載記錄檔以進行疑難排解,則對 NSX 惡意軟體防護 SVM 需具備 SSH 唯讀存取權。
對 SVM 的 admin 使用者的 SSH 存取是基於金鑰 (公開/私密金鑰配對)。在 ESXi 主機叢集上部署服務時需要公開金鑰,而當您想要啟動與 SVM 的 SSH 工作階段時,則需要私密金鑰。
您可以使用任何 SSH 金鑰產生工具,來產生公開金鑰-私密金鑰配對。但是,公開金鑰必須遵循下列子節所述的特定格式。SSH 金鑰產生工具範例包括:ssh-keygen、PuTTY 金鑰產生器等。支援的金鑰大小為 1024 位元、2048 位元和 4096 位元。
- 公開金鑰格式
-
公開金鑰必須遵循下列格式:
範例:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022
如果使用的是 PuTTY 金鑰產生器,請確定公開金鑰是直接從 UI 複製。如果存在金鑰配對,請先在 PuTTY 金鑰產生器 UI 中載入私密金鑰檔案,然後複製金鑰文字方塊中顯示的公開金鑰。請避免從公開金鑰檔案複製內容。所複製的內容可能採用不同的格式,而不適用於 SVM。
如果要在 Linux 系統上使用 ssh-keygen 公用程式產生金鑰配對,則金鑰格式在公開金鑰中一律會包含 ssh-rsa。因此,在 Linux 系統上,您可以從公開金鑰檔案複製內容。
- 建議的做法
-
NSX 分散式惡意程式碼防護服務部署是在主機叢集層級進行。因此,金鑰配對將繫結至主機叢集。您可以為每個叢集上的服務部署建立新的公開-私密金鑰配對,也可以為所有叢集上的服務部署使用單一金鑰配對。
如果您打算為每個叢集上的服務部署使用不同的公開/私密金鑰配對,請確保正確命名金鑰配對,以方便識別。
最好使用「計算叢集識別碼」來識別每一個服務部署,並在金鑰配對的名稱中指定叢集識別碼。例如,假設叢集識別碼為「1234-abcd」。對於此叢集,您可以將服務部署名稱指定為「MPS-1234-abcd」,並將用於存取此服務部署的金鑰配對命名為「id_rsa_1234_abcd.pem」。此做法可方便您對每個服務部署的金鑰進行維護並建立關聯。
重要: 安全地保存私密金鑰。遺失私密金鑰可能導致無法利用 SSH 存取 NSX 惡意軟體防護 SVM。
部署 NSX 應用程式平台
NSX 應用程式平台 是一個現代微服務平台,它裝載多項 NSX 功能,這些功能可用來收集、擷取及關聯網路流量資料。
如需有關部署平台的詳細指示,請參閱 《部署和管理 VMware NSX Application Platform》 出版品,網址是 https://docs.vmware.com/tw/VMware-NSX/index.html。從此連結的左導覽窗格,展開 4.0 版或更新版本,然後按一下出版品名稱。
啟動 NSX 惡意軟體防護功能
如需詳細指示,請參閱啟用 NSX 惡意軟體防護。
啟動此功能後,NSX 惡意軟體防護所需的微服務會在 NSX 應用程式平台 中開始執行。
- 在 NSX Manager 中,導覽至 。
- 向下捲動頁面,直到看到功能區段。
- 確認NSX 惡意程式碼防護功能卡顯示已啟動狀態。
如果狀態為關閉,請等待狀態變為已啟動後,然後再繼續進行下一步。
確認客體虛擬機器上的虛擬機器硬體組態
- 登入 vSphere Client。
- 移至主機和叢集,並導覽至叢集。
- 逐一按一下叢集中的各個虛擬機器。
- 在摘要頁面上,展開虛擬機器硬體窗格,然後查看虛擬機器的相容性資訊。虛擬機器必須為第 9 版或更新版本。
安裝 NSX 檔案自我檢查驅動程式
VMware Tools for Windows 會隨附 NSX 檔案自我檢查驅動程式。但是,此驅動程式不是預設 VMware Tools 安裝架構的一部分。若要安裝此驅動程式,您必須執行自訂或完整安裝,並選取 NSX 檔案自我檢查驅動程式。
適用於 Linux 的檔案自我檢查驅動程式會隨作業系統特定的套件 (OSP) 一起提供。這些套件由 VMware 套件入口網站主控。企業或安全管理員 (非 NSX 管理員) 可將 Guest Introspection 精簡型代理程式安裝在 NSX 外部的 Linux 客體虛擬機器上。Linux 不需要安裝 open-vm-tools 或 VM Tools。