NSX 入侵偵測及防護服務 (IDS/IPS) 會根據一組已知的入侵偵測特徵碼,來比較流量,藉以監控東西向流量和南北向流量,以便偵測惡意流量模式。NSX 惡意軟體防護會從東西向流量和南北向流量中擷取檔案,並分析這些檔案,以瞭解惡意行為。 後續主題 開始使用 NSX IDS/IPS 和 NSX 惡意軟體防護閱讀本節中的主題可大致瞭解 NSX IDS/IPS 和 NSX 惡意軟體防護功能。瞭解系統要求、使用的術語,並完成必要條件,做好資料中心使用這兩個功能的準備。 離線下載及上傳 NSX 入侵偵測特徵碼如果未在 NSX 中設定網際網路連線,您可以使用 API 手動下載 NSX 入侵偵測特徵碼服務包 (.zip) 檔案,然後將特徵碼服務包上傳至 NSX Manager。請執行以下步驟,以離線模式下載特徵碼,並將其上傳至 NSX。 透過自訂特徵碼增強威脅管理NSX IDS/IPS 能夠管理與自訂應用程式和零日漏洞相關的威脅。 透過臨界值和速率篩選器觸發 NSX IDS/IPS 事件您可以透過設定臨界值和速率篩選器來管理 NSX IDS/IPS 事件對系統特徵碼的產生速率。 新增安全性設定檔安全性設定檔包括 IDS/IPS 設定檔和惡意程式碼防護設定檔。若要在資料中心強制執行 NSX IDS/IPS 和 NSX 惡意軟體防護安全保護,必須將安全性設定檔附加到分散式防火牆規則和閘道防火牆規則。 在分散式防火牆上使用 NSX IDS/IPS 和 NSX 惡意軟體防護您可以使用 NSX IDS/IPS 功能偵測分散式東西向流量中的惡意流量模式,也可以使用 NSX 惡意軟體防護功能偵測分散式東西向流量中的惡意檔案。 在閘道防火牆上使用 NSX IDS/IPS 和 NSX 惡意軟體防護您可以使用 NSX IDS/IPS 功能偵測南北向流量中的惡意流量模式,也可以使用 NSX 惡意軟體防護功能偵測南北向流量中的惡意檔案。 分散式 IDS/IPS 記錄為 NSX-T IDS/IPS 啟用記錄後,您可以查看記錄檔以進行疑難排解。 監控檔案事件在南北向流量中,當 NSX Edge 上的 IDS 引擎解壓縮檔案,以及在分散式東西向流量中,當虛擬機器端點上的 NSX Guest Introspection Agent 解壓縮檔案時,都會產生檔案事件。 監控 IDS/IPS 事件您可以監控事件並檢視過去 14 天的資料。 匯出和下載封包擷取檔案您可以在 NSX Manager 上匯出 PCAP 檔案,然後下載所匯出的檔案。 管理 NSX 惡意軟體防護您可以使用安全性索引標籤中的 NSX Application Platform 頁面,來升級或刪除 NSX 惡意軟體防護功能。 疑難排解 NSX 惡意軟體防護使用本章的資訊來瞭解記錄訊息,解決 Syslog 問題,並對 NSX 惡意軟體防護功能可能出現的常見問題進行疑難排解。 上層主題: 安全性