如果您跳過 IDS/IPS 和惡意程式碼防護設定精靈而未進行任何設定,或您在組態程序期間跳過此精靈,您可以從 IDS/IPS 和惡意程式碼防護設定頁面繼續執行組態程序。

若要在 NSX Manager UI 中開啟此頁面,請導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 設定

組態設定分成三個索引標籤頁面:
  • 共用
  • IDS/IPS
  • 惡意程式碼防護

共用設定

顧名思義,這些是 NSX IDS/IPS 和 NSX 惡意軟體防護 的一般設定。
設定網際網路 Proxy 伺服器

NSX IDS/IPS 未必需要網際網路連線才能正常運作。NSX IDS/IPS 會使用特徵碼來偵測及防止入侵。如果您的 NSX 環境具有網際網路連線,NSX Manager 可以直接從網際網路或透過 NSX Proxy 伺服器,自動下載最新的入侵偵測特徵碼。如果您的 NSX 環境中未設定網際網路連線,您可以使用 API 手動下載 NSX 入侵偵測特徵碼服務包 (.zip) 檔案,然後將特徵碼服務包上傳至 NSX Manager。如需進一步瞭解如何手動上傳特徵碼,請參閱離線下載及上傳 NSX 入侵偵測特徵碼

NSX 惡意軟體防護 也會使用特徵碼來偵測和防止惡意程式碼。但是,僅當 NSX 環境具有網際網路連線時,NSX Manager 才能下載最新的特徵碼。您無法手動將最新特徵碼上傳至 NSX ManagerNSX 惡意軟體防護 還會將檔案傳送到 NSX Advanced Threat Prevention 雲端服務,以進行詳細的雲端檔案分析。檔案會由 NSX 應用程式平台 傳送到雲端,而不是由 NSX Manager 傳送。NSX 應用程式平台 不支援 Proxy 伺服器組態,它需要直接存取網際網路。

如果 NSX Manager 會透過 NSX Proxy 伺服器來存取網際網路,請按一下網際網路 Proxy 伺服器連結,並指定以下設定:

  • 配置 (HTTP 或 HTTPS)
  • 主機的 IP 位址
  • 連接埠號碼
  • 使用者名稱和密碼
定義惡意程式碼防護和 IDS/IPS 部署的範圍

啟動東西向流量的主機和叢集區段中,執行下列設定:

  • 在獨立 ESXi 主機上開啟 NSX IDS/IPS。
  • 選取您要對東西向流量啟動 NSX IDS/IPS 的 ESXi 主機叢集。
  • 如果尚未將 NSX 分散式惡意程式碼防護服務部署在 ESXi 主機叢集上,請按一下惡意程式碼防護資料行中的定義在服務虛擬機器部署中連結。如需有關在主機叢集上部署 NSX 分散式惡意程式碼防護服務的說明,請參閱部署 NSX 分散式惡意程式碼防護服務
啟動南北向流量的閘道區段中,執行下列設定:
  • 選取您要對南北向流量啟動 NSX IDS/IPS 的閘道。
  • 選取您要對南北向流量啟動 NSX 惡意軟體防護的第 1 層閘道。
重要: 在南北向流量上, NSX 支援:
  • NSX 惡意軟體防護 (僅限在第 1 層閘道上)。
  • 閘道防火牆上的 NSX IDS/IPS (第 0 層和第 1 層閘道上)。

IDS/IPS 設定

在資料中心設定網際網路連線時,依預設,NSX Manager 每 20 分鐘會檢查一次雲端上是否有新的入侵偵測特徵碼。當有新的更新可用時,該頁面上會顯示一個橫幅,其中包含立即更新連結。

如果資料中心沒有網際網路連線,您可以手動下載 IDS 特徵碼服務包 (.zip) 檔案,然後將檔案上傳到 NSX Manager。如需詳細指示,請參閱離線下載及上傳 NSX 入侵偵測特徵碼

您可以在此頁面上執行以下的特徵碼管理工作:

  • 若要檢視特徵碼版本或要新增除了特徵碼預設版本以外的其他版本,請按一下檢視和變更

    目前會維護兩個版本的特徵碼。每當版本認可識別號碼有所變更時,即會下載新版本。

  • 若要自動從雲端下載入侵偵測特徵碼,並套用至資料中心內的主機和 Edge,請開啟自動更新切換。

    當您關閉此選項時,會停止自動下載特徵碼。您可以手動下載 IDS 特徵碼服務包 (.zip) 檔案,然後將該檔案上傳至 NSX Manager

  • 若要檢視傳輸節點上的特徵碼下載狀態,請按一下狀態欄位中的連結。
  • 若要全域排除特定特徵碼,或將其動作變更為警示、捨棄或拒絕,請按一下檢視和管理特徵碼集

    對特徵碼選取動作,然後按一下儲存。全域特徵碼管理設定中所做的變更適用於所有 IDS/IPS 設定檔。但是,如果您更新 IDS/IPS 設定檔中的特徵碼設定,則優先使用設定檔的設定。

    下表說明每一個特徵碼動作的意義。

    動作 說明

    警示

    產生警示,且不會執行任何自動預防動作。

    捨棄

    產生警示,且會捨棄違規的封包。

    拒絕

    產生警示,且會捨棄違規的封包。對於 TCP 流量,IDS 會產生 TCP 重設封包,並傳送至連線的來源與目的地。對於其他通訊協定,系統會將 ICMP 錯誤封包傳送至連線的來源與目的地。

您還可以管理以下的進階設定:

  • 若要將 IDS/IPS 事件傳送給外部 syslog 取用者,請開啟 Syslog 切換。
  • 若要設定在超額訂閱時應捨棄過多的流量,還是略過 IDS/IPS 引擎,請按一下超額訂閱欄位中的適當選項。

惡意程式碼防護設定

NSX 惡意軟體防護需要在 NSX 應用程式平台 中部署某些微服務。

如果未在資料中心部署 NSX 應用程式平台,此頁面將顯示以下標題:

惡意程式碼防護尚未部署。
執行以下步驟:
  1. 閱讀螢幕上的文字,然後按一下移至 NSX Application Platform
  2. 在繼續進行平台部署之前,請閱讀 《部署和管理 VMware NSX Application Platform》 出版品中的 NSX 應用程式平台 部署檢查清單 (網址:https://docs.vmware.com/tw/VMware-NSX-T-Data-Center/index.html)。從此連結的左導覽窗格,展開產品版本,然後按一下出版品名稱。
  3. 部署 NSX 應用程式平台。如需更多詳細資料,請參閱《部署和管理 VMware NSX Application Platform》 出版品。
  4. 平台上的啟用 NSX 惡意軟體防護功能。

NSX 應用程式平台 上啟動 NSX 惡意軟體防護功能之後,惡意程式碼防護設定頁面將顯示允許清單區段。您可能需要重新整理頁面幾次,才能看到此區段。

允許清單
使用 NSX Manager UI 或 API,可以覆寫或隱藏 NSX 計算的檔案判定結果。覆寫的檔案判定結果優先於 NSX 計算的判定結果。允許清單表格顯示所有含有抑制判定結果的檔案。此表格最初是空的。當您使用 惡意程式碼防護儀表板開始監控資料中心內的檔案事件,並根據特定安全性需求而抑制檔案判定結果時,抑制的檔案將新增至允許清單表格中。

若要進一步瞭解有關覆寫檔案判定結果,請參閱將檔案新增至允許清單