NSX-T 系列:第 20部分 - 配置分布式IPS/IDS服务

最新推荐文章于 2023-06-28 09:17:48 发布
最新推荐文章于 2023-06-28 09:17:48 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: NSX-T 文章标签: ips ids
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33669839/article/details/120772029
版权

1、概述

       分布式入侵检测和防御服务 (Distributed Intrusion Detection and Prevention Service, IDS/IPS) 监控主机上的网络流量是否存在可疑活动。

可以根据严重性启用特征码。严重性评分越高,表示与入侵事件相关的风险越大。严重性取决于以下内容:

  • 特征码本身中指定的严重性
  • 特征码中指定的 CVSS(通用漏洞评分系统)评分
  • 与分类类型关联的类型评级

IDS 根据已知的恶意指令序列检测入侵尝试。在 IDS 中检测到的模式称为特征码。您可以按全局方式或通过配置文件设置特定的特征码警示/丢弃/拒绝操作。

注意:不要在使用分布式负载均衡器的环境中启用分布式入侵检测和防御服务 (Distributed Intrusion Detection and Prevention Service, IDS/IPS)。 NSX-T Data Center 不支持将 IDS/IPS 与分布式负载均衡器一起使用。 

2、工作原理

    NSX 分布式 IDS/IPS 引擎起源于Suricata,这是一个著名且广受尊重的开源项目。NSX 通过为 IDS/IPS 引擎提供运行时环境(包括网络 I/O 和管理功能)来构建在 Suricata 之上。

   NSX 将 IDS/IPS 功能与分布式防火墙协同工作,从而实现流量检查。所有流量首先通过防火墙,然后根据配置进行 IDS/IPS 检查。IDS/IPS 功能与防火墙的这种协同还简化了网络安全策略的实施。

   NSX 分布式 IDS/IPS 引擎位于用户空间中,并连接到驻留在虚拟机管理程序内核中的防火墙模块。一个应用程序通过向管理程序发送流量来与另一个应用程序通信,从而在防火墙在检查流量。随后防火墙将流量转发到用户空间中的 IDS/IPS 模块。

有关 IDS/IPS 架构和用例的详细信息,请查看官方文档。 

3、配置

①在 NSX-T 中导航到【安全】 --> 【分布式 IDS/IPS】 --> 【开始向导】

② 勾选【自动更新版本】,NSX-T Manager需要能够连接到互联网,去下载特征码。

    NSX-T 将通过检查 VMware 基于云的服务自动将特征码应用到主机并更新入侵检测。特征码通过配置文件应用于 IDS 规则。默认情况下,NSX Manager 每天检查一次新特征码。新的特征码更新版本每两周发布一次。

③ 特征码更新后,选择要启用 IDS/IPS 的集群并将其设置为已启用:

④创建分布式 IDS/IPS 配置文件

    可以使用默认配置文件,该配置文件默认设置为仅包含极高入侵防御严重性。可以按需创建一个配置文件,包含所有的严重性事件。

   点击【配置文件】--> 【添加配置文件】

   输入名称,我这里为:Production,【入侵严重性】,所有选项保持勾选状态,点击保存。

⑤创建分布式 IDS/IPS 安全策略

    IDS/IPS 规则用于将刚刚创建的配置文件应用到选定的应用程序。IDS/IPS 规则的创建方式与分布式防火墙规则相同,并作为过滤器应用于 VM 的 vnic,与 DFW 规则完全相同。

请注意,必须启用 DFW,并且 DFW 必须允许流量通过 IDS 规则。如果 DFW 规则阻止了流量,那么 IDS 不会对其进行评估。

  导航到【规则】-->【添加策略】,分布式 IDS/IPS 的配置方式与 NSX-T 分布式防火墙 (DFW) 非常相似,它们使用相同的 NSX 组,甚至 IDS 和 DFW 规则也由同一个 esxi 模块管理: VSIP。

    在本案例中,我创建 了Any-Any 规则来匹配通过NSX 交换机的所有流量(IDS/IPS 不适用于连接到非NSX VDS 交换机,与 DFW 完全一样)。在IDS配置文件处,选择刚刚创建的配置文件,然后将应用对象设置为DFW(这样所有连接到 NSX交换机的 vNIC 都会应用该规则)。接下来,将模式设置为检测和预防,如果 IDS 检测到与特征码的任何匹配项,IPS 将启动并阻止流量。

⑥(可选)启用规则日志记录,以便能够使用 vRealize Log Insight 或使用的任何系统日志解决方案进行监控。

⑦检验IPS/IDS规则,通过ssh登录ESXi主机,找一台连接到了NSX Switch的虚拟机,通过命令行查看虚拟机应用的IDS规则信息。

从上面的截图中,可以看到过滤器被应用到该虚拟机的eth0网卡。其中FILTER (APP Category) 规则是来自 APPLICATION 部分的规则,最后是IDP 规则部分,在这里可以看到单个规则以及之前创建的日志标签。

4、验证IPS/IDS

现在,在我们完全配置好 IDS/IPS NSX-T 功能之后,让我们测试它是如何工作的。

使用渗透测试工具扫描Overlay网络中是否存在易受攻击的机器,查看IDS 是否可以立即检测到该攻击。

NSX-T界面:IDS检测到威胁。

weixin_33669839
关注
专栏目录
openstack pike 版搭建详解
weixin_40548182的博客
08-30 1万+
第1章 环境准备 1.1 openstack各个版本安装包地址 https://buildlogs.centos.org/centos/7/cloud/x86_64/ 至少两台centos 7或以上系统服务器 1.2 主机名解释 cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain loc
SDN NSX-T 配置防火墙规则
俩豆小窝的博客
06-28 386
配置分布式防火墙规则 登录到NSX-T Manager,在主页中单击“安全”->“东西向安全”->“分布式防火墙”。 单击“添加策略”,规则列表中出现一条新策略,输入策略名称。 在新建策略上单击“添加规则”。 在“源”上单击编辑按钮。 “设置源”中,可选择“组”和“IP地址”。 在“IP地址”中,可手动添加IP地址,也支持范围添加。 设置完成后,单击“应用”。 以相同的方式配置“目标”,这里不再赘述 在“服务”上单击编辑按钮。 可添加指定的端口或协议。NSX-T已经内置了一部分
NSX-T 系列:第 13部分 - 配置东西向分布式防火墙
weixin_33669839的博客
09-01 4275
1、配置东西向安全策略 ①导航到【安全】,在东西向安全菜单下,点击【分布式防火墙】,在右侧点击添加策略 ②根据需要,修改【策略名称】,点击策略名称左侧的三个点,在下拉菜单选择【添加规则】 ③修改规则名称,在服务下点击【任意】 ④点击【添加服务】,输入服务的名称,点击设置服务条目 ⑤根据需要,添加条目,选择要禁用的协议和端口,点击应用 ⑥查看添加的服务和条目信息,点击应用 ⑦将该规则的操作更改为【拒绝】,启用规则,点击右上角的【发布】 ⑧测试规则 找台同网段的机器..
VMware NSX-T Data Center 3.2.4 防火墙下载及安装部署
techgroup的博客
12-05 1万+
VMware NSX-T Data Center 防火墙下载及安装部署
Linux入侵检测系统IDS的安装与配置
不怕死的假老练
07-03 4283
一、IDS概述 在安全防御体系中,如果缺少有效的入侵检测,很容易造成不法人员的大范围入侵,为企业信息安全带来巨大的损失。而入侵检测系统(Intrusion Detection System)对入侵中或入侵后进行监控与报警,为安全防御体系提供了不可或缺的监控能力。 IDS依照预先设定的安全策略,通过软件和硬件,对网络和系统的运行状况进行监视,尽可能早的发现各种攻击企图、攻击行为和攻击结果。以保证网络系统资源的机密性、完整性和可靠性。 二、IDS的下载 这里笔者通过CentOS 7 ,为大家演示单机版的
SDN NSX-T 配置load balance
俩豆小窝的博客
06-28 203
8. 在“配置服务器池成员”窗口单击“添加成员”,输入池成员名称、IP地址及端口号。每配置完一个成员后单击“保存”。所有池成员配置完成后,单击“应用”。7 配置服务器池名称,算法,然后在“成员/组”单击“选择成员”。6. 转到“服务器池”,单击“添加服务器池”。
VMware NSX 配置分布式 IDS/IPS
最新发布
04-30
本指南详细介绍了如何在 VMware NSX配置分布式 IDS/IPS,并通过一系列步骤展示了如何检测和分析潜在的恶意流量。 #### 二、配置分布式 IDS/IPS ##### 1. 启用分布式 IDS/IPS 在 VMware NSX 中启用分布式 IDS/...
NSX分布式IDS IPS技术方案介绍.pptx
10-10
NSX分布式IDS IPS技术方案介绍.pptx
NSX分布式IDS IPS技术方案介绍.pdf
10-10
NSX分布式IDS IPS技术方案介绍.pdf
VMworld 2020 China 线上大会技术资料(虚拟云网络).zip
07-13
NSX 分布式 IDSIPS 方案介绍及演示; NSX 企业云安全应用场景; NSX 在 VMware Horizon 中的应用; NSX Intelligence 分布式策略分析引擎介绍及演示; NSX-T 路由架构; NSX-T 设计最佳实践; NSX-T 体系架构; ...
VMware NSX Data Center for vSphere (NSX-V)6.4.8 下载 百度网盘
sysin | SYStem INside
09-12 3177
VMware NSX Data Center for vSphere 6.4.8 | 2020 年 8 月 10 日发行 | 内部版本 16724220 下载链接 请访问:https://sysin.org/article/Download-VMware-NSX-V-6/ NSX Data Center for vSphere 概述 IT 组织已经从服务器虚拟化中明显获益。服务器整合降低了物理复杂性,提高了运营效率,并且能够动态地重新调整基础资源的用途,使其以最佳方式快速满足日益动态化的业务应用需求。 现在
IPSIDS
m0_69926138的博客
11-17 2617
IPSIDS
IPS环境搭建
悦分享
06-03 875
.项目概述项目背景目前,公司信息内网入侵防御系统部署在信息内网主链路上,设备存在单点故障,无法保障关键网络节点检测和限制从内外网络发起网络攻击行为过部署两台i ps入侵防御设备,实现主备链路上设备冗余备份,实现访问控制功能,内容过滤,病毒防范,网络攻击等其他因素对内,外网络造成威胁、提高安全处置工作的效率和质量,保障公司各业务正常稳定的运行。监听组,e1和e2两个口放在同一个组流量才能共享,直通互联。接口放到组中,组放到引擎中,引擎匹配特征库。 通过SecureCRT登录并做初始化service host
NSX-T架构及原理概述
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-11 6832
一、概述 NSX-T是VMware 的另一个 NSX 平台,NSX-T 与 VMware Photon 平台集成。VMware NSX-T 专注于处理异构endpoint和技术堆栈的新兴应用程序框架和架构的解决方案。除了 vSphere 管理程序之外,这些环境还可能包括其他 hypervisors、容器、裸机和公共云。NSX-T 提供分布式防火墙、逻辑交换和分布式路由。同NSX-V一样,NSX-T架构内置了独立的数据平面、控制平面和管理平面。 二、架构 NSX-T架构是围绕四个基本属性设计的。如上图
IPS安全策略配置
yuxue_cn的博客
10-20 2331
天清IPS事件集策略配置
IPSIDS部署场景
热门推荐
曹世宏的博客
08-18 3万+
IPS原理可参考:入侵防御IPS技术 NIP介绍 NIP简介: NIP是华为的IPS设备。 NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。 NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,...
NSX-T 验证主机上的分布式 IDS/IPS 状态
x_idea的博客
12-08 1252
NSX-T 验证主机上的分布式 IDS/IPS 状态
VMware NSX配置与管理分布式IDS/IPS
"VMware NSX 是一款先进的网络虚拟化和安全平台,它提供了分布式入侵检测系统 (IDS) 和入侵防御系统 (IPS) 功能,用于监控和保护虚拟化环境中的东西向流量。本配置指南将详细介绍如何在 NSX 中启用和配置这些功能,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值