验证主机上的分布式 IDS/IPS 状态
打开到计算主机(运行之前部署的工作负载)的 SSH 会话。以 root 用户身份登录。
输入 nsxcli 命令以打开 NSX-T Data Center CLI。
要确认已在此主机上启用 IDS,请运行以下命令:get ids status。
示例输出:
localhost> get ids status
NSX IDS Status
status: enabled
uptime: 793756 (9 days 04:29:16)
要确认这两个 IDS 配置文件均已应用于此主机,请运行命令 get ids profile。
localhost> get ids profiles
NSX IDS Profiles
Profile count: 2
- 31c1f26d-1f26-46db-b5ff-e6d3451efd71
- 65776dba-9906-4207-9eb1-8e7d7fdf3de
要查看 IDS 配置文件(引擎)统计信息(包括处理的数据包数和生成的警示数),请运行 get ids engine profilestats <tab_to_select_profile_ID> 命令。
输出针对的是每个配置文件,并显示警示数以及评估的数据包数。
localhost> get ids engine profilestats eec3ea3f-0b06-4b9d-a3fe-7950d5726c7c
Fri Oct 23 2020 UTC 21:22:36.257
NSX IDS Engine Profile Stats
Profile ID: eec3ea3f-0b06-4b9d-a3fe-7950d5726c7c
Total Alerts: 14
Total Packets: 27407
ESXI查看(DFW) 数据包命中默认规则而非先前的允许/阻止指定流量的规则
summarize-dvfilter | more
summarize-dvfilter | grep -A20 A-5.104 查看A-5.104的虚拟网卡槽,或者A16
summarize-dvfilter | grep -A2 A-5.104
vsipioctl getrules -f nic-2099295-eth–vmware-sfw.2 查看与此筛选器或虚拟机关联的活动流或当前流
从上面的截图中,可以看到过滤器被应用到该虚拟机的eth0网卡。其中FILTER (APP Category) 规则是来自 APPLICATION 部分的规则,最后是IDP 规则部分,在这里可以看到单个规则以及之前创建的日志标签。
验证IPS/IDS
现在,在我们完全配置好 IDS/IPS NSX-T 功能之后,让我们测试它是如何工作的。
使用渗透测试工具扫描Overlay网络中是否存在易受攻击的机器,查看IDS 是否可以立即检测到该攻击。
tail -f /var/log/dfwpktlogs.log