设置设备关闭时的 vNetwork 行为

仅适用于本地趋势科技服务器深度安全防护系统软件安装

NSX Manager 6.3.0 或更高版本中有一项涉及网络连接的重要变更。在以下情况下受保护的客户 VM 可能会中断 vNetwork 连接：

1. 在趋势科技服务器深度安全防护系统管理中心中，请针对受保护的 VM，启用可使用网络 Introspection 的任何功能：

   • 防火墙
   • IPS
   • Web 信誉

   并选择趋势科技服务器深度安全防护系统虚拟设备作为防护源。

2. 配置 NSX 6.3.0 或更高版本来为客户 VM 提供网络 Introspection。

3. 在 ESXi Server 上，趋势科技服务器深度安全防护系统虚拟设备：

   • 在删除后重新部署，或
   • 已关闭，或
   • 其 ds_agent 服务不可用。

出现此情况的原因是，如果您未配置 failOpen（可在设备防护不可用时允许网络通信继续进行），则在缺省情况下，NSX Manager 6.3.0 现在会进行故障关闭（使得 vNetwork 停用）。设备重新启动或不可用时，NSX 会应用此策略选项。

故障关闭可避免设备关闭导致 vNetwork 得不到防护期间的安全风险。但是，对许多组织来说，停用就意味着更大的风险。

如果要确保 vNetwork 连接不会中断，请在 vSphere 中配置该选项。

1. 在 vSphere Web Client 中，转至主页 > 网络和安全 > 服务定义。

2. 双击趋势科技服务器深度安全防护系统服务。

   

3. 单击服务实例，然后单击趋势科技服务器深度安全防护系统-全局实例。

   

4. 单击服务配置文件，然后单击缺省 (EBT) 来显示趋势科技服务器深度安全防护系统服务配置文件的内容。

   

5. 在“缺省 (EBT)”中，选择设置，然后单击编辑。

   

6. 在failOpen 值中，键入 true，然后单击确定。

   

7. 单击发布。
8. 转至网络和安全 > 服务编辑器 > 安全组。

9. 右键单击安全组，然后选择应用策略。

   

10. 如果策略已部署，但您需要更正策略，则必须取消绑定策略，然后将其重新绑定至受保护的 VM 的 NSX 安全组，以便重新发送策略。取消选择安全策略，然后单击确定。重新选择安全策略，然后单击确定。

    您必须立即重新部署策略。在重新部署前，ESXi 服务器上所有受保护客户 VM 的网络连接都可能会中断。