创建 NSX 安全组和策略

仅适用于本地趋势科技服务器深度安全防护系统软件安装

有关在继续执行本文中的步骤之前必须执行的步骤，请参阅部署趋势科技服务器深度安全防护系统。

将 VM 和资源组织到 NSX 安全组以便向其分配 NSX 安全策略。

创建 NSX 安全组

1. 在 vSphere Web Client 中，转至主页 > 网络 & 安全 > 服务编写器 > 安全组。
2. 单击新建安全组 ()：
   
3. 在名称和描述选项中，为安全组命名。
   
4. 定义动态成员集： 如果想根据特定过滤标准限制此组中的成员集，请在此输入这些标准。
5. 将对象包含或排除在 NSX 安全组中的方式有许多，但在此例中，我们将仅纳入包含我们要保护的主机和虚拟机的 NSX 群集。在选择要包含的对象选项中，从对象类型菜单中选择群集，然后将包含要保护的虚拟机的 NSX 群集移动到选定对象列。
   
6. 单击完成创建新安全组，并返回安全组选项卡查看新列出的安全组

创建 NSX 安全策略

接下来，需要在已启用趋势科技服务器深度安全防护系统的情况下，创建 NSX 安全策略作为 Endpoint 服务和网络 Introspection 服务。

如果仅使用防恶意软件或入侵防御模块，则您只需启用 Guest Introspection 服务。如果仅使用 Web 信誉、防火墙或入侵防御模块，则您只需启用网络自检服务。

1. 在 vSphere Web Client 中，转至主页 > 网络和安全 > 服务编写器 > 安全组.
2. 单击新建安全组。
3. 名称和描述：为新策略命名，然后单击下一步。
   
   
4. Guest Introspection 服务：单击绿色加号 () 添加 Endpoint 服务。为 Endpoint 服务提供名称并选择以下设置：
   • 操作：应用
   • 服务名称：趋势科技服务器深度安全防护系统
   • 服务配置文件：如果使用基于事件的任务处理 VM 的创建和保护，请选择“缺省 (EBT)”。如果已将趋势科技服务器深度安全防护系统策略与 NSX 服务配置文件同步，请选择与您要应用的趋势科技服务器深度安全防护系统策略匹配的服务配置文件。
   • 状态：已启用
   • 强制使用：是
   
   单击确定然后单击下一步。
5. 防火墙规则：请勿进行任何更改。单击下一步。
6. 网络 Introspection 服务：将向 NSX 安全策略添加两个网络 Introspection 服务：第一个用于出站流量，第二个用于入站流量。
   1. 对于网络 Introspection 服务选项中的第一个出站服务，单击绿色加号创建新服务。在添加网络 Introspection 服务窗口中，为服务命名（最好是包含“出站”一词的名称）并选择以下设置：
      • 操作：重定向到服务
      • 服务名称：趋势科技服务器深度安全防护系统
      • 配置文件：选择与步骤 3 中相同的 NSX 服务配置文件。
      • 源：策略安全组
      • 目标：任何
      • 服务：任何
      • 状态：已启用
      • 记录：不记录
      
   2. 对于网络 Introspection 服务选项中的第二个入站服务，单击绿色加号以创建新服务。在添加网络 Introspection 服务窗口中，为服务命名（最好是包含“入站”一词的名称）并选择以下设置：
      • 操作：重定向到服务
      • 服务名称：趋势科技服务器深度安全防护系统
      • 配置文件：选择与步骤 3 中相同的 NSX 服务配置文件。
      • 源：任何
      • 目标：策略安全组
      • 服务：任何
      • 状态：已启用
      • 记录：不记录
      
   3. 在添加网络 Inspection 服务窗口中单击确定，然后单击完成，完成并关闭新建安全策略窗口。

现在已为趋势科技服务器深度安全防护系统创建 NSX 安全策略。

将 NSX 安全策略应用到 NSX 安全组

现在，必须将安全策略应用于包含您想要保护的 VM 的安全组。

1. 留在 vSphere Web Client 的主页 > 网络和安全 > Service Composer 页面的安全策略选项卡上。在选择新的安全策略后，单击应用安全策略图标 ()。
2. 在将策略应用于安全组窗口中，选择包含您想要保护的 VM 所在的安全组，然后单击确定。

NSX 安全策略现已应用于 NSX 安全组中的 VM。当 VM 移动到安全组中后，它们会获得 NSX 安全组标记，并且趋势科技服务器深度安全防护系统管理中心会自动激活这些 VM 并为它们分配策略。