当 NSX 透过闸道或于虚机端抓取到要下载的档案，首先会透过 Hash 值比对将档案与由 Internet 取得的档案数据库进行对比，确认是否是已经认得的合法 / 非法档案。这边是第一个步骤。

若没有结果，接着 NSX 会进行本地的档案静态分析，包含了不同的技术如检查程式码或档案架构、分析 API-Call 与呼叫 URL、Script 与巨集分析等不同方式来判断档案是正常或恶意。

如果在前述步骤都无法确认，此时 NSX Application Platform 会将档案送往 Internet 上的云端沙箱 (Sandbox) 执行。VMware 之云端沙箱是由 Lastline 时代即领先安全业界的技术，透过基于全系统模拟的方式，包含恶意程式执行时使用的完整 CPU 指令集，是否有采用回避技术、加密机制等都一览无遗。而除了沙箱模拟器之外还有包含一些 Lastline 发展的统计演算法以及深度内容比对技术。透过相关技术，多面向对比下进行打分，即使是陌生的档案也能确认是否有恶意行为。

透过上述 Hash 对比、本地档案分析以及云端沙箱的机制，无论服务器下载的是已知或是未知档案，都能在此流程内对比出是否为恶意软件，提供需求的警告以及必要的阻挡。

Malware Prevention 可以在两个地方进行：闸道端（南北向）以及 vSphere上（东西向），如下图所示。

于闸道端，NSX Gateway 会透过 IDPS 引擎抓取出南北向网络连线中之档案来进行必要的对比。其中

•     各式档案支持类型完整，可支持的档案格式列表可参考：

  https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/administration/GUID-0EDE5C08-F59D-45F3-8E48-

  0D7D038207ED.html。

  目前于闸道端仅进行恶意档案侦测，不进行阻挡。

  
  

•     于闸道端进行档案分析的主要问题在于若网络连线为加密，无法看到内容。因此要完整支持此功能，闸道端必须运作 TLS Decryption 机制，于 NSX-T 3.2.1 版已正式 GA 提供支持。

于 vSphere 端是透过 Service VM，也就是 Guest Introspection 的机制，搭配 VMTools 来抓取虚机系统 IO 来取得档案。因此：

• 如同 Guest Introspection 机制的限制，仅运作于 Windows 型态虚机。

  
  

• 因为是在虚机系统 IO 层面拦截档案，不需要考虑加解密问题。

  
  

• 目前时间点，支持档案类型仅有 Windows Portable Executable (PE) 型态执行档。除了侦测外亦可进行阻挡。

如同前面讨论，Malware Prevention 需要 NSX Application Platform 来做 Hash 比对以及将档案送往云端沙箱分析。因此部署前，必须先将 NAPP 安装完成后，再进行启用：

此外，当 Malware Prevention 于 Gateway 上面运作时，由于 IDPS / TLS Decryption 等效能要求，底层的 Edge 虚机必须安装为最大的 Extra Large 型态。而 Malware Prevention于 vSphere 上启用时，每台 vSphere 上都需要配置一台对应的 Service VM (SVM)来负责此台 host 上面所有虚机的检查，各台虚机 VMTools 内也需要启用 Guest Introspection 功能。

下图是 Malware Prevention 的作业界面。当有侦测到恶意程式时，管理者可以在界面内看到事件资讯：

同时我们也可以点击档案，确认相关细节，下图即为上述事件，侦测到 darkside.exe 档案（知名的勒索软件）的分析资讯：

关于 Malware Prevention 方案相关介绍就先到这边。下一篇我们进行网络流分析 (Network Traffic Analysis, Suspicious Traffic) 的讨论。