Verwendung der VMware Carbon Black Cloud Host-based Firewall

Zusammenfassung: Erfahren Sie, wie Sie hostbasierte VMware Carbon Black Cloud-Firewallregeln konfigurieren, einschließlich Aktionen, Objekten, Rangfolge und Schritten zur Verwendung der Firewallregeln.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

Erfahren Sie mehr über hostbasierte Firewallregeln, Regelrangfolge und die Konfiguration der hostbasierten Carbon Black Cloud-Firewall.

Betroffene Produkte:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Betroffene Versionen:

  • Windows Sensor 3.9 oder höher

Betroffene Betriebssysteme:

  • Windows
Hinweis: Weitere Informationen zu VMware Carbon Black Cloud-Versionen finden Sie unter Unterschiede zwischen VMware Carbon Black Cloud-Versionen.

Regeln für hostbasierte Firewalls

Eine Firewallregel besteht aus einer Aktion und einem Objekt. Verfügbare Aktionen sind:

  • Zulassen: Lässt Netzwerkverkehr zu
  • Block: Blockiert den Netzwerkverkehr
  • Blockierung und Warnmeldung: Blockiert den Netzwerkverkehr und sendet eine Warnmeldung an die Seite "Warnmeldungen".

Firewallregeln basieren auf der Auswertung der folgenden Objekttypen:

  • Lokal (Clientcomputer)
  • Remote (Computer, der mit dem Clientcomputer kommuniziert)
    Hinweis: Der lokale Host ist immer der mit einem Sensor installierte Clientcomputer. Der Remotehost ist ein beliebiger Computer oder ein beliebiges Gerät, mit dem er kommuniziert. Dieser Ausdruck der Hostbeziehung ist unabhängig von der Richtung des Datenverkehrs.
  • IP-Adress- und Subnetzbereiche
  • Port oder Portbereiche
  • Protokoll (TCP, UDP, ICMP)
  • Richtung (ein- und ausgehend)
  • Anwendung, bestimmt durch den Dateipfad

Firewallregeln können in einer Firewall-Regelgruppe kombiniert werden. Eine Firewallregelgruppe ist ein logischer Satz von Firewallregeln, der das Management mehrerer einzelner Regeln in einer einzigen Gruppe vereinfacht, die einen gemeinsamen Zweck haben (z. B. mehrere Regeln zur Steuerung des Zugriffs auf FTP-Server).

Regelgruppen und Regeln werden in Policies definiert und Policies werden Ressourcen zugewiesen.

Regelrangfolge

Beachten Sie beim Erstellen und Anwenden von Regeln die folgende Rangfolge:

  • Umgehungsregeln haben Vorrang vor allen anderen Regeln. Aus diesem Grund haben hostbasierte Firewallregeln eine niedrigere Priorität als Umgehungsregeln.
  • Die Regeln der hostbasierten Firewall haben eine höhere Priorität als die Regeln für Berechtigungen, die auf Zulassen oder Zulassen und Protokollieren festgelegt sind.
Hinweis: Eine Berechtigungsumgehungsregel auf Prozessebene umgeht nicht nur den durch die Regel angegebenen Prozess, sondern auch alle untergeordneten Prozesse.

Vorhandene Sensorbedingungen können sich auf die Durchsetzung von Regeln auswirken. Der Sensor kann sich beispielsweise im Umgehungsmodus oder in der Quarantäne befinden oder Anwendungen können blockiert werden. Die VMware Carbon Black Cloud Host-Based Firewall behält die beabsichtigte Aktion der Regel bei, wie vom Nutzer angegeben, obwohl die Regel eine andere tatsächliche Aktion ausführen kann, wenn sie basierend auf der Sensorbedingung erzwungen wird.

Zum Beispiel:

Sensormodus Beabsichtigte hostbasierte Firewallaktion Beabsichtigte Berechtigung oder Blockierungs- und Isolierungsregel Tatsächliche Aktion Übersicht
Quarantäne Alle Alle Sperren Quarantäne-Blockierungsregeln setzen Regeln und Berechtigungen der hostbasierten Firewall außer Kraft.
Bypass Alle Alle Zulassen Da sich der Sensor im Umgehungsmodus befindet, ist die Regel der hostbasierten Firewall ineffektiv.
Aktiv Alle Umgehung auf Prozessebene Zulassen Umgangene Prozesse und ihre Nachfolger werden nicht durch hostbasierte Firewallregeln blockiert.
Aktiv Sperren Zulassen, Zulassen und Protokollieren Sperren Regeln für hostbasierte Firewalls haben Vorrang vor Berechtigungsregeln, die keine Umgehung zulassen.
Aktiv Zulassen Sperren Sperren Die hostbasierte Firewall, die eine Verbindung zulässt, verhindert nicht, dass die Regel zum Blockieren und Isolieren der Kommunikation über das Netzwerk erzwungen wird.

Verwenden der hostbasierten Carbon Black Cloud-Firewall

Dieser Abschnitt bietet eine allgemeine Übersicht über das Erstellen und Ausführen von Firewallregeln.

  1. Wählen Sie eine Policy aus, der Firewallregeln hinzugefügt werden sollen.
  2. Legen Sie die Standardregel fest (Alle zulassen oder Alle blockieren).
  3. Erstellen Sie eine Regelgruppe und füllen Sie sie mit Firewallregeln.
  4. Anzeigen, Erstellen und Ändern von Regelgruppen und Regeln nach Bedarf.
  5. Schalten Sie die hostbasierte Firewall auf der Registerkarte Sensor auf Aktiviert.
  6. Testen Sie die Regeln.
    Hinweis: Sie können eine Regel nur testen, wenn ihr Status auf Deaktiviert gesetzt ist.
  7. Überprüfen Sie das Ergebnis der Regeln. Testregeldaten werden auf der Seite Untersuchen angezeigt.
  8. Ändern Sie die Regeln nach Bedarf, und führen Sie einen erneuten Test durch, bis die Regeln wie erwartet funktionieren.
  9. Beenden Sie das Testen von Regeln, deren ordnungsgemäße Ausführung überprüft wurde, und setzen Sie ihren Status auf Aktiviert.
  10. Wenn Sie sie während der Änderungen deaktiviert haben, stellen Sie die hostbasierte Firewall auf der Registerkarte Sensor auf Aktiviert um.
  11. Sie können Ereignisse und Warnmeldungen im Zusammenhang mit der Firewall auf den Seiten Untersuchen bzw. Warnmeldungen anzeigen.
  12. Fahren Sie mit der Änderung der Regeln nach Bedarf fort. Zuordnung geordneter (geordneter) Regelgruppen zu Sicherheitsrichtlinien; Regelgruppen können über Sicherheits-Policies hinweg wiederverwendet werden.
    • Regeln werden in der Reihenfolge ihrer nutzerdefinierten Rangfolge ausgewertet.
    • Möglichkeit zum Testen von Regeln vor der Erzwingung.
    • Anzahl der Verhaltensweisen, die durch die hostbasierte Firewall-Policy blockiert werden.
    • Einblicke in den Sicherheitsstatus von Ressourcen über die Seiten "Alerts " und "Investigation " in der Carbon Black Cloud-Konsole.
      Hinweis: Für das Add-on Carbon Black Cloud Host-Based Firewall ist Windows Sensor v3.9 oder höher erforderlich.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Betroffene Produkte

VMware Carbon Black
Artikeleigenschaften
Artikelnummer: 000214381
Artikeltyp: How To
Zuletzt geändert: 03 Apr. 2026
Version:  4
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.