Як користуватися міжмережевим екраном VMware Carbon Black Cloud на основі хоста
Summary: Дізнайтеся, як налаштувати правила міжмережевого екрану VMware Carbon Black Cloud Host-Based Firewall, охоплюючи дії, об'єкти, прецеденти та кроки для використання правил міжмережевого екрану. ...
Instructions
Дізнайтеся про правила міжмережевого екрану на основі хостів, пріоритет правил та налаштування міжмережевого екрану на основі хостів Carbon Black Cloud.
Уражені продукти:
- Стандарт VMware Carbon Black Cloud
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Впливові версії:
- Windows Sensor 3.9 або вище
Уражені операційні системи:
- Windows
Правила міжмережевого екрану на основі хоста
Правило міжмережевого екрану складається з дії та об'єкта. Доступні дії:
- Дозволяйте: Дозволяє мережевий трафік
- Блок: Блокує мережевий трафік
- Блокування та тривога: Блокує мережевий трафік і надсилає сповіщення на сторінку сповіщень
Правила міжмережевого екрану базуються на оцінці таких типів об'єктів:
- Локальний (клієнтський комп'ютер)
- Віддалений (комп'ютер, який спілкується з клієнтським комп'ютером)
Примітка. Локальним хостом завжди є клієнтський комп'ютер, встановлений датчиком. Віддалений хост — це будь-який комп'ютер або пристрій, з яким він спілкується. Цей вираз взаємозв'язку з хостом не залежить від напрямку руху.
- IP-адреси та діапазони підмережі
- Ліві або ліві хребти
- Протокол (TCP, UDP, ICMP)
- Напрямок (вхідний і вихідний)
- Застосування, визначене шляхом до файлу
Правила міжмережевого екрану можна об'єднати в групу правил фаєрвола. Група правил міжмережевого екрану — це логічний набір правил міжмережевого екрану, який спрощує управління кількома окремими правилами в одну групу з спільною метою (наприклад, кілька правил для контролю доступу до FTP-серверів).
Групи правил і правила визначаються в політиках, а політики призначаються активам.
Пріоритет правил
Під час створення та застосування правил пам'ятайте про наступний порядок пріоритетності:
- Правила обходу мають пріоритет над усіма іншими правилами. Через це правила міжмережевого екрану на основі хостів мають нижчий пріоритет, ніж правила Bypass.
- Правила міжмережевого екрану на основі хоста мають вищий пріоритет, ніж правила дозволів, які встановлені на Allow або Allow & Log.
Існуючі стани датчиків можуть впливати на дотримання правил. Наприклад, датчик може бути в режимі обходу або карантину, або додатки можуть бути заблоковані. VMware Carbon Black Cloud Host-Based Firewall зберігає задум правила за визначенням користувача, хоча правило може виконувати іншу фактичну дію при виконанні залежно від стану сенсора.
Наприклад:
| Режим сенсора | Запланована дія міжмережевого екрану на основі хоста | Правило дозволу або блокування та ізоляції | Реальні дії | Резюме |
|---|---|---|---|---|
| Карантин | Будь-які | Будь-які | Блок | Правила блокування карантину перевищують правила міжмережевого екрану на основі хостів та дозволи. |
| Об'їзд | Будь-які | Будь-які | Дозволь | Оскільки сенсор працює в режимі обходу, правило міжмережевого екрану на основі хоста є неефективним. |
| Активна діяльність | Будь-які | Обхід на рівні процесу | Дозволь | Обхідні процеси та їхні нащадки не блокуються правилами міжмережевого екрану на основі хоста. |
| Активна діяльність | Блок | Дозволити, дозволити та записувати | Блок | Правила міжмережевого екрану на основі хоста мають пріоритет над правилами дозволів без обходу. |
| Активна діяльність | Дозволь | Блок | Блок | Міжмережевий екран на основі хоста, що дозволяє з'єднання, не заважає застосовувати правило блокування та ізоляцію мережі . |
Використання міжмережевого екрану на основі хостів Carbon Black Cloud
Цей розділ надає загальний огляд того, як створювати та запускати правила міжмережевого екрану.
- Виберіть політику, до якої додати правила міжмережевого екрану.
- Встановіть правило за замовчуванням (Дозволити все або заблокувати все).
- Створіть групу правил і заповніть її правилами фаєрвола.
- Переглядати, створювати та змінювати групи правил і правила за потреби.
- Переключіть увімкнений фаєрвол на основі хоста на вкладці сенсорів .
- Перевірте правила.
Примітка. Ви можете перевірити правило лише тоді, коли його статус встановлений на Вимкнено.
- Перегляньте результати правил. Дані правил тесту відображаються на сторінці Дослідження.
- Змінюйте правила за потреби та повторно тестуйте, поки правила не працюватимуть належним чином.
- Припиніть тестування правил, які підтверджені на очікувану роботу, і встановіть їхній статус на «Увімкнено».
- Якщо ви вимкнули його під час модифікацій, переключіть Host-Based Firewall на Enable на вкладці Sensor .
- Переглядайте події та сповіщення, пов'язані з міжмережевим екраном, на сторінках Розслідування та Сповіщення відповідно.
- Продовжуйте змінювати правила за потреби. Асоціація впорядкованих (ранжованих) груп правил із політикою безпеки; Групи правил можуть повторно використовуватися у різних політиках безпеки.
- Правила оцінюються у порядку пріоритетності, визначеної користувачем.
- Можливість тестувати правила перед застосуванням.
- Підрахунок поведінки, заблокованої політикою міжмережевого екрану на основі хоста.
- Доступ до рівня безпеки активів через сторінки сповіщень і розслідування в консолі Carbon Black Cloud.
Примітка. Додаток Carbon Black Cloud Host-Based Firewall вимагає Windows Sensor v3.9 і вище.
Щоб зв'язатися з підтримкою, зверніться за номерами телефонів Dell Data Security International Support.
Перейдіть на TechDirect , щоб створити онлайн-запит на технічну підтримку.
Для додаткових інсайтів та ресурсів приєднуйтесь до Форуму спільноти безпеки Dell.