Sådan bruger du værtsbaseret VMware Carbon Black Cloud-firewall

Summary: VMware Carbon Black værtsbaseret firewall bruges ved at konfigurere firewallregler.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berørte produkter:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Berørte versioner:

  • Windows-sensor 3.9 eller nyere

Påvirkede operativsystemer:

  • Windows
Bemærk: Du kan få flere oplysninger om VMware Carbon Black Cloud-versioner under Hvad er forskellene mellem VMware Carbon Black Cloud-versioner.

Værtsbaserede firewallregler

En firewallregel består af en handling og et objekt. Tilgængelige handlinger er:

  • Tillade: Tillader netværkstrafik
  • Blok: Blokerer netværkstrafikken
  • Blokering og advarsel: Blokerer netværkstrafikken og sender en advarsel til siden Advarsler

Firewallreglerne er baseret på evaluering af følgende typer objekter:

  • Lokal (klientcomputer)
  • Fjerncomputer (computer, der kommunikerer med klientcomputeren)
Bemærk: Den lokale vært er altid den sensorinstallerede klientcomputer. Fjernværten er enhver computer eller enhed, som den kommunikerer med. Dette udtryk for værtsforholdet er uafhængigt af retningen af trafikken.
  • IP-adresse- og undernetintervaller
  • Port- eller portintervaller
  • Protokol (TCP, UDP, ICMP)
  • Retning (indgående og udgående)
  • Program bestemt af filstien

Firewall-regler kan kombineres i det, der kaldes en firewallregelgruppe. En firewallregelgruppe er et logisk sæt firewallregler, der forenkler administrationen af flere individuelle regler i en enkelt gruppe, der har et delt formål (f.eks. flere regler for at kontrollere adgang til FTP-servere).

Regelgrupper og regler defineres i politikker, og politikker tildeles aktiver.

Regelprioritet

Når du opretter og anvender regler, skal du være opmærksom på følgende prioritetsrækkefølge:

  • Omgåelsesregler har forrang over alle andre regler. Derfor har værtsbaserede firewallregler lavere fortrinsret end Omgå regler.
  • Værtsbaserede firewallregler har højere fortrinsret end tilladelsesregler, der er indstillet til Tillad eller Tillad &log.
Bemærk: En omgåelsesregel på procesniveau omgår ikke kun den proces, der er angivet af reglen, men forbigår også nogen af dens underordnede processer.

Eksisterende sensorforhold kan påvirke håndhævelsen af regler. F.eks. kan sensoren være i bypass-tilstand eller karantæne, eller programmer kan blokeres. Carbon Black Cloud-værtsbaseret firewall opretholder den tiltænkte handling fra reglen som angivet af brugeren, selvom reglen kan foretage en anden faktisk handling, når den håndhæves baseret på sensorens tilstand.

F.eks.:

Sensortilstand Forventet værtsbaseret firewallhandling Tilsigtet tilladelse eller blokerings- og isoleringsregel Faktisk handling Overblik
Karantæne Nogen Nogen Bloker Karantæneblokeringsregler tilsidesætter værtsbaserede firewallregler og tilladelser.
Omgå Nogen Nogen Allow (Tillad) Da sensoren er i bypass-tilstand, er den værtsbaserede firewallregel ikke korrekt.
Aktiv Nogen Omgåelse af procesniveau Allow (Tillad) Omgår processer og deres teknikere blokeres ikke af værtsbaserede firewallregler.
Aktiv Bloker Tillad, Tillad &log Bloker Værtsbaserede firewallregler har forrang over regler for ikke-omgåelsestilladelser.
Aktiv Allow (Tillad) Bloker Bloker Værtsbaseret firewall, der tillader en forbindelse, forhindrer ikke, at en kommunikation via netværksblokerings - og isoleringsreglen gennemtvinges.

Brug af værtsbaseret Carbon Black Cloud-firewall

Dette afsnit indeholder en detaljeret oversigt over, hvordan du opretter og kører firewallregler.

  1. Vælg en politik, som du vil tilføje firewallregler til.
  2. Angiv standardreglen (Tillad alle eller Bloker alle).
  3. Opret en regelgruppe, og udfyld den med firewallregler.
  4. Få vist, opret og rediger regelgrupper og regler efter behov.
  5. Skift værtsbaseret firewall til Aktiveret på fanen Sensor.
  6. Test reglerne.
Bemærk: Du kan kun teste en regel, når dens status er indstillet til Deaktiveret.
  1. Gennemgå resultatet af reglerne. Testregeldata vises på siden Undersøg.
  2. Rediger regler efter behov, og test dem igen, indtil reglerne fungerer som forventet.
  3. Stop testregler, der er verificeret til at fungere som forventet, og indstil deres status til Aktiveret.
  4. Hvis du har deaktiveret den under ændringer, skal du skifte værtsbaseret firewall til Aktiveret på fanen Sensor .
  5. Se firewall-relaterede hændelser og advarsler på siderne Undersøg og advarsler.
  6. Fortsæt med at ændre regler efter behov. Tilknytning af bestilte (ranger)-regelgrupper til sikkerhedspolitikker; regelgrupper kan genbruges på tværs af sikkerhedspolitikker.
    • Regler evalueres i rækkefølge efter brugerdefineret prioritet.
    • Mulighed for at teste regler før håndhævelse.
    • Antal adfærde blokeret af værtsbaseret firewallpolitik.
    • Synlighed over sikkerhedsstilling af aktiver gennem advarsler og undersøg sider i Carbon Black Cloud-konsollen.
Bemærk: Det værtsbaserede Firewall-tillæg til Carbon Black Cloud kræver Windows-sensor v 3.9 og højere.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000214381
Article Type: How To
Last Modified: 31 May 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.