Berørte produkter:
- VMware Carbon Black Cloud-standard
- Avansert VMware Carbon Black Cloud
- VMware Carbon Black Cloud Enterprise
Berørte versjoner:
- Windows Sensor 3.9 eller nyere
Berørte operativsystemer:
Vertsbaserte brannmurregler
En brannmurregel består av en handling og et objekt. Tilgjengelige handlinger er:
- Tillate: Tillater nettverkstrafikk
- Blokker: Blokkerer nettverkstrafikken
- Blokkering og varsel: Blokkerer nettverkstrafikken og sender et varsel til siden Alerts (Varsler)
Brannmurreglene er basert på evaluering av følgende typer objekter:
- Lokal (klientdatamaskin)
- Ekstern (datamaskin som kommuniserer med klientdatamaskinen)
Merk: Den lokale verten er alltid den sensorinstallerte klientdatamaskinen. Den eksterne verten er en hvilken som helst datamaskin eller enhet som den kommuniserer med. Dette uttrykket for vertsrelasjonen er uavhengig av trafikkretningen.
- IP-adresse- og delnettområder
- Port- eller portområder
- Protokoll (TCP, UDP, ICMP)
- Retning (inngående og utgående)
- Applikasjon, bestemmes av filbanen
Brannmurregler kan kombineres i det som kalles en brannmurregelgruppe. En brannmurregelgruppe er et logisk sett med brannmurregler som forenkler administrasjonen av flere individuelle regler i én enkelt gruppe som har et delt formål (for eksempel flere regler for å kontrollere tilgangen til FTP-servere).
Regelgrupper og regler defineres i policyer, og policyer tilordnes ressurser.
Regelpriviens
Når du oppretter og bruker regler, må du huske følgende prioritetsrekkefølge:
- Omgåelsesregler overstyrer alle andre regler. På grunn av dette har vertsbaserte brannmurregler lavere prioritet enn bypass-regler.
- Vertsbaserte brannmurregler har høyere prioritet enn tillatelsesregler som er angitt til Allow (Tillat) eller Allow (Tillat) &Log (Tillat).
Merk: En omgåelsesregel for tillatelse på prosessnivå omgår ikke bare prosessen som er angitt av regelen, men omgår også alle underordnede prosesser.
Eksisterende sensorforhold kan påvirke håndhevingen av reglene. Sensoren kan for eksempel være i omgåelsesmodus eller karantene, eller applikasjoner kan blokkeres. Vertsbasert Carbon Black Cloud-brannmur opprettholder den tiltenkte handlingen til regelen som spesifisert av brukeren, selv om regelen kan utføre en annen faktisk handling når den håndheves basert på sensortilstanden.
Eksempel:
| Sensormodus |
Tiltenkt vertsbasert brannmurhandling |
Tiltenkt tillatelse eller blokkerings- og isoleringsregel |
Faktisk handling |
Sammendrag |
| Karantene |
Noen |
Noen |
Blokk |
Regler for karanteneblokk overstyrer vertsbaserte brannmurregler og -tillatelser. |
| Omkjøringsvei |
Noen |
Noen |
Allow (Tillat) |
Siden sensoren er i forbikoblingsmodus, er den vertsbaserte brannmurregelen ineffektiv. |
| Aktiv |
Noen |
Forbikoble prosessnivå |
Allow (Tillat) |
Forbikoblede prosesser og deres forsendringer blokkeres ikke av vertsbaserte brannmurregler. |
| Aktiv |
Blokk |
Tillat, tillat og logg |
Blokk |
Vertsbaserte brannmurregler overstyrer tillatelsesregler som ikke omgås. |
| Aktiv |
Allow (Tillat) |
Blokk |
Blokk |
Vertsbasert brannmur som tillater en tilkobling, hindrer ikke at en kommunikasjon over regelen for nettverksblokkering og isolering håndheves. |
Bruke vertsbasert carbon black cloud-brannmur
Denne delen gir en oversikt på høyt nivå over hvordan du oppretter og kjører brannmurregler.
- Velg en policy for å legge til brannmurregler.
- Angi standardregelen (Tillat alle eller blokker alle).
- Opprett en regelgruppe, og fyll den ut med brannmurregler.
- Vis, opprett og endre regelgrupper og regler etter behov.
- Bytt vertsbasert brannmur til Enabled (Aktivert ) på fanen Sensor (Sensor).
- Test reglene.
Merk: Du kan bare teste en regel når statusen er satt til Disabled (Deaktivert).
- Gjennomgå resultatet av reglene. Testregeldata vises på siden Investigate (Undersøk).
- Endre regler etter behov og test på nytt til reglene utføres som forventet.
- Stopp testregler som er bekreftet å utføre som forventet, og angi statusen til Enabled (Aktivert).
- Hvis du har deaktivert den under modifikasjoner, bytter du vertsbasert brannmur til Enabled (Aktivert ) på fanen Sensor (Sensor ).
- Vis brannmurrelaterte hendelser og varsler på sidene Undersøk og varsler.
- Fortsett med å endre regler etter behov. Tilknytning av bestilte (rangerte) regelgrupper til sikkerhetspolicyer, regelgrupper kan brukes på nytt på tvers av sikkerhetspolicyer.
- Reglene evalueres i rekkefølge av brukerdefinert prioritet.
- Mulighet til å teste regler før håndhevelse.
- Antall atferd som blokkeres av vertsbasert brannmurpolicy.
- Synlighet i sikkerhetsholdningen til ressurser via varslings- og undersøkesidene i Carbon Black Cloud-konsollen.
Merk: Carbon Black Cloud-vertsbasert brannmurtillegg krever Windows-sensor v3.9 og høyere.
Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.