Betroffene Produkte:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Betroffene Versionen:
- Windows Sensor 3.9 oder höher
Betroffene Betriebssysteme:
Hostbasierte Firewallregeln
Eine Firewallregel besteht aus einer Aktion und einem Objekt. Verfügbare Aktionen sind:
- Ermöglichen: Ermöglicht den Netzwerkdatenverkehr
- Block: Blockiert den Netzwerkdatenverkehr
- Block und Warnmeldung: Blockiert den Netzwerkdatenverkehr und sendet eine Warnmeldung an die Seite Warnmeldungen.
Firewallregeln basieren auf der Bewertung der folgenden Objekttypen:
- Lokal (Client-Computer)
- Remote (Computer, der mit dem Clientcomputer kommuniziert)
Hinweis: Der lokale Host ist immer der vom Sensor installierte Client-Computer. Der Remotehost ist jeder Computer oder jedes Gerät, mit dem er kommuniziert. Dieser Ausdruck der Hostbeziehung ist unabhängig von der Datenverkehrsrichtung.
- IP-Adresse und Subnetzbereiche
- Port- oder Portbereiche
- Protokoll (TCP, UDP, ICMP)
- Richtung (eingehend und ausgehend)
- Anwendung, bestimmt durch Dateipfad
Firewallregeln können in einer sogenannten Firewallregelgruppe kombiniert werden. Eine Firewallregelgruppe ist ein logischer Satz von Firewallregeln, der die Verwaltung mehrerer einzelner Regeln in einer einzigen Gruppe vereinfacht, die einen gemeinsamen Zweck hat (z. B. mehrere Regeln zur Steuerung des Zugriffs auf FTP-Server).
Regelgruppen und Regeln werden in Policies definiert und Policies werden Ressourcen zugewiesen.
Regelreihenfolge
Beachten Sie beim Erstellen und Anwenden von Regeln die folgende Rangfolge:
- Umgehungsregeln haben Vorrang vor allen anderen Regeln. Aus diesem Grund haben hostbasierte Firewallregeln eine geringere Priorität als Die Umgehungsregeln.
- Hostbasierte Firewallregeln haben eine höhere Priorität als Berechtigungsregeln, die auf Zulassen oder Zulassen > Protokoll festgelegt sind.
Hinweis: Eine Regel zum Umgehen von Berechtigungen auf Prozessebene umgeht nicht nur den in der Regel angegebenen Prozess, sondern umgeht auch alle untergeordneten Prozesse.
Vorhandene Sensorbedingungen können sich auf die Durchsetzung von Regeln auswirken. Beispielsweise kann sich der Sensor im Umgehungsmodus oder in Quarantäne befinden oder Anwendungen können blockiert werden. Die hostbasierte Carbon Black Cloud Firewall behält die vom Benutzer angegebene beabsichtigte Aktion der Regel bei, obwohl die Regel eine andere tatsächliche Aktion durchführen kann, wenn sie basierend auf der Sensorbedingung erzwungen wird.
Zum Beispiel:
| Sensormodus |
Beabsichtigte hostbasierte Firewallaktion |
Vorgesehene Berechtigung oder Blockierungs- und Isolierungsregel |
Tatsächliche Aktion |
Übersicht |
| Quarantäne |
Alle |
Alle |
Sperren |
Quarantäne-Blockregeln überschreiben hostbasierte Firewallregeln und Berechtigungen. |
| Umgehen |
Alle |
Alle |
Zulassen |
Da sich der Sensor im Umgehungsmodus befindet, ist die hostbasierte Firewallregel ineffektiv. |
| Aktiv |
Alle |
Umgehung auf Prozessebene |
Zulassen |
Umgang mit Prozessen und deren Nachfolgern werden nicht durch hostbasierte Firewallregeln blockiert. |
| Aktiv |
Sperren |
Zulassen, Zulassen und Protokollieren |
Sperren |
Hostbasierte Firewallregeln haben Vorrang vor Nichtumgehungsberechtigungsregeln. |
| Aktiv |
Zulassen |
Sperren |
Sperren |
Hostbasierte Firewall, die eine Verbindung zulässt, verhindert nicht, dass eine Kommunikation über die Regel "Netzwerkblockierung und -isolierung" erzwungen wird. |
Verwenden einer hostbasierten Carbon Black Cloud-Firewall
Dieser Abschnitt bietet eine allgemeine Übersicht über das Erstellen und Ausführen von Firewallregeln.
- Wählen Sie eine Richtlinie aus, der Firewallregeln hinzugefügt werden sollen.
- Legen Sie die Standardregel fest (Alle zulassen oder alle blockieren).
- Erstellen Sie eine Regelgruppe und füllen Sie sie mit Firewallregeln aus.
- Anzeigen, Erstellen und Ändern von Regelgruppen und Regeln nach Bedarf
- Schalten Sie die hostbasierte Firewall auf der Registerkarte Sensor auf Enabled um.
- Testen Sie die Regeln.
Hinweis: Sie können eine Regel nur testen, wenn der Status auf Disabled (Deaktiviert) gesetzt ist.
- Überprüfen Sie das Ergebnis der Regeln. Die Testregeldaten werden auf der Seite Untersuchen angezeigt.
- Ändern Sie die Regeln nach Bedarf und testen Sie sie erneut, bis die Regeln wie erwartet funktionieren.
- Beenden Sie die Testregeln, für die überprüft wurde, dass sie wie erwartet ausgeführt werden, und setzen Sie ihren Status auf Aktiviert.
- Wenn Sie sie während Änderungen deaktiviert haben, wechseln Sie auf der Registerkarte Sensor zu Aktiviert.
- Zeigen Sie Firewall-bezogene Ereignisse und Warnmeldungen auf den Seiten "Untersuchen" bzw. "Warnmeldungen" an.
- Ändern Sie die Regeln nach Bedarf weiter. Zuordnung von geordneten Regelgruppen zu Sicherheitsrichtlinien; Regelgruppen können über Sicherheitsrichtlinien hinweg wiederverwendet werden.
- Regeln werden in der Reihenfolge der benutzerdefinierten Priorität ausgewertet.
- Möglichkeit zum Testen von Regeln vor der Durchsetzung
- Anzahl der Durch hostbasierte Firewall-Richtlinien blockierten Verhaltensweisen.
- Sichtbarkeit der Sicherheitslage von Ressourcen über die Seiten "Warnmeldungen" und "Untersuchen" in der Carbon Black Cloud-Konsole.
Hinweis: Für das add-on carbon black cloud hostbasierte Firewall ist der Windows-Sensor v3.9 und höher erforderlich.
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.