Tuotteet, joita asia koskee:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Versiot, joita asia koskee:
- Windows Sensor 3.9 tai uudempi
Käyttöjärjestelmät, joita asia koskee:
Isäntäperustaiset palomuurisäännöt
Palomuurisääntö koostuu toiminnasta ja objektista. Käytettävissä olevat toimet ovat:
- Salli: Sallii verkkoliikenteen
- Block: Estää verkkoliikenteen
- Esto ja hälytys: Estää verkkoliikenteen ja lähettää hälytyksen Alerts-sivulle
Palomuurisäännöt perustuvat seuraavien kohteiden arviointiin:
- Paikallinen (työasematietokone)
- Remote (tietokone, joka on yhteydessä työasematietokoneen kanssa)
Huomautus: Paikallinen isäntä on aina anturiin asennettu työasematietokone. Etäisäntä on tietokone tai laite, jonka kanssa se on yhteydessä. Tämä isäntäsuhteen ilmaus on riippumaton liikenteen suunnasta.
- IP-osoite- ja aliverkkoalueet
- Portti- tai porttialueet
- Protokolla (TCP, UDP, ICMP)
- Suunta (saapuva ja lähtevä)
- Sovellus, määritetty tiedostopolun mukaan
Palomuurisäännöt voidaan yhdistää palomuurin sääntöryhmään. Palomuurin sääntöryhmä on looginen palomuurisääntöjen joukko, joka yksinkertaistaa useiden yksittäisten sääntöjen hallintaa samassa ryhmässä, jolla on jaettu tarkoitus (esimerkiksi useita sääntöjä, joilla hallitaan FTP-palvelinten käyttöä).
Sääntöryhmät ja -säännöt määritetään käytännöissä, ja käytännöt määritetään resursseihin.
Säännön tärkeys
Kun luot ja käytät sääntöjä, muista seuraavat tärkeysjärjestys:
- Ohitussäännöt ovat etusijalla muihin sääntöihin nähden. Tämän vuoksi isäntäperustaisten palomuurisääntöjen tärkeys on pienempi kuin ohitussääntöjen.
- Isäntäperustaisissa palomuurisäännöissä on suurempi tärkeys kuin käyttöoikeussäännöissä, joiden asetuksena on Allow (Salli) tai Allow (Salli) ja Log (Salli ja loki).
Huomautus: Prosessitason käyttöoikeuksien ohitussääntö ei ainoastaan ohita säännön määrittämää prosessia, vaan myös ohittaa kaikki sen aliprosessit.
Olemassa olevat anturin olosuhteet voivat vaikuttaa sääntöjen noudattamiseen. Anturi voi olla esimerkiksi ohitustilassa tai karanteenissa, tai sovellukset voidaan estää. Carbon Black Cloud -isäntäpohjainen palomuuri ylläpitää käyttäjän määrittämiä säännön suunniteltuja toimia, vaikka sääntö voikin tehdä anturin kunnon mukaan erilaisia todellisia toimia.
Esimerkki:
| Anturitila |
Suunniteltu isäntäperustainen palomuuritoiminto |
Käyttöoikeuden tai esto- ja eristyssäännön määrittäminen |
Todellinen toimenpide |
Yhteenveto |
| Quarantine |
Mitään |
Mitään |
Lohko |
Karanteenilohkosäännöt ohittavat isäntäperustaiset palomuurisäännöt ja -käyttöoikeudet. |
| Johtaa ohi |
Mitään |
Mitään |
Allow |
Koska anturi on ohitustilassa, isäntäperustainen palomuurisääntö ei toimi. |
| Aktiivinen |
Mitään |
Process Level Bypass |
Allow |
Isäntäperustaiset palomuurisäännöt eivät estä ohitettuja prosesseja ja niiden uudelleenohjautumista. |
| Aktiivinen |
Lohko |
Allow, Allow &log (Salli, Salli ja Loki) |
Lohko |
Isäntäperustaiset palomuurisäännöt ovat etusijalla ei-ohituskäyttöoikeussääntöihin nähden. |
| Aktiivinen |
Allow |
Lohko |
Lohko |
Isäntäperustainen palomuuri, joka sallii yhteyden, ei estä verkon esto- ja eristyssäännön viestintää . |
Carbon Black Cloud -isäntäperustaisen palomuurin käyttäminen
Tämä osa sisältää korkean tason yleiskatsauksen palomuurisääntöjen luomisesta ja suorittamisesta.
- Valitse käytäntö, johon palomuurisäännöt lisätään.
- Määritä oletussääntö (Salli kaikki tai Estä kaikki).
- Luo sääntöryhmä ja lisää siihen palomuurisäännöt.
- Sääntöryhmien ja -sääntöjen tarkasteleminen, luominen ja muokkaaminen tarpeen mukaan
- Vaihda Sensor-välilehdessä host-based firewall -asetus Enabled -kytkimeksi .
- Testaa sääntöjä.
Huomautus: Sääntöä voi testata vain, kun sen Tila-asetukseksi on valittu Disabled.
- Sääntöjen tulosten tarkistaminen . Testisääntötiedot näkyvät Tutki-sivulla.
- Muokkaa sääntöjä tarvittaessa ja testaa, kunnes säännöt toimivat odotetusti.
- Lopeta testisäännöt, joiden toiminta on vahvistettu odotetusti, ja määritä niiden tilaksiEnabled.
- Jos olet poistanut sen käytöstä muutosten aikana, vaihda Sensor-välilehdessä Host-based Firewall -asetukseksi Enabled.
- Näyttää palomuuriin liittyvät tapahtumat ja hälytykset Investigate (Tutki) ja Alerts (Hälytykset) -sivuilla.
- Jatka sääntöjen muokkaamista tarpeen mukaan. Tilattujen (rankki) sääntöryhmien liittäminen suojauskäytäntöihin sääntöryhmiä voidaan käyttää uudelleen eri suojauskäytännöillä.
- Säännöt arvioidaan käyttäjän määrittämän tärkeysjärjestyksen mukaan.
- Mahdollisuus testata sääntöjä ennen pakotetta.
- Isäntäperustaisen palomuurikäytännön estämien käyttäytymisten määrä.
- Resurssien tietoturva-asennon näkyvyys Carbon Black Cloud -konsolin hälytysten ja tutkimussivujen avulla.
Huomautus: Carbon Black Cloud -isäntäpohjainen palomuurilisäosa edellyttää Windows-anturin versiota 3.9 ja uudempia.
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.