Betreffende producten:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Betreffende versies:
- Windows Sensor 3.9 of hoger
Betreffende besturingssystemen:
Op host gebaseerde firewallregels
Een firewallregel bestaat uit een actie en een object. Beschikbare acties zijn:
- Toestaan: Hiermee kunt u het netwerkverkeer
- Blok: Blokkeert het netwerkverkeer
- Blokkeren en waarschuwen: Blokkeert het netwerkverkeer en stuurt een waarschuwing naar de pagina Waarschuwingen
Firewallregels zijn gebaseerd op evaluatie van de volgende typen objecten:
- Lokaal (clientcomputer)
- Extern (computer die communiceert met de clientcomputer)
Opmerking: De lokale host is altijd de door de sensor geïnstalleerde clientcomputer. De externe host is een computer of apparaat waarmee deze communiceert. Deze weergave van de hostrelatie staat los van de richting van het verkeer.
- IP-adres en subnetbereiken
- Poort- of poortbereiken
- Protocol (TCP, UDP, ICMP)
- Richting (inkomend en uitgaand)
- Applicatie, bepaald op bestandspad
Firewallregels kunnen worden gecombineerd tot een zogenaamde firewallregelgroep. Een firewallregelgroep is een logische set firewallregels die het beheer van meerdere afzonderlijke regels vereenvoudigt in één groep met een gedeeld doel (bijvoorbeeld meerdere regels voor het beheren van toegang tot FTP-servers).
Regelgroepen en regels worden gedefinieerd in beleid en beleidsregels worden toegewezen aan assets.
Prioriteit van regel
Houd bij het maken en toepassen van regels rekening met de volgende volgorde van prioriteit:
- Bypass-regels hebben voorrang op alle andere regels. Hierdoor hebben hostgebaseerde firewallregels een lagere prioriteit dan Bypass-regels.
- Op host gebaseerde firewallregels hebben een hogere prioriteit dan machtigingensregels die zijn ingesteld op Allow or Allow &Log.
Opmerking: Een regel voor het omzeilen van machtigingen op procesniveau omzeilt niet alleen het proces dat is opgegeven door de regel, maar omzeilt ook een van de onderliggende processen.
Bestaande sensorcondities kunnen van invloed zijn op de handhaving van regels. De sensor kan bijvoorbeeld in bypass-modus of quarantaine staan of applicaties kunnen worden geblokkeerd. Carbon Black Cloud Host-based Firewall handhaaft de beoogde actie van de regel zoals gespecificeerd door de gebruiker, hoewel de regel een andere werkelijke actie kan uitvoeren wanneer deze wordt afgedwongen op basis van de sensorconditie.
Bijvoorbeeld:
| Sensormodus |
Beoogde firewall-actie op basis van host |
Beoogde toestemmings- of blokkerings- en isolatieregel |
Werkelijke actie |
Samenvatting |
| Quarantaine |
Alle |
Alle |
Blokkeren |
Regels voor quarantaineblokkering overschrijven op host gebaseerde firewallregels en machtigingen. |
| Rondweg |
Alle |
Alle |
Allow |
Omdat de sensor zich in de bypass-modus bevindt, is de op host gebaseerde firewallregel ineffectief. |
| Actief |
Alle |
Procesniveau omzeilen |
Allow |
Omzeilde processen en hun afschermingen worden niet geblokkeerd door op host gebaseerde firewallregels. |
| Actief |
Blokkeren |
Toestaan, toestaan en registreren |
Blokkeren |
Op host gebaseerde firewallregels hebben voorrang op niet-bypass-machtigingsregels. |
| Actief |
Allow |
Blokkeren |
Blokkeren |
De hostgebaseerde firewall die een verbinding toestaat, verhindert niet dat een communicatie via de regel netwerkblokkering en isolatie wordt afgedwongen. |
Carbon Black Cloud hostgebaseerde firewall gebruiken
Dit gedeelte biedt een overzicht op hoofdniveau van het maken en uitvoeren van firewallregels.
- Selecteer een beleid waaraan u firewallregels wilt toevoegen.
- Stel de standaardregel in (Alles toestaan of Alles blokkeren).
- Maak een regelgroep en vul deze in met firewallregels.
- Zo nodig regelgroepen en regels weergeven, maken en wijzigen .
- Schakel op host gebaseerde firewall in op ingeschakeld op het tabblad Sensor.
- Test de regels.
Opmerking: U kunt alleen een regel testen wanneer de status ervan is ingesteld op Disabled.
- Evalueer het resultaat van de regels. Testregeldata worden weergegeven op de pagina Onderzoeken.
- Wijzig de regels indien nodig en test opnieuw totdat de regels naar verwachting worden uitgevoerd.
- Stop de testregels die zijn geverifieerd om te presteren zoals verwacht en stel de status ervan in op Enabled.
- Als u deze hebt uitgeschakeld tijdens wijzigingen, schakelt u op het tabblad Sensor de op host gebaseerde firewall in op Ingeschakeld.
- Bekijk respectievelijk firewallgebeurtenissen en waarschuwingen op de pagina 'Onderzoeken en waarschuwingen'.
- Ga zo nodig door met het wijzigen van regels. Koppeling van bestelde (gerangschikte) regelgroepen aan beveiligingsbeleid; regelgroepen kunnen worden hergebruikt voor alle beveiligingspolicy's.
- Regels worden geëvalueerd op volgorde van door de gebruiker gedefinieerde prioriteit.
- Mogelijkheid om regels te testen voordat de handhaving wordt afgedwongen.
- Aantal gedrag geblokkeerd door firewallbeleid op basis van host.
- Inzicht in de beveiligingshouding van assets via de pagina 'Alerts and Investigate' in de Carbon Black Cloud console.
Opmerking: De Carbon Black Cloud Host-based Firewall add-on vereist de Windows-sensor v3.9 en hoger.
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.