Затронутые продукты:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Затронутые версии:
- Датчик Windows 3.9 или более поздней версии
Затронутые операционные системы:
Правила брандмауэра на базе хоста
Правило брандмауэра состоит из действия и объекта. Доступные действия:
- Позволяют: Разрешает сетевой трафик
- Блокировка. Блокирует сетевой трафик
- Блоки и оповещения: Блокировка сетевого трафика и отправка оповещения на страницу Оповещений
Правила брандмауэра основаны на оценке следующих типов объектов:
- Локальный (клиентский компьютер)
- Удаленный (компьютер, который обменивается данными с клиентским компьютером)
Примечание. Локальный хост всегда является клиентским компьютером, установленным с помощью датчика. Удаленный хост — это любой компьютер или устройство, с которым осуществляется связь. Это выражение отношения с хостом не зависит от направления трафика.
- Диапазоны IP-адресов и подсетей
- Диапазоны портов или портов
- Протокол (TCP, UDP, ICMP)
- Направление (входящий и исходящий)
- Приложение, определяемая путем к файлу
Правила брандмауэра можно объединить в группу правил брандмауэра. Группа правил брандмауэра — это логический набор правил брандмауэра, который упрощает управление несколькими отдельными правилами в одну группу с общей целью (например, несколько правил для управления доступом к серверам FTP).
Группы правил и правила определяются в политиках, а политики назначаются активам.
Приоритет правил
При создании и использовании правил помните о следующем порядке приоритета:
- Правила обхода имеют приоритет над всеми другими правилами. Поэтому правила брандмауэра на основе хоста имеют более высокий приоритет, чем правила Bypass.
- Правила брандмауэра на основе хоста имеют более высокий приоритет, чем правила разрешений, для которых задано значение Разрешить или Разрешить и журнал.
Примечание. Правило обхода разрешений на уровне процессов не только обходит процесс, указанный правилом, но и обходит любой из дочерних процессов.
Существующие датчики могут повлиять на применение правил. Например, датчик может быть в режиме обхода или карантина, или приложения могут быть заблокированы. Брандмауэр на базе хоста Carbon Black Cloud поддерживает указанное пользователем действие правила, хотя правило может выполнять другие фактические действия, когда оно применяется в зависимости от состояния датчика.
Пример.
| Режим датчика |
Предназначенное действие брандмауэра на основе хоста |
Указанное правило разрешения или блокировки и изоляции |
Фактическое действие |
Резюме |
| Карантин |
Any |
Any |
Заблокировать |
Правила блока карантина переопределяют правила и разрешения брандмауэра на основе хоста. |
| Обхода |
Any |
Any |
Allow |
Поскольку датчик находится в режиме обхода, правило брандмауэра на основе хоста неэффективно. |
| Активный |
Any |
Обход уровня процесса |
Allow |
Обходные процессы и их потомки не заблокированы правилами брандмауэра на основе хоста. |
| Активный |
Заблокировать |
Разрешить, разрешать и журнал |
Заблокировать |
Правила брандмауэра на основе хоста имеют приоритет над правилами разрешения без обхода. |
| Активный |
Allow |
Заблокировать |
Заблокировать |
Брандмауэр на базе хоста, разреширующий подключение, не предотвращает применение правила блокировки и изоляции сети для обмена данными. |
Использование брандмауэра на базе хоста Carbon Black Cloud
В этом разделе представлен общий обзор создания и запуска правил брандмауэра.
- Выберите политику, к которой необходимо добавить правила брандмауэра.
- Установите правило по умолчанию (Разрешить все илиблокировать все).
- Создайте группу правил и заполните ее правилами брандмауэра.
- Просмотр, создание и изменение групп правил и правил при необходимости.
- Переключите брандмауэр на хост на «Включено » на вкладке «Датчик».
- Проверьте правила.
Примечание. Можно проверить правило только в том случае, если для его состояния установлено значение Отключено.
- Просмотрите результаты проверки правил. Данные правила проверки отображаются на странице «Investigate».
- При необходимости измените правила и повторите проверку до тех пор, пока они не будут выполняться должным образом.
- Остановите правила тестирования, которые проверены на правильность выполнения, и установите для них состояниеВключено.
- Если вы отключите его во время изменений, переключите брандмауэр на основе хоста на «Включено » на вкладке «Датчик ».
- Просмотр событий и оповещений, связанных с брандмауэром, на страницах «Исследование» и «Оповещения» соответственно.
- При необходимости продолжайте изменять правила. Привязка упорядоченных (рангов) групп правил к политикам безопасности; группы правил можно использовать повторно в политиках безопасности.
- Правила оцениваются в порядке, определенном пользователем.
- Возможность проверки правил перед применением.
- Количество поведения, заблокированное политикой брандмауэра на основе хоста.
- Визуализация стратегии безопасности ресурсов с помощью страниц Alerts and Investigate в консоли Carbon Black Cloud.
Примечание. Для надстройки Брандмауэра на базе хоста Carbon Black Cloud требуется датчик Windows версии 3.9 и выше.
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.