Cómo utilizar el firewall basado en host de VMware Carbon Black Cloud
Resumen: Obtenga información sobre cómo configurar las reglas de firewall basadas en host de VMware Carbon Black Cloud, que abarcan las acciones, los objetos, la prioridad y los pasos para usar las reglas de firewall. ...
Instrucciones
Obtenga información sobre las reglas de firewall basadas en host, la prioridad de reglas y la configuración del firewall basado en host de Carbon Black Cloud.
Productos afectados:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Versiones afectadas:
- Sensor de Windows 3.9 o superior
Sistemas operativos afectados:
- Windows
Reglas de firewall basadas en host
Una regla de firewall consta de una acción y un objeto. Las acciones disponibles son:
- Permitir: Permite el tráfico de red
- Bloques: Bloquea el tráfico de red
- Bloqueo y alerta: Bloquea el tráfico de red y envía una alerta a la página Alertas
Las reglas de firewall se basan en la evaluación de los siguientes tipos de objetos:
- Local (equipo cliente)
- Remoto (equipo que se comunica con el equipo cliente)
Nota: El host local siempre es la computadora cliente con sensor instalado. El host remoto es cualquier computadora o dispositivo con el que se comunique. Esta expresión de la relación de host es independiente de la dirección del tráfico.
- Rangos de dirección IP y subred
- Rangos de puertos o puertos
- Protocolo (TCP, UDP, ICMP)
- Dirección (entrante y saliente)
- Aplicación, determinada por la ruta de archivo
Las reglas de firewall se pueden combinar en un grupo de reglas de firewall. Un grupo de reglas de firewall es un conjunto lógico de reglas de firewall que simplifica la administración de varias reglas individuales en un solo grupo que tienen un propósito compartido (por ejemplo, varias reglas para controlar el acceso a los servidores FTP).
Las reglas y los grupos de reglas se definen en las políticas y las políticas se asignan a los recursos.
Precedencia de reglas
Cuando cree y aplique reglas, tenga en cuenta el siguiente orden de prioridad:
- Las reglas de omisión tienen prioridad sobre todas las demás reglas. Debido a esto, las reglas de firewall basadas en host tienen menor prioridad que las reglas de omisión.
- Las reglas de firewall basadas en host tienen mayor prioridad que las reglas de permisos que están configuradas en Permitir o Permitir y registrar.
Las condiciones de los sensores existentes pueden afectar la aplicación de reglas. Por ejemplo, el sensor puede estar en modo de omisión o cuarentena, o las aplicaciones pueden bloquearse. El firewall basado en host de VMware Carbon Black Cloud mantiene la acción deseada de la regla según lo especificado por el usuario, aunque la regla puede realizar una acción real diferente cuando se aplica en función de la condición del sensor.
Por ejemplo:
| Modo de sensor | Acción de firewall basada en host prevista | Permiso previsto o regla de bloqueo y aislamiento | Acción real | Resumen |
|---|---|---|---|---|
| Quarantine | Cualquiera | Cualquiera | Bloquear | Las reglas de bloqueo en cuarentena reemplazan las reglas y los permisos del firewall basado en host. |
| Bypass | Cualquiera | Cualquiera | Allow (Permitir) | Debido a que el sensor está en modo de omisión, la regla de firewall basado en host es ineficaz. |
| Activo | Cualquiera | Omisión a nivel de proceso | Allow (Permitir) | Las reglas de firewall basadas en host no bloquean los procesos omitidos ni sus descendientes. |
| Activo | Bloquear | Permitir, permitir y registrar | Bloquear | Las reglas de firewall basadas en host tienen prioridad sobre las reglas de permisos sin omisión. |
| Activo | Allow (Permitir) | Bloquear | Bloquear | El firewall basado en host que permite una conexión no impide que se aplique una regla de bloqueo y aislamiento de red que se comunique. |
Uso del firewall basado en host de Carbon Black Cloud
En esta sección, se proporciona una descripción general de cómo crear y ejecutar reglas de firewall.
- Seleccione una política a la cual agregar reglas de firewall.
- Establezca la regla predeterminada (Permitir todo o Bloquear todo).
- Cree un grupo de reglas y llénelo con reglas de firewall.
- Vea, cree y modifique grupos de reglas y reglas según sea necesario.
- Cambie Firewall basado en host a Habilitado en la pestaña Sensor .
- Pon a prueba las reglas.
Nota: Solo puede probar una regla cuando su estado está establecido en Deshabilitado.
- Revise el resultado de las reglas. Los datos de la regla de prueba se muestran en la página Investigar.
- Modifique las reglas según sea necesario y vuelva a probar hasta que las reglas funcionen según lo esperado.
- Detenga las reglas de prueba que se verifican para que funcionen según lo esperado y establezca su estado en Habilitado.
- Si lo deshabilitó durante las modificaciones, cambie Firewall basado en host a Habilitado en la pestaña Sensor .
- Vea los eventos y las alertas relacionados con el firewall en las páginas Investigate y Alerts , respectivamente.
- Continúe modificando las reglas según sea necesario. Asociación de grupos de reglas ordenadas (clasificadas) a políticas de seguridad; Los grupos de reglas se pueden reutilizar en todas las políticas de seguridad.
- Las reglas se evalúan en orden de prioridad definido por el usuario.
- Capacidad de probar las reglas antes de su aplicación.
- Conteo de comportamientos bloqueados por la política de firewall basado en host.
- Visibilidad de la postura de seguridad de los recursos a través de las páginas Alerts e Investigate en la consola de Carbon Black Cloud.
Nota: El complemento Firewall basado en host de Carbon Black Cloud requiere el sensor de Windows v3.9 y superior.
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.