VMware Carbon Black Cloud Host-Based Firewall gebruiken
Résumé: Informatie over het configureren van VMware Carbon Black Cloud Host-Based Firewall-regels, met betrekking tot acties, objecten, prioriteit en stappen voor het gebruik van de firewallregels. ...
Instructions
Meer informatie over op hosts gebaseerde firewallregels, voorrang van regels en het configureren van de Carbon Black Cloud hostgebaseerde firewall.
Betreffende producten:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Betreffende versies:
- Windows-sensor 3.9 of hoger
Betreffende besturingssystemen:
- Windows
Op host gebaseerde firewallregels
Een firewallregel bestaat uit een actie en een object. Beschikbare acties zijn:
- Toestaan: Maakt netwerkverkeer mogelijk
- Blok: Blokkeert netwerkverkeer
- Blokkeren en waarschuwen: Blokkeert netwerkverkeer en stuurt een waarschuwing naar de pagina Meldingen
Firewallregels zijn gebaseerd op evaluatie van de volgende typen objecten:
- Lokaal (clientcomputer)
- Extern (computer die communiceert met de clientcomputer)
Opmerking: De lokale host is altijd de door de sensor geïnstalleerde clientcomputer. De externe host is een computer of apparaat waarmee deze communiceert. Deze uitdrukking van de hostrelatie is onafhankelijk van de rijrichting.
- IP-adres en subnetbereiken
- Poorten of poortbereiken
- Protocol (TCP, UDP, ICMP)
- Richting (inkomend en uitgaand)
- Applicatie, bepaald door bestandspad
Firewallregels kunnen worden gecombineerd tot een firewallregelgroep. Een firewallregelgroep is een logische set firewallregels waarmee het beheer van meerdere afzonderlijke regels in één groep met een gedeeld doel wordt vereenvoudigd (bijvoorbeeld meerdere regels om de toegang tot FTP-servers te beheren).
Regelgroepen en regels worden gedefinieerd in beleidsregels en beleidsregels worden toegewezen aan assets.
Voorrang van regel
Houd bij het maken en toepassen van regels rekening met de volgende prioriteitsvolgorde:
- Bypass-regels hebben voorrang op alle andere regels. Hierdoor hebben hostgebaseerde firewallregels een lagere prioriteit dan bypass-regels.
- Host-Based Firewall-regels hebben een hogere prioriteit dan Permissions-regels die zijn ingesteld op Allow of Allow & Log.
Bestaande sensorcondities kunnen van invloed zijn op de handhaving van regels. De sensor kan bijvoorbeeld in bypass-modus of quarantaine staan, of applicaties kunnen worden geblokkeerd. VMware Carbon Black Cloud Host-Based Firewall handhaaft de beoogde actie van de regel zoals opgegeven door de gebruiker, hoewel de regel een andere daadwerkelijke actie kan ondernemen wanneer deze wordt afgedwongen op basis van de sensorconditie.
Bijvoorbeeld:
| Sensormodus | Beoogde hostgebaseerde firewallactie | Beoogde toestemming of blokkerings- en isolatieregel | Daadwerkelijke actie | Samenvatting |
|---|---|---|---|---|
| Quarantaine | Elke | Elke | Blokkeren | Quarantaineblokregels overschrijven de op host gebaseerde firewallregels en machtigingen. |
| Rondweg | Elke | Elke | Allow | Omdat de sensor zich in de bypass-modus bevindt, is de Host-Based Firewall-regel niet effectief. |
| Actief | Elke | Bypass procesniveau | Allow | Omzeilde processen en hun afstammelingen worden niet geblokkeerd door Host-Based Firewall-regels. |
| Actief | Blokkeren | Toestaan, toestaan en logboeken | Blokkeren | Hostgebaseerde firewallregels hebben voorrang op niet-bypass-machtigingsregels. |
| Actief | Allow | Blokkeren | Blokkeren | Een hostgebaseerde firewall die een verbinding toestaat, voorkomt niet dat een regel voor blokkeren en isoleren communiceert via het netwerk wordt afgedwongen. |
Carbon Black Cloud Host-Based Firewall gebruiken
In dit gedeelte vindt u een algemeen overzicht van het maken en uitvoeren van firewallregels.
- Selecteer een beleid waaraan u firewallregels wilt toevoegen.
- Stel de standaardregel in (Alles toestaan of Alles blokkeren).
- Maak een regelgroep en vul deze met firewallregels.
- Bekijk, maak en wijzig regelgroepen en regels indien nodig.
- Schakel Hostgebaseerde firewall in op Ingeschakeld op het tabblad Sensor .
- Test de regels.
Opmerking: U kunt een regel alleen testen wanneer de status is ingesteld op Uitgeschakeld.
- Bekijk de uitkomst van de regels. Testregeldata worden weergegeven op de pagina Onderzoeken.
- Wijzig regels indien nodig en test opnieuw totdat de regels werken zoals verwacht.
- Stop met het testen van regels waarvan is geverifieerd dat ze naar verwachting werken en stel de status ervan in op Ingeschakeld.
- Als u deze hebt uitgeschakeld tijdens aanpassingen, schakelt u Host-Based Firewall in op Enabled op het tabblad Sensor .
- Bekijk firewall-gerelateerde gebeurtenissen en waarschuwingen op respectievelijk de pagina's Onderzoeken en Waarschuwingen .
- Blijf de regels indien nodig wijzigen. Koppeling van geordende (gerangschikte) regelgroepen aan beveiligingsbeleid; Regelgroepen kunnen worden hergebruikt in beveiligingsbeleid.
- Regels worden geëvalueerd op volgorde van door de gebruiker gedefinieerde prioriteit.
- Mogelijkheid om regels te testen voordat ze worden gehandhaafd.
- Aantal gedragingen dat is geblokkeerd door op host gebaseerd firewallbeleid.
- Inzicht in de beveiligingsstatus van bedrijfsmiddelen via de pagina's Waarschuwingen en Onderzoek in de Carbon Black Cloud-console.
Opmerking: De add-on Carbon Black Cloud Host-Based Firewall vereist de Windows-sensor v3.9 en hoger.
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.