Jak korzystać z VMware Carbon Black Cloud Host-Based Firewall
Résumé: Dowiedz się, jak skonfigurować reguły VMware Carbon Black Cloud Host-Based Firewall, obejmujące działania, obiekty, pierwszeństwo i kroki korzystania z reguł zapory.
Instructions
Dowiedz się więcej na temat reguł zapory opartej na hoście, pierwszeństwa reguł i konfigurowania zapory opartej na hoście Carbon Black Cloud.
Dotyczy produktów:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Dotyczy wersji:
- Czujnik systemu Windows w wersji 3.9 lub nowszej
Dotyczy systemów operacyjnych:
- Windows
Reguły zapory opartej na hoście
Reguła zapory składa się z akcji i obiektu. Dostępne działania:
- Zezwalaj: Zezwala na ruch sieciowy
- Blok: Blokuje ruch sieciowy
- Blokuj i ostrzegaj: Blokuje ruch sieciowy i wysyła alert na stronę Alerty
Reguły zapory sieciowej są oparte na ocenie następujących typów obiektów:
- Lokalnie (komputer kliencki)
- Zdalny (komputer, który komunikuje się z komputerem klienckim)
Uwaga: Host lokalny jest zawsze komputerem klienckim zainstalowanym przez czujnik. Host zdalny to dowolny komputer lub urządzenie, z którym się komunikuje. To wyrażenie relacji hosta jest niezależne od kierunku ruchu.
- Adresy IP i zakresy podsieci
- Port lub zakresy portów
- Protokół (TCP, UDP, ICMP)
- Kierunek (przychodzący i wychodzący)
- Aplikacja określona na podstawie ścieżki pliku
Reguły zapory można połączyć w grupę reguł zapory. Grupa reguł zapory to logiczny zestaw reguł zapory, który upraszcza zarządzanie wieloma indywidualnymi regułami w jedną grupę, które mają wspólny cel (na przykład wiele reguł do kontrolowania dostępu do serwerów FTP).
Grupy reguł i reguły są definiowane w zasadach, a zasady są przypisywane do zasobów.
Pierwszeństwo reguł
Podczas tworzenia i stosowania reguł należy pamiętać o następującej kolejności pierwszeństwa:
- Reguły pomijania mają pierwszeństwo przed wszystkimi innymi regułami. Z tego powodu reguły zapory opartej na hoście mają niższy priorytet niż reguły pomijania.
- Reguły zapory opartej na hoście mają wyższy priorytet niż reguły uprawnień, które są ustawione na Zezwalaj lub Zezwalaj i rejestruj.
Istniejące warunki z czujnikami mogą mieć wpływ na egzekwowanie reguł. Na przykład czujnik może być w trybie obejścia lub kwarantanny, albo aplikacje mogą być zablokowane. VMware Carbon Black Cloud Host-Based Firewall zachowuje zamierzone działanie reguły określone przez użytkownika, chociaż reguła może podjąć inne rzeczywiste działanie, gdy jest wymuszana na podstawie stanu czujnika.
Na przykład:
| Tryb czujnika | Zamierzone działanie zapory oparte na hoście | Zamierzone uprawnienie lub reguła blokowania i izolacji | Rzeczywiste działanie | Summary |
|---|---|---|---|---|
| Quarantine | Dowolny | Dowolny | Blokuj | Reguły blokowania kwarantanny zastępują reguły i uprawnienia zapory opartej na hoście. |
| Bypass | Dowolny | Dowolny | Zezwól | Ponieważ czujnik jest w trybie pomijania, reguła zapory opartej na hoście jest nieskuteczna. |
| Active | Dowolny | Obejście poziomu procesu | Zezwól | Pominięte procesy i ich elementy podrzędne nie są blokowane przez reguły zapory opartej na hoście. |
| Active | Blokuj | Zezwalaj, zezwalaj i rejestruj | Blokuj | Reguły zapory opartej na hoście mają pierwszeństwo przed regułami uprawnień bez obejścia. |
| Active | Zezwól | Blokuj | Blokuj | Zapora oparta na hoście zezwalająca na połączenie nie uniemożliwia wymuszenia reguły Blokowanie i izolacja komunikacji przez sieć . |
Korzystanie z zapory internetowej opartej na hoście Carbon Black Cloud
Ta sekcja zawiera ogólne omówienie tworzenia i uruchamiania reguł zapory.
- Wybierz zasadę, do której chcesz dodać reguły zapory.
- Ustaw regułę domyślną (Zezwalaj na wszystkie lub Blokuj wszystkie).
- Utwórz grupę reguł i wypełnij ją regułami zapory.
- Wyświetlanie, tworzenie i modyfikowanie grup reguł i reguł zgodnie z potrzebami.
- Przełącz opcję Host-Based Firewall na wartość Enabled na karcie Sensor .
- Przetestuj reguły.
Uwaga: Regułę można testować tylko wtedy, gdy jej stan jest ustawiony na Wyłączone.
- Przejrzyj wynik reguł. Dane reguły testowej są wyświetlane na stronie Badanie.
- W razie potrzeby zmodyfikuj reguły i ponownie przetestuj, aż reguły będą działać zgodnie z oczekiwaniami.
- Zatrzymaj testowanie reguł, które zostały zweryfikowane pod kątem działania zgodnie z oczekiwaniami, i ustaw ich stan na Włączony.
- Jeśli została wyłączona podczas modyfikacji, przełącz opcję Zapora oparta na hoście na pozycję Włączone na karcie Czujnik .
- Wyświetl zdarzenia i alerty związane z zaporą odpowiednio na stronach Badanie i Alerty .
- Kontynuuj modyfikowanie reguł zgodnie z potrzebami. Skojarzenie uporządkowanych (uszeregowanych) grup reguł z zasadami zabezpieczeń; Grupy reguł mogą być ponownie używane w różnych zasadach zabezpieczeń.
- Reguły są oceniane w kolejności pierwszeństwa zdefiniowanego przez użytkownika.
- Możliwość testowania reguł przed ich egzekwowaniem.
- Liczba zachowań zablokowanych przez zasady zapory opartej na hoście.
- Wgląd w stan zabezpieczeń zasobów za pośrednictwem stron Alerts i Investigate w konsoli Carbon Black Cloud.
Uwaga: Dodatek Carbon Black Cloud Host-Based Firewall wymaga czujnika systemu Windows w wersji 3.9 lub nowszej.
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.