Как использовать VMware Carbon Black Cloud Host-Based Firewall
Résumé: Узнайте, как настроить правила межсетевого экрана VMware Carbon Black Cloud Host-Based Firewall, включая действия, объекты, приоритет и шаги по использованию правил межсетевого экрана.
Instructions
Узнайте о правилах межсетевого экрана на основе хостов, приоритете правил и настройке межсетевого экрана на основе узла Carbon Black Cloud.
Затронутые продукты:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Затронутые версии:
- Датчик Windows 3.9 или выше
Затронутые операционные системы:
- Windows
Правила межсетевого экрана на основе хоста
Правило брандмауэра состоит из действия и объекта. Доступные действия:
- Разрешить: Разрешает сетевой трафик
- Блок: Блокирует сетевой трафик
- Блокировка и оповещение: Блокирует сетевой трафик и отправляет оповещение на страницу Оповещения
Правила межсетевого экрана основаны на оценке следующих типов объектов:
- Локальный (клиентский компьютер)
- Удаленный (компьютер, который обменивается данными с клиентским компьютером)
Примечание. Локальным хостом всегда является клиентский компьютер с установленным датчиком. Удаленным хостом является любой компьютер или устройство, с которым он взаимодействует. Это выражение отношения с хостом не зависит от направления трафика.
- Диапазоны IP-адресов и подсетей
- Диапазоны портов или нескольких портов
- Протокол (TCP, UDP, ICMP)
- Направление (входящее и исходящее)
- Приложение, определяемое по пути к файлу
Правила брандмауэра можно объединить в группу правил брандмауэра. Группа правил брандмауэра — это логический набор правил брандмауэра, который упрощает управление несколькими отдельными правилами в одну группу, имеющими общую цель (например, несколько правил для управления доступом к FTP-серверам).
Группы правил и правила определяются в политиках, а политики назначаются ресурсам.
Приоритет правил
При создании и применении правил помните о следующем порядке приоритета:
- Правила обхода имеют приоритет над всеми остальными правилами. По этой причине правила межсетевого экрана на основе хостов имеют более низкий приоритет, чем правила обхода.
- Правила межсетевого экрана на основе узла имеют более высокий приоритет, чем правила разрешений, для которых задано значение Разрешить или Разрешить и журнал.
Существующие условия датчика могут повлиять на применение правил. Например, датчик может находиться в режиме обхода или в карантине, или приложения могут быть заблокированы. VMware Carbon Black Cloud Host-Based Firewall сохраняет запланированное действие правила, указанное пользователем, хотя правило может выполнять другие фактические действия при принудительном применении в зависимости от состояния датчика.
Пример.
| Режим датчика | Предполагаемое действие межсетевого экрана на основе хоста | Предполагаемое разрешение или правило блокировки и изоляции | Фактическое действие | Сводка |
|---|---|---|---|---|
| Карантин | Any | Any | Заблокировать | Правила блокировки карантина переопределяют правила и разрешения межсетевого экрана на основе хоста. |
| Bypass | Any | Any | Allow | Так как датчик находится в режиме обхода, правило межсетевого экрана на основе узла неэффективно. |
| Active | Any | Обход на уровне процесса | Allow | Обойденные процессы и их потомки не блокируются правилами брандмауэра на основе хостов. |
| Active | Заблокировать | Разрешить, разрешить и зарегистрировать | Заблокировать | Правила брандмауэра на основе хоста имеют приоритет над правилами разрешений без обхода. |
| Active | Allow | Заблокировать | Заблокировать | Брандмауэр на основе хоста, разрешающий подключение, не препятствует применению правила блокировки и изоляции обмена данными по сети . |
Использование межсетевого экрана на базе узла Carbon Black Cloud
В этом разделе представлен общий обзор создания и применения правил межсетевого экрана.
- Выберите политику, в которую необходимо добавить правила межсетевого экрана.
- Задайте правило по умолчанию («Разрешить все » или «Заблокировать все»).
- Создайте группу правил и заполните ее правилами брандмауэра.
- При необходимости просматривайте, создавайте и изменяйте группы правил и правила.
- Переключите Host-Based Firewall в значение Enabled на вкладке Sensor .
- Протестируйте правила.
Примечание. Правило можно протестировать, только если для его статуса установлено значение Отключено.
- Просмотрите результаты правил. Данные правила тестирования отображаются на странице Исследование.
- При необходимости измените правила и повторяйте тест, пока они не начнут работать должным образом.
- Остановите тестирование правил, которые работают должным образом, и установите для их Status значение Enabled.
- Если вы отключили его во время изменений, переключите Host-Based Firewall в значение Enabled на вкладке Sensor .
- События и оповещения, связанные с межсетевым экраном, можно просматривать на страницах «Investigate» и «Alerts» соответственно.
- При необходимости измените правила. Привязка упорядоченных (ранжированных) групп правил к политикам безопасности; Группы правил можно повторно использовать в политиках безопасности.
- Правила оцениваются в порядке приоритета, определенного пользователем.
- Возможность тестирования правил перед принудительным применением.
- Количество действий, заблокированных политикой межсетевого экрана на основе хоста.
- Визуализация состояния безопасности ресурсов на страницах «Оповещения» и «Исследование » консоли Carbon Black Cloud.
Примечание. Для надстройки Carbon Black Cloud Host-Based Firewall требуется датчик Windows версии 3.9 и выше.
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.