如何使用 VMware Carbon Black Cloud 基于主机的防火墙

了解基于主机的防火墙规则、规则优先级和配置 Carbon Black Cloud 基于主机的防火墙。

受影响的产品：

• VMware Carbon Black Cloud Standard
• VMware Carbon Black Cloud Advanced
• VMware Carbon Black Cloud Enterprise

受影响的版本：

• Windows 传感器 3.9 或更高版本

受影响的操作系统：

• Windows

基于主机的防火墙规则

防火墙规则由操作和对象组成。可用操作包括：

• 允许：允许网络流量
• 块：阻止网络流量
• 阻止和警报：阻止网络流量并将警报发送到 “警报 ”页面

防火墙规则基于对以下类型对象的评估：

• 本地（客户端计算机）
• 远程（与客户端计算机通信的计算机）
  提醒：本地主机始终是传感器安装的客户端计算机。远程主机是与其通信的任何计算机或设备。主机关系的这种表达方式与流量方向无关。
• IP 地址和子网范围
• 端口或端口范围
• 协议（TCP、UDP、ICMP）
• 方向（入站和出站）
• 应用程序，由文件路径确定

防火墙规则可以合并到防火墙规则组中。防火墙规则组是一组防火墙规则的逻辑规则，可简化将多个单独规则管理为一个具有共同用途的单个组（例如，多个用于控制对 FTP 服务器的访问的规则）。

规则组和规则在策略中定义，策略分配给资产。

规则优先级

创建和应用规则时，请记住以下优先顺序：

• 绕过规则优先于所有其他规则。因此，基于主机的防火墙规则的优先级低于绕过规则。
• 基于主机的防火墙规则的优先级高于设置为 “允许 ”或“ 允许并记录”的权限规则。

现有传感器条件可能会影响规则的执行。例如，传感器可能处于绕过模式或隔离状态，或者应用程序可能被阻止。VMware Carbon Black Cloud 基于主机的防火墙维护用户指定的规则的预期操作，尽管在根据传感器条件强制执行规则时，该规则可以采取不同的实际操作。

例如：

使用 Carbon Black Cloud 基于主机的防火墙

本部分简要概述如何创建和运行防火墙规则。

1. 选择要向其添加防火墙规则的策略。
2. 设置默认规则（全部允许 或 全部阻止）。
3. 创建规则组并使用防火墙规则填充它。
4. 根据需要查看、创建和修改规则组和规则。
5. 在Sensor选项卡上，将Host-Based Firewall切换为Enabled。
6. 测试规则。
   提醒：仅当规则 的“状态 ”设置为 “已禁用”时，才能测试规则。
7. 查看规则结果。测试规则数据显示在“调查”页上。
8. 根据需要修改规则并重新检测，直到规则按预期执行。
9. 停止测试经验证可按预期执行的规则，并将其 状态 设置为 “已启用”。
10. 如果在修改过程中禁用了它，请在Sensor选项卡上将Host-Based Firewall切换为Enabled。
11. 分别在 “调查 ”和 “警报 ”页面上查看与防火墙相关的事件和警报。
12. 根据需要继续修改规则。有序（排名）规则组与安全策略的关联;可以跨安全策略重用规则组。
    • 规则按用户定义的优先级顺序进行评估。
    • 能够在强制实施之前测试规则。
    • 基于主机的防火墙策略阻止的行为计数。
    • 通过 Carbon Black Cloud 控制台中的 “Alerts ”和 “Investigate ”页面了解资产的安全状况。
      提醒：Carbon Black Cloud 基于主机的防火墙加载项需要 Windows 传感器 v3.9 及更高版本。

要联系支持部门，请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect，在线生成技术支持请求。
要获得更多见解和资源，请加入戴尔安全社区论坛。