Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

如何使用 VMware Carbon Black Cloud 主機式防火牆

Summary: VMware Carbon Black 主機式防火牆用於設定防火牆規則。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions


受影響的產品:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

受影響的版本:

  • Windows 感應器 3.9 或更新版本

受影響的作業系統:

  • Windows

注意:如需更多有關 VMware Carbon Black Cloud 版本的資訊,請參閱 VMware Carbon Black Cloud 版本之間的差異

主機式防火牆規則

防火牆規則是由動作和物件所組成。可用的動作包括:

  • 允許:允許網路流量
  • 封鎖:封鎖網路流量
  • 區塊和警示:封鎖網路流量,並將警示傳送至「Alerts」頁面

防火牆規則是以下列物件類型的評估為依據:

  • 本機 (用戶端電腦)
  • 遠端 (與用戶端電腦通訊的電腦)
注意:本機主機一律為感應器安裝的用戶端電腦。遠端主機是任何與其通訊的電腦或裝置。此主機關係的表達與流量方向無關。
  • IP 位址和子網範圍
  • 埠或埠範圍
  • 通訊協定 (TCP、UDP、ICMP)
  • 方向 (輸入和連出)
  • 應用程式,由檔案路徑決定

防火牆規則可以合併成所謂的防火牆規則群組。防火牆規則群組是一組邏輯防火牆規則,可將多個個別規則的管理簡化為具有共用用途的單一群組 (例如,控制 FTP 伺服器存取權的多個規則)。

規則群組和規則的定義在原則中,而原則則指派給資產。

規則優先順序

建立和套用規則時,請記住下列優先順序:

  • 略過規則優先于所有其他規則。因此,主機式防火牆規則的優先順序比略過規則較低。
  • 主機式防火牆規則的優先順序高於設定為「允許或允許 & 記錄」的許可權規則。
注意:程式層級許可權略過規則不僅會略過規則指定的程式,也會略過其任一副程式。

現有的感應器狀況可能會影響規則的強制執行。例如,感應器可以處於旁路模式或隔離,或是封鎖應用程式。Carbon Black Cloud 主機式防火牆會維持使用者指定的規則預期動作,不過在根據感應器狀況強制執行規則時,該規則可能會採取不同的實際動作。

例如:

感應器模式 預期的主機式防火牆動作 預期的許可權或封鎖與隔離規則 實際行動 摘要
隔離 任何 任何 封鎖 隔離區塊規則覆寫主機式防火牆規則和許可權。
旁路 任何 任何 Allow 由於感應器處於旁路模式,因此主機式防火牆規則無效。
使用中 任何 程式層級略過 Allow 略過的程式及其傳入不會被主機式防火牆規則封鎖。
使用中 封鎖 Allow (允許、允許和記錄) 封鎖 主機式防火牆規則優先于非旁路許可權規則。
使用中 Allow 封鎖 封鎖 允許連線的主機式防火牆無法防止透過 網路 封鎖和隔離規則進行通訊。

使用 Carbon Black Cloud 主機式防火牆

本節提供如何建立和執行防火牆規則的高階概觀。

  1. 取要新增防火牆規則的原則。
  2. 設定預設規則 (全部允許全部封鎖)。
  3. 建立 規則群組,並使用防火牆規則加以填入。
  4. 視需要檢視建立修改規則群組和規則。
  5. 將主機型防火牆切換為在感應器標籤上 啟用
  6. 測試 規則。
注意:您只能在規則的 狀態 設為「 已停用」時測試規則。
  1. 檢閱 規則結果。「調查」頁面會顯示測試規則資料。
  2. 視需要修改規則並重新測試,直到規則如預期執行為止。
  3. 停止驗證為如預期執行的測試規則,並將其 狀態 設為 Enabled (已啟用)
  4. 如果您在修改過程中將其停用,請在感應器標籤上將主機式防火牆切換為Enabled (已啟用)。
  5. 分別在「調查」和「警示」頁面上檢防火牆相關事件和警示。
  6. 需要繼續修改規則。已訂購 (排) 規則群組與安全原則的關聯;規則群組可在安全性原則中重複使用。
    • 系統會根據使用者定義的優先順序來評估規則。
    • 能夠在強制執行前測試規則。
    • 主機式防火牆原則封鎖的行為計數。
    • 透過「Alerts」(警示) 和「調查碳黑雲」主控台中的「調查」頁面,瞭解資產的安全性態勢。
注意:Carbon Black Cloud 主機式防火牆附加元件需要 Windows 感應器 v3.9 及更高版本。

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000214381
Article Type: How To
Last Modified: 31 May 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.