Berörda produkter:
- VMware Carbon Black Cloud-standard
- VMware Carbon Black Cloud avancerat
- VMware Carbon Black Cloud Enterprise
Berörda versioner:
- Windows-sensor 3.9 eller högre
Berörda operativsystem:
Regler för värdbaserad brandvägg
En brandväggsregel består av en åtgärd och ett objekt. Tillgängliga åtgärder är:
- Tillåta: Tillåter nätverkstrafik
- Block: Blockerar nätverkstrafiken
- Block och varning: Blockerar nätverkstrafiken och skickar en varning till sidan Varningar
Brandväggsregler baseras på utvärdering av följande typer av objekt:
- Lokal (klientdator)
- Distans (dator som kommunicerar med klientdatorn)
Obs! Den lokala värden är alltid den sensorinstallerade klientdatorn. Fjärrvärden är en dator eller enhet som den kommunicerar med. Det här uttrycket för värdrelationen är oberoende av trafikriktning.
- IP-adress och delnätsintervall
- Port- eller portintervall
- Protokoll (TCP, UDP, ICMP)
- Riktning (inkommande och utgående)
- Program, bestäms av filsökväg
Brandväggsregler kan kombineras till vad som kallas en brandväggsregelgrupp. En brandväggsregelgrupp är en logisk uppsättning brandväggsregler som förenklar hanteringen av flera enskilda regler i en enda grupp som har ett delat syfte (till exempel flera regler för kontroll av åtkomst till FTP-servrar).
Regelgrupper och regler definieras i policyer och principer tilldelas till tillgångar.
Regelförvalt
Tänk på följande prioritetsordning när du skapar och tillämpar regler:
- Förbigå regler har företräde framför alla andra regler. Därför har värdbaserade brandväggsregler lägre prioritet än förbikopplingsregler.
- Värdbaserade brandväggsregler har högre prioritet än behörighetsregler som är inställda på Allow eller Allow &Log.
Obs! En behörighetsförbigångsregel på processnivå kringgår inte bara den process som anges av regeln, utan kringgår även någon av de underordnade processerna.
Befintliga sensorförhållanden kan påverka efterlevnaden av regler. Sensorn kan till exempel vara i förbikopplingsläge eller karantän, eller så kan program blockeras. Carbon Black Cloud Host-baserad brandvägg upprätthåller den avsedda åtgärden för regeln enligt vad som anges av användaren, även om regeln kan vidta en annan faktisk åtgärd när den tillämpas baserat på sensortillståndet.
Till exempel:
Sensorläge |
Avsedd värdbaserad brandväggsåtgärd |
Avsedd behörighet eller blockering och isoleringsregel |
Faktisk åtgärd |
Sammanfattning |
Karantän |
Någon |
Någon |
Blockera |
Karantänblockregler åsidosätter värdbaserade brandväggsregler och behörigheter. |
Förbifartsleden |
Någon |
Någon |
Allow (tillåt) |
Eftersom sensorn är i förbikopplingsläge omfattas inte den värdbaserade brandväggsregeln. |
Aktiv |
Någon |
Förbikoppling på processnivå |
Allow (tillåt) |
Processer som kringgås och deras ättlingar blockeras inte av värdbaserade brandväggsregler. |
Aktiv |
Blockera |
Tillåt, tillåt och logga |
Blockera |
Värdbaserade brandväggsregler har företräde framför behörighetsregler som inte kringgås. |
Aktiv |
Allow (tillåt) |
Blockera |
Blockera |
Värdbaserad brandvägg som tillåter en anslutning hindrar inte att en kommunikation över nätverksblockerings - och isoleringsregeln upprätthålls. |
Använda Carbon Black Cloud värdbaserad brandvägg
Det här avsnittet innehåller en översikt på hög nivå över hur du skapar och kör brandväggsregler.
- Välj en policy som du vill lägga till brandväggsregler till.
- Ställ in standardregeln (tillåt alla eller blockera alla).
- Skapa en regelgrupp och fyll i den med brandväggsregler.
- Visa, skapa och ändra regelgrupper och regler efter behov.
- Växla värdbaserad brandvägg till Aktiverad på fliken Sensor.
- Testa reglerna.
Obs! Du kan bara testa en regel när dess status är inställd på Disabled (inaktiverad).
- Granska resultatet av reglerna. Testregeldata visas på sidan Undersök.
- Ändra regler efter behov och testa på nytt tills reglerna fungerar som förväntat.
- Stoppa testregler som har verifierats för att fungera som förväntat och ställ in statusen på Aktiverad.
- Om du har inaktiverat det under ändringarna växlar du värdbaserad brandvägg till Aktiverad på fliken Sensor .
- Visa brandväggsrelaterade händelser och varningar på sidorna Undersök och Varningar.
- Fortsätt att ändra regler efter behov. Associering av beställda (rangordnade) regelgrupper till säkerhetspolicyer; regelgrupper kan återanvändas över säkerhetsprinciper.
- Regler utvärderas i ordning efter användardefinierad prioritet.
- Möjlighet att testa regler före verkställning.
- Antal beteenden som blockeras av värdbaserad brandväggspolicy.
- Synlighet i tillgångars säkerhetsställning via sidorna Alerts och Investigate i Carbon Black Cloud-konsolen.
Obs! För det värdbaserade brandväggstillägget för Carbon Black Cloud krävs Windows-sensorn v 3.9 och senare.
Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.