영향을 받는 제품:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
영향을 받는 버전:
영향을 받는 운영 체제:
호스트 기반 방화벽 규칙
방화벽 규칙은 작업과 객체로 구성됩니다. 사용 가능한 작업은 다음과 같습니다.
- 허용: 네트워크 트래픽 허용
- Block: 네트워크 트래픽 차단
- 차단 및 알림: 네트워크 트래픽을 차단하고 알림 페이지로 알림을 보냅니다.
방화벽 규칙은 다음과 같은 유형의 객체에 대한 평가를 기반으로 합니다.
- 로컬(클라이언트 컴퓨터)
- 원격(클라이언트 컴퓨터와 통신하는 컴퓨터)
참고: 로컬 호스트는 항상 센서가 설치된 클라이언트 컴퓨터입니다. 원격 호스트는 통신하는 모든 컴퓨터 또는 디바이스입니다. 호스트 관계의 이 표현식은 트래픽 방향과 무관합니다.
- IP 주소 및 서브넷 범위
- 포트 또는 포트 범위
- 프로토콜(TCP, UDP, ICMP)
- 방향(인바운드 및 아웃바운드)
- 파일 경로에 따라 결정되는 애플리케이션
방화벽 규칙을 방화벽 규칙 그룹이라고 하는 그룹으로 결합할 수 있습니다. 방화벽 규칙 그룹은 여러 개별 규칙의 관리를 공유 목적이 있는 단일 그룹(예: FTP 서버에 대한 액세스를 제어하는 여러 규칙)으로 간소화하는 논리적 방화벽 규칙 세트입니다.
규칙 그룹 및 규칙은 정책에 정의되며 정책은 자산에 할당됩니다.
규칙 우선 순위
규칙을 생성하고 적용할 때는 다음 우선 순위 순서를 명심하십시오.
- 무시 규칙이 다른 모든 규칙보다 우선합니다. 이 때문에 호스트 기반 방화벽 규칙은 무시 규칙보다 우선 순위가 낮습니다.
- 호스트 기반 방화벽 규칙은 허용 또는 허용 및 로그로 설정된 사용 권한 규칙보다 우선 순위가 높습니다.
참고: 프로세스 레벨 사용 권한 무시 규칙은 규칙이 지정한 프로세스를 우회할 뿐만 아니라 하위 프로세스도 무시합니다.
기존 센서 조건은 규칙 적용에 영향을 미칠 수 있습니다. 예를 들어 센서가 바이패스 모드 또는 격리 중이거나 애플리케이션을 차단할 수 있습니다. Carbon Black Cloud 호스트 기반 방화벽은 사용자가 지정한 대로 규칙의 의도된 작업을 유지하지만 센서 상태에 따라 규칙이 적용될 때 다른 실제 조치를 취할 수 있습니다.
예:
센서 모드 |
의도된 호스트 기반 방화벽 작업 |
의도된 사용 권한 또는 차단 및 격리 규칙 |
실제 작업 |
요약 |
Quarantine |
모두 |
모두 |
차단 |
격리 블록 규칙은 호스트 기반 방화벽 규칙 및 사용 권한을 재정의합니다. |
우회 |
모두 |
모두 |
Allow |
센서가 바이패스 모드이기 때문에 호스트 기반 방화벽 규칙은 비효율적입니다. |
Active |
모두 |
프로세스 수준 우회 |
Allow |
무시된 프로세스 및 해당 하위 항목은 호스트 기반 방화벽 규칙에 의해 차단되지 않습니다. |
Active |
차단 |
허용, 허용 및 로그 |
차단 |
호스트 기반 방화벽 규칙이 비 우회 권한 규칙보다 우선합니다. |
Active |
Allow |
차단 |
차단 |
호스트 기반 방화벽을 통해 연결을 허용해도 네트워크 차단 및 격리 규칙을 통한 통신 이 적용되지 않습니다. |
Carbon Black Cloud 호스트 기반 방화벽 사용
이 섹션에서는 방화벽 규칙을 생성하고 실행하는 방법에 대한 개략적인 개요를 제공합니다.
- 방화벽 규칙을 추가할 정책을 선택합니다.
- 기본 규칙(모두 허용 또는 모두 차단)을 설정합니다.
- 규칙 그룹을 생성하고 방화벽 규칙을 입력합니다.
- 필요에 따라 규칙 그룹 및 규칙을 보고생성하고 수정합니다.
- Sensor 탭에서 호스트 기반 방화벽을 Enabled 로 전환합니다.
- 규칙을 테스트합니다.
참고: 상태가 Disabled로 설정된 경우에만 규칙을 테스트할 수 있습니다.
- 규칙 결과를 검토합니다. 테스트 규칙 데이터가 조사 페이지에 표시됩니다.
- 필요에 따라 규칙을 수정하고 규칙이 예상대로 수행될 때까지 재시도합니다.
- 예상대로 수행하도록 검증된 테스트 규칙을 중지하고 상태를Enabled로 설정합니다.
- 수정 중에 비활성화한 경우 Sensor 탭에서 호스트 기반 방화벽을 Enabled로 전환합니다.
- 각각 조사 및 알림 페이지에서 방화벽 관련 이벤트 및 알림을 봅니다.
- 필요에 따라 규칙을 계속 수정합니다. 순서가 지정된(순위가 매겨진) 규칙 그룹과 보안 정책의 연결 규칙 그룹은 보안 정책 전반에 걸쳐 재사용할 수 있습니다.
- 규칙은 사용자 정의 우선 순위 순서로 평가됩니다.
- 적용 전에 규칙을 테스트할 수 있습니다.
- 호스트 기반 방화벽 정책에 의해 차단된 동작 수입니다.
- Carbon Black Cloud 콘솔의 경고 및 조사 페이지를 통해 자산의 보안 상태를 파악할 수 있습니다.
참고: Carbon Black Cloud 호스트 기반 방화벽 추가 기능을 사용하려면 Windows 센서 v3.9 이상 버전이 필요합니다.
지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.