Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Verwendung der hostbasierten VMware Carbon Black Cloud-Firewall

Summary: Die hostbasierte VMware Carbon Black Firewall wird durch die Konfiguration von Firewallregeln verwendet.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions


Betroffene Produkte:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Betroffene Versionen:

  • Windows Sensor 3.9 oder höher

Betroffene Betriebssysteme:

  • Windows

Hostbasierte Firewallregeln

Eine Firewallregel besteht aus einer Aktion und einem Objekt. Verfügbare Aktionen sind:

  • Ermöglichen: Ermöglicht den Netzwerkdatenverkehr
  • Block: Blockiert den Netzwerkdatenverkehr
  • Block und Warnmeldung: Blockiert den Netzwerkdatenverkehr und sendet eine Warnmeldung an die Seite Warnmeldungen.

Firewallregeln basieren auf der Bewertung der folgenden Objekttypen:

  • Lokal (Client-Computer)
  • Remote (Computer, der mit dem Clientcomputer kommuniziert)
Hinweis: Der lokale Host ist immer der vom Sensor installierte Client-Computer. Der Remotehost ist jeder Computer oder jedes Gerät, mit dem er kommuniziert. Dieser Ausdruck der Hostbeziehung ist unabhängig von der Datenverkehrsrichtung.
  • IP-Adresse und Subnetzbereiche
  • Port- oder Portbereiche
  • Protokoll (TCP, UDP, ICMP)
  • Richtung (eingehend und ausgehend)
  • Anwendung, bestimmt durch Dateipfad

Firewallregeln können in einer sogenannten Firewallregelgruppe kombiniert werden. Eine Firewallregelgruppe ist ein logischer Satz von Firewallregeln, der die Verwaltung mehrerer einzelner Regeln in einer einzigen Gruppe vereinfacht, die einen gemeinsamen Zweck hat (z. B. mehrere Regeln zur Steuerung des Zugriffs auf FTP-Server).

Regelgruppen und Regeln werden in Policies definiert und Policies werden Ressourcen zugewiesen.

Regelreihenfolge

Beachten Sie beim Erstellen und Anwenden von Regeln die folgende Rangfolge:

  • Umgehungsregeln haben Vorrang vor allen anderen Regeln. Aus diesem Grund haben hostbasierte Firewallregeln eine geringere Priorität als Die Umgehungsregeln.
  • Hostbasierte Firewallregeln haben eine höhere Priorität als Berechtigungsregeln, die auf Zulassen oder Zulassen > Protokoll festgelegt sind.
Hinweis: Eine Regel zum Umgehen von Berechtigungen auf Prozessebene umgeht nicht nur den in der Regel angegebenen Prozess, sondern umgeht auch alle untergeordneten Prozesse.

Vorhandene Sensorbedingungen können sich auf die Durchsetzung von Regeln auswirken. Beispielsweise kann sich der Sensor im Umgehungsmodus oder in Quarantäne befinden oder Anwendungen können blockiert werden. Die hostbasierte Carbon Black Cloud Firewall behält die vom Benutzer angegebene beabsichtigte Aktion der Regel bei, obwohl die Regel eine andere tatsächliche Aktion durchführen kann, wenn sie basierend auf der Sensorbedingung erzwungen wird.

Zum Beispiel:

Sensormodus Beabsichtigte hostbasierte Firewallaktion Vorgesehene Berechtigung oder Blockierungs- und Isolierungsregel Tatsächliche Aktion Übersicht
Quarantäne Alle Alle Sperren Quarantäne-Blockregeln überschreiben hostbasierte Firewallregeln und Berechtigungen.
Umgehen Alle Alle Zulassen Da sich der Sensor im Umgehungsmodus befindet, ist die hostbasierte Firewallregel ineffektiv.
Aktiv Alle Umgehung auf Prozessebene Zulassen Umgang mit Prozessen und deren Nachfolgern werden nicht durch hostbasierte Firewallregeln blockiert.
Aktiv Sperren Zulassen, Zulassen und Protokollieren Sperren Hostbasierte Firewallregeln haben Vorrang vor Nichtumgehungsberechtigungsregeln.
Aktiv Zulassen Sperren Sperren Hostbasierte Firewall, die eine Verbindung zulässt, verhindert nicht, dass eine Kommunikation über die Regel "Netzwerkblockierung und -isolierung" erzwungen wird.

Verwenden einer hostbasierten Carbon Black Cloud-Firewall

Dieser Abschnitt bietet eine allgemeine Übersicht über das Erstellen und Ausführen von Firewallregeln.

  1. Wählen Sie eine Richtlinie aus, der Firewallregeln hinzugefügt werden sollen.
  2. Legen Sie die Standardregel fest (Alle zulassen oder alle blockieren).
  3. Erstellen Sie eine Regelgruppe und füllen Sie sie mit Firewallregeln aus.
  4. Anzeigen, Erstellen und Ändern von Regelgruppen und Regeln nach Bedarf
  5. Schalten Sie die hostbasierte Firewall auf der Registerkarte Sensor auf Enabled um.
  6. Testen Sie die Regeln.
Hinweis: Sie können eine Regel nur testen, wenn der Status auf Disabled (Deaktiviert) gesetzt ist.
  1. Überprüfen Sie das Ergebnis der Regeln. Die Testregeldaten werden auf der Seite Untersuchen angezeigt.
  2. Ändern Sie die Regeln nach Bedarf und testen Sie sie erneut, bis die Regeln wie erwartet funktionieren.
  3. Beenden Sie die Testregeln, für die überprüft wurde, dass sie wie erwartet ausgeführt werden, und setzen Sie ihren Status auf Aktiviert.
  4. Wenn Sie sie während Änderungen deaktiviert haben, wechseln Sie auf der Registerkarte Sensor zu Aktiviert.
  5. Zeigen Sie Firewall-bezogene Ereignisse und Warnmeldungen auf den Seiten "Untersuchen" bzw. "Warnmeldungen" an.
  6. Ändern Sie die Regeln nach Bedarf weiter. Zuordnung von geordneten Regelgruppen zu Sicherheitsrichtlinien; Regelgruppen können über Sicherheitsrichtlinien hinweg wiederverwendet werden.
    • Regeln werden in der Reihenfolge der benutzerdefinierten Priorität ausgewertet.
    • Möglichkeit zum Testen von Regeln vor der Durchsetzung
    • Anzahl der Durch hostbasierte Firewall-Richtlinien blockierten Verhaltensweisen.
    • Sichtbarkeit der Sicherheitslage von Ressourcen über die Seiten "Warnmeldungen" und "Untersuchen" in der Carbon Black Cloud-Konsole.
Hinweis: Für das add-on carbon black cloud hostbasierte Firewall ist der Windows-Sensor v3.9 und höher erforderlich.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000214381
Article Type: How To
Last Modified: 31 May 2023
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.