受影响的产品:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
受影响的版本:
受影响的操作系统:
基于主机的防火墙规则
防火墙规则由操作和对象组成。可用操作包括:
- 允许:允许网络流量
- Block:阻止网络流量
- 数据块和警报:阻止网络流量并将警报发送到 Alerts 页面
防火墙规则基于对以下对象类型的评估:
- 本地(客户端计算机)
- 远程(与客户端计算机通信的计算机)
提醒:本地主机始终是传感器安装的客户端计算机。远程主机是与之通信的任何计算机或设备。主机关系的此表达式与流量方向无关。
- IP 地址和子网范围
- 端口或端口范围
- 协议(TCP、UDP、ICMP)
- 方向(入站和出站)
- 应用程序,由文件路径确定
防火墙规则可以合并到所谓的防火墙规则组中。防火墙规则组是一组逻辑防火墙规则,可简化将多个单独规则管理为具有共享用途的单个组(例如,用于控制对 FTP 服务器访问的多个规则)。
规则组和规则在策略中定义,策略分配给资产。
规则优先级
创建和应用规则时,请记住以下优先顺序:
- 绕过规则优先于所有其他规则。因此,基于主机的防火墙规则的优先级低于绕过规则。
- 基于主机的防火墙规则的优先级高于设置为 允许 或 允许 和 日志 的权限规则。
提醒:进程级别权限绕过规则不仅会绕过规则指定的进程,而且还会绕过其任何子进程。
现有传感器条件可能会影响规则的实施。例如,传感器可以处于旁路模式或隔离,或者可以阻止应用程序。Carbon Black Cloud 基于主机的防火墙维护用户指定的规则的预期操作,不过在根据传感器条件强制实施规则时,该规则可以采取不同的实际操作。
例如:
| 传感器模式 |
目标基于主机的防火墙操作 |
预期权限或阻止和隔离规则 |
实际操作 |
总结 |
| 隔离 |
任意 |
任意 |
阻止 |
隔离块规则覆盖基于主机的防火墙规则和权限。 |
| 旁路 |
任意 |
任意 |
允许 |
由于传感器处于旁路模式,因此基于主机的防火墙规则无效。 |
| 活动 |
任意 |
进程级别旁路 |
允许 |
绕过的进程及其子代不会被基于主机的防火墙规则阻止。 |
| 活动 |
阻止 |
允许、允许和日志 |
阻止 |
基于主机的防火墙规则优先于非绕过权限规则。 |
| 活动 |
允许 |
阻止 |
阻止 |
基于主机的防火墙允许连接不会阻止通过网络阻止和隔离规则进行 通信 。 |
使用 Carbon Black Cloud 基于主机的防火墙
本部分概述了如何创建和运行防火墙规则。
- 选择 要向其添加防火墙规则的策略。
- 设置默认规则(全部允许 或 全部阻止)。
- 创建 规则组并使用防火墙规则进行填充。
- 根据需要查看、创建和修改规则组和规则。
- 在 传感器 选项卡上将基于主机的防火墙切换到 已启用 。
- 测试 规则。
提醒:仅当规则的状态设置为 已禁用 时,才能测试规则。
- 查看 规则结果。测试规则数据显示在 调查 页面上。
- 根据需要修改规则并重新测试,直到规则按预期执行。
- 停止验证为按预期执行的测试规则,并将其 状态 设置为 已启用 。
- 如果您在修改过程中禁用了它,请在 传感器 选项卡上将基于主机的防火墙切换为 已启用 。
- 分别在“调查”和“警报”页面上查看与防火墙相关的事件和警报。
- 根据需要继续 修改规则。有序(排名)规则组与安全策略的关联;可以跨安全策略重复使用规则组。
- 按用户定义的优先级顺序计算规则。
- 能够在强制实施之前测试规则。
- 基于主机的防火墙策略阻止的行为计数。
- 通过 Carbon Black Cloud 控制台中的 Alerts and Investigate 页面查看资产的安全状况。
提醒:Carbon Black Cloud 基于主机的防火墙附加服务需要 Windows 传感器 v3.9 及更高版本。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。