受影響的產品:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
受影響的版本:
受影響的作業系統:
主機式防火牆規則
防火牆規則是由動作和物件所組成。可用的動作包括:
- 允許:允許網路流量
- 封鎖:封鎖網路流量
- 區塊和警示:封鎖網路流量,並將警示傳送至「Alerts」頁面
防火牆規則是以下列物件類型的評估為依據:
- 本機 (用戶端電腦)
- 遠端 (與用戶端電腦通訊的電腦)
注意:本機主機一律為感應器安裝的用戶端電腦。遠端主機是任何與其通訊的電腦或裝置。此主機關係的表達與流量方向無關。
- IP 位址和子網範圍
- 埠或埠範圍
- 通訊協定 (TCP、UDP、ICMP)
- 方向 (輸入和連出)
- 應用程式,由檔案路徑決定
防火牆規則可以合併成所謂的防火牆規則群組。防火牆規則群組是一組邏輯防火牆規則,可將多個個別規則的管理簡化為具有共用用途的單一群組 (例如,控制 FTP 伺服器存取權的多個規則)。
規則群組和規則的定義在原則中,而原則則指派給資產。
規則優先順序
建立和套用規則時,請記住下列優先順序:
- 略過規則優先于所有其他規則。因此,主機式防火牆規則的優先順序比略過規則較低。
- 主機式防火牆規則的優先順序高於設定為「允許或允許 & 記錄」的許可權規則。
注意:程式層級許可權略過規則不僅會略過規則指定的程式,也會略過其任一副程式。
現有的感應器狀況可能會影響規則的強制執行。例如,感應器可以處於旁路模式或隔離,或是封鎖應用程式。Carbon Black Cloud 主機式防火牆會維持使用者指定的規則預期動作,不過在根據感應器狀況強制執行規則時,該規則可能會採取不同的實際動作。
例如:
| 感應器模式 |
預期的主機式防火牆動作 |
預期的許可權或封鎖與隔離規則 |
實際行動 |
摘要 |
| 隔離 |
任何 |
任何 |
封鎖 |
隔離區塊規則覆寫主機式防火牆規則和許可權。 |
| 旁路 |
任何 |
任何 |
Allow |
由於感應器處於旁路模式,因此主機式防火牆規則無效。 |
| 使用中 |
任何 |
程式層級略過 |
Allow |
略過的程式及其傳入不會被主機式防火牆規則封鎖。 |
| 使用中 |
封鎖 |
Allow (允許、允許和記錄) |
封鎖 |
主機式防火牆規則優先于非旁路許可權規則。 |
| 使用中 |
Allow |
封鎖 |
封鎖 |
允許連線的主機式防火牆無法防止透過 網路 封鎖和隔離規則進行通訊。 |
使用 Carbon Black Cloud 主機式防火牆
本節提供如何建立和執行防火牆規則的高階概觀。
- 選 取要新增防火牆規則的原則。
- 設定預設規則 (全部允許 或 全部封鎖)。
- 建立 規則群組,並使用防火牆規則加以填入。
- 視需要檢視、建立及修改規則群組和規則。
- 將主機型防火牆切換為在感應器標籤上 啟用 。
- 測試 規則。
注意:您只能在規則的 狀態 設為「 已停用」時測試規則。
- 檢閱 規則結果。「調查」頁面會顯示測試規則資料。
- 視需要修改規則並重新測試,直到規則如預期執行為止。
- 停止驗證為如預期執行的測試規則,並將其 狀態 設為 Enabled (已啟用)。
- 如果您在修改過程中將其停用,請在感應器標籤上將主機式防火牆切換為Enabled (已啟用)。
- 分別在「調查」和「警示」頁面上檢視防火牆相關事件和警示。
- 視 需要繼續修改規則。已訂購 (排) 規則群組與安全原則的關聯;規則群組可在安全性原則中重複使用。
- 系統會根據使用者定義的優先順序來評估規則。
- 能夠在強制執行前測試規則。
- 主機式防火牆原則封鎖的行為計數。
- 透過「Alerts」(警示) 和「調查碳黑雲」主控台中的「調查」頁面,瞭解資產的安全性態勢。
注意:Carbon Black Cloud 主機式防火牆附加元件需要 Windows 感應器 v3.9 及更高版本。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。