Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Cómo utilizar el firewall basado en host de VMware Carbon Black Cloud

Resumen: El firewall basado en host de VMware Carbon Black se utiliza mediante la configuración de reglas de firewall.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Instrucciones


Productos afectados:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Versiones afectadas:

  • Sensor de Windows 3.9 o superior

Sistemas operativos afectados:

  • Windows

Nota: Para obtener más información acerca de las versiones de VMware Carbon Black Cloud, consulte ¿Cuáles son las diferencias entre las versiones de VMware Carbon Black Cloud?

Reglas de firewall basadas en host

Una regla de firewall está compuesta por una acción y un objeto. Las acciones disponibles son las siguientes:

  • Conceder: Permite el tráfico de red
  • Block: Bloquea el tráfico de red
  • Bloquear y alerta: Bloquea el tráfico de red y envía una alerta a la página Alertas

Las reglas de firewall se basan en la evaluación de los siguientes tipos de objetos:

  • Local (equipo cliente)
  • Remoto (equipo que se comunica con el equipo cliente)
Nota: El host local siempre es la computadora cliente instalada por sensor. El host remoto es cualquier computadora o dispositivo con el que se comunica. Esta expresión de la relación de host es independiente de la dirección del tráfico.
  • Dirección IP y rangos de subred
  • Rangos de puertos o puertos
  • Protocolo (TCP, UDP, ICMP)
  • Dirección (entrante y saliente)
  • Aplicación, determinada por la ruta de archivo

Las reglas de firewall se pueden combinar en lo que se denomina un grupo de reglas de firewall. Un grupo de reglas de firewall es un conjunto lógico de reglas de firewall que simplifica la administración de varias reglas individuales en un solo grupo que tienen un propósito compartido (por ejemplo, varias reglas para controlar el acceso a servidores FTP).

Los grupos de reglas y las reglas se definen en las políticas y las políticas se asignan a los recursos.

Precedencia de regla

Cuando cree y aplique reglas, tenga en cuenta el siguiente orden de precedencia:

  • Las reglas de omisión tienen prioridad sobre todas las demás reglas. Debido a esto, las reglas de firewall basadas en host tienen menor prioridad que las reglas de omisión.
  • Las reglas de firewall basadas en host tienen mayor prioridad que las reglas de permisos que están configuradas en Permitir o Permitir > Registro.
Nota: Una regla de omisión de permisos en el nivel de proceso no solo omite el proceso especificado por la regla, sino que también omite cualquiera de sus procesos secundarios.

Las condiciones existentes del sensor pueden afectar la aplicación de reglas. Por ejemplo, el sensor puede estar en modo de omisión o cuarentena, o las aplicaciones se pueden bloquear. El firewall basado en host de Carbon Black Cloud mantiene la acción prevista de la regla según lo especificado por el usuario, aunque la regla puede tomar una acción real diferente cuando se aplica en función de la condición del sensor.

Por ejemplo:

Modo sensor Acción de firewall basada en host prevista Regla de permiso o bloqueo y aislamiento previstos Acción real Resumen
Quarantine Cualquiera Cualquiera Bloquear Las reglas de bloqueo en cuarentena reemplazan las reglas y el permiso del firewall basado en host.
Bypass Cualquiera Cualquiera Allow (Permitir) Debido a que el sensor está en modo de omisión, la regla de firewall basada en host es ineficaz.
Activo Cualquiera Omisión de nivel de proceso Allow (Permitir) Las reglas de firewall basadas en host no bloquean los procesos omitidos y sus descendientes.
Activo Bloquear Permitir, Permitir > Registrar Bloquear Las reglas de firewall basadas en host tienen prioridad sobre las reglas de permisos sin omisión.
Activo Allow (Permitir) Bloquear Bloquear El firewall basado en host que permite una conexión no impide que se aplique una regla de bloqueo y aislamiento de red a través de la comunicación.

Uso del firewall basado en host de Carbon Black Cloud

En esta sección, se proporciona una descripción general de alto nivel de cómo crear y ejecutar reglas de firewall.

  1. Seleccione una política a la cual agregar reglas de firewall.
  2. Establezca la regla predeterminada (Permitir todo o Bloquear todo).
  3. Cree un grupo de reglas y inscútela con reglas de firewall.
  4. Ver, crear y modificar grupos de reglas y reglas según sea necesario.
  5. Cambie El firewall basado en host a Habilitado en la pestaña Sensor.
  6. Pruebe las reglas.
Nota: Solo puede probar una regla cuando su Estado está establecido en Deshabilitado.
  1. Revise el resultado de las reglas. Los datos de las reglas de prueba se muestran en la página Investigate.
  2. Modifique las reglas según sea necesario y vuelva a probar hasta que las reglas se ejecuten según lo esperado.
  3. Detenga las reglas de prueba que se verifican para que se ejecuten según lo esperado y establezca su Estado en Habilitado.
  4. Si lo deshabilitó durante las modificaciones, cambie El firewall basado en host a Activado en la pestaña Sensor .
  5. Ver eventos y alertas relacionados con el firewall en las páginas Investigate y Alertas, respectivamente.
  6. Continúe modificando las reglas según sea necesario. Asociación de grupos de reglas ordenados (clasificados) a políticas de seguridad; Los grupos de reglas se pueden reutilizar en todas las políticas de seguridad.
    • Las reglas se evalúan en orden de prioridad definida por el usuario.
    • Capacidad de probar reglas antes de la aplicación.
    • Conteo de comportamientos bloqueados por la política de firewall basada en host.
    • Visibilidad de la postura de seguridad de los recursos a través de las páginas Alerts e Investigate en la consola de Carbon Black Cloud.
Nota: El complemento de firewall basado en host de Carbon Black Cloud requiere el sensor de Windows v3.9 y versiones posteriores.

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Productos afectados

VMware Carbon Black
Propiedades del artículo
Número del artículo: 000214381
Tipo de artículo: How To
Última modificación: 31 may 2023
Versión:  2
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.