Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Utilisation du pare-feu basé sur l’hôte VMware Carbon Black Cloud

Résumé: VMware Carbon Black Host-Based Firewall est utilisé par la configuration des règles de pare-feu.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions


Produits concernés :

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

Versions concernées :

  • Capteur Windows 3.9 ou version ultérieure

Systèmes d’exploitation concernés :

  • Windows

Remarque : Pour plus d’informations sur les versions de VMware Carbon Black Cloud, consultez La différence entre les versions de VMware Carbon Black Cloud.

Règles de pare-feu basées sur l’hôte

Une règle de pare-feu est composée d’une action et d’un objet. Les actions disponibles sont les suivantes:

  • Permettre: Autorise le trafic réseau
  • Bloquer : Bloque le trafic réseau
  • Bloc et alerte: Bloque le trafic réseau et envoie une alerte à la page Alertes

Les règles de pare-feu sont basées sur l’évaluation des types d’objets suivants:

  • Local (ordinateur client)
  • Distant (ordinateur qui communique avec l’ordinateur client)
Remarque : L’hôte local est toujours l’ordinateur client équipé d’un capteur. L’hôte distant est n’importe quel ordinateur ou périphérique avec lequel il communique. Cette expression de la relation hôte est indépendante de la direction du trafic.
  • Plages d’adresses IP et de sous-réseaux
  • Plages de ports ou de ports
  • Protocole (TCP, UDP, ICMP)
  • Direction (entrante et sortante)
  • Application, déterminée par le chemin d’accès au fichier

Les règles de pare-feu peuvent être combinées dans ce que l’on appelle un groupe de règles de pare-feu. Un groupe de règles de pare-feu est un ensemble logique de règles de pare-feu qui simplifie la gestion de plusieurs règles individuelles dans un seul groupe ayant un objectif partagé (par exemple, plusieurs règles pour contrôler l’accès aux serveurs FTP).

Les groupes de règles et les règles sont définis dans les règles, et les règles sont attribuées aux ressources.

Priorité aux règles

Lors de la création et de l’application de règles, gardez à l’esprit l’ordre de priorité suivant:

  • Les règles de contournement sont prioritaires sur toutes les autres règles. Pour cette raison, les règles de pare-feu basées sur l’hôte ont une priorité inférieure à celle des règles de contournement.
  • Les règles de pare-feu basées sur l’hôte ont une priorité plus élevée que les règles d’autorisation définies sur Autoriser ou Autoriser & Log.
Remarque : Une règle de contournement des autorisations au niveau du processus contourne non seulement le processus spécifié par la règle, mais contourne également l’un de ses processus enfants.

Les conditions de capteur existantes peuvent avoir un impact sur l’application des règles. Par exemple, le capteur peut être en mode contournement ou en quarantaine, ou les applications peuvent être bloquées. Le pare-feu basé sur l’hôte Carbon Black Cloud conserve l’action prévue de la règle, comme spécifié par l’utilisateur, bien que la règle puisse prendre une action réelle différente lorsqu’elle est appliquée en fonction de l’état du capteur.

Par exemple :

Mode capteur Action de pare-feu basée sur l’hôte prévue Règle d’autorisation ou de blocage et d’isolation prévue Action réelle Résumé
Quarantaine Tout Tout Bloqué Les règles de bloc de quarantaine remplacent les règles et autorisations de pare-feu basées sur l’hôte.
Contourner Tout Tout Autoriser Étant donné que le capteur est en mode de contournement, la règle de pare-feu basée sur l’hôte est inefficace.
Actif Tout Contournement au niveau du processus Autoriser Les processus contournés et leurs descendants ne sont pas bloqués par les règles de pare-feu basées sur l’hôte.
Actif Bloqué Autoriser, autoriser et consigner Bloqué Les règles de pare-feu basées sur l’hôte sont prioritaires sur les règles d’autorisation sans contournement.
Actif Autoriser Bloqué Bloqué Le pare-feu basé sur l’hôte permettant une connexion n’empêche pas l’application d’une règle de blocage et d’isolation du réseau.

Utilisation du pare-feu basé sur l’hôte Carbon Black Cloud

Cette section fournit un aperçu général de la création et de l’exécution des règles de pare-feu.

  1. Sélectionnez une stratégie à laquelle ajouter des règles de pare-feu.
  2. Définissez la règle par défaut (Allow all ou Block all).
  3. Créez un groupe de règles et renseignez-le avec des règles de pare-feu.
  4. Affichez, créez et modifiez les groupes de règles et les règles, si nécessaire.
  5. Basculez le pare-feu basé sur l’hôte sur Activé dans l’onglet Capteur.
  6. Testez les règles.
Remarque : Vous ne pouvez tester une règle que lorsque son état est défini sur Désactivé.
  1. Passez en revue le résultat des règles. Les données de règle de test s’affichent sur la page Enquêter.
  2. Modifiez les règles si nécessaire et testez à nouveau jusqu’à ce que les règles s’exécutent comme prévu.
  3. Arrêtez les règles de test qui sont vérifiées pour s’exécuter comme prévu et définissez leur état sur Activé.
  4. Si vous l’avez désactivé lors des modifications, basculez le pare-feu basé sur l’hôte sur Activé dans l’onglet Capteur .
  5. Afficher les événements et alertes liés au pare-feu sur les pages Enquêter et Alertes, respectivement.
  6. Continuez à modifier les règles si nécessaire. Association de groupes de règles classés (classés) à des règles de sécurité; Les groupes de règles peuvent être réutilisés sur l’ensemble des règles de sécurité.
    • Les règles sont évaluées par ordre de priorité défini par l’utilisateur.
    • Possibilité de tester les règles avant leur application.
    • Nombre de comportements bloqués par une règle de pare-feu basée sur l’hôte.
    • Visibilité sur la posture de sécurité des ressources via les pages Alertes et Enquêter de la console Carbon Black Cloud.
Remarque : Le module complémentaire de pare-feu basé sur l’hôte Carbon Black Cloud nécessite le capteur Windows v3.9 et versions ultérieures.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Produits concernés

VMware Carbon Black
Propriétés de l’article
Numéro d’article: 000214381
Type d’article: How To
Dernière modification: 31 May 2023
Version:  2
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.