Продукти, на які вплинули:
- Стандарт VMware Carbon Black Cloud
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Версії, яких це стосується:
- Датчик Windows 3.9 або новішої версії
Операційні системи, яких це стосується:
Правила брандмауера на базі хоста
Правило брандмауера складається з дії та об'єкта. Доступні дії:
- Дозволити: Дозволяє використовувати мережевий трафік
- Блокувати: Блокує мережевий трафік
- Блокування та оповіщення: Блокує мережевий трафік і відправляє оповіщення на сторінку Оповіщення
Правила брандмауера ґрунтуються на оцінці наступних типів об'єктів:
- Локальний (клієнтський комп'ютер)
- Віддалений (комп'ютер, який обмінюється даними з клієнтським комп'ютером)
Примітка: Локальний хост – це завжди клієнтський комп'ютер, встановлений на датчику. Віддалений хост – це будь-який комп'ютер або пристрій, з яким він здійснює зв'язок. Цей вираз відносин господаря не залежить від напрямку руху.
- IP-адреси та діапазони підмереж
- Порти або діапазони портів
- Протокол (TCP, UDP, ICMP)
- Напрямок (вхідний і вихідний)
- Застосування, що визначається за шляхом до файлу
Правила брандмауера можна об'єднати в так звану групу правил брандмауера. Група правил брандмауера – це логічний набір правил брандмауера, який спрощує керування кількома окремими правилами в єдину групу, які мають спільне призначення (наприклад, кілька правил для керування доступом до FTP-серверів).
Групи правил і правила визначаються в політиках, а політики призначаються активам.
Пріоритет правил
При створенні та застосуванні правил пам'ятайте про наступний порядок черговості:
- Обхідні правила мають пріоритет над усіма іншими правилами. Через це правила брандмауера на основі хоста мають нижчий пріоритет, ніж правила обходу.
- Правила брандмауера на основі хоста мають вищий пріоритет, ніж правила дозволів, для яких установлено значення «Дозволити» або «Дозволити та журнал».
Примітка: Правило обходу дозволів на рівні процесу не лише обходить процес, указаний правилом, але й обходить будь-які його дочірні процеси.
Існуючі умови датчиків можуть впливати на дотримання правил. Наприклад, датчик може перебувати в режимі обходу або карантину, або додатки можуть бути заблоковані. Брандмауер на основі хоста Carbon Black Cloud зберігає заплановану дію правила, як її вказано користувачем, хоча правило може виконувати іншу фактичну дію, коли воно застосовується залежно від стану датчика.
Наприклад:
| Режим датчика |
Передбачувані дії брандмауера на основі хоста |
Передбачуваний дозвіл або правило блокування та ізоляції |
Фактична дія |
Зведення |
| Каранти́н |
Будь-які |
Будь-які |
Блокувати |
Правила карантинного блоку мають пріоритет над правилами та дозволами брандмауера на основі хоста. |
| Обійти |
Будь-які |
Будь-які |
Дозволити |
Оскільки датчик перебуває в режимі обходу, правило брандмауера на основі хоста неефективне. |
| Активний |
Будь-які |
Обхід на рівні процесу |
Дозволити |
Обійдені процеси та їхні нащадки не блокуються правилами брандмауера на основі хоста. |
| Активний |
Блокувати |
Дозволити, дозволити та ввести в журнал |
Блокувати |
Правила брандмауера на основі хоста мають пріоритет над правилами дозволів без обходу. |
| Активний |
Дозволити |
Блокувати |
Блокувати |
Брандмауер на основі хоста, що дозволяє з'єднання, не перешкоджає застосуванню правила блокування та ізоляції мережі зв'язку через мережу . |
Використання брандмауера на базі хоста Carbon Black Cloud
У цьому розділі наведено детальний огляд створення та виконання правил брандмауера.
- Виберіть політику, до якої потрібно додати правила брандмауера.
- Встановіть правило за замовчуванням (Дозволити всі або Заблокувати всі).
- Створіть групу правил і заповніть її правилами брандмауера.
- Переглядайте, створюйте та змінюйте групи правил і правила за потреби.
- Перемкніть брандмауер на основі хоста на значення Увімкнено на вкладці Датчик.
- Перевірте правила.
Примітка: Перевіряти правило можна лише тоді, коли для його статусу встановлено значення Вимкнено.
- Перегляньте результати правил. Дані правил тестування відображаються на сторінці Дослідження.
- За потреби змінюйте правила та повторно тестуйте, доки правила не почнуть працювати належним чином.
- Припиніть тестування правил, які перевірено на належну роботу, і встановіть для них статусУвімкнено.
- Якщо ви вимкнули його під час модифікацій, перемкніть брандмауер на основі хоста на значення Увімкнено на вкладці Датчик .
- Переглядайте події та сповіщення, пов'язані з брандмауером, на сторінках «Розслідування» та «Сповіщення» відповідно.
- За потреби продовжуйте змінювати правила. Зв'язок упорядкованих (ранжированих) груп правил з політиками безпеки; Групи правил можна використовувати повторно в різних політиках безпеки.
- Правила обчислюються в порядку пріоритету, визначеного користувачем.
- Можливість перевірки правил перед виконанням.
- Кількість поведінок, заблокованих політикою брандмауера на основі хоста.
- Видимість стану безпеки активів на сторінках «Сповіщення» та «Розслідування» в консолі Carbon Black Cloud.
Примітка: Доповнення Firewall на основі Carbon Black Cloud Host вимагає використання датчика Windows версії 3.9 або вище.
Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.