Passa al contenuto principale
  • Effettua gli ordini in modo rapido e semplice
  • Visualizza gli ordini e monitora lo stato della spedizione
  • Crea e accedi a un elenco dei tuoi prodotti

如何使用 VMware Carbon Black Cloud 基于主机的防火墙

Riepilogo: VMware Carbon Black 基于主机的防火墙通过配置防火墙规则来使用。

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.

Istruzioni


受影响的产品:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

受影响的版本:

  • Windows 传感器 3.9 或更高版本

受影响的操作系统:

  • Windows

提醒:有关 VMware Carbon Black Cloud 版本的更多信息,请参阅 VMware Carbon Black Cloud Versions 之间的区别

基于主机的防火墙规则

防火墙规则由操作和对象组成。可用操作包括:

  • 允许:允许网络流量
  • Block:阻止网络流量
  • 数据块和警报:阻止网络流量并将警报发送到 Alerts 页面

防火墙规则基于对以下对象类型的评估:

  • 本地(客户端计算机)
  • 远程(与客户端计算机通信的计算机)
提醒:本地主机始终是传感器安装的客户端计算机。远程主机是与之通信的任何计算机或设备。主机关系的此表达式与流量方向无关。
  • IP 地址和子网范围
  • 端口或端口范围
  • 协议(TCP、UDP、ICMP)
  • 方向(入站和出站)
  • 应用程序,由文件路径确定

防火墙规则可以合并到所谓的防火墙规则组中。防火墙规则组是一组逻辑防火墙规则,可简化将多个单独规则管理为具有共享用途的单个组(例如,用于控制对 FTP 服务器访问的多个规则)。

规则组和规则在策略中定义,策略分配给资产。

规则优先级

创建和应用规则时,请记住以下优先顺序:

  • 绕过规则优先于所有其他规则。因此,基于主机的防火墙规则的优先级低于绕过规则。
  • 基于主机的防火墙规则的优先级高于设置为 允许 或 允许 和 日志 的权限规则。
提醒:进程级别权限绕过规则不仅会绕过规则指定的进程,而且还会绕过其任何子进程。

现有传感器条件可能会影响规则的实施。例如,传感器可以处于旁路模式或隔离,或者可以阻止应用程序。Carbon Black Cloud 基于主机的防火墙维护用户指定的规则的预期操作,不过在根据传感器条件强制实施规则时,该规则可以采取不同的实际操作。

例如:

传感器模式 目标基于主机的防火墙操作 预期权限或阻止和隔离规则 实际操作 总结
隔离 任意 任意 阻止 隔离块规则覆盖基于主机的防火墙规则和权限。
旁路 任意 任意 允许 由于传感器处于旁路模式,因此基于主机的防火墙规则无效。
活动 任意 进程级别旁路 允许 绕过的进程及其子代不会被基于主机的防火墙规则阻止。
活动 阻止 允许、允许和日志 阻止 基于主机的防火墙规则优先于非绕过权限规则。
活动 允许 阻止 阻止 基于主机的防火墙允许连接不会阻止通过网络阻止和隔离规则进行 通信

使用 Carbon Black Cloud 基于主机的防火墙

本部分概述了如何创建和运行防火墙规则。

  1. 选择 要向其添加防火墙规则的策略。
  2. 设置默认规则(全部允许全部阻止)。
  3. 创建 规则组并使用防火墙规则进行填充。
  4. 根据需要查看创建修改规则组和规则。
  5. 在 传感器 选项卡上将基于主机的防火墙切换到 已启用
  6. 测试 规则。
提醒:仅当规则的状态设置为 已禁用 时,才能测试规则。
  1. 查看 规则结果。测试规则数据显示在 调查 页面上。
  2. 根据需要修改规则并重新测试,直到规则按预期执行。
  3. 停止验证为按预期执行的测试规则,并将其 状态 设置为 已启用
  4. 如果您在修改过程中禁用了它,请在 传感器 选项卡上将基于主机的防火墙切换为 已启用
  5. 分别在“调查”和“警报”页面上查看与防火墙相关的事件和警报。
  6. 根据需要继续 修改规则。有序(排名)规则组与安全策略的关联;可以跨安全策略重复使用规则组。
    • 按用户定义的优先级顺序计算规则。
    • 能够在强制实施之前测试规则。
    • 基于主机的防火墙策略阻止的行为计数。
    • 通过 Carbon Black Cloud 控制台中的 Alerts and Investigate 页面查看资产的安全状况。
提醒:Carbon Black Cloud 基于主机的防火墙附加服务需要 Windows 传感器 v3.9 及更高版本。

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Prodotti interessati

VMware Carbon Black
Proprietà dell'articolo
Numero articolo: 000214381
Tipo di articolo: How To
Ultima modifica: 31 mag 2023
Versione:  2
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.