如何使用 VMware Carbon Black Cloud 主機式防火牆

瞭解主機式防火牆規則、規則優先順序，以及設定 Carbon Black Cloud 主機式防火牆。

受影響的產品：

• VMware Carbon Black Cloud Standard
• VMware Carbon Black Cloud Advanced
• VMware Carbon Black Cloud Enterprise

受影響的版本：

• Windows 感應器 3.9 或更新版本

受影響的作業系統：

• Windows

主機式防火牆規則

防火牆規則由操作和對象組成。可用的動作包括：

• 允許：允許網路流量
• 區塊：封鎖網路流量
• 封鎖和警示：封鎖網路流量，並傳送警示至 警示 頁面

防火牆規則基於對以下類型物件的評估：

• 本機（用戶端電腦）
• 遠端（與用戶端電腦通訊的電腦）
  注意：本地主機始終是感測器安裝的用戶端電腦。遠端主機是與之通信的任何電腦或設備。主機關係的此表達式與流量方向無關。
• IP 位址與子網路範圍
• 連接埠或連接埠範圍
• 通訊協定 （TCP、UDP、ICMP）
• 方向（入站和出站）
• 應用程式，由檔案路徑決定

防火牆規則可以合併到防火牆規則組中。防火牆規則組是一組邏輯防火牆規則，可簡化將多個單個規則的管理簡化為具有共同目的的單個組（例如，控制對 FTP 伺服器的訪問的多個規則）。

在策略中定義規則組和規則，並將策略分配給資產。

規則優先順序

建立和應用規則時，請記住以下優先順序：

• 繞過規則優先於所有其他規則。因此，基於主機的防火牆規則的優先順序低於繞過規則。
• 主機式防火牆規則的優先順序高於設置為 允許 或 允許 &; 日誌的許可權規則。

現有的感測器條件可能會影響規則的執行。例如，感測器可能處於繞過模式或隔離，或者應用程式可能被阻止。VMware Carbon Black Cloud 主機式防火牆可維持使用者指定的規則預期動作，不過根據感應器條件強制執行規則時，可能會採取不同的實際動作。

例如：

使用 Carbon Black Cloud 主機式防火牆

本節提供有關如何創建和運行防火牆規則的高級概述。

1. 選擇要添加防火牆規則的策略。
2. 設定預設規則 （全部允許 或 全部封鎖）。
3. 創建規則組並使用防火牆規則填充該規則組。
4. 根據需要查看、創建和修改規則組和規則。
5. 在感應器標籤上將主機式防火牆切換為啟用。
6. 測試規則。
   注意：只有當規則 的狀態 設置為 「已禁用」時，才能對其進行測試。
7. 查看規則結果。測試規則數據顯示在「調查」頁上。
8. 根據需要修改規則並重新測試，直到規則按預期執行。
9. 停止測試經驗證為按預期執行的規則，並將其 「狀態 」設置為 「已啟用」。
10. 如果在修改期間停用了防火牆，請在感應器標籤上將主機防火牆切換為啟用。
11. 分別在 “調查 ”和 “警報 ”頁上查看與防火牆相關的事件和警報。
12. 視需要繼續修改規則。將有序（排名）規則組與安全策略關聯;規則組可以跨安全策略重複使用。
    • 規則按使用者定義的優先順序順序進行評估。
    • 能夠在強制實施之前測試規則。
    • 主機式防火牆原則封鎖的行為計數。
    • 讓您在 Carbon Black Cloud 主控台的「 警示 與 調查 」頁面中，掌握資產的安全狀態。
      注意：Carbon Black Cloud 主機式防火牆附加元件需要 Windows 感應器 v3.9 及更新版本。

如要聯絡支援部門，請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect，以線上產生技術支援要求。
如需更多深入見解與資源，請加入 Dell 安全性社群論壇。