如何使用 VMware Carbon Black Cloud 主機式防火牆

摘要: 瞭解如何設定 VMware Carbon Black Cloud 主機式防火牆規則,涵蓋使用防火牆規則的動作、物件、優先順序和步驟。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。

說明

瞭解主機式防火牆規則、規則優先順序,以及設定 Carbon Black Cloud 主機式防火牆。


受影響的產品:

  • VMware Carbon Black Cloud Standard
  • VMware Carbon Black Cloud Advanced
  • VMware Carbon Black Cloud Enterprise

受影響的版本:

  • Windows 感應器 3.9 或更新版本

受影響的作業系統:

  • Windows
注意:如需更多有關 VMware Carbon Black Cloud 版本的資訊,請參閱 VMware Carbon Black Cloud 版本之間的差異。

主機式防火牆規則

防火牆規則由操作和對象組成。可用的動作包括:

  • 允許:允許網路流量
  • 區塊:封鎖網路流量
  • 封鎖和警示:封鎖網路流量,並傳送警示至 警示 頁面

防火牆規則基於對以下類型物件的評估:

  • 本機(用戶端電腦)
  • 遠端(與用戶端電腦通訊的電腦)
    注意:本地主機始終是感測器安裝的用戶端電腦。遠端主機是與之通信的任何電腦或設備。主機關係的此表達式與流量方向無關。
  • IP 位址與子網路範圍
  • 連接埠或連接埠範圍
  • 通訊協定 (TCP、UDP、ICMP)
  • 方向(入站和出站)
  • 應用程式,由檔案路徑決定

防火牆規則可以合併到防火牆規則組中。防火牆規則組是一組邏輯防火牆規則,可簡化將多個單個規則的管理簡化為具有共同目的的單個組(例如,控制對 FTP 伺服器的訪問的多個規則)。

在策略中定義規則組和規則,並將策略分配給資產。

規則優先順序

建立和應用規則時,請記住以下優先順序:

  • 繞過規則優先於所有其他規則。因此,基於主機的防火牆規則的優先順序低於繞過規則。
  • 主機式防火牆規則的優先順序高於設置為 允許 允許 &; 日誌的許可權規則。
注意:進程級許可權繞過規則不僅會繞過規則指定的進程,還會繞過其任何子進程。

現有的感測器條件可能會影響規則的執行。例如,感測器可能處於繞過模式或隔離,或者應用程式可能被阻止。VMware Carbon Black Cloud 主機式防火牆可維持使用者指定的規則預期動作,不過根據感應器條件強制執行規則時,可能會採取不同的實際動作。

例如:

感應器模式 預期的主機式防火牆動作 預期權限或封鎖和隔離規則 實際行動 摘要
隔離 任何 任何 封鎖 隔離阻止規則會覆蓋基於主機的防火牆規則和許可權。
Bypass 任何 任何 Allow 由於感測器處於繞過模式,因此基於主機的防火牆規則無效。
使用中 任何 程序層級略過 Allow 繞過的進程及其後代不會被基於主機的防火牆規則阻止。
使用中 封鎖 允許、允許和記錄 封鎖 主機式防火牆規則優先於非略過權限規則。
使用中 Allow 封鎖 封鎖 允許連接的主機式防火牆不會阻止強制實施 「通過網路 阻止和隔離通信」規則。

使用 Carbon Black Cloud 主機式防火牆

本節提供有關如何創建和運行防火牆規則的高級概述。

  1. 選擇要添加防火牆規則的策略。
  2. 設定預設規則 (全部允許全部封鎖)。
  3. 創建規則組並使用防火牆規則填充該規則組。
  4. 根據需要查看、創建和修改規則組和規則。
  5. 感應器標籤上將主機式防火牆切換為啟用
  6. 測試規則。
    注意:只有當規則 的狀態 設置為 「已禁用」時,才能對其進行測試。
  7. 查看規則結果。測試規則數據顯示在「調查」頁上。
  8. 根據需要修改規則並重新測試,直到規則按預期執行。
  9. 停止測試經驗證為按預期執行的規則,並將其 「狀態 」設置為 「已啟用」。
  10. 如果在修改期間停用了防火牆,請在感應器標籤上將主機防火牆切換為啟用
  11. 分別在 “調查 ”和 “警報 ”頁上查看與防火牆相關的事件和警報。
  12. 視需要繼續修改規則。將有序(排名)規則組與安全策略關聯;規則組可以跨安全策略重複使用。
    • 規則按使用者定義的優先順序順序進行評估。
    • 能夠在強制實施之前測試規則。
    • 主機式防火牆原則封鎖的行為計數。
    • 讓您在 Carbon Black Cloud 主控台的「 警示調查 」頁面中,掌握資產的安全狀態。
      注意:Carbon Black Cloud 主機式防火牆附加元件需要 Windows 感應器 v3.9 及更新版本。

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

受影響的產品

VMware Carbon Black
文章屬性
文章編號: 000214381
文章類型: How To
上次修改時間: 03 4月 2026
版本:  4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。