Ansichten:
Konfigurieren Sie das Firewall-Modul, um sein Verhalten für eine Richtlinie festzulegen.
Beim Entwerfen des Modulverhaltens und der Implementierung mit der API verwenden Sie die Hintergrundinformationen und Anleitungen, die in Über Firewall bereitgestellt werden.
Richtlinienobjekte enthalten zwei Objekte, die Sie zur Konfiguration des Firewall-Moduls verwenden:
  • FirewallPolicyExtension: Steuert den Modulstatus (ein oder aus), identifiziert die angewendeten Firewall-Regeln und identifiziert die zustandsbehaftete Konfiguration, die mit dem Modul verwendet werden soll.
  • PolicySettings: Richtlinieneinstellungen umfassen viele Firewall-bezogene Einstellungen, die das Laufzeitverhalten des Moduls steuern, wie das Verhalten von Erkundungsscans, den Netzwerk-Engine-Modus (tap oder inline), die Einstellungen der Netzwerk-Engine und das Ereignismanagement. Konfigurieren Sie die Firewall-bezogenen Richtlinieneinstellungen wie in Richtlinien und Standardrichtlinieneinstellungen konfigurieren beschrieben.
Das folgende JSON stellt die Datenstruktur eines FirewallPolicyExtension-Objekts dar:
{

    "state": "off",
    "moduleStatus": {...},
    "globalStatefulConfigurationID": 1,
    "ruleIDs": [...]
}
Die moduleStatus-Eigenschaft ist schreibgeschützt. Sie liefert den Laufzeitstatus des Firewall-Moduls. (Siehe Bericht über den Computerstatus).

Allgemeine Schritte Übergeordnetes Thema

Um die Firewall zu konfigurieren, verwenden Sie die folgenden allgemeinen Schritte:

Prozedur

  1. Erstellen Sie ein FirewallPolicyExtension-Objekt und legen Sie die Eigenschaften fest.
  2. Erstellen Sie ein PolicySettings-Objekt, um die Laufzeiteinstellungen des Moduls zu konfigurieren.
  3. Erstellen Sie ein Policy-Objekt und fügen Sie die FirewallPolicyExtension- und PolicySettings-Objekte hinzu.
  4. Verwenden Sie ein PoliciesApi-Objekt, um die Richtlinie auf Server- und Workload Protection hinzuzufügen oder zu aktualisieren.
    Tipp
    Tipp
    Wenn Sie nur eine einzelne Firewall-bezogene Richtlinieneinstellung festlegen müssen, siehe Konfigurieren einer einzelnen Richtlinie oder Standardrichtlinieneinstellung.

Nächste Schritte

Erstellen Sie ein FirewallPolicyExtension-Objekt und legen Sie die Status- und Regel-IDs fest:
firewall_policy_extension = api.FirewallPolicyExtension()
firewall_policy_extension.state = "on"
firewall_policy_extension.rule_ids = rule_ids;
Erstellen Sie als Nächstes ein PolicySettings-Objekt, um Firewall-bezogene Einstellungen zu konfigurieren. (Für detaillierte Informationen zu Richtlinieneinstellungen siehe Richtlinien- und Standardrichtlinieneinstellungen konfigurieren.) Zum Beispiel können Sie Aufklärungsscans aktivieren:
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = True
policy_settings.firewall_setting_reconnaissance_enabled = setting_value
An diesem Punkt sind die Firewall-Richtlinie-Erweiterung und die Richtlinieneinstellungen konfiguriert. Fügen Sie sie als Nächstes zu einem Policy-Objekt hinzu und verwenden Sie ein PoliciesApi-Objekt, um eine Richtlinie auf Server- und Workload Protection zu ändern.
policy = api.Policy()
policy.firewall = firewall_policy_extension
policy.policy_settings = policy_settings

policies_api = api.PoliciesApi(api.ApiClient(configuration))
returned_policy = policies_api.modify_policy(policy_id, policy, api_version)
Der policy_id (oder policyID) Parameter von modifyPolicy identifiziert die tatsächliche Richtlinie auf Server- und Workload Protection, die geändert werden soll. Diese Richtlinie wird gemäß dem Richtlinienobjekt geändert, das als policy Parameter verwendet wird. Alle Eigenschaften des policy Parameters, die nicht festgelegt sind, bleiben in der tatsächlichen Richtlinie unverändert.

Beispiel Übergeordnetes Thema

Das folgende Beispiel erstellt ein Policy-Objekt, ändert dessen FirewallPolicyExtension und konfiguriert eine Richtlinieneinstellung. Die Richtlinie wird dann auf Server- und Workload Protection aktualisiert.
Quellcode anzeigen
policies_api = api.PoliciesApi(api.ApiClient(configuration))
policy = api.Policy()
firewall_policy_extension = api.FirewallPolicyExtension()

# Turn on firewall
firewall_policy_extension.state = "on"

# Assign rules
firewall_policy_extension.rule_ids = rule_ids;

# Add the firewall state to the policy
policy.firewall = firewall_policy_extension

# Turn on reconnaissance scan
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = True
policy_settings.firewall_setting_reconnaissance_enabled = setting_value

# Add reconnaissance scan state to the policy
policy.policy_settings = policy_settings

# Modify the policy on Server- und Workload Protection
return policies_api.modify_policy(policy_id, policy, api_version)
Tipp
Tipp
Siehe auch die Richtlinie ändern-Operation in der API-Referenz.
Tipp
Tipp
Wenn Sie nur Firewall-Regeln für eine Richtlinie hinzufügen, entfernen oder auflisten müssen, verwenden Sie die PolicyFirewallRuleAssignmentsApi-Klasse. Das vorherige Beispiel verwendet die FirewallPolicyExtension-, Policy- und PoliciesApi-Klassen, um Firewall-Regeln hinzuzufügen, aber dies kann auch nur mit der PolicyFirewallRuleAssignmentsApi-Klasse durchgeführt werden. Weitere Informationen finden Sie unter Policy Firewall Rule Assignments im Abschnitt Richtlinien des API-Referenzhandbuchs.
Weitere Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection.

Erstellen Sie eine Firewall-Regel Übergeordnetes Thema

Im Allgemeinen führen Sie die folgenden Schritte aus, um eine Firewall-Regel zu erstellen:

Prozedur

  1. Erstellen Sie ein FirewallRule-Objekt.
  2. Legen Sie die Eigenschaften der Regel fest. Die Eigenschaften sind wie in Erstellen einer Firewall-Regel beschrieben. Sie können die API verwenden, um verwandte Objekte zu erstellen, die mit mehreren Regeln verwendet werden können, wie z. B. MAC-Listen, Regelkontexte und Zeitpläne. Siehe Erstellen und Ändern von Listen und Erstellen und Konfigurieren von Zeitplänen.
  3. Erstellen Sie ein FirewallRulesApi-Objekt, um die Regel auf Server- und Workload Protection zu erstellen.

Nächste Schritte

Tipp
Tipp
Obwohl Log-Inspektionsregeln andere Eigenschaften als Firewall-Regeln haben, ist die Art und Weise, wie Sie die Regeln erstellen, ähnlich. Das Beispiel Erstellen einer grundlegenden Log-Inspektionsregel könnte hilfreich sein.
Um die API zum Erstellen einer Firewall-Regel zu verwenden, senden Sie eine POST-Anfrage an den firewallrules-Endpunkt. (Siehe den Erstellen einer Firewall-Regel-Vorgang im API-Referenzhandbuch.)

Einschränkungen bei der Konfiguration zustandsbehafteter Konfigurationen Übergeordnetes Thema

Die folgenden Eigenschaften von zustandsbehafteten Konfigurationen werden nur für Version 8.0 und frühere Agenten unterstützt:
  • ACK-Sturm-Schutz
  • Eingehende oder ausgehende passive und aktive FTP-Verbindungen zulassen
Daher sind diese Eigenschaften nicht über die API oder ein SDK konfigurierbar. Sie müssen die Server- und Workload Protection-Konsole verwenden, um diese Einstellungen zu konfigurieren. Siehe Zustandsbehaftete Firewall-Konfigurationen definieren.