防火牆例外範本包含策略例外,您可以設定這些例外,以根據 Security Agent端點的通訊埠號碼和 IP 位址來允許或封鎖各種網路傳輸。建立策略例外之後,請編輯要套用策略例外的策略。
決定您要使用哪一類型的策略例外。策略例外分為下列兩種類型:
限制的
只會封鎖特定類型的網路傳輸,並套用至允許所有網路傳輸的策略。限制策略例外的用途範例為封鎖容易受到攻擊的 Security Agent通訊埠(例如:特洛伊木馬程式經常使用的通訊埠)。
允許的
只會允許特定類型的網路傳輸,並套用至封鎖所有網路傳輸的策略。例如,您可能只想允許 Security Agent存取 Apex One 伺服器和 Web 伺服器。如果要這樣做,請允許信任的通訊埠(用於與 Apex One 伺服器通訊的通訊埠)和 Security Agent於 HTTP 通訊所用通訊埠的傳輸。
Security Agent監聽通訊埠: > 。通訊埠號碼會列在「基本資訊」下。
伺服器監聽通訊埠:。通訊埠號碼會列在「用戶端連線設定」下。
Apex One 隨附一組預設防火牆策略例外,您可以視需要進行修改或刪除。
表 1. 預設防火牆策略例外規則 例外名稱
處理行動
通訊協定
通訊埠
方向
DNS
允許
TCP/UDP
53
輸入和輸出
NetBIOS
允許
TCP/UDP
137, 138, 139, 445
輸入和輸出
HTTPS
允許
TCP
443
輸入和輸出
HTTP
允許
TCP 80
輸入和輸出
Telnet
允許
TCP
23
輸入和輸出
SMTP
允許
TCP
25
輸入和輸出
FTP
允許
TCP
21
輸入和輸出
POP3
允許
TCP
110
輸入和輸出
LDAP
允許
TCP/UDP
389
輸入和輸出
預設例外會套用至所有用戶端。如果要讓預設例外只套用到特定用戶端,請編輯該例外,並指定用戶端的 IP 位址。
如果您是從舊版 Apex One 升級,則無法使用 LDAP 例外。如果在例外清單中並未看到此例外項目,請手動將其新增。