防火牆規則會檢查個別封包中的控制資訊,並根據您定義的準則來封鎖或允許它們。防火牆規則可以分配給政策或直接分配給電腦。
如需有關如何配置防火牆模組的資訊,請參閱設定伺服器與工作負載保護防火牆。
要建立新的防火牆規則:
完成您的防火牆規則後,您還可以執行以下操作:
新增規則
有三種方法可以透過新增防火牆規則。您可以執行以下其中一項操作:
- 按一下,可建立新規則。
- 透過點擊從 XML 檔案匯入規則。
- 複製並修改現有規則。要執行此操作,請在「Firewall Rules」列表中右鍵點擊該規則,然後點擊「複製」。要編輯新規則,請選擇它,然後點擊「內容」。
選擇規則的行為和通訊協定
-
請輸入「名稱」和「說明」以建立規則。將所有防火牆規則變更記錄在防火牆規則的描述欄位中是一個好的做法。記下規則創建或刪除的時間和原因,以便更輕鬆地進行防火牆維護。
-
選擇「處理行動」,以便規則在封包上執行。您可以從五個動作中選擇一個。請注意,只有一個規則動作會應用於封包,且相同優先級的規則會依照優先順序應用,如下所示:
- 該規則可以允許流量「bypass」防火牆。繞過規則允許流量以最快的速度通過防火牆和入侵防護引擎。繞過規則適用於使用媒體密集型協議的流量,這些流量可能不需要正在過濾,或來自可信來源的流量。
繞過規則是單向的,因此每個流量方向都需要明確的規則。您可以通過以下設置在旁路規則上實現最大吞吐量性能:
- 優先順序:最高
- Frame Type:IP
- 通訊協定: TCP、UDP 或其他 IP 通訊協定。請勿使用 Any。
- Source and Destination IP and MAC:全部,任何。
- 如果通訊協定是 TCP 或 UDP,且傳輸方向為傳入,則目的端口必須是指定的一個或多個端口(不能是任意),而來源端口必須是任意。
- 如果通訊協定是 TCP 或 UDP,且傳輸方向為傳出,則來源端口必須是指定的一個或多個端口(不能是任意),而目的端口必須是任意。
- 預約:無。
如需有關如何在政策中為受信任來源建立和使用繞過規則的範例,請參閱 允許受信任的流量繞過防火牆。
- 該規則可以「log only」。此操作會在日誌中建立條目,但不處理流量。
- 此規則可以「force allow」定義的流量(允許此規則定義的流量而不排除任何其他流量)。
- 該規則可以「拒絕」流量(它拒絕此規則定義的流量)。
- 該規則可以「allow」流量(它僅允許由此規則定義的流量)。
如果您在電腦防護上沒有啟用允許規則,則所有流量都被允許,除非被拒絕規則特別封鎖。一旦您建立了一個允許規則,所有其他流量都會被封鎖,除非符合允許規則的要求。此規則有一個例外:ICMPv6流量始終被允許,除非被拒絕規則特別封鎖。 - 該規則可以允許流量「bypass」防火牆。繞過規則允許流量以最快的速度通過防火牆和入侵防護引擎。繞過規則適用於使用媒體密集型協議的流量,這些流量可能不需要正在過濾,或來自可信來源的流量。
-
選擇規則的「優先順序」。優先順序決定規則應用的順序。如果您選擇強制允許、拒絕或繞過作為您的規則動作,您可以設定優先順序為0(低)到4(最高)。設定優先順序允許您結合規則的動作以達到級聯規則效果。「僅記錄」 規則只能具有 「4」 的優先級,而 「允許」 規則只能具有 「0」 的優先級。高優先級規則會在低優先級規則之前應用。例如,優先級為3的端口80入站拒絕規則會在優先級為2的端口80入站強制允許規則應用之前丟棄封包。如需了解動作和優先順序如何協同運作,請參閱防火牆規則動作和優先順序。
-
選擇「封包方向」以定義此規則是應用於進入(從網路到電腦防護)或外出(從電腦防護到網路)的流量。單一防火牆規則僅適用於單向流量。您可能需要為特定類型的流量成對建立進入和外出防火牆規則。
-
選擇「User List」—這決定了此規則適用於哪個使用者清單的流量。流量將根據「User Identity」進行已過濾。您可以使用先前建立的使用者清單。「使用者名稱」 是受控發行的一部分,目前處於預覽階段。相關內容可能會有所變更。選擇用戶列表時,需要考慮多項限制和指導方針:
-
通訊協定必須設為 TCP 或 UDP,且傳輸方向必須為傳出。
-
為避免意外阻擋重要流量,您應先選擇「log only」動作並檢查行為和使用者身份是否匹配。之後,您可以將動作更改為「allow」或「deny.」
-
為了允許使用者,防火牆規則將外出存取從寬鬆轉換為限制性防火牆。因此,除了特定使用者外,所有使用者都已封鎖。欲了解詳細資訊,請參閱限制性或寬鬆的防火牆設計。
-
當新的政策發送至 Deep Security Agent 時,使用者身份會被定義。如果使用者資訊發生變更,必須重新發送配置以更新使用者身份。
-
使用者清單支援 Windows 和 Linux 作業系統。
-
-
選擇乙太網路「Frame Type」。術語框架指的是乙太網路框架,而可用的協定指定框架所承載的資料防護。如果您選擇其他作為框架類型,則需要指定框架編號。IP 覆蓋 IPv4 和 IPv6。您也可以單獨選擇 IPv4 或 IPv6。在 Solaris 上,代理僅檢查具有 IP 幀類型的數據包,而 Linux 代理僅檢查具有 IP 或 ARP 幀類型的數據包。其他幀類型的數據包則允許通過。如果您選擇 IP 框架類型,則需要選擇傳輸通訊協定。如果您選擇其他作為通訊協定,還需要輸入通訊協定號碼。
選擇封包來源和封包目的地
選擇「IP」和「Mac」地址的組合,如果框架類型可用,則選擇「通訊埠」和「Specific Flags」作為封包來源和封包目的地。
對 IP 型框架類型的技術支援中心如下:
|
IP
|
MAC
|
通訊埠
|
標誌
|
|
|
任何
|
✔
|
✔
|
||
|
ICMP
|
✔
|
✔
|
✔
|
|
|
ICMPV6
|
✔
|
✔
|
✔
|
|
|
IGMP
|
✔
|
✔
|
||
|
GGP
|
✔
|
✔
|
||
|
TCP
|
✔
|
✔
|
✔
|
✔
|
|
潛在有害程式
|
✔
|
✔
|
||
|
UDP
|
✔
|
✔
|
✔
|
|
|
IDP
|
✔
|
✔
|
||
|
ND
|
✔
|
✔
|
||
|
原始
|
✔
|
✔
|
||
|
TCP+UDP
|
✔
|
✔
|
✔
|
✔
|
ARP 和 REVARP 幀類型僅支援使用 MAC 位址作為封包來源和目的地。
您可以選擇「Any Flags」或單獨選擇以下標誌:
- URG
- ACK
- PSH
- RST
- SYN
- FIN
配置規則事件和警報
當防火牆規則被觸發時,它會在伺服器與工作負載保護中記錄一個事件並記錄封包資料。
使用允許、強制允許和繞過動作的規則不會記錄任何事件。
警報
您可以配置規則,使其在記錄事件時也觸發警報。要這樣做,請開啟規則的屬性,點擊「選項」,然後選擇「Alert when this rule logs an event」。
只有將動作設為拒絕或僅記錄的防火牆規則可以配置為觸發警報。
為規則設定排程
定義防火牆規則是否僅在排定的時間內啟用。
如需詳細資訊,請參閱定義您可以應用於規則的排程。
為規則指派一個上下文
規則上下文允許您為不同的網路環境設置獨特的防火牆規則。上下文通常用於允許筆記型電腦在內部和外部使用時生效不同的規則。
如需有關如何建立情境的資訊,請參閱定義情境以用於政策。
若要查看使用上下文實施防火牆規則的政策範例,請查看 Windows Mobile Laptop 政策的屬性。
檢視已指派規則的政策和電腦
您可以透過「Assigned To」標籤查看哪些政策和電腦防護已分配到防火牆規則。點擊列表中的政策或電腦防護以查看其屬性。
匯出規則
您可以通過點擊「匯出」並從列表中選擇相應的匯出操作,將所有防火牆規則匯出到
.csv或.xml檔案。您也可以先選擇特定規則,然後點擊「匯出」,再從列表中選擇相應的匯出操作來匯出特定規則。刪除規則
若要刪除規則,請在「Firewall Rules」清單中右鍵點擊該規則,點擊「刪除」,然後點擊「確定」。
無法刪除分配給一台或多台電腦的防火牆規則或屬於某個政策的防火牆規則。