檢視次數:
防火牆 模組提供雙向有狀態防火牆保護。它可防止拒絕服務攻擊,並為所有基於 IP 的協議和幀類型提供保護,還可對端口、IP 和 MAC 地址進行過濾。
電腦防護或政策編輯器的防火牆部分包含以下標籤分區:

一般 上層主題

防火牆 上層主題

您可以配置此策略或電腦防護,以從其父策略繼承防火牆的開/關狀態,或者您可以在本地鎖定該設置。

防火牆狀態配置 上層主題

選擇要應用於此策略的防火牆有狀態配置。如果您已為此策略定義了多個介面(如上所述),您可以為每個介面指定獨立的配置。欲了解有關創建有狀態配置的詳細資訊,請參閱 定義有狀態配置

已分配的防火牆規則 上層主題

顯示此政策或電腦防護中生效的防火牆規則。要新增或移除防火牆規則,請點選Assign/Unassign。這將顯示一個視窗,顯示所有可用的防火牆規則,您可以從中選擇或取消選擇規則。
從電腦或策略編輯器視窗中,您可以編輯防火牆規則,使您的更改僅在編輯器的上下文中本地應用,或者您可以編輯規則,使更改全局應用於所有使用該規則的其他策略和電腦。
To edit the Rule locally, 右鍵點選規則並選擇 Properties
To edit the Rule globally, 右鍵點選規則並選擇 Properties (Global)
如需有關建立防火牆規則的詳細資訊,請參閱 建立防火牆規則

介面隔離 上層主題

您可以配置此策略或電腦防護,以從其父策略繼承其介面隔離已啟動或已停用的狀態,或者您可以在本地鎖定該設置。
警告
警告
在啟用介面隔離之前,請確保您已按照正確的順序配置介面模式,並且已移除或添加所有必要的字串模式。只有符合最高優先級模式的介面才允許傳輸流量。其他介面(符合列表中任何剩餘模式的介面)將被「限制」。受限制的介面將封鎖所有流量,除非使用允許防火牆規則來允許特定流量通過。
要配置介面隔離政策:

步驟

  1. 在介面隔離標籤上,選擇Enable interface isolation
  2. 配置介面模式。(見下文)
  3. 點選 儲存

介面模式 上層主題

當介面隔離已啟動時,防火牆將嘗試將正則表達式模式與本地電腦上的介面名稱進行匹配。
注意
注意
Server & Workload Security保護 使用 POSIX 基本正則表達式來匹配介面名稱。
只有符合最高優先順序模式的介面才允許傳輸流量。其他介面(符合列表中任何剩餘模式的介面)將被「限制」。受限制的介面將封鎖所有流量,除非使用允許防火牆規則允許特定流量通過。
選擇Limit to one active interface將限制流量僅通過單一介面(即使有多個介面符合最高優先級模式)。

偵察 上層主題

Reconnaissance 頁面允許您在您的電腦上啟用和配置流量分析設置。此功能可以檢測攻擊者在開始針對性攻擊之前經常用來發現弱點的可能偵察掃描。
注意
注意
偵察掃描在 TAP 模式下無法運作。偵察掃描僅能在 IPv4 流量上被偵測到。
要啟用偵察保護,您還必須在Computer or Policy editor Firewall General標籤中啟用防火牆和狀態檢查。您還應該前往Computer or Policy editor Firewall Advanced標籤並啟用Generate Firewall Events for packets that are 'Out of Allowed Policy'設置。這將生成偵察所需的防火牆事件。
在設定偵察掃描時,您有以下選項:
  • Reconnaissance Scan Detection Enabled: 開啟或關閉偵測偵察掃描的功能。預設情況下,所有掃描都在報告模式下啟動並帶有通知。如果您想關閉通知或從報告模式切換到臨時阻止模式,請從下拉列表中選擇 並進行更改。
  • Computers/Networks on which to perform detection: 從列表中選擇要保護的 IP。從現有的 IP 列表中選擇。(您可以使用 Policies Common Objects Lists IP Lists 頁面專門為此目的創建一個 IP 列表。)
  • Do not perform detection on traffic coming from: 從一組 IP 清單中選擇要暫不處理的電腦和網路。(如上所述,您可以使用 Policies Common Objects Lists IP Lists 頁面來專門為此目的創建一個 IP 清單。)
對於每種類型的攻擊,可以指示代理將資訊發送到Server & Workload Security保護,在那裡會觸發警報。您可以配置Server & Workload Security保護在觸發警報時發送電子郵件通知。欲了解詳細資訊,請參閱Administration System Settings Alerts。選擇Notify DSM Immediately以啟用此選項。
注意
注意
若要使「立即通知 DSM」選項生效,代理程式必須在 Computer or Policy editor Settings General. 中配置為 agent-initiatedbidirectional 通訊。若已啟動,代理程式在偵測到攻擊或探測時會立即向 Server & Workload Security保護 發起心跳。
一旦偵測到攻擊,您可以指示代理程式在一段時間內封鎖來自來源 IP 的流量。使用 Block Traffic 下拉選單來設定分鐘數。
警示如下:
  • Computer OS Fingerprint Probe: 代理程式偵測到嘗試發現電腦的作業系統。
  • Network or Port Scan: 如果代理程式偵測到遠端 IP 正在訪問異常比例的 IP 與通訊埠,則會報告網路或通訊埠掃瞄。通常,代理程式電腦只會看到針對自身的流量,因此通訊埠掃瞄是最常見的探測類型。電腦或通訊埠掃瞄偵測中使用的統計分析方法源自於 2006 年在 IPCCC 上發表的論文「Connectionless Port Scan Detection on the Backbone」中提出的 "TAPS" 演算法。
  • TCP Null Scan: 代理程式偵測到未設置標記的封包。
  • TCP SYNFIN Scan: 代理程式偵測到僅設置了 SYN 和 FIN 標誌的封包。
  • TCP Xmas Scan: 代理程式偵測到僅設置了 FIN、URG 和 PSH 標誌或值為 0xFF(設置了所有可能的標誌)的封包。
注意
注意
「網路或通訊埠掃瞄」與其他類型的偵察不同,因為它無法通過單個封包識別,需要Server & Workload Security保護監控流量一段時間。如果代理程式檢測到遠端 IP 訪問異常比例的 IP 和通訊埠,則會報告電腦或通訊埠掃瞄。通常,代理程式電腦只會看到發往自身的流量,因此通訊埠掃瞄是最常見的探測類型。然而,如果電腦充當路由器或橋接器,它可能會看到發往其他多台電腦的流量,使代理程式能夠檢測到電腦掃瞄(例如,掃瞄整個子網路中開放 80 通訊埠的電腦)。檢測這些掃瞄可能需要幾秒鐘,因為代理程式需要能夠追蹤失敗的連接,並判斷在相對較短的時間內來自單台電腦的失敗連接數量是否異常。
注意
注意
運行瀏覽器應用程式的 Windows 電腦上的代理可能會偶爾報告由於來自已關閉連接的殘留流量而產生的誤報偵察掃描。有關如何處理偵察警告的資訊,請參閱 警告:偵察已檢測

Advanced 上層主題

事件 上層主題

設置是否為「超出允許政策」的封包生成事件。這些封包因未被允許防火牆規則明確允許而被已封鎖。將此選項設置為可能會根據您現行的防火牆規則生成大量事件。

防火牆事件 上層主題

防火牆事件的顯示方式與主 Server & Workload Security保護 控制台視窗中的顯示方式相同,只是僅顯示與此政策或特定電腦相關的事件。