電腦防護和政策編輯器包含一個Interfaces(在電腦防護編輯器中)和Interface Types(在政策編輯器中)部分,顯示在電腦上檢測到的介面。如果已將具有多個介面分配的政策分配給電腦,則會識別與政策中定義的模式匹配的介面。
Policy 編輯器的Interface Types部分提供了額外的功能:
為多個介面配置政策 
如果您有多個介面的電腦,您可以將政策的各種元素(防火牆規則等)指派給每個介面。
步驟
- 在政策編輯器中,點選Interface Types。
- 在網路介面特定性部分,選擇Rules can apply to specific interfaces
- 在出現的介面類型部分中,輸入名稱和模式匹配字串。
接下來需執行的動作
介面類型名稱僅供參考。常見名稱包括「LAN」、「WAN」、「DMZ」和「Wi-Fi」,但可以使用任何名稱來對應到您網路的拓撲。
所有容器網路介面和主機虛擬介面使用的介面名稱是 "integrated_veth",其 MAC 位址為 02:00:00:00:00:00。
比對定義了基於萬用字元的介面名稱,以自動將介面映射到適當的介面類型。範例包括 "Local Area Connection *"、"eth*" 或 "Wireless
*"。當介面無法自動映射時,會觸發警報。您可以在電腦編輯器中的 Interfaces 頁面手動映射特定電腦的介面。
 |
注意如果 Server & Workload Security保護 偵測到電腦防護上的介面與這些條目不匹配,將會觸發警報。
|
強制介面隔離
當介面隔離已啟動時,防火牆將嘗試將正則表達式模式與本地電腦上的介面名稱匹配。要強制執行介面隔離,請點選 Enable Interface Isolation 選項,然後在 標籤上輸入將匹配電腦上介面名稱的字串模式(按優先順序)。
 |
警告在啟用介面隔離之前,請確保您已按照正確的順序配置介面模式,並且已移除或添加所有必要的字串模式。只有符合最高優先順序模式的介面才允許傳輸流量。其他介面(符合列表中任何剩餘模式的介面)將被「限制」。受限制的介面將封鎖所有流量,除非使用允許防火牆規則來允許特定流量通過。
|
選擇Limit to one active interface將限制流量僅通過單一介面,即使有多個介面符合最高優先級模式。
|
注意Server & Workload Security保護 使用 POSIX 基本正則表達式來匹配介面名稱。欲了解有關 POSIX 基本正則表達式的詳細資訊,請參閱 https://pubs.opengroup.org/onlinepubs/009695399/basedefs/xbd_chap09.html#tag_09_03。
|