檢視次數:
Server & Workload Security保護 防火牆是一個高度靈活的防火牆,您可以將其配置為限制性或寬鬆性。與入侵防護和網頁信譽評等模組一樣,防火牆模組也可以在兩種模式下運行:內聯或監聽。建議您在監聽模式下測試您的防火牆規則,然後在一切正常運行時切換到內聯模式。
您必須謹慎地進行防火牆的配置和管理,因為沒有一套適用於所有環境的規則。在創建規則之前,請確保您了解防火牆規則的動作和規則優先級,並在創建允許規則時格外小心,因為它們隱含地拒絕所有未定義的內容。

在部署防火牆規則之前進行測試

防火牆模組(以及入侵防護和網頁信譽評等模組)包含一個Server & Workload Security保護網路引擎,用於決定是否封鎖或允許封包。對於防火牆和入侵防護模組,網路引擎會執行封包完整性檢查,並確保每個封包通過防火牆和入侵防護規則。網路引擎以兩種模式之一運作:
  • Tap mode:封包流不會被修改。流量仍然由防火牆和/或入侵防護模組處理,如果它們已啟動。然而,任何檢測到的問題都不會導致封包或連接中斷。在 Tap 模式下,Server & Workload Security保護 除了提供事件記錄外,沒有其他保護。
  • Inline mode:封包流直接通過Server & Workload Security保護網路引擎。所有規則在網路流量進入通訊協定堆疊之前應用。
在部署防火牆規則之前,請務必在 Tap 模式或 Inline 模式下將規則的動作設置為僅記錄進行測試。這樣可以預覽規則對流量的影響,而不會採取任何行動。如果規則在部署前未經適當測試,所有流量可能會被已封鎖,您的電腦防護可能會變得無法訪問。

在 Tap 模式下測試

Tap 模式允許您測試您的防火牆規則,而不會干擾流量。
  1. 前往 ComputersPoliciesServer & Workload Security保護 控制台。
  2. 右鍵點選電腦防護(或政策),然後選擇詳細資訊以開啟電腦防護或政策編輯器。
  3. 前往Settings Advanced Network Engine Mode
  4. 從清單中選擇Tap並點選儲存
  5. 建立您的規則並點選確定。要檢查您的規則,請前往Events & Reports Events Firewall Events
注意
注意
在 Tap 模式下,無需將規則的動作設置為僅記錄。
一旦您對防火牆規則感到滿意,請返回電腦防護或政策編輯器,從下拉列表中選擇Inline,然後點選儲存

在內嵌模式中測試

在大多數情況下,Tap 模式是一種測試您防火牆規則而不干擾流量的好方法。然而,如果規則的動作設置為僅記錄,您也可以在 Inline 模式下測試您的規則。這樣,分析流量的實際過程會發生,而不需要執行任何動作,例如阻止或拒絕數據包。
  1. 前往 ComputersPoliciesServer & Workload Security保護 控制台。
  2. 右鍵點選電腦防護(或政策),然後選擇詳細資訊以開啟電腦防護或政策編輯器。
  3. 前往Settings Advanced Network Engine Mode
  4. 從下拉選單中選擇Inline,然後點選儲存
  5. 當您建立規則時,請確保動作設置為Log Only
  6. 要檢查您的規則,請前往Events & Reports Events Firewall Events
一旦您對防火牆規則感到滿意,將操作從僅記錄更改為您想要的操作,然後點選確定

啟用失敗開啟行為

在某些情況下,網路引擎會在防火牆規則(或入侵防護規則)應用之前阻擋封包。預設情況下,如果發生以下情況,網路引擎會阻擋封包:
  • 代理程式或虛擬裝置出現系統問題,例如記憶體不足
  • 封包完整性檢查失敗
這種失敗關閉行為提供了高水平的安全性:它確保當代理或虛擬裝置無法正常運行時,網路不會被網路攻擊滲透,並防止潛在的惡意封包。 失敗關閉的缺點是,由於代理或虛擬裝置的問題,您的服務和應用程式可能會變得不可用。如果由於封包完整性檢查(過多的誤報)而不必要地丟棄大量封包,您也可能會遇到效能問題。
如果您擔心服務可用性,請考慮更改預設行為,以允許封包通過(或“失敗開放”)系統和封包檢查失敗,如下所述。
  1. 前往 ComputersPoliciesServer & Workload Security保護 控制台。
  2. 右鍵點選電腦防護(或政策),然後選擇詳細資訊以開啟電腦防護或政策編輯器。
  3. 點選左側的設定
  4. 點選Advanced標籤。
  5. 網路引擎設定 下,將 Failure Response settings 設定如下:
  6. Network Engine System Failure 設定為 Fail open 以允許封包通過,如果 Server & Workload Security保護 網路引擎遇到問題,例如記憶體不足、分配記憶體失敗和網路引擎深度封包檢查 (DPI) 解碼失敗。 如果您的代理程式或虛擬裝置因為負載過重或資源不足而經常遇到網路異常,請考慮在此使用故障開放。 使用故障開放時,網路引擎允許封包通過,不執行入侵防護規則檢查,並記錄事件。 儘管代理程式或虛擬裝置出現問題,您的服務和應用程式仍然可用。
  7. Network Packet Sanity Check Failure 設定為 Fail open 以允許未通過網路引擎封包完整性檢查的封包通過。封包完整性檢查的範例:防火牆完整性檢查、網路層 2、3 或 4 屬性檢查,以及 TCP 狀態檢查。如果您只想對通過完整性檢查的良好封包執行入侵防護規則檢查,請考慮在此使用失敗開放。使用失敗開放時,網路引擎允許未通過的封包通過,不對其執行入侵防護規則檢查,並記錄事件。
  8. 點選 儲存
您已啟動系統或封包檢查失敗的失敗開啟行為。

開啟防火牆

要在電腦上啟用防火牆功能:
  1. 在電腦防護或政策編輯器中,前往Firewall General
    注意
    注意
    如需有關啟用容器防火牆的資訊,請參閱 套用您的防火牆設定
  2. 選擇開啟
  3. 點選 儲存
注意
注意
當您啟用 Server & Workload Security保護 防火牆並至少有一條防火牆規則時,代理程式會自動停用 Windows 防火牆以防止衝突。

預設防火牆規則

預設情況下,Server & Workload Security保護 附帶的政策不會分配任何輸出規則,但會分配幾個建議的輸入規則。您可以通過轉到相關作業系統政策中的 防火牆 標籤來查看分配給每個政策的預設輸入規則。下面的示例顯示了 Windows 10 桌面政策的預設防火牆規則。您可以配置這些防火牆規則以滿足您環境的需求,但我們已經為您提供了幾個預設規則以便您開始使用。
注意
注意
為了將系統性能的影響降到最低,請盡量不要指派超過 300 條防火牆規則。最好在防火牆規則的「描述」欄位中記錄所有防火牆規則的變更。記下規則創建或刪除的時間和原因,以便更輕鬆地進行防火牆維護。
editor-firewall-general=beae0654-5b57-4961-a147-c5a662d14233.png

Server & Workload Security保護 流量的預設繞過規則

Server & Workload Security保護 自動實施一個 Priority 4 Bypass Rule,該規則會在運行代理的電腦上打開代理的心跳通訊埠號碼。優先級為 4 可確保此規則在任何拒絕規則之前應用,而繞過則保證流量永不受阻。繞過規則不會明確顯示在防火牆規則列表中,因為該規則是內部創建的。
但是,此規則接受來自任何 IP 位址和任何 MAC 位址的流量。為了強化代理程式的監聽埠,您可以為此埠建立一個替代的、更具限制性的繞過規則。如果代理程式具有這些設定,它將使用新的自訂規則覆蓋預設的 Server & Workload Security保護 流量規則:
自訂規則必須使用上述參數來取代預設規則。理想情況下,應使用 Server & Workload Security保護 的 IP 位址或 MAC 位址作為規則的封包來源。

限制性或寬鬆的防火牆設計

通常,防火牆政策基於兩種設計策略之一。要麼允許任何服務,除非明確拒絕;要麼拒絕所有服務,除非明確允許。最佳做法是決定您想要實施哪種類型的防火牆。這有助於減少在創建和維護規則方面的管理負擔。

限制性防火牆

從安全角度來看,建議使用限制性防火牆作為最佳實踐。所有流量預設被停止,只有明確允許的流量才被允許通過。如果您計劃的防火牆的主要目標是封鎖未經授權的訪問,則需要強調限制連接而不是啟用連接。限制性防火牆更容易維護且更安全。允許規則僅用於允許某些流量通過防火牆,並拒絕其他所有流量。
注意
注意
一旦您指派了一個單一的輸出允許規則,輸出防火牆將以限制模式運作。這對於輸入防火牆也是如此:一旦您指派了一個單一的輸入允許規則,輸入防火牆將以限制模式運作。

寬鬆的防火牆

一個寬鬆的防火牆預設允許所有流量,僅根據簽名或其他資訊封鎖被認為是惡意的流量。寬鬆的防火牆容易實施,但提供的安全性最低,且需要複雜的規則。拒絕規則用於明確封鎖流量。

防火牆規則動作

您可以配置防火牆以執行以下操作:
警告
警告
如果您只指派傳入規則,所有傳出流量將被允許。如果您指派單一傳出允許規則,傳出防火牆將以限制模式運作。有一個例外:ICMPv6 流量總是被允許,除非它被拒絕規則特別封鎖。
允許
顯式允許符合規則的流量通過,然後隱式拒絕所有其他流量。
注意
注意
您應謹慎使用允許動作,因為它隱含地拒絕所有未定義的內容。在創建允許規則時,若未正確定義相關規則,可能會導致所有流量被封鎖,除了允許規則所創建的流量。未被允許規則明確允許的流量將被丟棄,並記錄為「超出“允許”政策」的防火牆事件。
繞過
允許流量繞過防火牆和入侵防護分析。繞過規則應始終成對創建(針對傳入和傳出流量)。繞過規則可以基於 IP、端口、傳輸方向和通訊協定。
繞過規則是為了媒體密集型協議或來自受信任來源的流量而設計的。
拒絕
明確阻擋符合規則的流量。
強制允許
如果封包符合強制允許規則,則會通過,但仍會被入侵防護過濾。不會記錄任何事件。
此類防火牆規則動作必須用於 UDP 和 ICMP 流量。
僅記錄
僅會記錄流量。不會採取其他行動。
如需有關如何建立防火牆規則的詳細資訊,請參閱 建立防火牆規則

防火牆規則優先順序

規則優先順序決定了篩選器應用的順序。這意味著高優先順序的規則會在低優先順序的規則之前應用。當動作具有相同的優先順序時,規則的優先順序為:繞過、強制允許,然後是拒絕。然而,具有較高優先順序的拒絕動作將優先於具有較低優先順序的繞過動作。關於規則優先順序和動作如何決定處理順序的詳細資訊,請參閱防火牆規則動作和優先順序
為簡化防火牆規則的管理,請考慮為特定操作保留某些優先級。例如,對使用繞過的規則應用默認優先級 3,對強制允許規則應用優先級 2,對拒絕規則應用優先級 1。這樣可以減少規則衝突的可能性。

允許規則

允許規則只能具有優先級 0。這是為了確保它在所有強制允許和拒絕規則之後處理。使用允許規則隱式拒絕流量時請記住這一點(任何不符合允許規則的流量都會被拒絕)。這意味著當分配拒絕規則時,它將優先於所有現有的允許規則。

強制允許規則

強制允許規則建議用於必須始終允許的流量,例如地址解析協議 (ARP)。強制允許操作僅作為對相同或更高優先級的拒絕規則的王牌。例如,如果您在優先級 3 設有拒絕規則,該規則阻止來自 10.0.0.0/8 子網路的允許通訊埠號碼的訪問,而您希望允許主機 10.102.12.56 訪問該通訊埠號碼,則必須在優先級 3 或 4 設置強制允許規則以壓過優先級 3 的拒絕規則。一旦數據包觸發此規則,它將立即被允許,且較低優先級的規則將不再處理它。

繞過規則

繞過規則是一種特殊類型的規則,允許封包繞過防火牆和深度封包檢查 (DPI) 引擎。此規則必須設為優先級 4 並成對創建,每個傳輸方向各一條規則。

建議的防火牆策略規則

我們建議您將以下規則設為所有防火牆政策的強制規定:
  • ARP:允許傳入的 ARP 請求,以便電腦防護可以回應其 MAC 位址的查詢。如果您不指派此規則,網路上的任何裝置都無法查詢主機的 MAC 位址,且主機將無法從網路存取。
  • Allow solicited TCP/UDP replies:允許電腦接收其自身 TCP 連線和 UDP 訊息的回覆。這與 TCP 和 UDP 有狀態防火牆組態一起運作。
  • Allow solicited ICMP replies:允許電腦接收其自身 ICMP 訊息的回覆。這與 ICMP 有狀態防火牆組態一起運作。
  • DNS 伺服器:允許 DNS 伺服器接收輸入的 DNS 查詢。
  • Remote Access RDP:允許電腦防護接受遠端桌面連線。
  • Remote Access SSH:允許電腦防護接受 SSH 連接。

測試防火牆規則

在繼續進行其他防火牆組態步驟之前,請測試建議的防火牆規則以確保其正常運作。
測試遠端存取 SSH 規則:
  1. 嘗試建立與電腦的 SSH 連線。如果防火牆已啟動且未啟用遠端存取 SSH 規則,連線將被拒絕。請前往Events & Reports Firewall Events查看被拒絕的事件。
  2. 前往Computer or Policy editor Firewall。在Assigned Firewall Rules下,點選Assign/Unassign
  3. 搜尋遠端存取 SSH 並啟用規則。點選確定儲存
  4. 嘗試建立與電腦防護的 SSH 連線。應允許該連線。
測試遠端存取 RDP 規則:
  1. 嘗試建立與電腦的 RDP 連線。如果防火牆已啟動且未啟用遠端存取 RDP 規則,則連線將被拒絕。前往Events & Reports Firewall事件以查看被拒絕的事件。
  2. 前往Computer or Policy editor Firewall。在Assigned Firewall Rules下,點選Assign/Unassign
  3. 搜尋遠端存取 RDP 並啟用規則。點選 確定儲存
  4. 嘗試建立到電腦防護的 RDP 連線。應允許該連線。

偵察掃描

您可以配置防火牆來檢測可能的偵察掃描,並通過封鎖來自源 IP 的流量一段時間來幫助防止攻擊。一旦檢測到攻擊,您可以指示代理和設備封鎖來自源 IP 的流量一段時間。使用Policy or Computer Editor Firewall Reconnaissance標籤上的封鎖流量列表來設置分鐘數。
  • Computer OS Fingerprint Probe: 代理或設備偵測到嘗試發現電腦防護的作業系統。
  • Network or Port Scan: 如果代理程式或設備偵測到遠端 IP 正在訪問異常比例的 IP 與通訊埠,則會報告網路或通訊埠掃瞄。通常,代理程式或設備電腦只會看到針對自身的流量,因此通訊埠掃瞄是最常被偵測到的探測類型。電腦或通訊埠掃瞄偵測中使用的統計分析方法源自於 2006 年在 IPCCC 上發表的論文「Connectionless Port Scan Detection on the Backbone」中提出的 "TAPS" 演算法。
  • TCP Null Scan: 代理或設備偵測到未設置標記的封包。
  • TCP SYNFIN Scan: 代理或設備檢測到僅設置了 SYN 和 FIN 標誌的數據包。
  • TCP Xmas Scan: 代理或設備偵測到僅設置了 FIN、URG 和 PSH 標誌的數據包,或值為 0xFF(設置了所有可能的標誌)。
對於每種類型的攻擊,可以指示代理或設備將信息發送到Server & Workload Security保護,在選擇立即通知 DSM 選項時會觸發警報。要使此選項生效,必須在Policy / Computer Editor Settings General Communication Direction中配置代理或設備為代理或設備啟動或雙向通信。如果已啟動,代理或設備在檢測到攻擊或探測時會立即向Server & Workload Security保護發送心跳信號。
注意
注意
如果您想啟用偵察保護,您必須在策略或電腦防護編輯器 > 防火牆 > 一般標籤中啟用防火牆和有狀態檢查。您還應該前往策略或電腦防護編輯器 > 防火牆 > 進階標籤,啟用為 '超出允許策略' 的封包生成防火牆事件設定。這將生成偵察所需的防火牆事件。
注意
注意
偵察掃描檢測需要至少有一個活動的防火牆規則分配給代理的策略。
如需有關如何處理偵察警告的資訊,請參閱 警告:偵察已偵測

狀態檢查

Server & Workload Security保護 防火牆啟動時應啟用防火牆的有狀態配置機制。此機制會在流量歷史、TCP 和 IP 標頭值的正確性以及 TCP 連接狀態轉換的上下文中分析每個數據包。對於像 UDP 和 ICMP 這樣的無狀態協議,則基於歷史流量分析實施偽有狀態機制。
封包由有狀態機制處理如下:
  1. 如果封包已通過靜態防火牆規則條件的允許,則會將其傳遞給有狀態例程。
  2. 該封包會被檢查以確定其是否屬於現有連線。
  3. TCP 標頭會檢查其正確性(例如,序列號、標誌組合等)。
Server & Workload Security保護 防火牆的有狀態配置啟用後,可以防止例如拒絕服務攻擊,前提是啟用了有狀態的 TCP、ICMP 或 UDP 通訊協定的預設配置,並且只允許請求的回應。如果啟用了 UDP 有狀態選項,則在運行 UDP 伺服器(例如 DHCP)時必須使用強制允許。如果代理沒有配置 DNS 或 WINS 伺服器,則可能需要為 NetBIOS 設置強制允許傳入 UDP 埠 137 的規則。
除非需要用於 ICMP 或 UDP 協議,否則應禁用有狀態日誌記錄。

範例

這是一個如何為 Web 伺服器建立簡單防火牆策略的範例:
  1. 使用這些已啟動的選項,通過全域防火牆有狀態配置啟用 TCP、UDP 和 ICMP 的有狀態檢查。
  2. 新增防火牆規則以允許 TCP 和 UDP 回應工作站發出的請求。為此,請建立一個傳入允許規則,將通訊協定設置為 TCP + UDP,並在 Specific Flags 下選擇 NotSyn。此時,該策略僅允許對工作站用戶發起的請求的 TCP 和 UDP 封包進行回應。例如,結合在步驟 1 中已啟動的狀態分析選項,此規則允許此電腦上的用戶進行 DNS 查詢(通過 UDP)和通過 HTTP(TCP)瀏覽網頁。
  3. 新增防火牆規則以允許對工作站發出的請求進行 ICMP 回應。為此,請建立一個傳入允許規則,將通訊協定設置為 ICMP,並選中 Any Flags 選框。這意味著此電腦上的使用者可以 ping 其他工作站並接收回應,但其他使用者將無法 ping 此電腦。
  4. Specific Flags 部分勾選 Syn 核取方塊,新增一條防火牆規則以允許進入的 TCP 流量到 80 和 443 埠。這意味著外部使用者可以訪問此電腦上的 Web 伺服器。
    此時,我們有一個基本的防火牆策略,允許請求的 TCP、UDP 和 ICMP 回應以及對此電腦上 Web 伺服器的外部訪問,所有其他進入的流量都被拒絕。
    舉例來說,如何使用拒絕和強制允許規則動作來進一步完善此政策,考慮我們可能希望限制來自網路中其他電腦的流量。例如,我們可能希望允許內部使用者訪問此電腦上的 Web 伺服器,但拒絕來自 DMZ 中任何電腦的訪問。這可以通過添加一個拒絕規則來禁止來自 DMZ IP 範圍內伺服器的訪問來實現。
  5. 為來自來源 IP 10.0.0.0/24 的傳入 TCP 流量新增一條拒絕規則,這是分配給 DMZ 中電腦的 IP 範圍。此規則拒絕來自 DMZ 中電腦到此電腦的任何流量。
    然而,我們可能需要進一步完善此政策,以允許來自位於 DMZ 的郵件伺服器的傳入流量。
  6. 對來自來源 IP 10.0.0.100 的傳入 TCP 流量使用強制允許。此強制允許會覆蓋我們在上一步中創建的拒絕規則,以允許來自 DMZ 中這台電腦防護的流量。

重要事項須記住

  • 所有流量首先會根據防火牆規則進行檢查,然後再由有狀態檢查引擎進行分析。如果流量通過防火牆規則,則流量會由有狀態檢查引擎進行分析(前提是防火牆有狀態配置中已啟動有狀態檢查)。
  • 允許規則是限制性的。任何未在允許規則中指定的內容都會自動被丟棄。這包括其他幀類型的流量,因此您需要記得包含允許其他類型所需流量的規則。例如,如果未使用靜態 ARP 表,請不要忘記包含允許 ARP 流量的規則。
  • 如果已啟動 UDP 狀態檢查,則必須使用強制允許規則來允許未經請求的 UDP 流量。例如,如果在 DNS 伺服器上已啟動 UDP 狀態檢查,則需要對 53 埠進行強制允許,以允許伺服器接受傳入的 DNS 請求。
  • 如果已啟動 ICMP 有狀態檢查,則必須使用強制允許規則來允許未經請求的 ICMP 流量。例如,如果您希望允許外部 ping 請求,則需要為 ICMP 類型 3(回聲請求)設置強制允許規則。
  • 強制允許僅在相同優先級上下文中起到王牌作用。
  • 如果您沒有配置 DNS 或 WINS 伺服器(這在測試環境中很常見),則可能需要為 NetBIOS(Windows 共享)設置「強制允許傳入 UDP 埠 137」規則。
注意
注意
在疑難排解新的防火牆策略時,您應該做的第一件事是檢查代理或設備上的防火牆規則日誌。防火牆規則日誌包含所有您需要的信息,以確定哪些流量被拒絕,從而可以根據需要進一步完善您的策略。