本文提供了有关 ENS 防火墙功能 "禁用 McAfee 核心网络规则" 的详细信息。
本文的最近更新
日期 |
更新 |
2022 年 2 月 14 日 |
更新了常见问题解答"应该禁用核心网络组以进行测试或生产使用吗? McAfee Enterprise 不建议禁用核心网络规则"。 |
何谓防火墙 "禁用 McAfee 核心网络规则" 功能及其用途?
此功能包含核心网络规则。 它包括防火墙规则,可允许与以下相关的多种网络流量:
- 关键系统过程
- McAfee Enterprise 应用程序
- DHCP
- 域名系统 (DNS)
- 回送
- 广播
"McAfee 核心网络" 组中包含哪些防火墙规则?
以下防火墙规则包括 "McAfee 核心网络" 组:
注意:在ENS防火墙10.7.0及更高版本中,下面列出的多个 "允许 McAfee 签名的应用程序" 防火墙规则已合并为一个防火墙规则。
- Allow outbound system applications - 允许出站网络流量用于Windows SYSTEM可执行进程。
- 允许ARP流量 - 允许 ARP (地址解析协议) 数据包(以太网协议和入站0x806。
- Allow EAPOL traffic - 允许EAPOL(Extensible Authentication Protocol over LAN)数据包(以太网协议0x888E)的入站和出站网络流量。
- 允许出站库存应用程序 - 允许关键Windows出站网络流量(例如,services.exe,svchost.exe,lsass.exe,userinit.exe, winlogon.exe,alg.exe,spoolsv.exe和dns.exe).
- 允许 McAfee 签名的应用程序 - 根据签名者证书值允许与 McAfee Enterprise 产品相关的入站和出站网络流量。
- 允许 McAfee 签名的应用程序 2 - 根据签名者证书值允许与 McAfee Enterprise 产品相关的入站和出站网络流量。
- 允许 McAfee 签名的应用程序 3 - 根据签名者证书值允许与 McAfee Enterprise 产品相关的入站和出站网络流量。
- 允许 McAfee 签名的应用程序 4 - 根据签名者证书值允许与 McAfee Enterprise 产品相关的入站和出站网络流量。
- Allow outbound ICMPv4 traffic - 允许与ICMPv4传输协议相关的出站网络流量。
- Allow outbound ICMPv6 traffic - 允许与ICMPv6传输协议相关的出站网络流量。
- 允许出站 DNS 流量 - 允许与远程主机 UDP 端口 53(用于 DNS 解析的默认端口)相关的出站网络流量。
- 允许来自特殊地址IP流量 - 允许入站网络用于特殊地址IP的流量0.0.0.0(IPv4 和 IPv6)。 有关详细信息,请参阅文章,特殊IP地址0.0.0.0.
- 允许出站环回和广播流量 - 允许与出站网络流量相关IPv4/IPv6环回和广播流量。
- 允许保留IP流量 - 允许保留的传输协议 255 (入站和出0xFF。 有关详细信息,请参阅文章,IP协议号.
- 允许出站 BOOTP 流量 - 允许 BOOTP 和 DHCP 流量(UDP 端口 67 和 68)的出站网络流量。
- 允许出站 DHCPv6 流量 - 允许 DHCPv6 流量的出站网络流量(UDP 端口 546 和 547)。
为什么将 "禁用 McAfee 核心网络规则" 用作 "ENS防火墙选项" 策略中的可选功能?
对于不想使用此组防火墙规则的客户,ENS 允许通过 ePolicy Orchestrator (ePO) 策略或本地配置禁用这些规则。 启用 "禁用 McAfee 核心网络规则" 功能时,弹出消息
禁用 McAfee 核心网络规则可能会中断客户端上的网络通信显示在 ePO 服务器和本地客户端控制台中。 此消息是关于潜在网络中断问题的警告。 通过禁用此组防火墙规则,您
可能(尽管不保证)体验网络通信问题。 这些防火墙规则允许关键 Windows 进程及其相关网络流量。 如果它们被禁用,则可能会影响与这些进程相关的功能。 例如,打印机作业、与 DNS 服务器的交互以及用户登录。 如果启用此功能,则彻底测试以确保没有问题。
另一个重要原因就是阻止 ENS 防火墙阻止McAfee Agent McAfee Enterprise 产品网络流量。 如果出现防火墙策略问题(例如,实施不力或损坏的策略),则ENS防火墙必须始终允许与 ePO 服务器进行 McAfee Agent 通信,以获取新的策略更新并解决与策略相关的问题。 如果防火墙没有此功能,则潜在备用策略将存在两个文件夹。 防火墙可以永久阻止 ePO 服务器并 McAfee Agent 通信和策略更新,或者不允许系统连接到任何网络。 任一备选方案可能需要手动干预本地系统以补救该问题。
启用 "禁用 McAfee 核心网络规则" 功能后,为什么 McAfee 核心网络组中的所有防火墙规则都未禁用?
此行为是由设计设计的。 尽管一些防火墙规则被禁用,但主核心网络组本身仍保持启用状态。 但其他关键防火墙规则未禁用。 此设计旨在防止ENS防火墙阻止以下特定类型的关键应用程序和非应用程序网络流量,这些流量可能会造成重大停机。 示例是无法连接或从本地网络获取 IP 地址的系统。
- 始终允许 McAfee Agent 和其他 McAfee 签名的应用程序进行网络通信。
- 始终允许 ARP 网络流量。
- 始终允许 BOOTP 和 DHCP (UDP 端口67和68)流量用于系统动态获取 IP 地址(如果不使用静态 IP 地址分配)。
当我启用"禁用 McAfee 核心网络规则"功能时,不会禁用哪个核心网络防火墙规则?
以下规则未禁用:
- Allow ARP traffic
- Allow McAfee signed applications
- Allow McAfee signed applications 2
- 允许 McAfee Esigned 应用程序 3
- Allow McAfee signed applications 4
- Allow outbound BOOTP traffic
能否修改或删除核心网络组或该组内的任何防火墙规则?
目前,这些规则的修改并非可用功能。 您只能启用或禁用防火墙规则组(具有上述规定的限制)。
如果启用 "禁用 McAfee 核心网络规则" 功能,可能会出现什么问题?
禁用此类防火墙规则可能会导致阻止关键进程的某些网络流量。 防火墙配置更改可能需要在
防火墙选项或
防火墙规则策略。 更改取决于阻止的网络流量类型以及您希望允许网络流量的方式。 例如,您是否要创建特定的防火墙规则以允许流量,或允许按常规
受信任的可执行文件或
定义的网络(受信任)规则。
应该禁用核心网络组以进行测试或生产?
有些客户可能想要通过防火墙规则更加严密地控制网络流量。 例如,仅允许与 DNS 相关的流量通过DNS 服务器 IP地址。 因此,可以禁用核心网络组。 但是, McAfee Enterprise 不建议禁用核心网络规则。 它可能会造成客户端上的网络通信问题,弹出窗口在用户界面中启用此功能时出现 弹出窗口 消息:
禁用 McAfee 核心网络规则可能会中断客户端上的网络通信。
了解禁用这些核心网络组防火墙规则时可能会出现哪种类型的问题。 在实施在生产环境中启用了此功能的策略之前,请确保执行彻底测试。 您可能需要创建或修改防火墙规则,以解决发生的任何问题。