Preguntas frecuentes sobre Firewall de Endpoint Security "desactivar McAfee principales reglas de red" función
Artículos técnicos ID:
KB91206
Última modificación: 04/10/2022
Última modificación: 04/10/2022
Entorno
Firewall Endpoint Security (ENS) 10.x
Resumen
En este artículo se proporciona información detallada sobre la función firewall de ENS "desactivar McAfee reglas de red principales."
Actualizaciones recientes de este artículo
Contenido
Haga clic para saltar a la sección que desea ver:
¿Cuál es la Firewall de ENS "desactivar McAfee principales reglas de red" función y su finalidad?
Esta función contiene las reglas de red principales. Incluye reglas de firewall para permitir varios tipos de tráfico de red relacionados con lo siguiente:
Se incluyen las siguientes reglas de Firewall la "McAfee Core networking" Group:
Nota: Con Firewall de ENS 10.7.0 y posteriores, las varias "permitir aplicaciones firmadas McAfee" firewall reglas que se indican a continuación se han fusionado en una sola regla de Firewall.
Para los clientes que no deseen utilizar este grupo de reglas de firewall, ENS permite la capacidad de desactivarlos mediante la Directiva de ePolicy Orchestrator (ePO) o la configuración local. Al activar la "desactivar McAfee Core Network Rules" función, el mensaje emergente que desactiva McAfee reglas de red principales podría interrumpir las comunicaciones de red en el cliente en el servidor de ePO y la consola del cliente de ENS local. Este mensaje es una advertencia sobre posibles problemas de interrupción de la red. Al desactivar este grupo de reglas de firewall, es posible que se produzcan problemas de comunicación de red (aunque no garantizada). Estas reglas de firewall permiten procesos de Windows críticos y su tráfico de red relacionado. Si están desactivadas, podría afectar a funciones o funcionalidades relacionadas con estos procesos. Por ejemplo, trabajos de impresión, interacción con servidores DNS e inicios de sesión de usuario. Realice pruebas exhaustivas si esta función está activada para asegurarse de que no hay problemas.
Otra razón importante es evitar que el Firewall ENS bloquee Agent Trellix (TA) y otro tráfico de la red del producto. Si se produce un problema de directiva de firewall, por ejemplo, una directiva mal implementada o dañada, la Firewall de ENS debe permitir siempre las comunicaciones de TA al servidor de ePO para obtener nuevas actualizaciones de directivas y resolver los problemas relacionados con las directivas. Si el firewall no tiene esta función, las posibles alternativas serían dobles. El firewall puede bloquear de forma permanente el servidor de ePO y las actualizaciones de las directivas y las comunicaciones de TA, o no permitir que el sistema se conecte a ninguna red. Una alternativa podría requerir la intervención manual en el sistema local para solucionar el problema.
Tras activar la "desactivar McAfee principales reglas de red" función, ¿por qué no están desactivadas todas las reglas de Firewall dentro del grupo de red principal de McAfee?
Este comportamiento es por diseño. El propio grupo de red principal del núcleo permanece activado, mientras que algunas de las reglas firewall están desactivadas. No obstante, otras reglas de firewall críticas no están desactivadas. Este diseño es evitar que el Firewall de ENS bloquee los siguientes tipos específicos de tráfico de red de aplicaciones y no de aplicaciones críticos, lo que podría acarrear graves interrupciones. Por ejemplo, un sistema que no puede conectar u obtener una dirección IP de la red local es el siguiente.
Las siguientes reglas no están desactivadas:
Actualmente, la modificación de estas reglas no es una función disponible. Solo se puede activar o desactivar el grupo de reglas de firewall (con las limitaciones indicadas anteriormente).
Si activar el "desactivar McAfee Core Network Rules" Feature, ¿qué problemas pueden surgir?
La desactivación de este grupo de reglas de firewall podría provocar el bloqueo de ciertos tráficos de red para procesos críticos. Es posible que Firewall cambios de configuración se necesiten en las directivas Opciones de Firewall o reglas de Firewall . Los cambios dependen del tipo de tráfico de red que se bloquee y de cómo desea permitir el tráfico de red. Por ejemplo, si desea crear reglas de firewall específicas para permitir el tráfico, o permitir que se ejecuten mediante reglas de tipo genérico de confianza o de redes definidas (de confianza) .
¿Debo desactivar el grupo de red principal para realizar las pruebas o el uso de producción?
Es posible que algunos clientes deseen controlar con más precisión el tráfico de red mediante reglas firewall. Por ejemplo, permitir tráfico relacionado con DNS solo a direcciones IP del servidor DNS específicas. Por tanto, desactivar el grupo de red principal es una opción. Sin embargo, no le recomendamos que desactive las reglas de red principales. Es posible que se produzcan problemas de comunicación de red en el cliente, tal y como se indica con el mensaje emergente que se produce al activar esta función en la interfaz de usuario:
Disabling McAfee core networking rules could disrupt network communications on the client.
Tenga en cuenta qué tipo de problemas se pueden producir cuando se desactivan estas reglas de firewall de grupo de redes principales. Asegúrese de realizar pruebas exhaustivas antes de implementar una directiva que tenga esta función activada en los entornos de producción. Es posible que necesite crear o modificar reglas de firewall para resolver cualquier problema que se produzca.
¿Cuáles son algunos ejemplos en los que es posible que se desactiven las reglas de red principales de McAfee?
Existen algunos tipos de tráfico de red que se permiten a través de estas reglas de red principales; Consulte los siguientes ejemplos. Si necesita controlar estos tipos de tráfico de red, puede desactivar las reglas de red principales McAfee. Sin embargo, como se ha indicado anteriormente, tenga cuidado al hacerlo (no se recomienda desactivar las reglas de red principales) y realice pruebas exhaustivas antes de la implementación del entorno de producción.
Actualizaciones recientes de este artículo
Fecha | Actualización |
10 de agosto de 2022 | Se ha agregado la sección "¿Cuáles son algunos ejemplos en los que se pueden desactivar las reglas de red principales de McAfee?" Se ha agregado una tabla de contenido de las preguntas/información en la parte superior del artículo. |
14 de febrero de 2022 | Se ha actualizado la "de preguntas frecuentes ¿debo desactivar el grupo de red principal para realizar pruebas o utilizar la producción?" que no se recomienda desactivar las reglas de red principales. |
Contenido
Haga clic para saltar a la sección que desea ver:
- ¿Cuál es la Firewall de ENS "desactivar McAfee principales reglas de red" función y su finalidad?
- ¿Qué reglas de Firewall se incluyen en el "McAfee Core networking" Group?
- ¿Por qué "desactivar McAfee reglas de redes principales" disponible como función seleccionable en la Directiva opciones de Firewall de ENS?
- Tras activar la "desactivar McAfee principales reglas de red" función, ¿por qué no están desactivadas todas las reglas de Firewall dentro del grupo de red principal de McAfee?
- ¿Qué reglas de Firewall de red principales no están desactivadas cuando activar la "desactivar McAfee" reglas de red básicas?
- ¿Puedo modificar o eliminar el grupo de red principal o cualquiera de las reglas de firewall dentro del grupo?
- Si activar el "desactivar McAfee Core Network Rules" Feature, ¿qué problemas pueden surgir?
- ¿Debo desactivar el grupo de red principal para realizar las pruebas o el uso de producción?
- ¿Cuáles son algunos ejemplos en los que se pueden desactivar las reglas de red principales de McAfee?
¿Cuál es la Firewall de ENS "desactivar McAfee principales reglas de red" función y su finalidad?
Esta función contiene las reglas de red principales. Incluye reglas de firewall para permitir varios tipos de tráfico de red relacionados con lo siguiente:
- Procesos críticos del sistema
- Aplicaciones de Trellix
- DHCP
- Sistema de nombres de dominio (DNS)
- Cerrado
- Difusión
Se incluyen las siguientes reglas de Firewall la "McAfee Core networking" Group:
Nota: Con Firewall de ENS 10.7.0 y posteriores, las varias "permitir aplicaciones firmadas McAfee" firewall reglas que se indican a continuación se han fusionado en una sola regla de Firewall.
- Permitir aplicaciones de sistemas salientes: permite el tráfico de red saliente para el proceso ejecutable del sistema de Windows.
- Permitir
ARP tráfico: permite el tráfico de red entrante y saliente para paquetes de protocolo de resolución de direcciones (ARP) (protocolo Ethernet 0x806). - Permitir tráfico EAPOL: permite el tráfico de red entrante y saliente para paquetes de protocolo de autenticación extensible a través de LAN (EAPOL) (protocolo Ethernet 0x888E).
- Permitir aplicaciones de material saliente: permite el tráfico de red saliente para Windows procesos críticos (por ejemplo,
svchost.exe userinit.exe services.exe winlogon.exe alg.exe lsass.exe spoolsv.exe ,,,,,, ydns.exe ). - Permitir aplicaciones con firma McAfee: permite el tráfico de red entrante y saliente relacionado con nuestros productos en función del valor del certificado de firmante.
- Permitir aplicaciones firmadas McAfee 2: permite el tráfico de red entrante y saliente relacionado con nuestros productos en función del valor del certificado de firmante.
- Permitir aplicaciones con firma McAfee 3: permite el tráfico de red entrante y saliente relacionado con nuestros productos en función del valor del certificado de firmante.
- Permitir aplicaciones firmadas McAfee 4: permite el tráfico de red entrante y saliente relacionado con nuestros productos en función del valor del certificado de firmante.
- Permitir tráfico ICMPv4 saliente: permite el tráfico de red saliente relacionado con el protocolo de transporte ICMPv4.
- Permitir tráfico ICMPv6 saliente: permite el tráfico de red saliente relacionado con el protocolo de transporte ICMPv6.
- Permitir tráfico DNS saliente: permite el tráfico de red saliente relacionado con host remoto puerto UDP 53 (puerto predeterminado para resolución DNS).
- Permitir tráfico entrante desde direcciones IP especiales: permite el tráfico de red entrante para la dirección 0.0.0.0 IP especial (IPv4 y IPv6). Para obtener más información, consulte este artículo sobre la dirección IP especial 0.0.0.0.
- Permitir el tráfico de difusión y bucle de retroceso saliente: permite el tráfico de red saliente relacionado con el tráfico de retransmisión y de bucle invertido de IPv4/IPv6 .
- Permitir tráfico IP reservado: permite tráfico de red entrante y saliente para el protocolo reservado de transporte 255 (0xFF). Para obtener más información, consulte este artículo sobre los números de protocolo IP.
- Permitir tráfico BOOTP saliente: permite el tráfico de red saliente para el tráfico BOOTP y DHCP (puerto UDP 67 y 68).
- Permitir tráfico DHCPv6 saliente: permite el tráfico de red saliente para el tráfico DHCPv6 (puerto UDP 546 y 547).
Para los clientes que no deseen utilizar este grupo de reglas de firewall, ENS permite la capacidad de desactivarlos mediante la Directiva de ePolicy Orchestrator (ePO) o la configuración local. Al activar la "desactivar McAfee Core Network Rules" función, el mensaje emergente que desactiva McAfee reglas de red principales podría interrumpir las comunicaciones de red en el cliente en el servidor de ePO y la consola del cliente de ENS local. Este mensaje es una advertencia sobre posibles problemas de interrupción de la red. Al desactivar este grupo de reglas de firewall, es posible que se produzcan problemas de comunicación de red (aunque no garantizada). Estas reglas de firewall permiten procesos de Windows críticos y su tráfico de red relacionado. Si están desactivadas, podría afectar a funciones o funcionalidades relacionadas con estos procesos. Por ejemplo, trabajos de impresión, interacción con servidores DNS e inicios de sesión de usuario. Realice pruebas exhaustivas si esta función está activada para asegurarse de que no hay problemas.
Otra razón importante es evitar que el Firewall ENS bloquee Agent Trellix (TA) y otro tráfico de la red del producto. Si se produce un problema de directiva de firewall, por ejemplo, una directiva mal implementada o dañada, la Firewall de ENS debe permitir siempre las comunicaciones de TA al servidor de ePO para obtener nuevas actualizaciones de directivas y resolver los problemas relacionados con las directivas. Si el firewall no tiene esta función, las posibles alternativas serían dobles. El firewall puede bloquear de forma permanente el servidor de ePO y las actualizaciones de las directivas y las comunicaciones de TA, o no permitir que el sistema se conecte a ninguna red. Una alternativa podría requerir la intervención manual en el sistema local para solucionar el problema.
Tras activar la "desactivar McAfee principales reglas de red" función, ¿por qué no están desactivadas todas las reglas de Firewall dentro del grupo de red principal de McAfee?
Este comportamiento es por diseño. El propio grupo de red principal del núcleo permanece activado, mientras que algunas de las reglas firewall están desactivadas. No obstante, otras reglas de firewall críticas no están desactivadas. Este diseño es evitar que el Firewall de ENS bloquee los siguientes tipos específicos de tráfico de red de aplicaciones y no de aplicaciones críticos, lo que podría acarrear graves interrupciones. Por ejemplo, un sistema que no puede conectar u obtener una dirección IP de la red local es el siguiente.
- Permitir siempre comunicaciones de red para TA y otras aplicaciones con firma Trellix.
- Permitir siempre el tráfico de red ARP.
- Permitir siempre el tráfico de BOOTP y DHCP (puerto UDP 67 y 68) para los sistemas con el fin de obtener una dirección IP de forma dinámica (si no utiliza asignaciones de direcciones IP estáticas).
Las siguientes reglas no están desactivadas:
- Permitir tráfico de ARP
- Permitir aplicaciones firmadas McAfee
- Permitir aplicaciones firmadas McAfee 2
- Permitir aplicaciones firmadas McAfee 3
- Permitir aplicaciones firmadas McAfee 4
- Permitir el tráfico saliente de BOOTP
Actualmente, la modificación de estas reglas no es una función disponible. Solo se puede activar o desactivar el grupo de reglas de firewall (con las limitaciones indicadas anteriormente).
Si activar el "desactivar McAfee Core Network Rules" Feature, ¿qué problemas pueden surgir?
La desactivación de este grupo de reglas de firewall podría provocar el bloqueo de ciertos tráficos de red para procesos críticos. Es posible que Firewall cambios de configuración se necesiten en las directivas Opciones de Firewall o reglas de Firewall . Los cambios dependen del tipo de tráfico de red que se bloquee y de cómo desea permitir el tráfico de red. Por ejemplo, si desea crear reglas de firewall específicas para permitir el tráfico, o permitir que se ejecuten mediante reglas de tipo genérico de confianza o de redes definidas (de confianza) .
¿Debo desactivar el grupo de red principal para realizar las pruebas o el uso de producción?
Es posible que algunos clientes deseen controlar con más precisión el tráfico de red mediante reglas firewall. Por ejemplo, permitir tráfico relacionado con DNS solo a direcciones IP del servidor DNS específicas. Por tanto, desactivar el grupo de red principal es una opción. Sin embargo, no le recomendamos que desactive las reglas de red principales. Es posible que se produzcan problemas de comunicación de red en el cliente, tal y como se indica con el mensaje emergente que se produce al activar esta función en la interfaz de usuario:
Tenga en cuenta qué tipo de problemas se pueden producir cuando se desactivan estas reglas de firewall de grupo de redes principales. Asegúrese de realizar pruebas exhaustivas antes de implementar una directiva que tenga esta función activada en los entornos de producción. Es posible que necesite crear o modificar reglas de firewall para resolver cualquier problema que se produzca.
¿Cuáles son algunos ejemplos en los que es posible que se desactiven las reglas de red principales de McAfee?
Existen algunos tipos de tráfico de red que se permiten a través de estas reglas de red principales; Consulte los siguientes ejemplos. Si necesita controlar estos tipos de tráfico de red, puede desactivar las reglas de red principales McAfee. Sin embargo, como se ha indicado anteriormente, tenga cuidado al hacerlo (no se recomienda desactivar las reglas de red principales) y realice pruebas exhaustivas antes de la implementación del entorno de producción.
- NetBIOS/SMB saliente (por ejemplo, puertos TCP/UDP 137 – 139 y 445) y ICMP (por ejemplo, "ping" tráfico) se permite el tráfico de red a través de la regla de "permitir aplicaciones de sistema salientes", ya que este tráfico se comunica mediante el proceso del sistema (PID4).
- Se permite el tráfico de red saliente de DNS (puerto UDP 53) a través de la regla "permitir" detráfico DNS saliente.
- En la McAfee Default Directiva reglas de firewall, existe una copia de estas reglas de red principales McAfee que puede duplicar si es necesario. No obstante, el cambio de este grupo de reglas no afecta a las reglas de redes principales McAfee codificadas en el cliente de ens.
- Algunas de estas reglas de firewall no son necesarias (después de duplicarla), ya que la versión no modificable de la regla no se puede desactivar. (Véase "¿qué reglas principales de red Firewall no están desactivadas cuando se activar la" desactivar McAfee reglas de redes principales "función? "anterior.)
- Tenga en cuenta que debe eliminar la regla permitir tráfico entrante de direcciones IP especiales , ya que la 0.0.0.0 dirección IP especial que utiliza no es válida en las reglas de Firewall personalizadas (por este motivo, se trata de una regla de red principal codificada de forma rígida).
Información relacionada
Para obtener información detallada sobre la configuración de las funciones de Firewall de ENS, consulte la Guía del producto de Endpoint Security.
Nota: El foro ideas sustituye al sistema de solicitudes de mejora de productos anterior.
Para obtener los documentos del producto, vaya al portal de documentación del producto.
Para enviar una nueva idea de producto, vaya a la página ideas de productos de clientes empresariales.
Haga clic en iniciar sesión e introduzca su ID de usuario y contraseña de ServicePortal . Si aún no dispone de una cuenta de ServicePortal o de comunidad, haga clic en registrar para registrarse en una nueva cuenta en cualquier sitio web.
Para obtener más información sobre las ideas de productos, consulte el KB60021-cómo enviar una idea de producto.
Haga clic en iniciar sesión e introduzca su ID de usuario y contraseña de ServicePortal . Si aún no dispone de una cuenta de ServicePortal o de comunidad, haga clic en registrar para registrarse en una nueva cuenta en cualquier sitio web.
Para obtener más información sobre las ideas de productos, consulte el KB60021-cómo enviar una idea de producto.
Nota: El foro ideas sustituye al sistema de solicitudes de mejora de productos anterior.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: