Perguntas frequentes sobre firewall do Endpoint Security "desativar McAfee principais regras de rede" recurso
Artigos técnicos ID:
KB91206
Última modificação: 2022-10-04 12:45:49 Etc/GMT
Última modificação: 2022-10-04 12:45:49 Etc/GMT
Ambiente
Endpoint Security (ENS) Firewall 10.x
Resumo
Este artigo fornece informações detalhadas sobre o recurso Firewall do ENS "desativar McAfee regras principais de rede."
Atualizações recentes deste artigo
Conteúdo
Clique para ir para a seção que você deseja exibir:
Qual é a firewall ENS "desativar McAfee principais regras de rede" recurso e seu propósito?
Esse recurso contém as regras principais de rede. Ele inclui regras de firewall para permitir vários tipos de tráfego de rede relacionados ao seguinte:
As regras de firewall a seguir são incluídas na "McAfee grupo de" de rede principal:
Nota: Com o ens firewall 10.7.0 e versões posteriores, os vários "permitir aplicativos assinados pela McAfee" regras firewall listadas abaixo foram mescladas em uma única regra firewall.
Para os clientes que não desejam usar esse grupo de regras de firewall, o ENS permite desativá-las por meio da política do ePolicy Orchestrator (ePO) ou da configuração local. Quando você ativa o recurso "desativar McAfee principais regras de rede", a mensagem de pop-up desativaçãa McAfee principais regras de rede pode interromper as comunicações de rede no cliente é exibida no servidor ePO e no console do cliente do ens local. Esta mensagem é um aviso sobre possíveis problemas de interrupção de rede. Ao desativar esse grupo de regras de firewall, você pode (embora não garantido) ocorra com problemas de comunicação de rede. Essas regras de firewall permitem processos de Windows críticos e seu tráfego de rede relacionado. Se eles estiverem desativados, poderão afetar recursos ou funcionalidades relacionadas a esses processos. Por exemplo, trabalhos de impressora, interação com servidores DNS e logons de usuário. Execute testes minuciosos se esse recurso estiver ativado para certificar-se de que não há problemas.
Outro motivo importante é evitar que o ENS Firewall de bloquear o Trellix Agent (TA) e o tráfego de rede de outro produto. Se ocorrer um problema de política de firewall, por exemplo, uma política inadequadamente implementada ou corrompida, a Firewall do ENS deverá sempre permitir comunicações TA com o servidor ePO para obter novas atualizações de política e resolver problemas relacionados a políticas. Se o firewall não tiver esse recurso, as alternativas em potencial seriam duplas. O firewall pode bloquear permanentemente as comunicações do servidor ePO e do TA e as atualizações de política, ou não permitir que o sistema se conecte a qualquer rede. Qualquer outra alternativa pode exigir intervenção manual no sistema local para remediar o problema.
Depois de ativar o recurso "desativar McAfee principais regras de rede", por que todas as regras de firewall dentro da McAfee grupo de rede principal não são desativadas?
Esse comportamento é de design. O principal grupo de rede principal permanece ativado, enquanto algumas das regras de firewall estão desativadas. No entanto, outras regras críticas de firewall não são desativadas. Esse design é para evitar que o ENS Firewall de bloquear os seguintes tipos específicos de tráfego crítico de aplicativos de aplicativo e não de aplicativos que pode causar grandes paralisações. Os exemplos são um sistema que não consegue se conectar ou obter um endereço IP da rede local são os seguintes.
As seguintes regras não estão desativadas:
No momento, a modificação dessas regras não é um recurso disponível. Você só pode ativar ou desativar o grupo de regras de firewall (com as limitações indicadas acima).
Se eu ativar o recurso "desativar McAfee principais regras de rede", que problemas podem surgir?
A desativação desse grupo de regras de firewall pode fazer com que certos tipos de tráfego de rede para processos críticos sejam bloqueados. As alterações de configuração do Firewall podem ser necessárias na política Opções de firewall ou firewall regras . As alterações dependem do tipo de tráfego de rede bloqueado e de como você quer permitir o tráfego de rede. Por exemplo, se você deseja criar regras de firewall específicas para permitir o tráfego ou permiti-las por regras de arquivo (confiável) de executável confiável genérico ou de redes definidas (confiáveis) .
Devo desativar o grupo de rede principal para teste ou uso de produção?
Alguns clientes talvez queiram controlar mais rigidamente o tráfego de rede por meio de regras de firewall. Por exemplo, permita tráfego de DNS somente para endereços IP específicos do servidor DNS. Portanto, a desativação do grupo de rede principal é uma opção. No entanto, não recomendamos que você desative as principais regras de rede. Ele pode causar problemas de comunicação de rede no cliente, conforme indicado na mensagem de pop-up que ocorre quando você ativa esse recurso na interface do usuário:
Disabling McAfee core networking rules could disrupt network communications on the client.
Esteja ciente de quais tipos de problemas podem ocorrer quando essas regras de firewall do grupo de rede principal estiverem desativadas. Verifique se executar testes minuciosos antes de implementar uma política que tenha esse recurso ativado em ambientes de produção. Talvez seja necessário criar ou modificar as regras de firewall para resolver quaisquer problemas que ocorram.
Quais são alguns exemplos em que a McAfee principais regras de rede pode ser desativada?
Existem alguns tipos de tráfego de rede que são permitidos por meio dessas regras principais de rede; consulte os exemplos a seguir. Se for necessário controlar esses tipos de tráfego de rede, você poderá desativar as regras de rede principal da McAfee. Mas, como mencionado acima, tome cuidado ao fazer isso (desativar as regras principais de rede não é recomendável) e executar testes completos antes da implementação do ambiente de produção.
Atualizações recentes deste artigo
Data | Atualização |
10 de agosto de 2022 | Adicionado a seção "quais são alguns exemplos onde as regras principais de rede McAfee podem ser desativadas?" Adicionado um sumário das perguntas/informações na parte superior do artigo. |
14 de fevereiro de 2022 | As perguntas frequentes foram atualizadas "Devo desativar o grupo de rede principal para teste ou uso de produção?" que não recomendamos que você desative as principais regras de rede. |
Conteúdo
Clique para ir para a seção que você deseja exibir:
- Qual é a firewall ENS "desativar McAfee principais regras de rede" recurso e seu propósito?
- Que regras de firewall são incluídas no grupo "McAfee Core Networking"?
- Por que a "desativar McAfee regras principais de rede" disponíveis como um recurso selecionável na política opções do ens firewall?
- Depois de ativar o recurso "desativar McAfee principais regras de rede", por que todas as regras de firewall dentro da McAfee grupo de rede principal não são desativadas?
- Quais regras de firewall de rede principais não são desativadas quando eu ativo a "desativar McAfee recurso de regras principais de rede"?
- Posso modificar ou excluir o grupo de rede principal ou qualquer uma das regras de firewall dentro do grupo?
- Se eu ativar o recurso "desativar McAfee principais regras de rede", que problemas podem surgir?
- Devo desativar o grupo de rede principal para teste ou uso de produção?
- Quais são alguns exemplos de McAfee as regras principais de rede podem ser desativadas?
Qual é a firewall ENS "desativar McAfee principais regras de rede" recurso e seu propósito?
Esse recurso contém as regras principais de rede. Ele inclui regras de firewall para permitir vários tipos de tráfego de rede relacionados ao seguinte:
- Processos críticos do sistema
- Aplicativos Trellix
- DHCP
- DNS (Sistema de Nomes de Domínio)
- Loop
- Broadcast
As regras de firewall a seguir são incluídas na "McAfee grupo de" de rede principal:
Nota: Com o ens firewall 10.7.0 e versões posteriores, os vários "permitir aplicativos assinados pela McAfee" regras firewall listadas abaixo foram mescladas em uma única regra firewall.
- Permitir aplicativos do sistema de saída-permite o tráfego de rede de saída para o processo executável do sistema Windows.
- Permitir
ARP tráfego-permite tráfego de rede de entrada e de saída para pacotes do protocolo ARP (protocolo Ethernet 0x806). - Permitir tráfego de EAPOL-permite o tráfego de entrada e de saída da rede para pacotes do Extensible Authentication Protocol over LAN (EAPOL) (Ethernet Protocol 0x888E).
- Permitir aplicativos de ações de saída-permite o tráfego de rede de saída para Windows processos críticos (por exemplo,
alg.exe lsass.exe services.exe userinit.exe winlogon.exe svchost.exe spoolsv.exe ,,,,, edns.exe ). - Permitir aplicativos assinados pela McAfee-permite o tráfego de entrada e de saída da rede relacionado a nossos produtos com base no valor do certificado signatário.
- Permitir aplicativos assinados pela McAfee 2-permite o tráfego de entrada e de saída da rede relacionado a nossos produtos com base no valor do certificado signatário.
- Permitir aplicativos assinados pela McAfee 3-permite o tráfego de entrada e de saída da rede relacionado a nossos produtos com base no valor do certificado de signatário.
- Permitir aplicativos com McAfee assinados 4-permite o tráfego de entrada e de saída da rede relacionado a nossos produtos com base no valor do certificado signatário.
- Permitir tráfego de saída de ICMPv4-permite o tráfego de rede de saída relacionado ao protocolo de transporte ICMPv4.
- Permitir tráfego de saída ICMPv6-permite o tráfego de rede de saída relacionado ao protocolo de transporte ICMPv6.
- Permitir tráfego de DNS de saída-permite que o tráfego de rede de saída relacionado à porta UDP de host remoto 53 (porta padrão para resolução de DNS).
- Permitir tráfego de entrada de endereços IP especiais-permite o tráfego de rede de entrada para o endereço 0.0.0.0 IP especial (IPv4 e IPv6). Para obter mais informações, consulte este artigo em endereço IP especial 0.0.0.0.
- Permitir tráfego de loopback e Broadcast de saída-permite o tráfego de rede de saída relacionado ao tráfego de broadcast e de auto-retornoIPv4/IPv6 .
- Permitir tráfego IP reservado-permite o tráfego de entrada e de saída da rede para o protocolo de transporte reservado 255 (0xFF). Para obter mais informações, consulte este artigo sobre números de protocolo IP.
- Permitir tráfego de BOOTP de saída-permite o tráfego de rede de saída para o tráfego BOOTP e DHCP (porta UDP 67 e 68).
- Permitir tráfego DHCPv6 de saída-permite o tráfego de rede de saída para o tráfego DHCPv6 (porta UDP 546 e 547).
Para os clientes que não desejam usar esse grupo de regras de firewall, o ENS permite desativá-las por meio da política do ePolicy Orchestrator (ePO) ou da configuração local. Quando você ativa o recurso "desativar McAfee principais regras de rede", a mensagem de pop-up desativaçãa McAfee principais regras de rede pode interromper as comunicações de rede no cliente é exibida no servidor ePO e no console do cliente do ens local. Esta mensagem é um aviso sobre possíveis problemas de interrupção de rede. Ao desativar esse grupo de regras de firewall, você pode (embora não garantido) ocorra com problemas de comunicação de rede. Essas regras de firewall permitem processos de Windows críticos e seu tráfego de rede relacionado. Se eles estiverem desativados, poderão afetar recursos ou funcionalidades relacionadas a esses processos. Por exemplo, trabalhos de impressora, interação com servidores DNS e logons de usuário. Execute testes minuciosos se esse recurso estiver ativado para certificar-se de que não há problemas.
Outro motivo importante é evitar que o ENS Firewall de bloquear o Trellix Agent (TA) e o tráfego de rede de outro produto. Se ocorrer um problema de política de firewall, por exemplo, uma política inadequadamente implementada ou corrompida, a Firewall do ENS deverá sempre permitir comunicações TA com o servidor ePO para obter novas atualizações de política e resolver problemas relacionados a políticas. Se o firewall não tiver esse recurso, as alternativas em potencial seriam duplas. O firewall pode bloquear permanentemente as comunicações do servidor ePO e do TA e as atualizações de política, ou não permitir que o sistema se conecte a qualquer rede. Qualquer outra alternativa pode exigir intervenção manual no sistema local para remediar o problema.
Depois de ativar o recurso "desativar McAfee principais regras de rede", por que todas as regras de firewall dentro da McAfee grupo de rede principal não são desativadas?
Esse comportamento é de design. O principal grupo de rede principal permanece ativado, enquanto algumas das regras de firewall estão desativadas. No entanto, outras regras críticas de firewall não são desativadas. Esse design é para evitar que o ENS Firewall de bloquear os seguintes tipos específicos de tráfego crítico de aplicativos de aplicativo e não de aplicativos que pode causar grandes paralisações. Os exemplos são um sistema que não consegue se conectar ou obter um endereço IP da rede local são os seguintes.
- Sempre permita comunicações de rede para TA e outros aplicativos assinados Trellix.
- Sempre permitir tráfego de rede ARP.
- Sempre permitir o tráfego de BOOTP e DHCP (UDP porta 67 e 68) para que os sistemas obtenham um endereço IP dinamicamente (se não estiverem usando atribuições de endereço IP estático).
As seguintes regras não estão desativadas:
- Permitir tráfego de ARP
- Permitir aplicativos assinados pela McAfee
- Permitir aplicativos assinados pela McAfee 2
- Permitir aplicativos assinados pela McAfee 3
- Permitir aplicativos assinados pela McAfee 4
- Permitir tráfego BOOTP de saída
No momento, a modificação dessas regras não é um recurso disponível. Você só pode ativar ou desativar o grupo de regras de firewall (com as limitações indicadas acima).
Se eu ativar o recurso "desativar McAfee principais regras de rede", que problemas podem surgir?
A desativação desse grupo de regras de firewall pode fazer com que certos tipos de tráfego de rede para processos críticos sejam bloqueados. As alterações de configuração do Firewall podem ser necessárias na política Opções de firewall ou firewall regras . As alterações dependem do tipo de tráfego de rede bloqueado e de como você quer permitir o tráfego de rede. Por exemplo, se você deseja criar regras de firewall específicas para permitir o tráfego ou permiti-las por regras de arquivo (confiável) de executável confiável genérico ou de redes definidas (confiáveis) .
Devo desativar o grupo de rede principal para teste ou uso de produção?
Alguns clientes talvez queiram controlar mais rigidamente o tráfego de rede por meio de regras de firewall. Por exemplo, permita tráfego de DNS somente para endereços IP específicos do servidor DNS. Portanto, a desativação do grupo de rede principal é uma opção. No entanto, não recomendamos que você desative as principais regras de rede. Ele pode causar problemas de comunicação de rede no cliente, conforme indicado na mensagem de pop-up que ocorre quando você ativa esse recurso na interface do usuário:
Esteja ciente de quais tipos de problemas podem ocorrer quando essas regras de firewall do grupo de rede principal estiverem desativadas. Verifique se executar testes minuciosos antes de implementar uma política que tenha esse recurso ativado em ambientes de produção. Talvez seja necessário criar ou modificar as regras de firewall para resolver quaisquer problemas que ocorram.
Quais são alguns exemplos em que a McAfee principais regras de rede pode ser desativada?
Existem alguns tipos de tráfego de rede que são permitidos por meio dessas regras principais de rede; consulte os exemplos a seguir. Se for necessário controlar esses tipos de tráfego de rede, você poderá desativar as regras de rede principal da McAfee. Mas, como mencionado acima, tome cuidado ao fazer isso (desativar as regras principais de rede não é recomendável) e executar testes completos antes da implementação do ambiente de produção.
- NetBIOS/SMB de saída (por exemplo, portas TCP/UDP 137 – 139 e 445) e ICMP (por exemplo, "efetuar ping" tráfego) o tráfego de rede é permitido por meio do "permitir aplicativos de sistema de saída" regra, pois esse tráfego se comunica por meio do processo do sistema (PID4).
- O tráfego de rede DNS de saída (porta UDP 53) é permitido por meio do "Permitir tráfego de DNS de saída" regra.
- Dentro da política de regras de McAfee Default Firewall, há uma cópia McAfee dessas regras principais de rede que você pode duplicar, se necessário. No entanto, a alteração desse grupo de regras não afeta as regras principais de rede de McAfee embutidas no cliente do ens.
- Algumas dessas regras de firewall não são necessárias (após duplicadas), uma vez que a versão de código embutido da regra não pode ser desativada. (Consulte "quais regras principais firewall de rede não são desativadas quando eu habilito o recurso" desativar McAfee principais regras de rede "? "acima.)
- Lembre-se de que é necessário excluir a regra Permitir tráfego de entrada de endereços IP especiais , pois o 0.0.0.0 endereço IP especial usado por ele é inválido dentro das regras de firewall personalizadas (que é uma regra de rede principal embutida em código).
Informações relacionadas
Para obter informações detalhadas sobre como configurar os recursos do ENS Firewall, consulte o Guia de produto da Endpoint Security.
Nota: O fórum de ideias substitui o sistema de solicitação de aprimoramento de produto anterior.
Para obter documentos do produto, vá para o portal de documentação do produto.
Para enviar uma nova ideia de produto, acesse a página de idéias de produtos de clientes empresariais.
Clique em entrar e digite a sua ID de usuário e a senha do ServicePortal . Se você ainda não tiver uma conta do ServicePortal ou da Comunidade, clique em registrar para registrar-se em uma nova conta em qualquer um dos sites.
Para obter mais informações sobre idéias de produtos, consulte KB60021-como enviar uma ideia de produto.
Clique em entrar e digite a sua ID de usuário e a senha do ServicePortal . Se você ainda não tiver uma conta do ServicePortal ou da Comunidade, clique em registrar para registrar-se em uma nova conta em qualquer um dos sites.
Para obter mais informações sobre idéias de produtos, consulte KB60021-como enviar uma ideia de produto.
Nota: O fórum de ideias substitui o sistema de solicitação de aprimoramento de produto anterior.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: