Cómo crear reglas de Firewall de ENS para el tráfico de red de aplicaciones de terceros (gestionado por ePO)
Artículos técnicos ID:
KB91885
Última modificación: 2022-07-16 12:43:35 Etc/GMT
Última modificación: 2022-07-16 12:43:35 Etc/GMT
Entorno
Firewall Endpoint Security (ENS) 10.x
Resumen
Después de aplicar los pasos de la solución, puede utilizar las aplicaciones con ENS Firewall activado y el modo de adaptación desactivado.
Problema
ENS Firewall bloquea el tráfico de la red de la aplicación. Existen entradas como se indica a continuación sobre el tráfico bloqueado para la aplicación en la FirewallEventMonitor.log at %PROGRAMDATA%\McAfee\Endpoint Security\Logs . En el ejemplo que se muestra a continuación, Firefox.exe bloquea el tráfico TCP local en el puerto 8443.
Time: 09/16/2019 04:31:03 PM
Event: Traffic
IP Address: 192.168.2.102
Description: FIREFOX
Path: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Message: Blocked Outgoing TCP - Source 192.168.2.105 : (54366) Destination 192.168.2.102 : (8443)
Matched Rule: Block all traffic
Nota: De forma predeterminada, las regpara los permiten el tráfico TCP saliente y permiten que la consola de ePolicy Orchestrator permita este tráfico.
Event: Traffic
IP Address: 192.168.2.102
Description: FIREFOX
Path: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Message: Blocked Outgoing TCP - Source 192.168.2.105 : (54366) Destination 192.168.2.102 : (8443)
Matched Rule: Block all traffic
Nota: De forma predeterminada, las regpara los permiten el tráfico TCP saliente y permiten que la consola de ePolicy Orchestrator permita este tráfico.
Cambio de sistema
El tráfico podría bloquearse cuando se produzca alguno de los cambios siguientes:
- Después de instalar el módulo de Firewall de ENS en los sistemas gestionados, se bloquea el tráfico de algunas aplicaciones debido a las configuraciones de directivas de ePO.
- Después de cambiar las configuraciones de las directivas, algunos puertos de aplicación se bloquean.
Motivo
ENS Firewall no está configurado para permitir el tráfico de la aplicación.
Solución
Cree reglas de Firewall de ENS que permitan tráfico de red de aplicaciones de terceros. Puede definir reglas ampliamente (por ejemplo, todo el tráfico IP) o de forma restringida (por ejemplo, si se identifica un servicio o aplicación específico) y especifique las opciones. Puede agrupar reglas según una función de trabajo, servicio o aplicación para facilitar la administración. Al igual que con las reglas, puede definir los grupos de reglas por opciones de red, transporte, aplicación, planificación y ubicación. ENS Firewall utiliza la prioridad para aplicar reglas:
Nota: El sistema local es el sistema en el que va a agregar reglas.
- ENS Firewall aplica la regla situada en la parte superior de la lista de reglas de firewall. Si el tráfico cumple las condiciones de esta regla, ENS Firewall permite o bloquea el tráfico. No intenta aplicar ninguna otra regla de la lista.
- Si el tráfico no cumple las condiciones de la primera regla, ENS Firewall continúa con la siguiente regla de la lista hasta que encuentra una coincidencia.
- Si no coincide ninguna regla, ENS Firewall bloquea automáticamente el tráfico.
Nota: El sistema local es el sistema en el que va a agregar reglas.
- Haga clic en el icono del área de notificación de McAfee y, a continuación, en acerca de. Compruebe que ePO administra el sistema y anote el nombre del sistema.
- Abra la consola de ePO.
- Seleccione menú, DirectivaCatálogo de directivas.
- Seleccione firewall de Endpoint Security en la lista producto.
- Seleccione los sistemas afectados en la árbol de sistemas.
- Seleccione acciones, Agent, modificar directivas en un solo sistema.
- Haga clic en el vínculo nombre de la Directiva de reglas.
NOTAS:- Si aún tiene asignada la McAfee Default Directiva (solo lectura), duplique la Directiva y empiece a trabajar en una nueva Directiva. Una vez configurada la nueva Directiva, asígnela a los sistemas.
- Existe una alerta roja en la parte superior de la página de edición de reglas para informarle sobre el número de sistemas a los que afecta la regla. Los cambios en la regla afectan a todos estos sistemas. Si no hay una alerta roja, la Directiva sigue sin estar asignada a ningún sistema.
- Si el sistema no está gestionado (instalación autónoma), cree reglas de forma local.
- Se recomienda encarecidamente utilizar el modo de adaptación después de instalar ENS Firewall para crear reglas automáticamente. A continuación, pruebe todas las aplicaciones. Tras la prueba, desactive el modo de adaptación porque permite todo el tráfico de la red.
- Haga clic en Agregar regla debajo de la lista de reglas.
- Escriba un nombre de regla.
- Deje seleccionada la opción Seleccionar regla .
- Establezca las acciones que permitir.
NOTA: Para bloquear el tráfico permitido, coloque una regla en la parte superior de la lista o anule la selección de Seleccionar regla para la regla que permite el tráfico. Para encontrar qué regla permite el tráfico, seleccione Registrar tráfico permitido en la sección opción y busque el tráfico enFirewallEventMonitor.log .
- Seleccione la Dirección del tráfico (entrante, saliente o cualquiera). Si envía y recibe tráfico, seleccione uno de ellos. De lo contrario, seleccione fuera para el tráfico saliente.
- Vaya a especificar redes en la sección redes .
- Haga clic en Agregar local y, después, en Agregar una dirección IP. Agregue la dirección 192.168.2.105 IP local única o su intervalo de direcciones IP (por ejemplo, estaciones de trabajo con DHCP en el intervalo 192.168.2.100 a 192.168.2.200 ) de todos los sistemas cliente para que esta regla esté asignada y donde desee permitir este tráfico.
- Haga clic en Agregar remoto y, a continuación, en Agregar una dirección IP. Para especificar solo una red remota para esta regla, agregue la dirección IP remota única 192.168.2.102.
- Vaya a la sección transporte . Seleccione el Protocolo si no desea permitir todos los protocolos. En este ejemplo, seleccione TCP. Si especifica el protocolo, puede seleccione los puertos locales y remotos. En este ejemplo, escriba 8443 en el campo Puerto remoto. En el registro, puede encontrar el puerto de cada dirección IP como (puerto).
INFORMACIÓN sobre herramientas Puede introducir un único número de puerto, una serie de números de puerto mediante una coma o un intervalo de puertos mediante un guion.
- Vaya a la sección aplicaciones . Puede reducir el tráfico permitido especificando aplicaciones por MD5, nombre de archivo ejecutable o ruta de archivo. En este ejemplo, se agrega
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE . También podemos agregarFirefox.exe oC:\PROGRAM FILES\MOZILLA FIREFOX\* . - Planifique una hora para aplicar esta regla o deje la opción Seleccionar planificación desactivada.
Solución temporal 1
Desactive el módulo de Firewall de ENS como se indica a continuación si desea permitir temporalmente todo el tráfico sin bloqueo:
- Abra la consola de ePO.
- Seleccione menú, DirectivaCatálogo de directivas.
- Seleccione firewall de Endpoint Security en la lista producto y, a continuación, seleccione la directiva Opciones .
- Anule la selección de Seleccionar Firewall para desactivar el módulo ENS Firewall.
- Haga clic en Guardar.
- Configure las reglas tal y como se describe en la sección "solución" anterior.
- Seleccione Seleccionar Firewall para activar el módulo Firewall de ens.
- Pruebe las aplicaciones y localice cualquier tráfico de red bloqueado en la
FirewallEventMonitor.log .
Solución temporal 2
Cree una directiva permitir-All si desea permitir temporalmente todo el tráfico sin bloqueo:
- Abra la consola de ePO.
- Seleccione menú, DirectivaCatálogo de directivas.
- Seleccione firewall de Endpoint Security en la lista producto.
- Haga clic en Agregar regla.
- Vaya a la sección Descripción y configure las siguientes opciones:
- Nombre: permitir cualquier
- Estado- Seleccionar regla
- Acciones- permitir
- Tratar coincidencia como intrusión desactivada
- Tráfico de coincidencia de registros- desactivado
- Dirección, ya sea
- Vaya a la sección redes y configure las siguientes opciones:
- Protocolo de red: cualquier protocolo
- Tipos de conexión-seleccione todos los tipos mostrados
- Especificar redes: no es necesaria ninguna configuración.
- Vaya a la sección transporte y configure las siguientes opciones:
- Protocolo de transporte: todos los protocolos
- Vaya a la sección aplicaciones y deje la configuración predeterminada. No es necesaria ninguna configuración.
- Vaya a la sección planificación y configure las siguientes opciones:
- Seleccionar planificación- desactivado
Solución temporal 3
Active el modo de adaptación de ENS Firewall para crear automáticamente algunas reglas. Al activar el modo de adaptación, se permite todo el tráfico sin bloqueo.
Tenga en cuenta las limitaciones de la función de modo de adaptación. Hay condiciones en las que la Firewall ENS no puede crear automáticamente reglas de cliente. Para obtener detalles, consulte la sección "preguntas frecuentes-modo de adaptación" de la Guía del producto de Endpoint Security 10.7.x.
Tenga en cuenta las limitaciones de la función de modo de adaptación. Hay condiciones en las que la Firewall ENS no puede crear automáticamente reglas de cliente. Para obtener detalles, consulte la sección "preguntas frecuentes-modo de adaptación" de la Guía del producto de Endpoint Security 10.7.x.
- Abra la consola de ePO.
- Seleccione menú, DirectivaCatálogo de directivas.
- Seleccione firewall de Endpoint Security en la lista producto y, a continuación, seleccione la directiva Opciones .
- Haga clic en Mostrar avanzadas.
- Vaya a la sección Opciones de ajuste y seleccione Seleccionar modo de adaptación.
- Aplique la directiva modificada al cliente y vuelva a probar el problema. Si el problema se ha resuelto, continúe con el paso siguiente. Si el problema no se ha resuelto, continúe con la siguiente sección.
- Abra la consola de ENS y abra el menú de Firewall.
- Vaya a la sección regpara los y revise el grupo de Firewall adaptable.
- Amplíe el grupo de firewall adaptable y revise las reglas de cliente para determinar por qué se han creado las reglas nuevas. Es posible que se creen reglas de cliente de Firewall por varias razones. Modifique las reglas existentes según sea necesario. O bien, cree reglas de firewall en la Directiva si existen otras reglas de firewall en la Directiva para esa aplicación o tráfico de red específicos. Si cree que las reglas se han creado por error, póngase en contacto con Soporte técnico para obtener más información. Consulte la sección información relacionada con "" para ver los detalles de contacto.
- Realice todas las pruebas de aplicaciones y verifique que se hayan creado reglas adaptables.
- Abra la consola de ePO.
- Seleccione menú, firewall reglas de cliente.
- Utilice la lista desplegable para seleccione el sistema cliente. Haga clic en acciones, Agregar a Directivay, a continuación, seleccione la regla creada en el sistema cliente.
Información relacionada
Ejemplos de reglas de Firewall
Consulte los siguientes ejemplos al crear reglas de firewall.
Cree reglas que permitan obtener una dirección IP en una interfaz
Para crear reglas de firewall que le permitan obtener una dirección IP en una interfaz, le recomendamos que cree dos reglas. En primer lugar, cree una regla para permitir DHCP saliente en el puerto local UDP 68 y el puerto remoto 67. A continuación, cree una regla para permitir las consultas DNS.
Reglas de Firewall recomendadas
Además de las reglas predeterminadas de firewall, le recomendamos que configure estas reglas:
Consulte este Microsoft artículo para obtener más información.
Consulte los siguientes ejemplos al crear reglas de firewall.
Cree reglas que permitan obtener una dirección IP en una interfaz
Para crear reglas de firewall que le permitan obtener una dirección IP en una interfaz, le recomendamos que cree dos reglas. En primer lugar, cree una regla para permitir DHCP saliente en el puerto local UDP 68 y el puerto remoto 67. A continuación, cree una regla para permitir las consultas DNS.
- Cree una regla que permita DHCP saliente en el puerto local UDP 68 al puerto remoto 67:
- Nombre de regla: escriba un nombre para la regla
- Estado activado
- Acción-permitir
- Dirección-saliente
- Protocolo de red (IPv4): no aplicable
- Protocolo de transporte-seleccione protocolo
- Seleccione UDP, local y, a continuación, escriba el número de puerto como 68
- Seleccione UDP, remoto y, a continuación, escriba el número de puerto como 67
- Cree una regla que permita consultas DNS:
- Nombre de regla: escriba un nombre para la regla
- Estado activado
- Acción-permitir
- Dirección-saliente
- Protocolo de red (IPv4): no aplicable
- Protocolo de transporte-seleccione protocolo
- Seleccione UDP, remoto y, a continuación, escriba el número de puerto como 53
- Nombre de regla: escriba un nombre para la regla
- Estado activado
- Acción-permitir
- Dirección-saliente
- Protocolo de red (IPv4): no aplicable
- Protocolo de transporte-seleccione protocolo
- Seleccione TCP, Remote y, a continuación, escriba el número de puerto como 80
- Nombre de regla: escriba un nombre para la regla
- Estado activado
- Acción-permitir
- Dirección-saliente
- En protocolo de red (IPv4), seleccione remoto, subred y, a continuación, escriba el valor de la máscara de subred.
- Protocolo de transporte-seleccione protocolo
- Seleccione TCP, remoto y, a continuación, escriba el número de Puerto
Reglas de Firewall recomendadas
Además de las reglas predeterminadas de firewall, le recomendamos que configure estas reglas:
- Permitir puerto NTP bidireccional 123 – 123
- Permitir el puerto de servicio de nombres NetBIOS bidireccionales 137 – 137
- Permitir puerto de cliente FTP saliente 1024 – 65535 a 21
- Permitir saliente para POP3, IMAP, SMTP
- Permitir saliente para RDP
- Permitir saliente para LDAP
- Permitir bidireccional para AFP/SMB, si va a utilizar el uso compartido de archivos
Consulte este Microsoft artículo para obtener más información.
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
- Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: