Come creare regole di firewall ENS per il traffico di rete delle applicazioni di terze parti (ePO Managed)
Articoli tecnici ID:
KB91885
Ultima modifica: 16/07/2022
Ultima modifica: 16/07/2022
Ambiente
Firewall Endpoint Security (ENS) 10.x
Riepilogo
Dopo aver applicato i passaggi della soluzione, è possibile utilizzare le applicazioni normalmente con ENS firewall attivato e la modalità adattiva disattivata.
Problema
Il firewall ENS blocca il traffico di rete dell'applicazione. Sono presenti voci come illustrato di seguito per quanto riguarda il traffico bloccato per l'applicazione in FirewallEventMonitor.log at %PROGRAMDATA%\McAfee\Endpoint Security\Logs . Nell'esempio riportato di seguito, Firefox.exe il traffico TCP locale viene bloccato sulla porta 8443.
Time: 09/16/2019 04:31:03 PM
Event: Traffic
IP Address: 192.168.2.102
Description: FIREFOX
Path: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Message: Blocked Outgoing TCP - Source 192.168.2.105 : (54366) Destination 192.168.2.102 : (8443)
Matched Rule: Block all traffic
Nota: Per impostazione predefinita, le regole consentono il traffico TCP in uscita e consentono alla console di ePolicy Orchestrator di consentire questo traffico.
Event: Traffic
IP Address: 192.168.2.102
Description: FIREFOX
Path: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Message: Blocked Outgoing TCP - Source 192.168.2.105 : (54366) Destination 192.168.2.102 : (8443)
Matched Rule: Block all traffic
Nota: Per impostazione predefinita, le regole consentono il traffico TCP in uscita e consentono alla console di ePolicy Orchestrator di consentire questo traffico.
Modifica di sistema
Il traffico potrebbe essere bloccato quando si verifica una delle seguenti modifiche:
- Dopo aver installato il modulo ENS firewall nei sistemi gestiti, alcuni traffici delle applicazioni vengono bloccati a causa delle configurazioni di policy in ePO.
- Dopo aver modificato le configurazioni di policy, alcune porte dell'applicazione vengono bloccate.
Causa
Il firewall ENS non è configurato per consentire il traffico delle applicazioni.
Soluzione
Creare regole di firewall ENS che consentano il traffico di rete delle applicazioni di terze parti. Le regole possono essere di ampia portata (ad esempio, tutto il traffico IP) o più restrittive (ad esempio, per identificare un'applicazione o un servizio specifico) ed è possibile specificare le opzioni. Le regole dei gruppi possono essere raggruppati in base a una funzione, servizio o applicazione per agevolarne la gestione. Come per le regole, è possibile definire i gruppi di regole in base alle opzioni di rete, trasporto, applicazione, pianificazione e posizione. Il firewall ENS utilizza la precedenza per applicare le regole:
Nota: Il sistema locale è il sistema su cui si stanno aggiungendo regole.
- ENS Firewall applica la regola nella parte superiore dell'elenco delle regole di firewall. Se il traffico soddisfa le condizioni di questa regola, ENS firewall consente o blocca il traffico. Non tenta di applicare altre regole dell'elenco.
- Se il traffico non soddisfa le condizioni della prima regola, ENS firewall continua alla regola successiva nell'elenco fino a quando non trova una corrispondenza.
- Se nessuna regola corrisponde, ENS firewall blocca automaticamente il traffico.
Nota: Il sistema locale è il sistema su cui si stanno aggiungendo regole.
- Fare clic sull'icona dell'area di notifica McAfee, quindi fare clic su informazioni su. Verificare che ePO gestisca il sistema e annotare il nome del sistema.
- Aprire la console ePO.
- Selezionare menu, policy, Catalogo delle policy.
- Selezionare Firewall Endpoint Security nell'elenco prodotto.
- Selezionare i sistemi interessati nella struttura dei sistemi.
- Selezionare azioni, Agent, modificare le policy su un singolo sistema.
- Fare clic sul collegamento regole policy nome.
NOTE:- Se è ancora presente l' McAfee Default opzione (sola lettura) Policy assegnata, duplicare il Policy e iniziare a lavorare su un nuovo Policy. Una volta configurata la nuova policy, assegnarla ai sistemi.
- È presente un avviso rosso nella parte superiore della pagina di modifica delle regole per informare l'utente sul numero di sistemi che la regola interessa. Le modifiche apportate alla regola incidono su tutti questi sistemi. Se non è presente un avviso rosso, il policy non è ancora assegnato a alcun sistema.
- Se il sistema non è gestito (installazione autonoma), creare le regole localmente.
- Si consiglia vivamente di utilizzare la modalità adattiva dopo aver installato ENS firewall per creare regole automatiche. Quindi, eseguire il test di tutte le applicazioni. Dopo il test, disattivare la modalità adattiva in quanto consente tutto il traffico di rete.
- Fare clic su Aggiungi regola sotto l'elenco regole.
- Digitare un nome di regola.
- Lascia selezionata la regola attiva .
- Impostare le azioni su Consenti.
NOTA: Per bloccare il traffico consentito, inserire una regola nella parte superiore dell'elenco o deselezionare Attiva regola per la regola che consente il traffico. Per individuare la regola che consente il traffico, selezionare Registra traffico consentito nella sezione opzione e cercare il traffico inFirewallEventMonitor.log .
- Selezionare la direzione del traffico (in, out o aut.). Se si invia e si riceve traffico, selezionare uno di essi. In caso contrario, selezionare fuori per il traffico in uscita.
- Accedere a specificare le reti nella sezione reti .
- Fare clic su Aggiungi locale , quindi su Aggiungi un indirizzo IP. Aggiungere il singolo indirizzo 192.168.2.105 IP locale o il intervallo di indirizzi IP (ad esempio, le workstation con DHCP nell'intervallo 192.168.2.100 a 192.168.2.200 ) di tutti i sistemi client in modo che la regola sia assegnata e in cui si desidera autorizzare il traffico.
- Fare clic su Aggiungi remote , quindi su Aggiungi un indirizzo IP. Per specificare una sola rete remota per questa regola, aggiungere il singolo indirizzo IP remoto 192.168.2.102.
- Accedere alla sezione trasporto . Selezionare il protocollo se non si desidera consentire tutti i protocolli. In questo esempio, selezionare TCP. Se si specifica il protocollo, è possibile selezionare le porte remote e quelle locali. In questo esempio, digitare 8443 nel campo porta remota. Nel registro è possibile trovare la porta per ciascun indirizzo IP come (porta).
Suggerimento È possibile digitare un numero di porta singolo, una serie di numeri di porta utilizzando una virgola o un intervallo di porte utilizzando un trattino.
- Accedere alla sezione applicazioni . È possibile ridurre il traffico consentito specificando le applicazioni in base all'MD5, al nome del file eseguibile o al percorso del file. In questo esempio, aggiungiamo
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE . È inoltre possibile aggiungereFirefox.exe oC:\PROGRAM FILES\MOZILLA FIREFOX\* . - Pianificare un'ora per l'applicazione di questa regola oppure lasciare l'opzione Attiva pianificazione disattivata.
Soluzione alternativa 1
Disattivare il modulo Firewall ENS come segue se si desidera consentire temporaneamente tutto il traffico senza alcun blocco:
- Aprire la console ePO.
- Selezionare menu, policy, Catalogo delle policy.
- Selezionare Firewall Endpoint Security nell'elenco prodotto, quindi selezionare le Opzioni Policy.
- Deselezionare Attiva firewall per disattivare il modulo Firewall ENS.
- Fare clic su Salva.
- Configurare le regole come descritto nella sezione "soluzione" sopra.
- Selezionare Attiva firewall per attivare il modulo Firewall ENS.
- Verificare le applicazioni e individuare il
FirewallEventMonitor.log traffico di rete bloccato in.
Soluzione alternativa 2
Creare una policy Consenti-tutto se si desidera consentire temporaneamente tutto il traffico senza alcun blocco:
- Aprire la console ePO.
- Selezionare menu, policy, Catalogo delle policy.
- Selezionare Firewall Endpoint Security nell'elenco prodotto.
- Fare clic su Aggiungi regola.
- Accedere alla sezione Descrizione e configurare le seguenti impostazioni:
- Nome- Consenti qualsiasi
- Regola di attivazione stato
- Azioni- Consenti
- Considera la corrispondenza come intrusione- disattivata
- Traffico di corrispondenza del registro- disattivato
- Direzione- o
- Accedere alla sezione reti e configurare le seguenti impostazioni:
- Protocollo di rete- qualsiasi protocollo
- Tipi di connessione: selezionare tutti i tipi visualizzati
- Specifica reti-non è necessaria alcuna configurazione
- Accedere alla sezione trasporto e configurare l'impostazione seguente:
- Protocollo di trasporto: tutti i protocolli
- Andare alla sezione applicazioni e lasciare le impostazioni predefinite. Non è necessaria alcuna configurazione.
- Accedere alla sezione pianificazione e configurare l'impostazione seguente:
- Attiva pianificazione- disattivata
Soluzione alternativa 3
Attivare la modalità adattiva firewall di ENS per creare automaticamente alcune regole. Attivando la modalità adattiva, è possibile autorizzare tutto il traffico senza alcun blocco.
Tenere presente le limitazioni della funzionalità modalità adattiva. Esistono condizioni in cui il firewall ENS non è in grado di creare automaticamente regole client. Per informazioni dettagliate, consultare la sezione relativa alle "FAQ-modalità adattiva" della Guida del prodotto Endpoint Security 10.7.x.
Tenere presente le limitazioni della funzionalità modalità adattiva. Esistono condizioni in cui il firewall ENS non è in grado di creare automaticamente regole client. Per informazioni dettagliate, consultare la sezione relativa alle "FAQ-modalità adattiva" della Guida del prodotto Endpoint Security 10.7.x.
- Aprire la console ePO.
- Selezionare menu, policy, Catalogo delle policy.
- Selezionare Firewall Endpoint Security nell'elenco prodotto, quindi selezionare le Opzioni Policy.
- Fare clic su Mostra Avanzate.
- Accedere alla sezione Opzioni di ottimizzazione e selezionare Attiva modalità adattiva.
- Applicare il policy modificato al client e riprovare il problema. Se il problema è stato risolto, passare al passaggio successivo. Se il problema non è stato risolto, passare alla sezione successiva.
- Aprire la console ENS e aprire il menu Firewall.
- Passare alla sezione regole e rivedere il gruppo firewall adattiva.
- Espandete il gruppo firewall adattiva e esaminate le regole client per determinare il motivo per cui sono state create le nuove regole. Le regole firewall client potrebbero essere create per diversi motivi. Modificare le regole esistenti in base alle esigenze. In alternativa, creare regole di firewall nella policy se nella policy sono presenti altre regole firewall per l'applicazione specifica o il traffico di rete. Se si ritiene che le regole siano state create per errore, contattare Assistenza tecnica per ulteriori indagini. Per i dettagli di contatto, consultare la sezione "informazioni correlate".
- Eseguire tutte le verifiche delle applicazioni e verificare che siano state create regole adattive.
- Aprire la console ePO.
- Selezionare menu, regole firewall client.
- Utilizzare l'elenco a discesa per selezionare il sistema client. Fare clic su azioni, Aggiungi a Policy, quindi selezionare la regola creata nel sistema client.
Informazioni correlate
Esempi di regole firewall
Per creare regole di firewall, consultare gli esempi riportati di seguito.
Creare regole che consentono di ottenere un indirizzo IP su un'interfaccia
Per creare regole di firewall che consentono di ottenere un indirizzo IP su un'interfaccia, si consiglia di creare due regole. Per prima cosa, creare una regola per consentire il DHCP in uscita sulla porta locale UDP 68 e la porta remota 67. Quindi, creare una regola per consentire le query DNS.
Regole firewall consigliate
Oltre alle regole di firewall predefinite, si consiglia di configurare le seguenti regole:
Per ulteriori informazioni, consultare questo articolo Microsoft .
Per creare regole di firewall, consultare gli esempi riportati di seguito.
Creare regole che consentono di ottenere un indirizzo IP su un'interfaccia
Per creare regole di firewall che consentono di ottenere un indirizzo IP su un'interfaccia, si consiglia di creare due regole. Per prima cosa, creare una regola per consentire il DHCP in uscita sulla porta locale UDP 68 e la porta remota 67. Quindi, creare una regola per consentire le query DNS.
- Creare una regola che consenta il DHCP in uscita sulla porta locale UDP 68 sulla porta remota 67:
- Nome regola: digitare un nome per la regola
- Stato attivato
- Azione-Consenti
- Direzione-in uscita
- Protocollo di rete (IPv4)-non applicabile
- Protocollo di trasporto-selezionare il protocollo
- Selezionare UDP, locale, quindi digitare la porta no As 68
- Selezionare UDP, remote, quindi digitare la porta no As 67
- Creare una regola che consenta le query DNS:
- Nome regola: digitare un nome per la regola
- Stato attivato
- Azione-Consenti
- Direzione-in uscita
- Protocollo di rete (IPv4)-non applicabile
- Protocollo di trasporto-selezionare il protocollo
- Selezionare UDP, remote, quindi digitare la porta no As 53
- Nome regola: digitare un nome per la regola
- Stato attivato
- Azione-Consenti
- Direzione-in uscita
- Protocollo di rete (IPv4)-non applicabile
- Protocollo di trasporto-selezionare il protocollo
- Selezionare TCP, remote, quindi digitare la porta no As 80
- Nome regola: digitare un nome per la regola
- Stato attivato
- Azione-Consenti
- Direzione-in uscita
- In protocollo di rete (IPv4), selezionare Remote, sottorete, quindi digitare il valore della maschera di sottorete
- Protocollo di trasporto-selezionare il protocollo
- Selezionare TCP, remote, quindi digitare la porta no
Regole firewall consigliate
Oltre alle regole di firewall predefinite, si consiglia di configurare le seguenti regole:
- Consenti porta NTP bidirezionale 123 – 123
- Consenti porta di servizio nome NetBIOS bidirezionale 137 – 137
- Consenti porta client FTP in uscita 1024-65535 a 21
- Consenti in uscita per POP3, IMAP, SMTP
- Consenti in uscita per RDP
- Consenti in uscita per LDAP
- Consenti bidirezionale per AFP/SMB, se si sta utilizzando la condivisione di file
Per ulteriori informazioni, consultare questo articolo Microsoft .
Per contattare assistenza tecnica, accedere alla pagina Crea richiesta di assistenza e accedere a ServicePortal.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: