Como criar regras de Firewall do ENS para tráfego de rede de aplicativos de terceiros (gerenciado pelo ePO)
Artigos técnicos ID:
KB91885
Última modificação: 2022-07-16 12:43:32 Etc/GMT
Última modificação: 2022-07-16 12:43:32 Etc/GMT
Ambiente
Endpoint Security (ENS) Firewall 10.x
Resumo
Depois de aplicar as etapas da solução, você pode usar os aplicativos normalmente com o ENS Firewall ativado e o modo adaptável desativado.
Problema
ENS Firewall bloqueia o tráfego de rede do aplicativo. Existem entradas, conforme mostrado abaixo, sobre o tráfego bloqueado para o aplicativo no FirewallEventMonitor.log at %PROGRAMDATA%\McAfee\Endpoint Security\Logs . No exemplo abaixo, Firefox.exe o bloqueia o tráfego de TCP local na porta 8443.
Time: 09/16/2019 04:31:03 PM
Event: Traffic
IP Address: 192.168.2.102
Description: FIREFOX
Path: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Message: Blocked Outgoing TCP - Source 192.168.2.105 : (54366) Destination 192.168.2.102 : (8443)
Matched Rule: Block all traffic
Nota: Por padrão, as regras permitem o tráfego TCP de saída e permite que o console do ePolicy Orchestrator permita esse tráfego.
Event: Traffic
IP Address: 192.168.2.102
Description: FIREFOX
Path: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Message: Blocked Outgoing TCP - Source 192.168.2.105 : (54366) Destination 192.168.2.102 : (8443)
Matched Rule: Block all traffic
Nota: Por padrão, as regras permitem o tráfego TCP de saída e permite que o console do ePolicy Orchestrator permita esse tráfego.
Alteração de sistema
O tráfego pode ser bloqueado quando ocorrerem as seguintes alterações:
- Depois de instalar o módulo ENS Firewall em sistemas gerenciados, alguns tráfegos de aplicativos são bloqueados devido às configurações de política no ePO.
- Depois de alterar as configurações de política, algumas portas de aplicativo são bloqueadas.
Causa
A Firewall do ENS não está configurada para permitir o tráfego do aplicativo.
Solução
Crie regras de Firewall do ENS que permitem tráfego de rede de aplicativos de terceiros. Você pode definir regras amplamente (por exemplo, todo o tráfego IP) ou estritamente (por exemplo, identificando um aplicativo específico ou serviço) e especificar as opções. É possível agrupar as regras de acordo com a função de trabalho, o serviço ou o aplicativo para facilitar o gerenciamento. Como com as regras, você pode definir os grupos de regras por rede, transporte, aplicativo, agendamento e opções de local. ENS Firewall usa precedência para aplicar regras:
Nota: O sistema local é o sistema no qual você está adicionando regras.
- ENS Firewall aplica a regra na parte superior da lista de regras do firewall. Se o tráfego atender às condições dessa regra, o ENS Firewall permitirá ou bloqueará o tráfego. Ele não tenta aplicar outras regras da lista.
- Se o tráfego não atender às condições da primeira regra, o ENS Firewall continuará na próxima regra da lista até encontrar uma correspondência.
- Se nenhuma regra corresponder, o ENS Firewall bloqueará automaticamente o tráfego.
Nota: O sistema local é o sistema no qual você está adicionando regras.
- Clique no ícone da área de notificaçãa McAfee e, em seguida, clique em sobre. Verifique se o ePO gerencia o sistema e anote o nome do sistema.
- Abra o console do ePO.
- Selecione menu, políticaCatálogo de políticas.
- Selecione Firewall do Endpoint Security na lista de produtos.
- Selecione os sistemas afetados na árvore de sistemas.
- Selecione ações, Agent, modificar políticas em um único sistema.
- Clique no link nome da política de regras.
NOTAS:- Se você ainda tiver a McAfee Default política (somente leitura) atribuída, duplique a política e comece a trabalhar em uma nova política. Depois de configurar a nova política, atribua-a aos sistemas.
- Há um alerta vermelho na parte superior da página de edição de regras para informá-lo sobre o número de sistemas que a regra afeta. As alterações na regra impactam em todos esses sistemas. Se não houver um alerta vermelho, a política ainda não será atribuída a nenhum sistema.
- Se o sistema não for gerenciado (instalação independente), crie regras localmente.
- É altamente recomendável usar o modo adaptável depois de instalar o ENS Firewall para criar regras automaticamente. Em seguida, teste todos os aplicativos. Após o teste, desative o modo adaptável, pois ele permitirá todo o tráfego de rede.
- Clique em Adicionar regra abaixo da lista de regras.
- Digite um nome de regra.
- Deixe Ativar regra selecionada.
- Defina as ações a serem permitidas.
NOTA: Para bloquear o tráfego permitido, coloque uma regra na parte superior da lista ou desmarque Ativar regra da regra que está permitindo o tráfego. Para descobrir qual regra está permitindo o tráfego, selecione registrar o tráfego permitido na seção opção e procurar o tráfego noFirewallEventMonitor.log .
- Selecione a direção do tráfego (entrada, saída ou qualquer uma). Se você enviar e receber tráfego, selecione qualquer um. Caso contrário, selecione - o para o tráfego de saída.
- Vá para especificar redes na seção redes .
- Clique em Adicionar local e, em seguida, clique em Adicionar um endereço IP. Adicione o único endereço 192.168.2.105 IP local ou o faixa de endereços IP (por exemplo, estações de trabalho com DHCP no intervalo 192.168.2.100 a 192.168.2.200 ) de todos os sistemas clientes para que essa regra seja atribuída e onde você deseja permitir esse tráfego.
- Clique em Adicionar remoto e, em seguida, clique em Adicionar um endereço IP. Para especificar somente uma rede remota para esta regra, adicione o endereço IP remoto único 192.168.2.102.
- Vá para a seção transporte . Selecione o protocolo se não desejar permitir todos os protocolos. Neste exemplo, selecione TCP. Se você especificar o protocolo, poderá selecionar as portas remotas e locais. Neste exemplo, digite 8443 no campo porta remota. No registro, você pode encontrar a porta de cada endereço IP como (porta).
DICA Você pode digitar um único número de porta, uma série de números de porta usando um ponto-e-vírgula, ou um intervalo de portas usando um hífen.
- Vá para a seção aplicativos . Você pode reduzir o tráfego permitido especificando aplicativos por MD5, nome de arquivo executável ou caminho de arquivo. Neste exemplo, adicionamos
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE . Também podemos adicionarFirefox.exe ouC:\PROGRAM FILES\MOZILLA FIREFOX\* . - Agende um horário para a aplicação dessa regra ou deixe a opção Ativar programação desativada.
Solução alternativa 1
Desativar o módulo ENS Firewall da seguinte maneira, se desejar permitir temporariamente todo o tráfego sem qualquer bloqueio:
- Abra o console do ePO.
- Selecione menu, políticaCatálogo de políticas.
- Selecione Firewall do Endpoint Security na lista de produtos e, em seguida, selecione a política de Opções .
- Desmarque Ativar firewall para desativar o módulo de firewall do ens.
- Clique em Salvar.
- Configure as regras conforme descrito na seção "solução" acima.
- Selecione Ativar firewall para ativar o módulo de firewall do ens.
- Teste aplicativos e encontre qualquer tráfego de rede bloqueado no
FirewallEventMonitor.log .
Solução alternativa 2
Crie uma política permitir-todas se desejar permitir temporariamente todo o tráfego sem qualquer bloqueio:
- Abra o console do ePO.
- Selecione menu, políticaCatálogo de políticas.
- Selecione Firewall do Endpoint Security na lista de produtos.
- Clique em Adicionar regra.
- Vá para a seção Descrição e defina as seguintes configurações:
- Nome- permitir qualquer
- Status- regra de ativar
- Ações- permitir
- Tratar correspondência como intrusão- desativada
- Registrar em log o tráfego correspondente- desativado
- Direção -
- Vá para a seção redes e defina as seguintes configurações:
- Protocolo de rede- qualquer protocolo
- Tipos de conexão-selecionar todos os tipos mostrados
- Especificar redes-nenhuma configuração é necessária
- Vá para a seção transporte e defina a seguinte configuração:
- Protocolo de transporte: todos os protocolos
- Vá para a seção aplicativos e mantenha as configurações padrão. Nenhuma configuração é necessária.
- Vá para a seção programação e defina a seguinte configuração:
- Agenda Ativar- desativada
Solução alternativa 3
Ativar o ENS Firewall modo adaptável para criar algumas regras automaticamente. Ao ativar o modo adaptável, você permite todo o tráfego sem qualquer bloqueio.
Esteja ciente das limitações do recurso de modo adaptável. Há condições em que o ENS Firewall não é possível criar regras de cliente automaticamente. Para obter detalhes, consulte a seção "FAQ-modo adaptável" do Guia de produto do Endpoint Security 10.7.x.
Esteja ciente das limitações do recurso de modo adaptável. Há condições em que o ENS Firewall não é possível criar regras de cliente automaticamente. Para obter detalhes, consulte a seção "FAQ-modo adaptável" do Guia de produto do Endpoint Security 10.7.x.
- Abra o console do ePO.
- Selecione menu, políticaCatálogo de políticas.
- Selecione Firewall do Endpoint Security na lista de produtos e, em seguida, selecione a política de Opções .
- Clique em Mostrar opções avançadas.
- Vá para a seção Opções de ajuste e selecione Ativar modo adaptável.
- Aplique a política modificada ao cliente e teste novamente o problema. Se o problema for resolvido, prossiga para a próxima etapa. Se o problema não for resolvido, continue para a próxima seção.
- Abra o console do ENS e abra o menu Firewall.
- Vá para a seção regras e revise o grupo de firewall adaptável.
- Expanda o grupo de firewall adaptável e revise as regras de cliente para determinar por que as novas regras foram criadas. As regras de cliente do Firewall podem ser criadas por vários motivos. Modifique as regras existentes conforme o necessário. Ou crie regras de firewall na política se houver outras regras de firewall na política para o tráfego específico do aplicativo ou da rede. Se você achar que as regras foram criadas por engano, entre em contato com o Suporte técnico para obter mais detalhes. Consulte a seção "informações relacionadas a" para obter detalhes de contato.
- Execute todos os testes de aplicativos e verifique se as regras adaptáveis foram criadas.
- Abra o console do ePO.
- Selecione menu, firewall regras de cliente.
- Use a lista suspensa para selecionar o sistema cliente. Clique em ações, Adicionar à políticae, em seguida, selecione a regra criada no sistema cliente.
Informações relacionadas
Exemplos de regras de firewall
Consulte os exemplos a seguir ao criar regras de firewall.
Criar regras que permitem que você obtenha um endereço IP em uma interface
Para criar regras de firewall que permitam obter um endereço IP em uma interface, recomendamos a criação de duas regras. Primeiro, crie uma regra para permitir a saída de DHCP na porta UDP local 68 e na porta remota 67. Em seguida, crie uma regra para permitir consultas de DNS.
Regras de firewall recomendadas
Além das regras de firewall padrão, recomendamos que você configure estas regras:
Consulte este artigo de Microsoft para obter mais informações.
Consulte os exemplos a seguir ao criar regras de firewall.
Criar regras que permitem que você obtenha um endereço IP em uma interface
Para criar regras de firewall que permitam obter um endereço IP em uma interface, recomendamos a criação de duas regras. Primeiro, crie uma regra para permitir a saída de DHCP na porta UDP local 68 e na porta remota 67. Em seguida, crie uma regra para permitir consultas de DNS.
- Crie uma regra que permita a saída de DHCP na porta do UDP local 68 para a porta remota 67:
- Nome da regra-digite um nome para a regra
- Ativado por status
- Ação-permitir
- Direção-saída
- Protocolo de rede (IPv4)-não aplicável
- Protocolo de transporte-selecionar protocolo
- Selecione UDP, local e, em seguida, digite a n º da porta como 68
- Selecione UDP, remoto e, em seguida, digite a porta não como 67
- Crie uma regra que permita consultas de DNS:
- Nome da regra-digite um nome para a regra
- Ativado por status
- Ação-permitir
- Direção-saída
- Protocolo de rede (IPv4)-não aplicável
- Protocolo de transporte-selecionar protocolo
- Selecione UDP, remoto e, em seguida, digite a porta não como 53
- Nome da regra-digite um nome para a regra
- Ativado por status
- Ação-permitir
- Direção-saída
- Protocolo de rede (IPv4)-não aplicável
- Protocolo de transporte-selecionar protocolo
- Selecione TCP, remoto e, em seguida, digite a porta não como 80
- Nome da regra-digite um nome para a regra
- Ativado por status
- Ação-permitir
- Direção-saída
- Em protocolo de rede (IPv4), selecione remoto, sub-rede e, em seguida, digite o valor da máscara de sub-rede
- Protocolo de transporte-selecionar protocolo
- Selecione TCP, remoto e, em seguida, digite a porta não
Regras de firewall recomendadas
Além das regras de firewall padrão, recomendamos que você configure estas regras:
- Permitir porta de NTP bidirecional 123 – 123
- Permitir porta de serviço de nome NetBIOS bidirecional 137 – 137
- Permitir porta de cliente FTP de saída 1024 – 65535 a 21
- Permitir saída para POP3, IMAP, SMTP
- Permitir saída para o RDP
- Permitir saída para LDAP
- Permitir bidirecional para AFP/SMB, se você estiver usando o compartilhamento de arquivo
Consulte este artigo de Microsoft para obter mais informações.
Para entrar em contato com o Suporte técnico, vá para a página criar uma solicitação de serviço e entre no ServicePortal.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
- Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: