创建网络数据包规则
您可以用以下方法之一创建网络数据包规则:
- 使用网络监控工具。
网络监控器是一个用于实时查看用户计算机网络活动信息的工具。这个方法很方便,因为您不需要配置所有的规则设置。一些防火墙设置将被从网络监控数据自动插入。网络监控仅在应用程序界面可用。
- 配置防火墙设置。
这允许您微调防火墙设置。您可以为任何网络活动创建规则,即便当前没有网络活动。
在创建网络数据包规则时,请记住,它们的优先级比应用程序网络规则高。
按钮。
按钮选择预定义的规则模板。规则模板描述了最常使用的网络连接。“网络数据包规则”设置
参数 |
描述 |
|---|---|
操作 |
“允许”。 “阻止”。 “根据应用程序规则”。如果该选项被选择,防火墙应用应用程序网络规则到网络连接。 |
协议 |
在所选协议上控制网络活动:TCP、UDP、ICMP、ICMPv6、IGMP 和 GRE。 如果选择的是 ICMP 或 ICMPv6 端口,您可以定义 ICMP 数据包类型和代码。 如果选择的是 TCP 或 UDP 协议类型,您可以指定其连接受监控的本地和远程计算机逗号分隔的端口。 |
方向 |
“入站(包)”。防火墙应用网络规则到所有入站网络包。 “入站”。防火墙应用网络规则到所有通过由远程计算机发起的网络连接发送的网络包。 “入站/出站”。防火墙将为接收和发送的网络数据包应用网络规则,与该网络连接的发起者是用户计算机还是远程计算机无关。 “出站(包)”。防火墙应用网络规则到所有出站网络包。 “出站”。防火墙应用网络规则到所有通过由用户计算机发起的网络连接发送的网络包。 |
网络适配器 |
您可以发送和/或接收网络包的网络适配器。指定网络适配器的设置可以区分相同 IP 地址发送或接收的网络数据包。 |
生存时间(TTL) |
基于生存时间(TTL)限制对网络包的控制。 |
远程地址 |
发送和/或接收网络数据包的远程计算机的网络地址。防火墙将网络规则应用于指定范围的远程网地址。您可以包含所有 IP 地址到网络规则,创建 IP 地址的单独列表,指定 IP 地址范围,或选择一个子网(受信任网络、本地网络、公共网络)。您还可以指定计算机的 DNS 名称,而不是其 IP 地址。您应该仅对 LAN 计算机或内部服务使用 DNS 名称。与云服务(如 Microsoft Azure)和其他互联网资源的交互应由 Web 控件组件处理。 Kaspersky Endpoint Security 从 11.7.0 版本开始支持 DNS 名称。如果您为 11.6.0 或更老版本指定 DNS 名称,Kaspersky Endpoint Security 可能会将相关规则应用于所有地址。 如果您在网络数据包规则中添加了无法确定 IP 地址的 DNS 名称,Kaspersky Endpoint Security 将显示警告。在 Web Console 的网络数据包规则列表中,“警告”列中添加了错误的描述。在管理控制台(MMC)中,错误描述不可用。此类数据包规则以颜色突出显示。 |
本地地址 |
发送和/或接收网络数据包的计算机的网络地址。防火墙将网络规则应用于指定范围的本地网地址。您可以包含所有 IP 地址到网络规则,创建 IP 地址的单独列表,或指定一个 IP 地址范围。 Kaspersky Endpoint Security 从 11.7.0 版本开始支持 DNS 名称。如果您为 11.6.0 或更老版本指定 DNS 名称,Kaspersky Endpoint Security 可能会将相关规则应用于所有地址。 有时候无法获得应用程序的本地地址。如果是这种情况,该参数被忽略。 |