Vytváření pravidla síťových paketů
Brána firewall filtruje veškerou síťovou aktivitu v počítači v souladu s pravidly síťových paketů. Pravidla síťových paketů obsahují podmínky (například směr, protokol), které brána firewall vztahuje ke kontrole síťových připojení počítače. Pravidla síťových paketů také určují akci, kterou brána firewall provede s připojením, které odpovídá pravidlu (povolí nebo zablokuje připojení).
Doporučení pro vytváření pravidel síťových paketů
Pro filtrování síťové aktivity můžete určit IP adresu nebo rozsah IP adres. Můžete také určit název DNS, ale doporučujeme použití IP adres a rozsahů IP adres. Použití názvů DNS v názvech síťových paketů může být nebezpečné, protože vlastník serveru DNS může měnit parametry záznamu DNS. Útočník se zlými úmysly může také falšovat zprávy DNS a obcházet pravidla brány firewall.
Síťová připojení podle názvů DNS můžete řídit pomocí pravidel součásti Kontrola webu. Pokud v pravidlech brány firewall potřebujete zadat název DNS:
- Zajistěte zabezpečení podnikové sítě LAN.
- Zajistěte zabezpečení mezipaměti a autoritativních serverů DNS.
- Povolte ochranu záznamu DNS před změnami.
Při vytváření pravidel síťových paketů mějte na paměti, že mají vyšší prioritu než pravidla sítě pro aplikace.
Metody vytváření pravidel síťových paketů
Pravidlo síťových paketů můžete vytvořit následujícími způsoby:
- Použijte nástroj Sledování sítě.
Sledování sítě je nástroj navržený k zobrazování informací o síťové aktivitě uživatelského počítače v reálném čase. To je výhodné, protože nemusíte konfigurovat všechna nastavení pravidel. Některá nastavení brány firewall budou vložena automaticky z dat Sledování sítě. Sledování sítě je k dispozici pouze v rozhraní aplikace.
- Nakonfigurujte nastavení brány firewall.
To vám umožní doladit nastavení brány firewall. Můžete vytvořit pravidla pro jakoukoli síťovou aktivitu, i když v současné době není žádná síťová aktivita.
Jak pomocí nástroje Sledování sítě vytvořit pravidlo síťových paketů v rozhraní aplikace
Jak pomocí nastavení brány firewall vytvořit pravidlo síťových paketů v rozhraní aplikace
.Jak vytvořit pravidlo síťových paketů v konzole pro správu (MMC)
. Šablony pravidel popisují nejčastěji používaná síťová připojení.Jak vytvořit pravidlo síťových paketů ve webové konzole a cloudové konzole
Nastavení pravidla síťových paketů
Parametr |
Popis |
|---|---|
Akce |
Povolit. Blokovat. Podle pravidel aplikace. Pokud je vybrána tato možnost, brána firewall použije na síťové připojení pravidla sítě aplikace. |
Protokol |
Aktivitu v síti můžete regulovat přes vybraný protokol: TCP, UDP, ICMP, ICMPv6, IGMP a GRE. Pokud je vybrán protokol ICMP nebo ICMPv6, můžete definovat typ paketu a kód ICMP. Pokud je vybrán typ protokolu TCP nebo UDP, můžete zadat čísla portů oddělená čárkou pro místní a vzdálené počítače, jejichž propojení má být sledováno. |
Směr |
Příchozí (paket). Brána firewall použije pravidlo sítě na všechny příchozí síťové pakety. Příchozí. Brána firewall použije pravidlo sítě na všechny síťové pakety odesílané prostřednictvím připojení, které bylo iniciováno vzdáleným počítačem. Příchozí/odchozí. Brána firewall použije pravidlo sítě na příchozí a odchozí síťové pakety bez ohledu na to, zda bylo síťové připojení iniciováno uživatelským nebo vzdáleným počítačem. Odchozí (paket). Brána firewall použije pravidlo sítě na všechny odchozí síťové pakety. Odchozí. Brána firewall použije síť pravidlo na všechny síťové pakety odesílané prostřednictvím připojení iniciovaného počítačem uživatele. |
Síťové adaptéry |
Síťové adaptéry, které mohou odesílat nebo přijímat síťové pakety. Zadání nastavení síťových adaptérů umožňuje odlišit síťové pakety odeslané nebo přijaté síťovými adresami s totožnými IP adresami. |
Doba života (TTL) |
Omezení kontroly síťových paketů jejich dobou života (doba života, TTL). |
Vzdálená adresa |
Síťové adresy vzdálených počítačů, které mohou odesílat a přijímat síťové pakety. Brána firewall použije pravidlo sítě na zadaný rozsah vzdálených síťových adres. Do pravidla sítě můžete zahrnout všechny IP adresy, vytvořit samostatný seznam IP adres, zadat rozsah IP adres nebo vybrat podsíť (Důvěryhodné sítě, Místní sítě, Veřejné sítě). Místo IP adresy můžete také zadat název DNS počítače. Názvy DNS byste měli používat pouze pro počítače LAN nebo interní služby. Interakce s cloudovými službami (jako je Microsoft Azure) a dalšími internetovými prostředky by měla zajišťovat součást Kontrola webu. Pokud jste v pravidle síťových paketů přidali název DNS, pro který nebylo možné určit IP adresu, aplikace Kaspersky Endpoint Security zobrazí varování. V seznamu pravidel síťových paketů ve webové konzole se přidá sloupec Warning s popisem chyby. V konzole pro správu (MMC) není popis chyby k dispozici. Taková pravidla paketů jsou barevně zvýrazněna. |
Místní adresa |
Síťové adresy počítačů, které mohou odesílat a přijímat síťové pakety. Brána firewall použije pravidlo sítě na zadaný rozsah místních síťových adres. Můžete zahrnout všechny IP adresy do pravidla sítě, vytvořit samostatný seznam IP adres nebo zadat rozsah IP adres. Aplikace ukládá místní adresy pouze v případě, že je zadán seznam vzdálených adres, tj. v části Vzdálená adresa byla vybrána hodnota Adresy ze seznamu a byla přidána alespoň jedna adresa. Občas není možné získat místní adresy pro aplikace. V takovém případě je tento parametr ignorován. |