创建网络数据包规则
防火墙根据网络包规则过滤计算机上的所有网络活动。网络包规则包含防火墙用于控制计算机网络连接的条件(例如方向、协议)。网络包规则还指定防火墙对符合规则的连接执行的操作(允许或阻止连接)。
创建网络包规则的建议
您可以指定一个 IP 地址或一个 IP 地址范围来过滤网络活动。您还可以指定 DNS 名称,但我们建议使用 IP 地址和 IP 地址范围。在网络包名称中使用 DNS 名称可能不安全,因为 DNS 服务器的所有者可以修改 DNS 记录的参数。恶意的操作者还可以伪造 DNS 消息并绕过防火墙规则。
您可以使用 Web 控制规则按 DNS 名称控制网络连接。如果需要在防火墙规则中指定 DNS 名称:
- 确保企业局域网的安全。
- 确保缓存和权威 DNS 服务器的安全。
- 启用 DNS 记录防修改保护。
在创建网络数据包规则时,请记住,它们的优先级比应用程序网络规则高。
创建网络包规则的方法
您可以用以下方法之一创建网络数据包规则:
- 使用网络监控工具。
网络监控器是一个用于实时查看用户计算机网络活动信息的工具。这个方法很方便,因为您不需要配置所有的规则设置。一些防火墙设置将被从网络监控数据自动插入。网络监控仅在应用程序界面可用。
- 配置防火墙设置。
这允许您微调防火墙设置。您可以为任何网络活动创建规则,即便当前没有网络活动。
按钮。
按钮选择预定义的规则模板。规则模板描述了最常使用的网络连接。“网络数据包规则”设置
参数 |
描述 |
|---|---|
操作 |
“允许”。 “阻止”。 “根据应用程序规则”。如果该选项被选择,防火墙应用应用程序网络规则到网络连接。 |
协议 |
在所选协议上控制网络活动:TCP、UDP、ICMP、ICMPv6、IGMP 和 GRE。 如果选择的是 ICMP 或 ICMPv6 端口,您可以定义 ICMP 数据包类型和代码。 如果选择的是 TCP 或 UDP 协议类型,您可以指定其连接受监控的本地和远程计算机逗号分隔的端口。 |
方向 |
“入站(包)”。防火墙应用网络规则到所有入站网络包。 “入站”。防火墙应用网络规则到所有通过由远程计算机发起的网络连接发送的网络包。 “入站/出站”。防火墙将为接收和发送的网络数据包应用网络规则,与该网络连接的发起者是用户计算机还是远程计算机无关。 “出站(包)”。防火墙应用网络规则到所有出站网络包。 “出站”。防火墙应用网络规则到所有通过由用户计算机发起的网络连接发送的网络包。 |
网络适配器 |
您可以发送和/或接收网络包的网络适配器。指定网络适配器的设置可以区分相同 IP 地址发送或接收的网络数据包。 |
生存时间(TTL) |
通过网络数据包的生存期(生存时间,TTL)来限制对网络数据包的控制。 |
远程地址 |
发送和/或接收网络数据包的远程计算机的网络地址。防火墙将网络规则应用于指定范围的远程网地址。您可以包含所有 IP 地址到网络规则,创建 IP 地址的单独列表,指定 IP 地址范围,或选择一个子网(受信任网络、本地网络、公共网络)。您还可以指定计算机的 DNS 名称,而不是其 IP 地址。您应该仅对 LAN 计算机或内部服务使用 DNS 名称。与云服务(如 Microsoft Azure)和其他互联网资源的交互应由 Web 控件组件处理。 如果您在网络数据包规则中添加了无法确定 IP 地址的 DNS 名称,Kaspersky Endpoint Security 将显示警告。在 Web Console 的网络数据包规则列表中,“警告”列中添加了错误的描述。在管理控制台(MMC)中,错误描述不可用。此类数据包规则以颜色突出显示。 |
本地地址 |
发送和/或接收网络数据包的计算机的网络地址。防火墙将网络规则应用于指定范围的本地网地址。您可以包含所有 IP 地址到网络规则,创建 IP 地址的单独列表,或指定一个 IP 地址范围。 仅当指定了远程地址列表时,应用程序才会存储本地地址。也就是说,已为“远程地址”选择了“来自列表的地址”值,并且至少已添加一个地址。 有时候无法获得应用程序的本地地址。如果是这种情况,该参数被忽略。 |