О сетевых правилах

Сетевое правило представляет собой разрешающее или запрещающее действие, которое Сетевой экран совершает, обнаружив попытку сетевого соединения. Настройка сетевых правил позволяет вам задать нужный уровень защиты виртуальной машины, от полной блокировки доступа в интернет для всех программ до разрешения неограниченного доступа.

Сетевой экран защищает виртуальную машину на двух уровнях: сетевом и прикладном. Защита на сетевом уровне обеспечивается за счет применения правил для сетевых пакетов (сетевых пакетных правил). Защита на прикладном уровне обеспечивается за счет применения правил использования сетевых ресурсов программами, установленными на защищенной виртуальной машине (сетевых правил программ).

Исходя из двух уровней защиты Сетевого экрана, вы можете сформировать следующие типы правил:

• Сетевые пакетные правила. Используются для ввода ограничений на сетевые пакеты независимо от программы. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных. Сетевой экран задает по умолчанию некоторые сетевые пакетные правила.
• Сетевые правила программ. Используются для ограничения сетевой активности конкретной программы. При этом учитываются не только характеристики сетевого пакета, но и конкретная программа, которой адресован этот сетевой пакет, либо которая инициировала отправку этого сетевого пакета. Такие правила позволяют тонко настраивать фильтрацию сетевой активности, например, когда определенный тип сетевых соединений запрещен для одних программ, но разрешен для других.

Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила программ. Если для одного и того же вида сетевой активности заданы и сетевые пакетные правила, и сетевые правила программ, то эта сетевая активность обрабатывается по сетевым пакетным правилам.

Вы можете установить свой приоритет выполнения для каждого сетевого пакетного правила и сетевого правила программы.

Сетевые правила программ не учитывают следующие параметры фильтрации, заданные на сетевом уровне:

• идентификатор сетевого адаптера;
• список MAC-адресов локального адаптера;
• список локальных MAC-адресов;
• список удаленных MAC-адресов;
• тип Ethernet-фрейма (IP, IPv6, ARP);
• время жизни (TTL) IP-пакета.

В результате совместного использования правил сетевого и прикладного уровней сетевой трафик может быть заблокирован на прикладном уровне, даже если на сетевом уровне он разрешен.

В начало