防火墙

仅当 Kaspersky Security 安装在采用 Windows 桌面或服务器操作系统的虚拟机上时，本部分中介绍的 Kaspersky Security 功能才可用。

使用局域网和互联网的过程中，您的虚拟机会暴露于病毒、其他恶意应用程序软件、以及各种针对操作系统和软件漏洞的攻击环境中。

当受保护的虚拟机连接至互联网或局域网时，防火墙通过阻止网络威胁来保护存储在其上的个人数据。

在安装程序后，当建立与您受保护的虚拟机的远程连接时，默认会开启防火墙，拦截 RDP 会话。要解除拦截会话，您需要将“远程桌面网络活动”网络数据包规则的防火墙操作更改为中的至“允许”。

在防火墙组件操作过程中，禁用 Windows 防火墙以防止发生冲突。如果为 Windows 防火墙使用的是域策略，必须在防火墙组件操作过程在域策略中禁用 Windows 防火墙。

网络连接状态

防火墙组件控制受保护虚拟机上的所有网络连接，并且自动为检测到的每个网络连接分配一个状态。

网络连接可具有下列状态类型之一：

• 公用网络。该网络状态不受任何反病毒应用程序、防火墙或过滤器的保护（例如网吧网络）。当用户操作连接到此类网络的受保护虚拟机时，防火墙可阻止对此虚拟机的文件和打印机的访问。外部用户也无法通过共享文件夹访问数据，以及远程访问该虚拟机的桌面。防火墙根据为每个应用程序设置的网络规则，过滤应用程序的网络活动。

  防火墙默认为互联网分配“公用网络”状态。您无法更改互联网的状态。

• 本地网络。该状态分配给用户可访问受保护虚拟机上的文件和打印机的网络（例如，局域网或家庭网络）。
• 受信任网络。该状态将分配给虚拟机不会暴露于攻击或未经授权的数据访问尝试的安全网络。防火墙允许在具有此状态的网络中进行任何网络活动。

您可以更改防火墙组件分配给检测到的网络连接的状态。

此外，通过 Kaspersky Security Center 工作时，您可以重新定义活动受防火墙监控的网络设置：添加网络、更改网络设置或从表中删除网络。

网络规则

“网络规则”是指防火墙在检测网络连接请求时采取的允许或阻止操作。配置网络规则允许您指定想要的虚拟机保护级别，例如从阻止所有应用程序的互联网访问到允许无限制访问权限。

防火墙在两个级别上保护虚拟机：网络级别和应用程序级别。

• 为网络数据包应用规则（网络数据包规则）即提供网络级别的保护。网络数据包规则用于限制网络数据包，不管应用程序如何。此类规则将限制通过特定端口的选定数据协议接收和发送的网络流量。默认情况下，防火墙已指定了某些网络数据包规则。
• 程序级别的保护通过应用规则提供，安装在受保护虚拟机上的应用程序借助该规则可以访问网络资源。应用程序网络规则用于限制特定应用程序的网络活动。它们不仅将网络数据包的特征列入重要参考因素，还把接收或发送该网络数据包的应用程序列入重要参考因素中。这些规则让您可以微调网络活动过滤设置：例如，阻止某些应用程序进行某些网络连接，而不阻止其他应用程序则进行这些网络连接。

应用程序对操作系统资源、进程和个人数据的访问权限由应用程序权限控制组件使用应用程序控制规则进行控制。

应用程序的网络规则在网络级别不考虑以下过滤器设置：

• 网络适配器 ID
• 本地适配器的 MAC 地址列表
• 本地 MAC 地址列表
• 远程 MAC 地址列表
• 以太网帧类型 (IP、IPv6、ARP)
• IP 包存活时间最大值 (TTL)

作为网络级别和应用程序级别规则使用组合的效果，即使在网络级别允许网络流量，在应用程序级别也会被阻止。

针对一个和一组应用程序的网络规则

默认情况下，Kaspersky Security 将按照其所监控的文件或网络活动所对应的软件的供应商名称对安装在收保护虚拟机操作系统上的所有应用程序进行分组。应用程序组将依次被归类到“受信任组”中。所有应用程序和应用程序组都将继承来自其父组的属性：应用程序控制规则、应用程序网络规则及其执行优先级。

防火墙组件会为在受保护的虚拟机上检测到的每组应用程序创建一组网络规则，并应用应用程序组的网络规则以过滤属于该组的所有应用程序的网络活动。应用程序组网络规则将定义组中应用程序访问不同网络连接的权限。

不能修改、删除或禁用一组应用程序的默认网络规则以及继承的应用程序网络规则，也不能更改它们的优先级。

您可以更改应用于默认为应用程序组创建的网络规则以及应用于应用程序的继承网络规则的防火墙操作。

您可以为一组或单个应用程序创建网络规则。应用程序的网络规则的优先级高于该应用程序所属组的网络规则的优先级。

网络规则优先级

每个规则都有一个优先级。规则在列表中的位置越高，优先级越高。如果将网络活动添加到多个规则中，防火墙将根据优先级最高的规则控制网络活动。

网络数据包规则的优先级比应用程序网络规则高。如果网络数据包规则和应用程序网络规则指定了同一种类的网络活动，则该网络活动将根据网络数据包规则进行处理。

您可以为一个或一组应用程序的网络数据包规则和手动创建的网络规则设置执行优先级。

使用防火墙时的特殊注意事项

使用防火墙时，请考虑以下特殊情况：

• 在通过 RAW 套接字发送数据包的情况下，如果发件人的 IP地址匹配收件人的地址，通过 TCP 和 UDP 协议进行的应用程序级别的网络活动将不会被阻止。
• 如果远程设备拥有以下 IP 地址，则防火墙不会检查应用程序规则且允许网络规则：
  • 对于 IPv4：127.0.0.1
  • 对于 IPv6：::1

  在通过 RAW 套接字发送数据包的情况下。

• 以下情况下可能不会定义从本地地址发送或发送至本地地址的数据：
  • 通过 TCP 或 UDP 发起网络活动的应用程序未指定本地 IP 地址。
  • 通过 ICMP 协议发起网络活动的应用程序。
  • 该程序通过 UDP 协议接收内进数据包。
• 防火墙不会在网络级别过滤环路返回的流量。对环路返回所进行的判断在应用程序级别进行。
• 在应用程序级别过滤通过 ICMP 协议进行的网络活动时，防火墙仅支持外出的 ICMP 回应-请求。
• 在应用程序级别不会过滤内进 ICMP 数据包。
• 对于通过 RAW 套接字外出的网络活动，不会在应用程序级别基于数据包规则筛选。
• 由反网络攻击组件过滤的数据包不会由防火墙进行扫描。
• 如果 SVM 具有隧道网络接口，将在数据包在接口之间传播时对同一数据包重复基于数据包规则的隧道流量过滤。

本节介绍如何使用管理控制台和 Light Agent for Windows 本地界面配置“防火墙”设置。您还可以在创建或修改 Light Agent for Windows 策略设置时使用 Web 控制台配置“防火墙”设置（“应用程序设置”→“反病毒保护”→“防火墙”）。不支持使用 Web 控制台为应用程序或应用程序组配置网络规则。

本“帮助”部分内容 启用或禁用防火墙 更改网络连接状态 管理网络数据包规则 管理应用程序和应用程序组网络规则

页面顶部