建立網路封包規則
防火牆根據網路封包規則篩選電腦上的所有網路活動。網路封包規則包含防火牆套用於控制電腦網路連線的條件(例如方向、協定)。網路封包規則也指定防火牆對符合規則的連線執行的操作(允許或封鎖連線)。
建立網路封包規則的建議
您可以指定一個 IP 位址或一個 IP 位址範圍來篩選網路活動。您也可以指定 DNS 名稱,但我們建議使用 IP 位址和 IP 位址範圍。在網路封包名稱中使用 DNS 名稱可能不安全,因為 DNS 伺服器的擁有者可以修改 DNS 記錄的參數。惡意行為者還可以偽造 DNS 訊息並繞過防火牆規則。
您可以使用 網頁控制規則 按 DNS 名稱控製網路連線。如果需要在防火牆規則中指定 DNS 名稱:
- 確保企業區域網路的安全。
- 確保快取和權威 DNS 伺服器的安全。
- 啟用 DNS 記錄防修改保護。
在建立網路封包規則時,請記得,它們的優先順序比應用程式網路規則高。
建立網路封包規則的方法
您可以透過以下方式建立網路封包規則:
- 使用網路監控工具。
網路監控是一個用於即時檢視網路活動資訊的工具。這很方便,因為您不需要配置所有規則設定。某些防火牆設定將從網路監控資料中自動插入。網路監控僅在應用程式介面中可用。
- 配置防火墻設定。
這使您可以微調防火牆設定。您可以為任何網路活動建立規則,即使當前沒有網路活動也是如此。
按鈕。
按鈕來選擇預定義的規則範本。規則範本描述了最常用的網路連線。“網路封包規則”設定
參數 |
描述 |
|---|---|
操作 |
允許 封鎖 按應用程式規則如果選擇此選項,則防火牆將應用程式網路規則套用於網路連線。 |
協定 |
透過所選協定控製網路活動:TCP,UDP,ICMP,ICMPv6,IGMP 和 GRE。 如果選取的是 ICMP 或 ICMPv6 埠,您可以定義 ICMP 封包類型和代碼: 如果選取的是 TCP 或 UDP 協定類型,您可以指定其連線受監控的本機和遠端電腦逗號分隔的連接埠。 |
方向 |
接收(封包)防火牆將網路規則套用於所有接收網路封包。 接收防火牆將把網路規則套用到透過遠端電腦發起的連線傳送的所有網路封包。 接收/傳送防火牆將為接收和傳送的網路封包套用網路規則,與此網路連線的發起者是使用者電腦還是遠端電腦無關。 傳送(封包)防火牆將網路規則套用於所有傳送網路封包。 傳送防火牆將為透過使用者電腦發起的連線傳送的所有網路封包套用網路規則。 |
網路介面卡 |
可以傳送和/或接收網路封包的網路介面卡。指定網路介面卡的設定可以區分相同 IP 位址傳送或接收的網路封包。 |
生存時間 (TTL) |
透過網路資料包的生命週期(生存時間,TTL)來限制對網路資料包的控制。 |
遠端位址 |
可以傳送和接收網路封包的遠端電腦的網路位址。防火牆將網路規則套用於指定範圍的遠端網路位址。您可以將所有 IP 位址包括在網路規則中,建立單獨的 IP 位址清單,指定 IP 位址範圍,或選擇一個子網(信任網路,本機網路,公用網路)。您也可以指定電腦的 DNS 名稱而不是它的 IP 位址。您應該將 DNS 名稱僅用於 LAN 電腦後者內部服務。與雲端服務(例如 Microsoft Azure)和其他網際網路資源的交互應該由 Web 控制元件進行處理。 如果在網路封包規則中新增了無法確定 IP 位址的 DNS 名稱,Kaspersky Endpoint Security 將顯示警告。在網頁主控台的網路封包規則清單中,新增了包含錯誤描述的警告欄。在管理主控台 (MMC) 中,錯誤描述不可用。此類封包規則用顏色突出顯示。 |
本機位址 |
可以傳送和接收網路封包的電腦的網路位址。防火牆將網路規則套用於指定範圍的區域網路位址。您可以在網路規則中包括所有 IP 位址,建立一個單獨的 IP 位址清單,或指定一個 IP 位址範圍。 僅當指定了遠端位址清單時,應用程式才會儲存本機位址。也就是說, 來自清單的位址 值已為 遠端位址 選取並且至少已新增一個位址。 有時候無法獲得應用程式的本機位址。在這種情況下,此參數將被忽略。 |