建立應用程式網路規則
預設情況下,應用程式活動由針對 Kaspersky Endpoint Security 在此應用程式第一次啟動時將其分配到的信任群組定義的網路規則來控制。如有必要,您可以為整個信任群組、單個應用程式或信任群組內的一組應用程式建立網路規則。
手動定義的網路規則比為信任群組確定的網路規則具有更高的優先順序。換句話說,如果手動定義的應用程式規則與為信任群組確定的應用程式規則不同,則防火牆將根據手動定義的應用程式規則控制應用程式活動。
預設情況下,防火牆為每個應用程式建立以下網路規則:
- 信任網路中的任何網路活動。
- 本機網路中的任何網路活動。
- 公用網路中的任何網路活動。
Kaspersky Endpoint Security 根據預定義的網路規則控制應用程式的網路活動,如下所示:
- 受信任和低限制:允許所有網路活動。
- 高限制和不受信任:所有網路活動被封鎖。
預定義的應用程式規則無法編輯或刪除。
您可以透過以下方式建立應用程式網路規則:
- 使用網路監控工具。
網路監控是一個用於即時檢視網路活動資訊的工具。這很方便,因為您不需要配置所有規則設定。某些防火牆設定將從網路監控資料中自動插入。網路監控僅在應用程式介面中可用。
- 配置防火墻設定。
這使您可以微調防火牆設定。您可以為任何網路活動建立規則,即使當前沒有網路活動也是如此。
為應用程式建立網路規則時,請記住,網路封包規則的優先順序高於應用程式網路規則。
“應用程式網路規則”設定
參數 | 描述 |
---|---|
操作 | 允許 封鎖 |
協定 | 透過所選協定控製網路活動:TCP,UDP,ICMP,ICMPv6,IGMP 和 GRE。 如果選取的是 ICMP 或 ICMPv6 埠,您可以定義 ICMP 封包類型和代碼: 如果選取的是 TCP 或 UDP 協定類型,您可以指定其連線受監控的本機和遠端電腦逗號分隔的連接埠。 |
方向 | 接收 接收/傳送 傳送 |
遠端位址 | 可以傳送和接收網路封包的遠端電腦的網路位址。防火牆將網路規則套用於指定範圍的遠端網路位址。您可以將所有 IP 位址包括在網路規則中,建立單獨的 IP 位址清單,指定 IP 位址範圍,或選擇一個子網(信任網路,本機網路,公用網路)。您也可以指定電腦的 DNS 名稱而不是它的 IP 位址。您應該將 DNS 名稱僅用於 LAN 電腦後者內部服務。與雲端服務(例如 Microsoft Azure)和其他網際網路資源的交互應該由 Web 控制元件進行處理。 如果在網路封包規則中新增了無法確定 IP 位址的 DNS 名稱,Kaspersky Endpoint Security 將顯示警告。在網頁主控台的網路封包規則清單中,新增了包含錯誤描述的警告欄。在管理主控台 (MMC) 中,錯誤描述不可用。此類封包規則用顏色突出顯示。 |
本機位址 | 可以傳送和接收網路封包的電腦的網路位址。防火牆將網路規則套用於指定範圍的區域網路位址。您可以在網路規則中包括所有 IP 位址,建立一個單獨的 IP 位址清單,或指定一個 IP 位址範圍。 Kaspersky Endpoint Security 自版本 11.7.0 起支援 DNS 名稱。如果為 11.6.0 或更早的版本指定 DNS 名稱,Kaspersky Endpoint Security 可能會將相關規則套用到所有位址。 有時候無法獲得應用程式的本機位址。在這種情況下,此參數將被忽略。 |