防火牆

只有當應用程式安裝在採用 Windows 桌面或伺服器作業系統的虛擬機上時，才可使用本節說明的 Kaspersky Security 功能。

使用區域網路和網際網路的過程中，您的虛擬機會暴露於病毒、其他惡意應用程式，以及各種利用作業系統和軟體弱點的攻擊。

當受防護的虛擬機連線至網際網路或本機區域網路時，防火牆防可透過封鎖網路威脅防護儲存在受防護的虛擬機上的個人資料。

安裝應用程式後，在建立與受防護的虛擬機之遠端連線時，預設會啟用防火牆，攔截 RDP 工作階段。要若防止工作階段遭封鎖，您需將「遠端桌面網路活動」網路封包規則的防火牆操作變更為允許。

在防火牆元件操作過程中，會停用 Windows 防火牆以防止發生衝突。如果為 Windows 防火牆使用網域政策，您必須在防火牆元件操作過程中，停用網域政策中的 Windows 防火牆。

網路連線狀態

防火牆元件會控制受防護的虛擬機上所有網路連線，並且自動為每個偵測到的網路連線分配狀態。

網路連線可為下列狀態類型：

• 公用網路。此網路狀態不受任何防毒應用程式、防火牆或篩選程式防護（例如網咖網路）。使用者操作連線到此類網路的受防護的虛擬機時，防火牆會封鎖對此虛擬機檔案和印表機的存取。外部使用者也無法透過共用資料夾存取資料，或遠端存取虛擬機的桌面。防火牆會根據為每個應用程式設定的網路規則，篩選各應用程式的網路活動。

  預設情況下，防火牆會為網際網路分配公用網路狀態。您無法變更網際網路的狀態。

• 區域網路。此狀態會分配給使用者受信任並可存取受防護的虛擬機上檔案和印表機之網路（例如 LAN 或家用網路）。
• 受信任網路。此狀態會分配給虛擬機不會暴露於攻擊或未經授權資料存取嘗試的安全網路。防火牆允許在具此狀態的網路中進行任何網路活動。

您可變更防火牆元件分配給偵測到網路連線的狀態。

此外，透過卡巴斯基安全管理中心進行工作時，您可重新定義活動受防火牆監控的網路設定：新增網路、變更網路設定或從表中刪除網路。

網路規則

網路規則是指在偵測網路連線嘗試時，防火牆採取的允許或封鎖操作。配置網路規則讓您可指定想要的虛擬機防護等級，例如從封鎖所有應用程式的網際網路存取到允許無限制存取權限。

防火牆共以兩個等級防護虛擬機：網路等級和應用程式等級。

• 網路等級防護的提供方式是為網路封包套用規則（網路封包規則）。網路封包規則用來限制網路封包，與應用程式無關。此類規則會限制透過選定資料協定的特定連接埠輸入和輸出的網路流量。預設情況下，防火牆會指定某些網路封包規則。
• 程式等級防護透過套用規則提供，安裝在受防護的虛擬機上之應用程式可藉由該規則存取網路資源。應用程式網路規則用來限制特定應用程式的網路活動。其不僅考量網路封包特性，並將處理或發送此網路封包的應用程式列入參考因素中。這些規則讓您可對網路活動篩選進行微調：例如針對部分應用程式封鎖某類網路連線，但允許其他應用程式連線。

應用程式對作業系統資源、處理程序和個人資料的存取由應用程式權限控制元件使用應用程式控制規則進行控制。

應用程式的網路規則在網路等級不考慮以下篩選設定：

• 網路介面卡 ID
• 本機介面卡的 MAC 位址清單
• 本機 MAC 位址清單
• 遠端 MAC 位址清單
• 乙太網幀類型（IP、IPv6、ARP）
• IP 封包存活時間 (TTL)

由於綜合使用網路等級和應用程式等級的規則，即使在網路等級允許網路流量，在應用程式等級也可能會被封鎖。

應用程式和應用程式群組的網路規則

預設情況下，Kaspersky Security 將按照其監控檔案或網路活動的軟體供應商名稱，對安裝在受防護的虛擬機作業系統上之所有應用程式進行分組。應用程式群組將依次歸類到信任群組中。所有應用程式和應用程式群組都將繼承來自其父群組的內容：應用程式控制規則、應用程式網路規則及其執行優先順序。

防火牆元件會為在受防護的虛擬機上偵測到之每組應用程式建立一組網路規則，並套用應用程式群組的網路規則，以篩選屬於該群組的所有應用程式網路活動。應用程式群組網路規則將定義群組中應用程式存取不同網路連線的權限。

應用程式群組的預設網路規則以及繼承的應用程式網路規則不能被修改、刪除或停用，其優先順序不能變更。

您可以變更套用到為一個應用程式群組預設建立的網路規則的防火墻操作以及套用到繼承的應用程式網路規則的防火墻操作。

您可以為一組應用程式或單個應用程式建立網路規則。應用程式網路規則的優先順序高於該應用程式所屬群組的網路規則優先順序。

網路規則優先順序

每個規則都有優先順序。規則在清單中越高，它的優先順序越高。如果網路活動被新增到數個規則，防火墻將根據優先順序最高的規則控制網路活動。

網路封包規則的優先順序比應用程式網路規則高。如果針對同種網路活動指定網路封包規則和應用程式網路規則，則會根據網路封包規則進行網路活動處理。

您可以為網路封包規則設定排除項目優先順序，並手動建立適用於一個應用程式或一組應用程式的網路規則。

使用防火牆時的特殊考慮

使用防火牆時，請考慮以下特殊情況：

• 在透過 RAW 通訊端傳送封包的情況下，如果寄件者的 IP 位址與收件者的 IP 位址相符，透過 TCP 和 UDP 協定進在應用程式等級進行的網路活動將不會被封鎖。
• 如果遠端裝置具以下 IP 位址，防火牆不會檢查應用程式規則且允許網路活動：
  • 對於 IPv4：127.0.0.1
  • 對於 IPv6：::1

  在透過 RAW 通訊端傳送封包的情況下。

• 下列情況下，可能不會定義從本機位址傳送或傳送至本機位址的資料：
  • 透過 TCP 或 UDP 協定啟動網路活動的應用程式未指定本機 IP 位址。
  • 透過 ICMP 協定啟動網路活動的應用程式。
  • 應用程式透過 UDP 協定接收傳入封包。
• 防火牆不會在網路等級篩選回送流量。對回送封包所進行的判斷會在應用程式等級進行。
• 在應用程式等級透過 ICMP 協定篩選網路活動時，防火牆僅支援傳出的 ICMP 回應請求。
• 在應用程式等級不會篩選傳入 ICMP 封包。
• 對於透過 RAW 通訊端傳出的網路活動，不會在應用程式等級依封包規則進行篩選。
• 由網路攻擊防護元件篩選的封包不會由防火牆進行掃描。
• 如果 SVM 具有通道網路介面，將在封包於介面間傳播時，對同一封包重複依照封包規則的通道流量篩選。

本節說明如何使用管理主控台與 Light Agent for Windows 本機介面配置防火牆設定。您也可以在建立或修改 Light Agent for Windows 政策設定時使用 網頁主控台配置防火牆設定（應用程式設定 → 病毒防護 → 防火牆）。不支援使用網頁主控台為應用程式或應用程式群組配置網路規則。