Конфигурация настроек брандмауэра Ivanti

Средство брандмауэр Ivanti (Ivanti FIREWALL) представляет собой важный компонент решения Endpoint Security, который позволяет защитить управляемые устройства от операций и подключений со стороны несанкционированных приложений.

Настройки брандмауэра Ivanti позволяют создавать и настраивать доверенные программы (приложения), доверенные сетевые области и правила подключения для защиты управляемых устройств от несанкционированного доступа и вторжений.

IMPORTANT: Совместимость брандмауэра Ivanti и брандмауэра Windows
Брандмауэр Ivanti дополняет брандмауэр Windows, поэтому оба этих брандмауэра могут быть включены и запущены на управляемых устройствах одновременно.

Компонент решения Endpoint Security

Брандмауэр Ivanti является одним из компонентов комплексного решения Endpoint Security наряду со средствами управления приложениями (Application Control) и управления устройствами (Device Control).

В этой главе вы изучите следующее:

Использование настроек брандмауэра Ivanti

Настройки брандмауэра обеспечивают полный контроль над работой брандмауэра Ivanti на целевых устройствах.

В данном разделе описывается создание настроек брандмауэра и управление ими.

Создание настроек брандмауэра Ivanti

Для создания настроек бандмауэра Ivanti:
  1. В окне инструментов Настройки агента (Agent Settings) нажмите Безопасность > Endpoint Security (Security > Endpoint Security), нажмите правой кнопкой мыши Брандмауэр Ivanti (Ivanti Firewall) и выберите Создать (New).



  2. На странице Общие настройки (General settings) введите имя для настроек, включите службу "Брандмауэр Ivanti" (Ivanti Firewall) и затем укажите режим защиты.
  3. На странице Правила подключения (Connection rules) определите правила подключения (для входящего и исходящего трафика, а также действие) для порта, протокола или диапазона IP-адресов.
  4. Нажмите Сохранить (Save).

После настройки можно выполнить развертывание настроек на целевые устройства с помощью задачи установки или обновления или задачи изменения настроек.

Справка по настройкам брандмауэра Ivanti

Используйте это диалоговое окно для создания и изменения настроек брандмауэра Ivanti. При создании настроек брандмауэра сначала определяется общий режим защиты, а затем добавляются и настраиваются списки конкретных доверенных файлов, доверенные области и правила подключения. Можно создать любое количество настроек, а также изменять их в любое время.

Если требуется изменить настройки по умолчанию для устройства без переустановки агента Endpoint Security или повторного развертывания полной конфигурации агента, внесите необходимые изменения в любые из параметров в данном диалоговом окне настроек, назначьте новые настройки задаче изменения настроек и затем выполните развертывание этой задачи изменения настроек на целевых устройствах.

В этом диалоговом окне находятся следующие страницы.

Страница общих настроек

Используйте данную страницу для включения брандмауэр Ivanti и настройки режима защиты.

На этой странице находятся следующие параметры:

  • Имя (Name): Уникальное имя, определяющее настройки брандмауэра.
  • Включить брандмауэр Ivanti (Enable Ivanti Firewall): Разрешение запуска всех программ, кроме случаев, когда работа программы угрожает безопасности системы в соответствии с предварительно заданными правилами защиты.
  • Режим защиты (Protection mode): Указание режима защиты, используемого при нарушениях безопасности на управляемых устройствах.
    • Блокировка (Blocking): Автоматическая блокировка всех нарушений безопасности. Другими словами, применяются все созданные доверенные программы, доверенные области и правила подключения (например, разрешения).
      • Режим обучения (Learning mode for): Администратор может указать период времени, в течение которого конечный пользователь может запускать любые приложения на своем компьютере. В течение этого периода за запускаемыми приложениями ведется наблюдение.

        NOTE: Эти два параметра временного периода применяются последовательно. Другими словами, если выбраны оба параметра, сначала начинается период режима обучения, а после его окончания начинается период регистрации.


      • Режим регистрации (Logging mode for): Указание временного периода, в течение которого запускаемые приложения регистрируются в файле журнала действий на главном сервере.
    • Изучение (Learning): Разрешение запуска всех приложений. Кроме того, все запускаемые на устройстве приложения запоминаются и добавляются в список доверенных файлов.
    • Только ведение журнала (Log only): Разрешение нарушений безопасности и их регистрация в файле журнала действий на главном сервере.
  • Совместное использование файлов (File sharing): Указание привилегий совместного использования файлов, разрешенных настройках брандмауэра Ivanti.
    • Разрешить совместное использование файлов из доверенной области (сеть) (Allow file sharing from the trusted scope (network)): Разрешение совместного использования файлов в заданной доверенной области.
    • Разрешить совместное использование файлов вне доверенной области (Интернет) (Allow file sharing from outside the trusted scope (Internet)): Разрешение совместного использования файлов вне заданной доверенной области.

Информация о диалоговом окне "Доверенная область" (Trusted scope)

Используйте данную страницу для настройки доверенных областей и управления ими. Доверенная область — это коллекция сетевых адресов, сгруппированных по IP-адресу, диапазону IP-адресов или подсети.

На этой странице находятся следующие параметры:

  • Доверять подсети клиента (Trust client's subnet): Добавление диапазона адресов подсети целевого устройства в список доверенных областей. Через данный диапазон адресов подсети разрешено взаимодействие.
  • Доверенная область (Trusted scope): Список всех доверенных областей.
  • Добавить... (Add...): Добавление доверенного расположения в список. Доверенное расположение можно добавить по IP-адресу, по диапазону IP-адресов или по подсети.
  • Правка... (Edit...): Изменение выбранного существующего доверенного расположения.
  • Исключить (Delete): Удаление выбранного доверенного расположения.
  • Пакетный импорт IP-адресов... (Batch import IP address...) Позволяет выбрать несколько адресов.
  • Импорт... (Import...): Импорт диапазонов адресов подсетей с управляемых устройств из данных инвентаризации базы данных главного сервера.

Информация о диалоговом окне "Правила подключения" (Connection rules)

Используйте данную страницу для просмотра правил подключения, управления ими и назначения им приоритетов. Правила подключения позволяют разрешать или запрещать подключения на основании порта или диапазона IP-адресов при условии, что программа является доверенной и взаимодействие осуществляется внутри доверенной сетевой области.

На этой странице находятся следующие параметры:

  • Правила подключения (Connection rules): Список всех правил подключения.
  • Вверх (Move up): Определение приоритета правила подключения. Чем выше правило подключения расположено в списке, тем больший приоритет оно имеет.
  • Вниз (Move down): Определение приоритета правила подключения.
  • Сброс (Reset): Восстановление порядка правил.
  • Добавить (Add): Открытие диалогового окна, в котором можно настроить новое правило подключения.
  • Правка (Edit): Изменение выбранного правила подключения.
  • Исключить (Delete): Удаление выбранного правила подключения из базы данных.

Информация о диалоговом окне "Настройка правила подключения" (Configure connection rule)

Используйте данную страницу для настройки правил подключения.

На этой странице находятся следующие параметры:

  • Имя (Name): Описательное имя правила подключения.

  • Направление (Direction): Указание того, ограничивает ли правило подключения входящие или исходящие подключения.

  • Действие (Action): Указание того, разрешает (принимает) ли или запрещает (отклоняет) правило подключения входящие или исходящие подключения.
  • Протокол (Protocol): Указание коммуникационного протокола для выбранных портов.
  • Порты (Ports): Определение ограничений портов для правила подключения.
    • Применить к указанным локальным портам (Apply to these local ports): Указание локальных портов, к которым применяются направление и действие (выбранные ниже). Например, если выбраны значения "Входящие" (Incoming) и "Принять" (Accept), подключения к указанным локальным портам разрешены.
    • Применить к указанным удаленным портам (Apply to these remote ports): Указание удаленных портов, к которым применяются направление и действие (выбранные ниже).
  • Диапазон IP-адресов (IP address range): Определение ограничений диапазона IP-адресов для правила подключения.
    • Применить к указанным удаленным адресам (Apply to these remote addresses): Указание диапазона удаленных IP-адресов, к которому применяются направление и действие (выбранные ниже).
  • Разрешить обход доверенным программам (Allow trusted programs to bypass): Предоставление доверенным программам возможности игнорировать или обходить данное правило подключения.
    • Только для доверенной области (Only for trusted scope): Ограничение возможности обходить правило подключения для доверенных программ только в том случае, когда взаимодействие осуществляется внутри доверенной сетевой области.
  • OK: Сохранение параметров и добавление правила в список правил подключения.
  • Отмена (Cancel): Закрытие диалогового окна без сохранения.