代理设置:Ivanti Firewall

工具 > 安全和遵从性 > 代理设置 > 安全 > 端点安全 > Ivanti Firewall

Ivanti Firewall 工具是“端点安全”的重要组件,此工具使您可以防止对受管设备执行未经授权的应用程序操作和连接。

凭借 Ivanti Firewall 设置,您可以创建和配置信任的程序(应用程序)、信任的网络范围和连接规则,以防止受管设备遭受未经授权的入侵。

IMPORTANT: Ivanti Firewall 与 Windows 防火墙兼容性
Ivanti Firewall 弥补了 Windows 防火墙的不足,两者可在受管设备上同时启用和运行。

“端点安全”的组件

Ivanti 防火墙是全面的“端点安全”解决方案的组件之一,其中包括“主机侵入保护 (HIPS)”和“设备控制”工具。要启用 Ivanti Firewall,请打开端点安全设置对话框并在默认策略页面上选中 Ivanti Firewall

阅读本章后,将了解以下内容:

使用 Ivanti Firewall 设置

防火墙设置使您可以对目标设备 Ivanti Firewall 的运行方式进行完全控制。

本节介绍如何创建和管理“防火墙”设置。

创建 Ivanti Firewall 设置

创建 Ivanti Firewall 设置
  1. 代理设置工具窗口中,右键单击 Ivanti Firewall,然后单击新建



  2. 常规设置页面中,输入设置的名称,启用 Ivanti Firewall 服务,然后指定保护模式。有关选项的信息,请单击帮助
  3. 受信任范围页面中,添加并编辑您希望能够连接到网络和 Internet 以及从网络和 Internet 进行连接的应用程序可执行文件。您还可以定义信任范围。
  4. 连接规则页面中,按端口、协议或 IP 范围定义连接规则(传入或传出,以及操作)。
  5. 单击保存

配置完成后,您就可以通过安装或更新任务,或者通过更改设置任务来将设置部署到目标设备。

Ivanti Firewall 设置帮助

使用此对话框可创建和编辑 Ivanti Firewall 设置。创建“防火墙”设置时,首先定义常规保护模式,然后添加和配置特定的受信任文件列表、信任范围以及连接规则。可以根据需要创建任意多个设置,并可以随时对其进行编辑。

如果您要修改设备的默认设置但不重新安装“端点安全”代理或重新部署完整的代理配置,请对设置对话框中的任何选项进行所需的更改,将新的设置分配到更改设置任务,然后将更改设置任务部署到目标设备。

该对话框包含以下页面。

关于“常规设置”页面

使用此页面可启用 Ivanti 防火墙和配置保护模式。

此页面包含以下选项:

  • 名称:用唯一的名称来标识“防火墙”设置。
  • 启用 Ivanti 防火墙:允许运行所有程序,除非根据预定义的保护规则,该程序的操作威胁到系统安全。
  • 保护模式:指定受管设备上出现安全冲突时的保护行为。
    • 自动模式:自动禁用所有安全冲突。也就是说,将执行您创建的所有信任程序、信任范围和连接规则(例如:权限)。
      • 使用学习模式:允许管理员指定一个时间周期,最终用户在此周期内可在其计算机上运行任何应用程序。在此期间,将会观察运行的应用程序。

        注意:这两个时间期限选项会相继执行。换句话说,如果两个都选中,会首先运行学习模式期限,当其过期后,会运行监视模式期限。

      • 使用监视模式:指定将运行的应用程序记录在核心服务器上的操作历史记录文件中的时间期限。
    • 学习模式:允许所有应用程序运行。此外,可以学习设备上运行的所有应用程序并将其添加到信任的文件列表。
    • 监视模式:允许安全冲突,但会将其记录到核心服务器上的操作历史记录文件中。
    • 禁止模式:阻止安全冲突,并且不会将其记录到核心服务器上的操作历史记录文件中。
  • 文件共享:指定 Ivanti Firewall 设置允许的文件共享权限。
    • 允许受信任范围以内的文件共享(网络):允许在所定义的信任范围之内共享文件。
    • 允许受信任范围以外的文件共享(Internet):允许在所定义的信任范围之外共享文件。

关于“信任范围”页面

使用此页面可配置和管理信任范围。信任范围由一组网络地址(按 IP 地址、IP 范围或子网)组成。

此页面包含以下选项:

  • 信任客户端子网:将目标设备的子网范围添加到信任范围列表。允许在该子网范围内进行通信。
  • 信任范围:列出所有信任范围。
  • 导入:让您可以从核心数据库清单中包含的受管设备导入子网范围。
  • 添加:用于将条件添加到列表。按 IP 地址、IP 范围或子网添加条件。
  • 编辑:用于修改选定的条件位置。
  • 删除:删除选定的条件。

关于“连接规则”页面

使用此页面可查看、管理和优化连接规则。连接规则可以根据端口或 IP 范围、程序是否可信以及通信是否处于信任的网络范围内来允许或阻止连接。

此页面包含以下选项:

  • 连接规则:列出所有连接规则。
  • 上移:决定连接规则的优先级。列表前面的连接规则的优先级高于列表后面的规则。
  • 下移:决定连接规则的优先级。
  • 重置:还原规则顺序。
  • 添加:打开一个对话框,可在其中配置新的连接规则。
  • 编辑:让您可以修改选定的连接规则。
  • 删除:从数据库中删除选定的连接规则。

关于“配置连接规则”对话框

使用此页面可配置连接规则。

此页面包含以下选项:

  • 名称:用描述性名称来标识连接规则。
  • 端口:让您可以定义连接规则的端口限制。
    • 应用到这些本地端口:指定方向和操作(在下面选择)适用的本地端口。例如,如果选中“传入”和“接受”,则允许连接至此处指定本地端口。
    • 应用到这些远程端口:指定方向和操作(在下面选择)适用的远程端口。
  • 协议:指定所选端口使用的通信协议。
  • IP 范围:让您可以定义连接规则的 IP 范围限制。
    • 应用到这些远程地址:指定方向和操作(在下面选择)适用的远程 IP 地址范围。
  • 方向:指示连接规则是限制入站连接还是限制出站连接。
  • 操作:指示连接规则是允许(接受)还是拒绝(丢弃)连接。
  • 允许信任的程序绕过:让信任的程序能够忽略或绕过此连接规则。
    • 仅针对信任的范围:使信任的程序仅在通信位于信任的网络范围内时才能绕过连接规则。
  • 确定:保存选项并将规则添加到连接规则列表中。
  • 取消:关闭对话框,但不保存。