代理程式設定: Ivanti Firewall

工具 > 安全性和遵從性 > 代理程式組態 > 安全性 > 端點安全 > Ivanti Firewall

新的 Ivanti Firewall 工具是「端點安全」的一個重要元件,可保護您的受管理裝置不受到未授權應用程式作業與連線的影響。

藉由 Ivanti Firewall 設定,您可以建立與設定信任的程式 (應用程式)、信任網路範圍以及連線規則,以保護受管理裝置不受到未經授權的入侵。

IMPORTANT: Ivanti Firewall 和 Windows 防火牆相容性
Ivanti Firewall 補充了 Windows 防火牆之不足,同時兩者皆可以同時在受管理裝置上啟用與執行。

「端點安全」元件

Ivanti Firewall 是全方位的「端點安全」解決方案,以及主機侵入防護 (HIPS) 和「裝置控制」工具的元件之一。若要啟用 Ivanti Firewall,請開啟端點安全性設定對話方塊,並且在預設原則頁面上,勾選 Ivanti Firewall

閱讀本章後,您將瞭解以下內容:

使用 Ivanti Firewall 設定

「防火牆」設定可讓您可全面掌控目標裝置上的 Ivanti Firewall 執行狀況。

本節內容描述如何建立與管理「防火牆」設定。

建立 Ivanti Firewall 設定

若要建立 Ivanti Firewall 設定
  1. 在代理程式組態工具視窗中,以滑鼠右鍵按一下 Ivanti Firewall,然後按一下新增



  2. 一般設定頁面中,輸入設定的名稱,啟用 Ivanti Firewall 服務,然後指定保護模式。有關選項的資訊,請按一下說明
  3. 信任範圍頁面中,新增與編輯您希望與網路及網際網路彼此連接的應用程式可執行檔。您也可以定義信任範圍。
  4. 連線規則頁面中,定義透過連接埠、通訊協定或 IP 範圍的連線規則 (傳入或傳出,以及動作)。
  5. 按一下儲存

一旦設定之後,您可以透過安裝或更新工作或是變更設定工作將設定部署至目標裝置。

Ivanti Firewall 設定說明

使用此對話方塊建立及編輯 Ivanti Firewall 設定。在建立「防火牆」設定時,您可以先定義一般保護模式,然後新增並設定特定信任的檔案清單、信任的範圍以及連線規則。您可以視需要隨時建立多個設定,數目不限。

如果您希望不重新安裝「端點安全」代理程式或重新部署完整代理程式組態而修改裝置的預設設定,請對設定對話方塊上任何選項進行需要的變更、將新設定指派為變更設定工作,再將變更設定部署至目標裝置。

此對話方塊包含下列頁面:

關於「一般設定」頁

使用此頁面啟用 Ivanti Firewall 並且設定保護模式。

此頁含有以下選項:

  • 名稱:用唯一的名稱來識別防火牆設定。
  • 啟用 Ivanti Firewall:允許所有程式執行,但是當程式的某個操作威脅到預定義的保護規則所定義的系統安全的情況除外。
  • 保護模式:指定當在受管理裝置上發生安全性違規時執行保護行為。
    • 自動模式:自動阻擋所有安全性違規。換句話說,所有信任的程式、信任範圍和您所建立的連線規則 (即權限) 都會強行執行。
      • 使用學習模式:允許管理員指定一段時間,在此期限內一般使用者可以在他們的機器上執行任何應用程式。在此期間將會觀察執行的應用程式。

        備註:這兩個時間選項為依序相繼執行。換句話說,如果兩個選項都選取,則學習模式期限會先執行,在它過期之後,會執行監視模式期限。

      • 使用監視模式:指定一個時間期間,在此期間中執行的應用程式會記錄在核心伺服器上的動作歷史記錄檔案中。
    • 學習模式:允許所有應用程式執行。此外,裝置上執行的所有應用程式均會被學習並新增到信任的檔案清單中。
    • 監視模式:允許安全性違規,但會記錄在核心伺服器上的動作歷史記錄檔案中。
    • 阻止的模式:阻擋安全性違規,且不會記錄在核心伺服器上的動作歷史記錄檔案中。
  • 檔案共享:指定 Ivanti Firewall 設定允許的檔案共享權限。
    • 允許從信任範圍檔案共享 (網路):允許在您已定義的信任範圍內共享檔案。
    • 允許從信任範圍外部檔案共享 (網際網路):允許在您已定義的信任範圍外共享檔案。

關於「信任範圍」頁

使用此頁面設定與管理信任範圍。信任範圍是由一系列的網路位址、IP 位址、IP 範圍或子網路所組成。

此頁含有以下選項:

  • 信任用戶端子網路:新增目標裝置的子網路範圍至信任範圍清單。允許跨子網路範圍的通訊。
  • 信任範圍:列出所有信任範圍。
  • 匯入:讓您從核心資料庫清單中包含的受管理裝置中匯入子網路範圍。
  • 新增:讓您將條件新增至清單中。透過 IP 位址、IP 範圍或子網路新增條件。
  • 編輯:讓您修改選取的條件位置。
  • 刪除:移除選取的條件。

關於「連線規則」頁

使用此頁面檢視、管理和優先排序連線規則。連線規則可根據連接埠或 IP 範圍、程式是否可信任以及通訊是否在信任的網路範圍內來允許或阻止連線。

此頁含有以下選項:

  • 連線規則:列出所有連線規則。
  • 上移:確定連線規則的優先等級。在清單中居較高位置的連線規則優先於較低位置的規則。
  • 下移:確定連線規則的優先等級。
  • 重設:還原規則的順序。
  • 新增:開啟對話方塊,您可以在其中設定新的連線規則。
  • 編輯:讓您修改所選的連線規則。
  • 刪除:從資料庫中移除連線規則。

關於「設定連線規則」對話方塊

使用此頁面設定連線規則。

此頁含有以下選項:

  • 名稱:用描述性名稱來識別連線規則。
  • 連接埠:讓您定義連線規則的連接埠限制。
    • 套用至這些本機連接埠:指定套用方向與動作 (下方所選) 的本機連接埠。舉例來說,如果同時選取了「傳入」與「接受」,則允許與此處指定的本機連接埠的連線。
    • 套用至這些遠端連接埠:指定套用方向與動作 (下方所選) 的遠端連接埠。
  • 通訊協定:指定所選連接埠的通訊協定。
  • IP 範圍:讓您定義連線規則的 IP 範圍限制。
    • 套用至這些遠端位址:指定套用方向與動作 (下方所選) 的遠端 IP 位址範圍。
  • 方向:指示連線規則是否限制傳入或傳出連線。
  • 動作:指示連線規則是否允許 (接受) 或阻止 (捨棄) 連線。
  • 允許略過信任的程式:讓您能夠給予信任程式忽略或避開此連線規則的能力。
    • 僅限信任範圍:限制信任的程式只有在通訊位於信任的網路範圍內才能避開連線規則。
  • 確定:儲存選項並且將規則新增至連線規則清單中。
  • 取消:關閉對話方塊而不儲存。