创建应用程序网络规则
默认情况下,应用程序的活动由 Kaspersky Endpoint Security 在此应用程序第一次启动时将其分配到的信任组定义的网络规则来控制。如有必要,您可以为整个信任组、单个应用程序或信任组内的一组应用程序创建网络规则。
手动定义的网络规则比信任组的网络规则具有更高的优先级。换言之,如果手动定义的应用程序规则与信任组定义的应用程序规则不同,防火墙根据手动定义的应用程序规则控制应用程序活动。
默认下,防火墙为每个应用程序创建以下网络规则:
- 受信任网络中的任何网络活动。
- 本地网络中的任何网络活动。
- 公共网络中的任何网络活动。
Kaspersky Endpoint Security 根据以下预定义的网络规则控制应用程序的网络活动:
- 受信任和低限制:所有网络活动被允许。
- 高限制和不受信任:所有网络活动被阻止。
预定义应用程序规则无法被编辑或删除。
您可以用以下方法之一创建应用程序网络规则:
- 使用网络监控工具。
网络监控器是一个用于实时查看用户计算机网络活动信息的工具。这个方法很方便,因为您不需要配置所有的规则设置。一些防火墙设置将被从网络监控数据自动插入。网络监控仅在应用程序界面可用。
- 配置防火墙设置。
这允许您微调防火墙设置。您可以为任何网络活动创建规则,即便当前没有网络活动。
当创建应用程序网络规则时,网络包规则比应用程序网络规则具有更高的优先级。
如何在 Web Console 和云控制台中创建应用程序网络规则
“应用程序网络规则”设置
参数 | 描述 |
---|---|
操作 | “允许”。 “阻止”。 |
协议 | 在所选协议上控制网络活动:TCP、UDP、ICMP、ICMPv6、IGMP 和 GRE。 如果选择的是 ICMP 或 ICMPv6 端口,您可以定义 ICMP 数据包类型和代码。 如果选择的是 TCP 或 UDP 协议类型,您可以指定其连接受监控的本地和远程计算机逗号分隔的端口。 |
方向 | “入站”。 “入站/出站”。 “出站”。 |
远程地址 | 发送和/或接收网络数据包的远程计算机的网络地址。防火墙将网络规则应用于指定范围的远程网地址。您可以包含所有 IP 地址到网络规则,创建 IP 地址的单独列表,指定 IP 地址范围,或选择一个子网(受信任网络、本地网络、公共网络)。您还可以指定计算机的 DNS 名称,而不是其 IP 地址。您应该仅对 LAN 计算机或内部服务使用 DNS 名称。与云服务(如 Microsoft Azure)和其他互联网资源的交互应由 Web 控件组件处理。 如果您在网络数据包规则中添加了无法确定 IP 地址的 DNS 名称,Kaspersky Endpoint Security 将显示警告。在 Web Console 的网络数据包规则列表中,“警告”列中添加了错误的描述。在管理控制台(MMC)中,错误描述不可用。此类数据包规则以颜色突出显示。 |
本地地址 | 发送和/或接收网络数据包的计算机的网络地址。防火墙将网络规则应用于指定范围的本地网地址。您可以包含所有 IP 地址到网络规则,创建 IP 地址的单独列表,或指定一个 IP 地址范围。 有时候无法获得应用程序的本地地址。如果是这种情况,该参数被忽略。 |