Firewall — Regras
Firewall — Opções
Ative e desative o módulo Firewall, configure opções de proteção e defina redes e executáveis confiáveis.
Para redefinir as configurações para o padrão da McAfee e cancelar suas alterações, clique em Redefinir para o padrão.
Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log. O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security 10.2. Se o Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do Endpoint Security será
desativado, mesmo que esteja ativado nas configurações de política.
Tabela 4-1 Opções
Seção Opção Definição
Ativar Firewall Ativa e desativa o módulo do Firewall. Opções de
proteção Permitir tráfego paraprotocolos incompatíveis Permite todo o tráfego que usa protocolos incompatíveis. Quandodesativado, todos os tráfegos que usam protocolos incompatíveis são bloqueados.
Permitir tráfego de saída apenas até que os serviços do Firewall sejam iniciados
Permite o tráfego de saída, mas nenhum tráfego de entrada até que o serviço do Firewall seja iniciado.
Se essa opção estiver desativada, o Firewall permitirá todo o tráfego antes que os serviços sejam iniciados, podendo deixar o sistema vulnerável.
Permitir tráfego de ponte Permite:
• Pacotes de entrada se o endereço MAC de destino estiver no intervalo suportado de endereços MAC de VM e não for um endereço MAC local no sistema.
• Pacotes de saída se o endereço MAC de origem estiver no intervalo suportado de endereços MAC e não for um endereço MAC local no sistema.
Ativar proteção contra
falsificação de IP Bloqueia tráfego da rede de endereços IP de host não locais ou deprocessos locais que tentam falsificar seu endereço IP. Ativar regras de bloqueio
dinâmico Permite que outros módulos do Endpoint Security criem e adicionemregras de bloqueio dinamicamente ao grupo de Regras dinâmicas no Cliente do Endpoint Security.
Tabela 4-1 Opções (continuação)
Seção Opção Definição
Ativar alertas de intrusão
do firewall Mostra alertas automaticamente quando o Firewall detecta umpossível ataque. Bloqueio de
DNS Nome de domínio Define nomes de domínio a bloquear.Quando aplicada, essa configuração adiciona uma regra próximo ao topo das regras do firewall que bloqueia conexões aos endereços IP com resolução para os nomes de domínio.
• Adicionar - Adiciona um nome de domínio à lista de bloqueio. Separe vários domínios com uma vírgula (,) ou quebra de linha. É possível usar os caracteres curingas * e ?. Por exemplo, *domínio.com.
As entradas duplicadas são removidas automaticamente. • Clicar duas vezes em um item - Modifica o item selecionado. • Excluir - Remove o nome de domínio selecionado da lista de
bloqueio.
Tabela 4-2 Opções avançadas
Seção Opção Definição
Opções de
ajuste Ativar modo adaptável Cria regras automaticamente para permitir o tráfego.
Prática recomendada: ativar o modo adaptável
temporariamente em alguns sistemas apenas durante o ajuste do Firewall. A ativação desse modo pode gerar muitas regras de cliente, que devem ser processadas pelo servidor McAfee ePO, podendo afetar o desempenho negativamente.
Desativar as regras principais de rede da McAfee
Desativa as regras de rede incorporadas da McAfee (no grupo de regras da Rede principal da McAfee).
(Desativado por padrão)
A ativação desta opção pode interromper as comunicações de rede no cliente.
Registrar em log todo o
tráfego bloqueado Registra todo o tráfego bloqueado no log de eventos do Firewall(FirewallEventMonitor.log) no Cliente do Endpoint Security. (Ativado por padrão)
Registrar em log todo o
tráfego permitido Registra todo o tráfego permitido no log de eventos do Firewall(FirewallEventMonitor.log) no Cliente do Endpoint Security. (Desativado por padrão)
A ativação dessa opção pode afetar negativamente o desempenho.
Reputação da rede no McAfee GTI
Tratar correspondência do McAfee GTI como intrusão
Trata o tráfego que corresponde à configuração do limite de bloqueio do McAfee GTI como uma intrusão. A ativação dessa opção exibe um alerta, envia um evento para o servidor de gerenciamento e o adiciona ao arquivo de log do Cliente do Endpoint Security.
Tabela 4-2 Opções avançadas (continuação)
Seção Opção Definição
Registrar em log o
tráfego correspondente Trata o tráfego que corresponde à configuração do limite debloqueio McAfee GTI como uma detecção. A ativação dessa opção envia um evento para o servidor de gerenciamento e o adiciona ao arquivo de log do Cliente do Endpoint Security.
(Ativado por padrão)
Todos os endereços IP de uma rede confiável são excluídos da pesquisa do McAfee GTI.
Bloquear todos os executáveis não confiáveis
Bloqueia todos os executáveis que não estão assinados ou que têm uma reputação desconhecida do McAfee GTI.
Limite de entrada de reputação da rede Limite de saída de reputação da rede
Especifica o limite de classificação do McAfee GTI para o bloqueio do tráfego de entrada ou saída de uma conexão de rede.
• Não bloquear - Este site parece ser uma origem ou destino legítimo de conteúdo/tráfego.
• Alto risco - A origem/destino envia ou hospeda conteúdo/tráfego possivelmente malicioso que o McAfee considera arriscado. • Risco médio - A origem/destino mostra um comportamento que a
McAfee considera suspeito. Qualquer conteúdo/tráfego do site requer um escrutínio especial.
• Não verificado - O site parece ser uma origem ou destino legítimo de conteúdo/tráfego, mas também exibe propriedades que sugerem ser necessário inspecionar.
Firewall
dinâmico Usar inspeção deprotocolo do FTP Permite que as conexões FTP sejam rastreadas para que exijamsomente uma regra de firewall para o tráfego de cliente FTP de saída e o tráfego de servidor FTP de entrada.
Se essa opção não for selecionada, as conexões de FTP precisarão de uma regra individual para o tráfego de cliente de FTP de entrada e o tráfego de servidor de FTP de saída.
Número de segundos (1-240) antes de atingir o tempo limite da conexão TCP
Especifica o tempo, em segundos, que uma conexão TCP não estabelecida permanece ativa se pacotes correspondentes à conexão não forem mais enviados ou recebidos. O intervalo válido é 1–240.
Número de segundos (1-300) antes de atingir o tempo limite das conexões virtuais de eco UDP e ICMP
Especifica o tempo, em segundos, que uma conexão virtual de eco UDP ou ICMP permanece ativa se nenhum pacote correspondente à conexão for enviado ou recebido. Essa opção volta ao seu valor configurado sempre que um pacote que corresponde à conexão virtual é enviado ou recebido. O intervalo válido é de 1 a 300. Redes
definidas Define endereços de rede, sub-redes ou intervalos a serem usadosem regras e grupos. • Adicionar — Adiciona um endereço de rede, uma sub-rede ou uma
faixa à lista de redes definidas.
Clique em Adicionar e preencha os campos na linha de definição da rede.
• Clicar duas vezes em um item - Modifica o item selecionado. • Excluir — Exclui o endereço selecionado da lista de redes definidas. Tipo de endereço Especifica o tipo de endereço da rede a ser definido.
Tabela 4-2 Opções avançadas (continuação)
Seção Opção Definição
Confiável • Sim — Permite todo o tráfego da rede.
A definição de uma rede como confiável cria uma regra Permitir bidirecional para essa rede remota no topo da lista de regras do