McAfee - Pravidla firewallu v HIPS 8.0

Z HelpDesk

Zadávání pravidel v modulu HIPS 8.0 je oproti předchozí verzi na první pohled komplikovanější, ale ve výsledku je správa pravidel mnohem příjemnější a efektivnější. Pro rychlé seznámení s tímto systémem slouží právě tato stránka.

Manipulace s konfigurací

Pravidla firewallu jsou specifikována v politice Host Intrusion Prevention 8.0: Firewall v kategorii Firewall Rules. Obdobně jako v minulé verzi, i zde existují pravidla a skupiny pravidel. Přičemž oboje lze však nyní vytvářet dvěma způsoby - klasicky vytvořit vše od začátku, tj. projít průvodcem vytváření pravidla, nebo vložit již vytvořené pravidlo nebo skupinu pravidel z katalogu. Objekty vložené z katalogu lze okopírovat nebo ponechat prolinkované, takže každá změna v katalogu se hned promítne. Přehled katalogizovaných objektů je uveden dále v samostatné sekci.

Pro základní manipulaci slouží tlačítka v dolní liště

 • Move Up a Move Down - změna pořadí pravidla nebo skupiny
  • Lze použít i pro vložení pravidla do skupiny a jeho vyjmutí (posun za konec / před začátek seznamu)
  • Samozřejmě nefunguje pro objekty prolinkované do katalogu, které se dají editovat pouze speciálním způsobem (viz kapitola o správě katalogů)
 • Duplicate - zkopírování pravidla nebo skupiny pravidel
 • Delete smazání pravidla nebo skupiny
  • Opět nefunguje pro pravidla prolinkované do katalogu (celou skupinu lze odstranit vždy)
 • New Rule a New Group - vytvoření nového pravidla, či skupiny - jak je vytvářet je postupovat je popsáno v následující kapitole.
 • Add Rule from catalog a Add Group from catalog - vložení pravidla nebo skupiny pravidel z katalogu
 • Export - vytvoření XML souboru z aktuální konfigurace a nabídka k jeho stažení

S každým pravidlem nebo skupinou pravidel lze ještě provádět další aktivity, které lze spustit kliknutím na hyperlink uvedený u každého pravidla ve sloupečku Actions. Povolené akce závisí na skutečnosti, zda jde o objekt prolinkovaný do katalogu nebo osamostatněný.

 • View - prohlížení detailu, u pravidel nebo skupin prolinkovaných do katalogu
 • Break Catalog Dependency - zrušení prolinkovaní do katalogu, stávající objekt bude zkopírován do aktuálního pravidla
 • Edit - editace pravidel nebo skupin, které nejsou prolinkována do katalogu
 • Add To Catalog - vložení pravidla či skupiny do katalogu, po vložení je však není možné editovat v rámci politik, ale je nutno použít přístup popsaný v poslední kapitole.

Vytváření pravidel

Při vytváření či editaci každého pravidla potřeba projít následujícími dialogy:

 1. Description
  • Základní charakteristika pravidla
  • Name: Název pravidla
  • Action: Povolit či blokovat provoz, současně lze zapnout logování a blokovaná aktivita se dá také klasifikovat jako "intrusion"
  • Direction: Směr provozu (příchozí, odchozí, v obou směrech)
  • Status: pravidlo je aktivní nebo neaktivní (přítomno, ale nebráno v potaz)
  • Notes: Popis pravidla
 2. Network Options
  • Nastavení síťových parametrů pravidla
  • Network protocol: výběr protokolů, pro které bude pravidlo aktivní
  • Media types: výběr druhu připojení (pevné, wi-fi, virtuální), pro které bude pravidlo aktivní
  • Network name: slouží ke specifikace lokálních a vzdálených IP adres (nebo CIDR)
   • Lze tedy rozlišovat pravidla i podle lokální IP adresy (např. jiná pravidla pro katedru, jiná obecně ve WEBnetu, jiná v privátní síti apod.), typicky tedy stačí vyplnit "remote".
   • Lze vkládat sítě definované v katalogu
 3. Transport Options
  • Určení transportního protokolu (pouze pokud je v přechozím kroku vybráno IP)
  • Transport protocol: výběr transportního protokolu
  • Local service: lokální port (pouze pro UDP nebo TCP)
  • Remote service: vzdálený port (pouze pro UDP nebo TCP)
 4. Applications
  • Omezení pravidel firewallu pro konkrétní aplikace
  • Name: seznam aplikací, pro které je pravidlo aktivní
   • Lze vkládat aplikace z katalogu (každá aplikace může obsahovat více spustitelných souborů)
 5. Schedule
  • Časové omezení platnosti pravidla
  • Schedule status: zapnutí časového omezení
  • Schedule type: vypnutí pravidla (disable) nebo jeho opačné fungování (reverse action), tj. block <-> allow
  • Schedule: nastavení platnosti
 6. Summary
  • Celkový přehled a možnost uložení změn

Katalogy - jejich funkce a přehled

Systém katalogů umožňuje poskládání pravidel z jednotlivých předpřipravených částí. Pokud se pak tato část změní, je změna automaticky promítnuta i do pravidel, která ji používají. Na druhou stranu, pokud vám tento způsob nevyhovuje, nevadí - můžete si vytvořit vlastní "soukromé" části rovnou při vytváření pravidla.

K dispozici jsou následující katalogy:

 • Group
  • Skupina pravidel, obsahuje položky z katalogu "Rule"
  • Typicky jde o seskupení pravidel k většímu celku, např. "Služba AFS", "Tiskové služby CIV" apod.
  • Přestože jde o skupinu, má také částečně charakter pravidla a lze určit, jakého provozu se týká (kdo zná iptables, je to podobné jako BASE)
 • Rule
  • Jednotlivá pravidla firewallu, tak jak je známe z běžných firewallů
  • Může využívat položky z katalogů "Application", "Executable", "Network" a "Location"
 • Application
  • Jednotlivé aplikace, přičemž tímto pojmem se rozumí softwarový balík, tedy potenciálně více spustitelných souborů
  • Využívá položky z katalogu "Executable"
 • Executable
  • Jednotlivé spustitelné soubory
  • Identifikace podle jména nebo otisku
 • Network
  • Jednotlivé IP rozsahy, které figurují v pravidlech jako zdrojová či cílová IP adresa
  • Je možno zadat i více rozsahů do jedné "sítě"
 • Location
  • Specifikace umístění - McAfee umožňuje mít rozdílná pravidla pro různé síťové adaptéry a různá síťová prostředí
  • Prakticky není na ZČU pro toto rozlišování využití, nehledě k tomu, že uživatelé budou pozorovat nekonzistentní chování firewallu.

Katalogy jsou vzájemně provázané - přehled vazeb je pěkně vidět na následujícím obrázku. Prakticky každá skupina může obsahovat specifikaci umístění a nějaká pravidla, každé pravidlo může obsahovat specifikaci sítě a specifikaci aplikace a každá aplikace obsahuje seznam spustitelných souborů.

McAfee-Katalog.png

Katalogy - Správa

Jakmile je jednou nějaký objekt uložen do katalogu, dá se editovat pouze přes tzv. Host IPS Catalog, který je v ePO dostupný přes Menu - Policy - Host IPS Catalog. Změny v objektech se pak projeví ve všech pravidlech, které mají daný objekt nalinkovaný.

V současné verzi není možné řídit přístupy uživatelů ePO serveru k jednotlivým objektům katalogu, protože jde o novou komponentu, která ještě není zcela dokonalá. Nicméně tyto zásahy jsou monitorovány, tak se prosím nepouštějte do editace záznamů, které Vám nepatří :-) Pro snažší identifikaci, prosím, pojmenujte své objekty prefixem svého pracoviště. Například objekty CIV-* slouží pracovišti CIV a objekty pojmenované ZCU-* jsou připraveny CIVem pro širší použití celou univerzitou. Pokud se vám zalíbí, nalinkujte si je a pokud je chcete změnit, udělejte si nejdříve duplikát.