客户端上的防火墙规则的组成部分

当一台计算机尝试与另一台计算机连接时,
Symantec Endpoint Protection
防火墙会根据防火墙规则来比较连接类型。您可以使用应用程序、主机和协议等触发器,来定义防火墙规则。例如,可定义一条规则来识别与目标地址有关的协议。当防火墙评估规则时,所有触发器都必须为真,才会出现完全匹配的情况。如果对于当前数据包有任何触发器为假,防火墙就不会应用该项规则。
一旦数据包触发防火墙规则,防火墙便不会再进一步评估其他防火墙规则。如果数据包未触发任何规则,防火墙会自动阻止数据包,且不记录该事件。
防火墙规则说明允许或禁止网络连接的条件。例如,某项规则可能允许每日上午 9 时至下午 5 时之间,在 IP 地址 192.58.74.0 和远程端口 80 之间进行的网络通信。
防火墙规则条件”说明了用于定义防火墙规则的条件。
防火墙规则条件
条件
说明
触发器
  • 应用程序
    如果应用程序是您在允许通信规则中定义的唯一触发器,防火墙将允许此应用程序执行任何网络操作。重要的是应用程序,而不是应用程序执行的网络操作。例如,假设您允许 Internet Explorer,而且未定义任何其他触发器。用户可以访问使用 HTTP、HTTPS、FTP、Gopher 及 Web 浏览器所支持的任何其他协议的远程站点。您可以定义其他触发器来规定允许与哪些特定网络协议和主机的通信。
  • 主机
    本地主机始终是本地客户端计算机,而远程主机始终是位于网络其他位置的远程计算机。此主机关系的说明与通信方向无关。在定义主机触发器时,您可以指定位于所述网络连接远端的主机。
  • 协议
    协议触发器会根据所述的通信,标识产生作用的一项或多项网络协议。
    本地主机计算机总是拥有本地端口,而远程计算机总是拥有远程端口。此端口关系的说明与通信方向无关。
  • 网络适配器
    如果您定义网络适配器触发器,则规则只会与使用指定适配器类型传送或接收的通信有关。您可以指定任何适配器,也可以指定当前与客户端计算机相关的适配器。
您可以组合触发器条件来制定更复杂的规则,如根据特定目标地址标识特定协议。当防火墙评估规则时,所有触发器都必须为真,才会出现完全匹配的情况。如果与当前数据包有关的任何一个触发器不为 True,防火墙就不会应用规则。
条件
  • 调度和屏幕保护程序状态
    条件参数不会规定网络连接的某个方面。而条件参数会确定规则的活动状态。条件参数是可选的,如果没有定义,则不会有任何作用。您可以设置调度或标识屏幕保护程序的状态,从而指示何时将规则视为活动或不活动状态。防火墙接收数据包时,不会评估不活动规则。
操作
  • 允许或禁止,以及记入日志或不记入日志
    操作参数会指定防火墙成功匹配规则时所采取的操作。如果规则是针对接收的数据包选择的,则防火墙会执行所有操作。防火墙可以允许或禁止数据包,以及记录或不记录数据包。
    如果防火墙允许通信,则规则指定的通信可以访问网络。
    如果防火墙阻止通信,则规则指定的通信无法访问网络。