Die OfficeScan Firewall errichtet eine Barriere zwischen Client und Netzwerk und schützt so OfficeScan Clients vor Hackerangriffen und Netzwerkviren.
Den Datenverkehr filternDie OfficeScan Firewall filtert den gesamten ein- und ausgehenden Datenverkehr und sperrt bestimmte Typen von Datenverkehr anhand folgender Kriterien:
Richtung (eingehend/ausgehend)
Protokoll (TCP/UDP/ICMP/ICMPv6)
Zielports
Quell- und Zielcomputer
Anwendungen
Suche nach NetzwerkvirenDie OfficeScan Firewall untersucht außerdem jedes Paket auf Netzwerkviren.
Profile und Richtlinien benutzerdefiniert anpassenMit der OfficeScan Firewall können Sie Richtlinien konfigurieren und bestimmte Typen von Netzwerkverkehr sperren oder zulassen.
Stateful InspectionDie OfficeScan Firewall ist eine Firewall mit Stateful Inspection: Alle Verbindungen zum Client werden überwacht und sämtliche Verbindungszustände registriert. Sie kann bestimme Zustände in den Verbindungen ermitteln, zu ergreifende Aktionen vorschlagen und Störungen des Normalzustands feststellen. Filterfaktoren basieren deshalb nicht nur auf Profilen und Richtlinien, sondern auch auf den Ergebnissen der Verbindungsanalysen und der Pakete, die die Firewall passieren.
Intrusion Detection SystemDie OfficeScan Firewall beinhaltet außerdem ein System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS). Das aktivierte IDS kann bestimmte Muster in Netzwerkpaketen erkennen, die möglicherweise auf einen Client-Angriff hindeuten. Mit der OfficeScan Firewall können die folgenden häufig angewandten Eindringversuche verhindert werden:
Fragment zu groß: Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßes TCP/UDP-Paket an einen Zielcomputer weiterleitet. Dies kann zu einem Pufferüberlauf führen, der die Leistung des Computers stark einschränkt oder zu einem Absturz führt.
Ping-of-Death: Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßes ICMP/ICMPv6-Paket an einen Zielcomputer weiterleitet. Dies kann zu einem Pufferüberlauf führen, der die Leistung des Computers stark einschränkt oder zu einem Absturz führt.
Konflikt bei ARP: Ein Angriff, bei dem ein Hacker eine ARP-Anforderung mit der gleichen Quell- und Ziel-IP-Adresse an einem Computer sendet. Der Zielcomputer sendet daraufhin ununterbrochen eine ARP-Antwort (seine MAC-Adresse) an sich selbst und verursacht dadurch einen Systemabsturz.
SYN-Flooding: Ein Denial-of-Service-Angriff, bei dem ein Programm mehrere TCP-SYN- (Synchronisierungs-) Pakete an einen Computer sendet, der daraufhin ständig Synchronisierungsbestätigungen (SYN/ACK) sendet. Dies überlastet auf Dauer den Arbeitsspeicher des Computers und kann zum Absturz führen.
Überlappendes Fragment: Ähnlich einem Teardrop-Angriff sendet dieser Denial-of-Service-Angriff überlappende TCP-Fragmente an einen Computer. Dadurch werden die Header-Informationen im ersten TCP-Fragment überschrieben und können dann eine Firewall passieren. Daraufhin können weitere Fragmente mit bösartigem Code an den Zielcomputer durchgelassen werden.
Teardrop: Ähnlich wie bei einem Angriff durch ein Überlappendes Fragment erfolgt der Angriff bei einem Denial-of-Service mit IP-Fragmenten. Ein falsch gesetzter Offset-Wert im zweiten (oder einem nachfolgenden) IP-Fragment kann beim Zusammensetzen der Fragmente zum Absturz des Zielcomputers führen.
Tiny Fragment Attack: Bei diesem Angriff wird durch die geringe Größe des TCP-Fragments die Übernahme der Header-Informationen des ersten TCP-Pakets in das nächste Fragment erzwungen. Dadurch ignorieren die Router, die den Datenverkehr filtern, nachfolgende Fragmente, die möglicherweise bösartigen Code enthalten.
Fragmentiertes IGMP: Ein Denial-of-Service-Angriff, bei dem fragmentierte IGMP-Pakete an den Zielcomputer gesendet werden, der diese Pakete nicht ordnungsgemäß weiterverarbeiten kann. Dies schränkt die Leistung des Computers stark ein oder kann zu einem Absturz führen.
LAND Attack: Bei diesem Angriff werden IP-SYN- (Synchronisierungs-) Pakete mit der gleichen Quell- und Zieladresse an einen Computer gesendet, der daraufhin die Synchronisierungsbestätigung (SYN/ACK) laufend an sich selbst sendet. Dies schränkt die Leistung des Computers stark ein oder kann zu einem Absturz führen.
Firewall-Verstoß-AusbruchsmonitorÜberschreiten die Verstöße gegen die Firewall einen bestimmten Schwellenwert (dies könnte auf einen Angriff hindeuten), sendet die OfficeScan Firewall eine benutzerdefinierte Benachrichtigung an ausgewählte Empfänger.
Client-Firewall-BerechtigungenClient-Benutzer können dazu berechtigt werden, ihre Firewall-Einstellungen auf der OfficeScan Client-Konsole anzuzeigen und die Firewall, das Intrusion Detection System und die Warnmeldung der Firewall zu aktivieren oder deaktivieren.