fwabt
Die OfficeScan Firewall schützt Clients und Server im Netzwerk mit Hilfe von Stateful-Inspection-Technologie und leistungsstarken Funktionen zur Virensuche. Über die zentrale Management-Konsole können Regeln zum Filtern von Verbindungen nach Anwendung, IP-Adresse, Portnummer oder Protokoll erstellt und dann auf verschiedene Benutzergruppen angewendet werden.
Die OfficeScan Firewall kann auf Computern unter Windows XP, auf denen auch die Windows Firewall aktiviert ist, aktiviert, konfiguriert und eingesetzt werden. Die Richtlinien sollten jedoch sorgfältig verwaltet werden. Es dürfen keine widersprüchlichen Firewall-Richtlinien erstellt werden, da dies zu unerwünschten Ergebnissen führen kann. Einzelheiten zur Windows Firewall finden Sie in der Dokumentation von Microsoft.
Die OfficeScan Firewall umfasst die folgenden Funktionen und bietet die folgenden Vorteile:
Die OfficeScan Firewall filtert den gesamten ein- und ausgehenden Datenverkehr und sperrt bestimmte Typen von Datenverkehr anhand folgender Kriterien:
Richtung (eingehend/ausgehend)
Protokoll (TCP/UDP/ICMP/ICMPv6)
Zielports
Quell- und Zielcomputer
Die OfficeScan Firewall filtert den eingehenden und ausgehenden Datenverkehr nach bestimmten Anwendungen und ermöglicht, dass diese Anwendungen auf das Netzwerk zugreifen. Die Netzwerkverbindungen hängen jedoch von den Richtlinien ab, die vom Administrator festgelegt werden.
Bei der Certified Safe Software Liste handelt es sich um eine Liste der Anwendungen, die die Sicherheitsebenen der Firewall-Richtlinie umgehen können. Wenn die Sicherheitsebene auf "Mittel" oder "Hoch" gesetzt ist, lässt OfficeScan weiterhin zu, dass die Anwendungen ausgeführt werden und auf das Netzwerk zugreifen können.
Sie können die Abfrage der globalen Certified Safe Software Liste aktivieren, die eine vollständigere Liste bereitstellt. Diese Liste wird dynamisch von Trend Micro aktualisiert.
Diese Funktion arbeitet mit der Verhaltensüberwachung zusammen. Stellen Sie sicher, dass die Dienste "Trend Micro Unauthorized Change Prevention Service" und "Certified Safe Software Service" aktiviert sind, bevor Sie die globale Certified Safe Software Liste aktivieren.
Die OfficeScan Firewall untersucht außerdem jedes Paket auf Netzwerkviren. Weitere Informationen finden Sie unter Netzwerkvirus.
Mit der OfficeScan Firewall können Sie Richtlinien konfigurieren und bestimmte Typen von Netzwerkverkehr sperren oder zulassen. Weisen Sie eine Richtlinie einem oder mehreren Profilen zu, die Sie dann auf ausgewählte OfficeScan Clients verteilen und installieren können. Die Firewall-Einstellungen für Clients können dadurch völlig individuell organisiert und konfiguriert werden.
Die OfficeScan Firewall ist eine Firewall mit Stateful Inspection: Alle Verbindungen zum Client werden überwacht und sämtliche Verbindungszustände registriert. Sie kann bestimme Zustände in den Verbindungen ermitteln, zu ergreifende Aktionen vorschlagen und Störungen des Normalzustands feststellen. Aus diesem Grund umfasst die effektive Nutzung der Firewall nicht nur das Erstellen von Profilen und Richtlinien, sondern auch die Analyse von Verbindungen und das Filtern von Paketen, die die Firewall passieren.
Die OfficeScan Firewall beinhaltet außerdem ein System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS). Das aktivierte IDS kann bestimmte Muster in Netzwerkpaketen erkennen, die möglicherweise auf einen Client-Angriff hindeuten. Mit der OfficeScan Firewall können die folgenden häufig angewandten Eindringversuche verhindert werden:
Fragment zu groß: Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßes TCP/UDP-Paket an einen Zielcomputer weiterleitet. Dies kann zu einem Pufferüberlauf führen, der die Leistung des Computers stark einschränkt oder zu einem Absturz führt.
Ping-of-Death: Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßes ICMP/ICMPv6-Paket an einen Zielcomputer weiterleitet. Dies kann zu einem Pufferüberlauf führen, der die Leistung des Computers stark einschränkt oder zu einem Absturz führt.
Konflikt bei ARP: Ein Angriff, bei dem ein Hacker eine ARP-Anforderung mit der gleichen Quell- und Ziel-IP-Adresse an einem Computer sendet. Der Zielcomputer sendet daraufhin ununterbrochen eine ARP-Antwort (seine MAC-Adresse) an sich selbst und verursacht dadurch einen Systemabsturz.
SYN-Flooding: Ein Denial-of-Service-Angriff, bei dem ein Programm mehrere TCP-SYN- (Synchronisierungs-) Pakete an einen Computer sendet, der daraufhin ständig Synchronisierungsbestätigungen (SYN/ACK) sendet. Dies überlastet auf Dauer den Arbeitsspeicher des Computers und kann zum Absturz führen.
Überlappendes Fragment: Ähnlich einem Teardrop-Angriff sendet dieser Denial-of-Service-Angriff überlappende TCP-Fragmente an einen Computer. Dadurch werden die Header-Informationen im ersten TCP-Fragment überschrieben und können dann eine Firewall passieren. Daraufhin können weitere Fragmente mit bösartigem Code an den Zielcomputer durchgelassen werden.
Teardrop: Ähnlich wie bei einem Angriff durch ein Überlappendes Fragment erfolgt der Angriff bei einem Denial-of-Service mit IP-Fragmenten. Ein falsch gesetzter Offset-Wert im zweiten (oder einem nachfolgenden) IP-Fragment kann beim Zusammensetzen der Fragmente zum Absturz des Zielcomputers führen.
Tiny Fragment Attack: Bei diesem Angriff wird durch die geringe Größe des TCP-Fragments die Übernahme der Header-Informationen des ersten TCP-Pakets in das nächste Fragment erzwungen. Dadurch ignorieren die Router, die den Datenverkehr filtern, nachfolgende Fragmente, die möglicherweise bösartigen Code enthalten.
Fragmentiertes IGMP: Ein Denial-of-Service-Angriff, bei dem fragmentierte IGMP-Pakete an den Zielcomputer gesendet werden, der diese Pakete nicht ordnungsgemäß weiterverarbeiten kann. Dies schränkt die Leistung des Computers stark ein oder kann zu einem Absturz führen.
LAND Attack: Bei diesem Angriff werden IP-SYN- (Synchronisierungs-) Pakete mit der gleichen Quell- und Zieladresse an einen Computer gesendet, der daraufhin die Synchronisierungsbestätigung (SYN/ACK) laufend an sich selbst sendet. Dies schränkt die Leistung des Computers stark ein oder kann zu einem Absturz führen.
Überschreiten die Verstöße gegen die Firewall einen bestimmten Schwellenwert (dies könnte auf einen Angriff hindeuten), sendet die OfficeScan Firewall eine benutzerdefinierte Benachrichtigung an ausgewählte Empfänger.
Client-Benutzer können dazu berechtigt werden, ihre Firewall-Einstellungen auf der OfficeScan Client-Konsole anzuzeigen und die Firewall, das Intrusion Detection System und die Warnmeldung der Firewall zu aktivieren oder deaktivieren.
Siehe auch: