fwabt
Le pare-feu OfficeScan protège les clients et les serveurs du réseau grâce à une fonction Stateful inspection et à des scans antivirus de réseau haute performance. Via la console d'administration centralisée, vous pouvez créer des règles pour filtrer les connexions par application, adresse IP, numéro de port ou protocole, puis appliquer les règles à différents groupes d'utilisateurs.
vous pouvez activer, configurer et utiliser le pare-feu OfficeScan sur les ordinateurs Windows XP dont le pare-feu Windows est également activé. Cependant, vous devez gérer attentivement vos stratégies pour éviter de créer des stratégies de pare-feu conflictuelles et de produire des résultats inattendus. Consultez la documentation Microsoft pour obtenir des informations détaillées sur le pare-feu Windows.
Le pare-feu OfficeScan inclut les fonctionnalités et améliorations clés suivantes :
Le pare-feu OfficeScan filtre l'ensemble du trafic entrant et sortant, permettant ainsi de bloquer certains types de trafic sur la base des critères suivants :
Direction (entrant/sortant)
Protocole (TCP/UDP/ICMP/ICMPv6)
Ports de destination
Ordinateurs source et de destination
Le pare-feu OfficeScan filtre le trafic entrant et sortant de certaines applications, permettant à ces dernières d'accéder au réseau. Cependant, les connexions réseau dépendront des stratégies définies par l'administrateur.
La liste Certified Safe Software fournit une liste d'applications qui peuvent contourner les niveaux de sécurité de la stratégie de pare-feu. Si le niveau de sécurité est défini à Moyen ou Élevé, OfficeScan permettra tout de même aux applications de s'exécuter et d'accéder au réseau.
Activez l'interrogation de la liste Certified Safe Software globale qui s'avère plus complète. Il s'agit d'une liste que Trend Micro met à jour de manière dynamique.
Cette fonctionnalité utilise la surveillance des comportements. Vérifiez que le service de prévention des modifications non autorisées et Certified Safe Software Service ont été activés avant d'activer la liste Certified Safe Software globale.
Le pare-feu OfficeScan vérifie également la présence de virus de réseau dans chaque paquet. Pour obtenir des informations détaillées, voir Virus de réseau.
Le pare-feu OfficeScan vous permet de configurer des stratégies destinées à bloquer ou à autoriser certains types de trafic réseau. Attribuez une stratégie à un ou plusieurs profils que vous pouvez ensuite déployer à des clients OfficeScan. Vous disposez ainsi d'une méthode d'organisation et de configuration personnalisée des paramètres de pare-feu des clients.
Le pare-feu OfficeScan est un pare-feu de type Stateful inspection ; il contrôle toutes les connexions au client et mémorise tous les états de connexion. Il peut identifier les conditions spécifiques de toute connexion, prédire les actions qui doivent être effectuées et détecter toute anomalie de connexion. L'utilisation efficace du pare-feu repose donc non seulement sur la création de profils et de stratégies, mais aussi sur l'analyse des connexions et le filtrage des paquets qui transitent par le pare-feu.
Le pare-feu OfficeScan comprend également un système de détection des intrusions (SDI). Lorsqu'il est activé, le SDI peut contribuer à identifier des signatures dans les paquets réseau indiquant une attaque du client. Le pare-feu OfficeScan peut empêcher les intrusions bien connues suivantes :
Fragment trop important : attaque de refus de service dans le cadre de laquelle un pirate dirige un paquet TCP/UDP surdimensionné sur un ordinateur cible. Par conséquent, la mémoire tampon des ordinateurs peut déborder, ce qui risque de geler ou de redémarrer la machine.
Ping of Death : attaque de refus de service dans le cadre de laquelle un pirate dirige un paquet ICMP/ICMPv6 surdimensionné sur un ordinateur cible. Par conséquent, la mémoire tampon des ordinateurs peut déborder, ce qui risque de geler ou de redémarrer la machine.
ARP conflictuel : type d'attaque dans le cadre de laquelle un pirate envoie à un ordinateur une requête de protocole de résolution d'adresse (Address Resolution Protocol ou ARP) avec des adresses IP source et de destination identiques. L'ordinateur cible s'envoie continuellement une réponse ARP (son adresse MAC) et dès lors gèle ou se plante.
SYN Flood : attaque de refus de service dans le cadre de laquelle un programme envoie plusieurs paquets de synchronisation TCP (SYN) à un ordinateur, celui-ci envoyant alors continuellement des réponses d'accusé-réception de synchronisation (SYN/ACK). Cela peut épuiser la mémoire d'un ordinateur et finalement bloquer l'ordinateur.
Fragment de chevauchement : similaire à une attaque Teardrop, cette attaque de refus de service envoie des fragments TCP de chevauchement à un ordinateur. Par conséquent, les informations de l'en-tête sont écrasées dans le premier fragment TCP qui risque alors de passer à travers le pare-feu. Le pare-feu peut ensuite autoriser les fragments suivants contenant du code malicieux à se frayer un chemin vers l'ordinateur cible.
Teardrop : similaire à une attaque de fragment de chevauchement, cette attaque de refus de service a trait à des fragments IP. Une valeur de décalage prêtant à confusion dans le deuxième fragment IP ou dans un fragment ultérieur peut provoquer le blocage du système d'exploitation de l'ordinateur récepteur lorsque celui-ci tente de réassembler les fragments.
Attaque par fragment minuscule : avec ce type d'attaque, un fragment TCP de petite taille force le premier en-tête de paquet TCP dans le fragment suivant. Cela peut amener les routeurs filtrant le trafic à ignorer les fragments suivants qui peuvent contenir des données malveillantes.
IGMP fragmenté: attaque de refus de service qui envoie des paquets d'IGMP fragmentés à un ordinateur cible, lequel ne peut pas les traiter correctement. Cela peut geler ou ralentir l'ordinateur.
Attaque terrestre : type d'attaque qui envoie à un ordinateur des paquets de synchronisation IP (SYN) dont les adresses source et cible sont identiques, celui-ci s'envoyant en retour un accusé-réception de la synchronisation (SYN/ACK). Cela peut geler ou ralentir l'ordinateur.
Le pare-feu OfficeScan envoie un message de notification à des destinataires spécifiés lorsque le nombre de violations de pare-feu dépasse un seuil déterminé, ce qui peut constituer un signal d'attaque.
Accordez aux utilisateurs clients le privilège d'afficher leurs paramètres de pare-feu sur la console du client OfficeScan. Vous pouvez également accorder aux utilisateurs le privilège d'activation ou de désactivation du pare-feu, du système de détection d'intrusion et du message de notification de violation du pare-feu.
Consultez aussi: