fwabt
Il firewall di OfficeScan protegge i client e i server della rete grazie a un sistema di "stateful inspection" e alla scansione antivirus della rete ad elevate prestazioni. Con la console di gestione centrale, è possibile creare regole per filtrare le connessioni per applicazione, indirizzo IP, numero di porta o protocollo e poi applicare tali regole a gruppi diversi di utenti.
È possibile attivare, configurare e utilizzare il firewall di OfficeScan su computer Windows XP sui quali è stato attivato il firewall di Windows. Per fare questo, tuttavia, è necessario gestire attentamente i criteri per evitare di creare conflitti tra i due firewall e ottenere risultati non desiderati. Per conoscere i dettagli sul firewall di Windows, consultare la documentazione Microsoft.
Il firewall di OfficeScan comprende le funzionalità e i vantaggi riportati di seguito:
Il firewall di OfficeScan filtra tutto il traffico in entrata e in uscita e offre la possibilità di bloccare alcuni tipi di traffico in base ai seguenti criteri:
Direzione (in entrata/in uscita)
Protocollo (TCP/UDP/ICMP/ICMPv6)
Porte di destinazione
Computer di origine e destinazione
Il firewall di OfficeScan filtra il traffico in entrata e in uscita di alcune applicazioni, consentendo loro di accedere alla rete. Le connessioni di rete, tuttavia, dipendono dai criteri impostati dall'amministratore.
L'elenco software sicuro certificato rappresenta un elenco delle applicazioni che possono evitare i livelli di sicurezza dei criteri del firewall. Se il livello di sicurezza è impostato su Medio o Alto, OfficeScan consente alle applicazioni di eseguire e di accedere alla rete.
Attivare l'invio di query all'elenco software sicuro certificato globale che fornisce un elenco più completo. Questo elenco è aggiornato in modo dinamico da Trend Micro.
Questa funzione è utilizzata con Monitoraggio del comportamento. Prima di attivare l'Elenco software sicuro certificato globale, accertarsi di aver attivato il Servizio prevenzione modifiche non autorizzate e il Servizio Certified Safe Software.
Il firewall di OfficeScan, inoltre, esamina tutti i pacchetti alla ricerca di virus di rete. Per maggiori dettagli, vedere Virus di rete.
Il firewall di OfficeScan consente di configurare i criteri affinché blocchino o consentano tipi di traffico di rete specificati. Assegnare un criterio a uno o più profili, che poi potranno essere implementati nei client OfficeScan specificati. Questo costituisce un metodo molto personalizzabile per l'organizzazione e la configurazione delle impostazioni di firewall per i client.
Il firewall di OfficeScan è di tipo "stateful inspection": monitora cioè tutte le connessioni al computer client e archivia tutti gli stati di connessione. È in grado di identificare condizioni specifiche in ogni connessione, prevedere quali azioni seguiranno e individuare le interruzioni in una connessione normale. L'uso efficace del firewall, quindi, non sono implica la creazione di profili e criteri, ma anche l'analisi delle connessioni e il filtro dei pacchetti che passano attraverso il firewall.
Il firewall di OfficeScan comprende anche un sistema di prevenzione intrusioni (IDS). Se attivato, il sistema IDS facilita l'identificazione dei pattern nei pacchetti di rete che possono indicare un attacco al client. Il firewall di OfficeScan consente di prevenire le seguenti intrusioni note:
Frammento troppo grande: attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto TCP/UDP di dimensioni eccessive su un computer di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sui computer, causandone il blocco o il riavvio.
Ping of Death: attacco DoS (Denial of Service) in cui un hacker dirige un pacchetto ICMP/ICMPv6 di dimensioni eccessive su un computer di destinazione. Un'operazione di questo tipo può comportare l'overflow del buffer sui computer, causandone il blocco o il riavvio.
Conflitto ARP: tipo di attacco in cui un hacker invia una richiesta ARP (Address Resolution Protocol) a un computer utilizzando lo stesso indirizzo IP come origine e come destinazione. Il computer oggetto dell'attacco, quindi, comincia a inviare continuamente una risposta ARP (il suo indirizzo MAC) a se stesso, con conseguente blocco del sistema.
Flooding SYN: attacco DoS (Denial of Service) in cui un programma invia a un computer dei pacchetti di sincronizzazione (SYN) TCP multipli, causando un invio continuo di risposte di riconoscimento (SYN/ACK) da parte del computer. Questi invii possono provocare l'esaurimento della memoria del computer con conseguente blocco del sistema.
Frammenti sovrapposti: questo attacco DoS (Denial of Service) simile al teardrop, invia a un computer dei frammenti TCP sovrapposti . Questo causa la sovrascrittura delle informazioni di intestazione del primo frammento TCP che potrebbe così oltrepassare un firewall. Il firewall, a questo punto, potrebbe consentire l'accesso ai successivi frammenti contenenti il codice maligno permettendo loro di raggiungere il computer di destinazione.
Teardrop: questo attacco DoS (Denial of Service) simile all'attacco a frammenti sovrapposti, utilizza dei frammenti IP. Un valore di offset errato all'interno del secondo o di altri frammenti IP può causare il blocco del sistema operativo del computer ricevente nel momento in cui tenta di riassemblare i frammenti.
Attacco con frammenti di dimensioni minime: tipo di attacco in cui un frammento TCP di dimensioni minime forza le informazioni di intestazione del primo pacchetto TCP all'interno del frammento successivo. I router che filtrano il traffico ignorano pertanto il frammento successivo, che potrebbe invece contenere dati maligni.
IGMP frammentato: attacco DoS (Denial of Service) che invia pacchetti IGMP frammentati a un computer di destinazione che non riesce a elaborarli correttamente, con conseguente rallentamento o blocco del computer.
Attacco LAND: tipo di attacco che invia a un computer dei pacchetti di sincronizzazione (SYN) IP contenenti lo stesso indirizzo come origine e come destinazione; il computer invia pertanto la risposta di riconoscimento (SYN/ACK) a se stesso, con conseguente rallentamento o blocco del computer.
Quando le violazioni del firewall superano determinate soglie che potrebbero far pensare a un attacco, il firewall di OfficeScan invia un messaggio di notifica personalizzato a specifici destinatari.
È possibile concedere agli utenti le autorizzazioni necessarie per visualizzare le impostazioni del firewall sulla console del client OfficeScan, nonché quelle per attivare o disattivare il firewall, per il sistema di prevenzione intrusioni e per il messaggio di notifica della violazione del firewall.
Vedere anche: