Zapora programu OfficeScan pomaga chronić komputery z zainstalowanymi klientami OfficeScan przed atakami hakerów i wirusami sieciowymi poprzez tworzenie bariery między klientami a siecią.
Filtrowanie ruchuZapora programu OfficeScan filtruje cały przychodzący i wychodzący ruch sieciowy, umożliwiając blokowanie określonego typu ruchu rozpoznawanego na podstawie następujących kryteriów:
Kierunek (przychodzący/wychodzący)
Protokoły (TCP/UDP/ICMP/ICMPv6)
Porty docelowe
Komputery źródłowe i docelowe
Aplikacje
Skanowanie w poszukiwaniu wirusów sieciowychZapora OfficeScan sprawdza również każdy pakiet pod kątem występowania wirusów sieciowych.
Niestandardowe profile i reguły bezpieczeństwaZapora programu OfficeScan zapewnia możliwość skonfigurowania reguł, aby blokować lub przepuszczać określone rodzaje ruchu sieciowego.
Kontrola stanowaZapora programu OfficeScan to zapora stanowa, która monitoruje wszystkie próby podłączenia do klienta i zapamiętuje wszystkie stany tych połączeń. Identyfikuje specyficzne warunki połączenia, przewiduje, jakie działania powinny nastąpić, a także wykrywa zakłócenia połączenia. Proces filtrowania uwzględnia zatem nie tylko profile i reguły, ale także kontekst ustanowiony w czasie analizowania połączeń i filtrowania pakietów przepuszczonych przez zaporę.
System wykrywania intruzówZapora programu OfficeScan zawiera również system wykrywania intruzów (IDS). Po uruchomieniu system IDS wspomaga identyfikację sygnatur w pakietach sieciowych, które mogą wskazywać ataki na klienta. Zapora programu OfficeScan umożliwia zapobieganie następującym znanym typom ataków:
Zbyt duży fragment: Atak typu Denial of Service, w którym haker kieruje ponadwymiarowy pakiet TCP/UDP do komputera docelowego. Może to spowodować przepełnienie bufora i zablokowanie komputera lub jego ponowne uruchomienie.
Atak Ping of Death: Atak typu Denial of Service, w którym haker kieruje ponadwymiarowy pakiet ICMP/ICMPv6 do komputera docelowego. Może to spowodować przepełnienie bufora i zablokowanie komputera lub jego ponowne uruchomienie.
Skonfliktowane ARP: Rodzaj ataku, w którym haker wysyła żądanie ARP (Address Resolution Protocol), w którym adres IP lokalizacji źródłowej i docelowej jest taki sam, co komputera. Komputer docelowy nieprzerwanie wysyła odpowiedź ARP (własny adres MAC) do samego siebie, co powoduje awarie oraz blokowanie komputera.
Atak SYN flood: Atak typu Denial of Service, w którym program wysyła do komputera wiele pakietów synchronizacji TCP (SYN), powodując nieprzerwane wysyłanie przez ten komputer odpowiedzi typu potwierdzenie synchronizacji (SYN/ACK). Może to wyczerpać pamięć komputera i doprowadzić do jego awarii.
Pokrywający się fragment: Podobnie jak w przypadku ataku typu Teardrop, w tym ataku typu Denial of - do komputera wysyłane są pokrywające się fragmenty TCP. Powoduje to nadpisanie informacji nagłówka w pierwszym fragmencie TCP, co może spowodować przejście fragmentu przez zaporę. Zapora może zezwolić na przepuszczenie do docelowego komputera następujących po sobie fragmentów ze złośliwym kodem.
Teardrop: Podobnie jak w przypadku ataku opartego na pokrywających się fragmentach, w tym ataku typu Denial of Service używane są fragmenty adresu IP. Myląca wartość offsetu w drugim lub dalszym fragmencie IP może spowodować awarię systemu operacyjnego komputera podczas próby ponownego złożenia fragmentów.
Niewielki fragment: Rodzaj ataku, w którym niewielki rozmiar fragmentu TCP wymusza dołączenie informacji nagłówka z pierwszego pakietu TCP do następnego fragmentu. Może to spowodować, że routery obsługujące filtrowanie ruchu zignorują następujące po sobie fragmenty, które mogą zawierać złośliwy kod.
Pofragmentowany IGMP: Atak typu Denial of Service, w którym pofragmentowane pakiety IGMP wysyłane są do komputera, który nie jest w stanie poprawnie ich przetworzyć. Może to spowodować zablokowanie komputera lub jego powolną pracę.
Atak typu LAND: Typ ataku, w którym pakiety synchronizacji IP (SYN) o takim samym adresie źródłowym i docelowym są wysyłane do danego komputera, powodując wysyłanie przez ten komputer odpowiedzi typu potwierdzenia synchronizacji (SYN/ACK) do samego siebie. Może to spowodować zablokowanie komputera lub jego powolną pracę.
Monitorowanie epidemii naruszeń zaporyZapora programu OfficeScan wysyła dostosowane komunikaty alarmowe do określonych odbiorców, gdy ilość naruszeń zapory przekroczy pewne progi, co może sygnalizować atak.
Uprawnienia klienta zaporyAdministrator może nadać uprawnienia umożliwiające wyświetlanie ustawień zapory konsoli klienta OfficeScan. Użytkownik może uzyskać również uprawnienia umożliwiające włączanie lub wyłączanie zapory, systemu wykrywania intruzów oraz powiadomienia o naruszeniu zapory.