fwabt
Zapora programu OfficeScan chroni klientów i serwery w sieci korzystając z kontroli stanowej — wysoce skutecznego skanowania wirusów sieciowych. Za pomocą centralnej kontroli zarządzania można utworzyć zasady filtrowania połączeń według aplikacji, adresu IP, numeru portu lub protokołu, a następnie zastosować te zasady do różnych grup użytkowników.
Zaporę programu OfficeScan można również uruchomić, skonfigurować i stosować na komputerach z systemem Windows XP, na których włączona jest także zapora systemu Windows. Wskazane jest jednak ostrożne dobieranie reguł, tak aby uniknąć konfliktów między zaporami i uzyskania nieoczekiwanych wyników. Szczegółowe informacje na temat zapory systemu Windows zawiera dokumentacja firmy Microsoft.
W zaporze programu OfficeScan są dostępne następujące ważne funkcje:
Zapora programu OfficeScan filtruje cały przychodzący i wychodzący ruch sieciowy, umożliwiając blokowanie określonego typu ruchu rozpoznawanego na podstawie następujących kryteriów:
Kierunek (przychodzący/wychodzący)
Protokoły (TCP/UDP/ICMP/ICMPv6)
Porty docelowe
Komputery źródłowe i docelowe
Zapora programu OfficeScan filtruje ruch przychodzący i wychodzący konkretnych aplikacji, umożliwiając im uzyskiwanie dostępu do sieci. Należy jednak pamiętać, że dostęp do połączenia sieciowego zależy również od reguł skonfigurowanych przez administratora.
Na liście certyfikowanego bezpiecznego oprogramowania znajdują się aplikacje, które mogą pomijać reguły poziomów zabezpieczeń zapory. Jeśli wybrano średni lub wysoki poziom zabezpieczeń, program OfficeScan zezwala aplikacjom na uruchamianie i uzyskiwanie dostępu do sieci.
Dzięki włączeniu kwerendy do listy usługi Certified Safe Software można otrzymać dokładniejszą listę. Ta lista jest dynamicznie aktualizowana przez firmę Trend Micro.
Funkcja ta współpracuje z usługą monitorowanie zachowania. Przed włączeniem globalnej listy certyfikowanego bezpiecznego oprogramowania należy się upewnić, że włączono usługę zapobiegania nieautoryzowanym zmianom oraz usługę Certified Safe Software Service.
Zapora OfficeScan sprawdza również każdy pakiet pod kątem występowania wirusów sieciowych. Szczegółowe informacje zawiera temat Wirusy sieciowe.
Zapora programu OfficeScan zapewnia możliwość skonfigurowania reguł, aby blokować lub przepuszczać określone rodzaje ruchu sieciowego. Wystarczy przypisać regułę do jednego lub więcej profilów, które następnie można zastosować do określonych klientów programu OfficeScan. Metoda ta pozwala organizować i konfigurować ustawienia zapory w bardzo szerokim zakresie.
Zapora programu OfficeScan to zapora stanowa, która monitoruje wszystkie próby podłączenia do klienta i zapamiętuje wszystkie stany tych połączeń. Identyfikuje specyficzne warunki połączenia, przewiduje, jakie działania powinny nastąpić, a także wykrywa zakłócenia połączenia. Oznacza to, że efektywne korzystanie z zapory wiąże się nie tylko z zastosowaniem profilów i reguł, lecz także z analizą połączeń i filtrowaniem pakietów przesyłanych przez obszar zapory.
Zapora programu OfficeScan zawiera również system wykrywania intruzów (IDS). Po uruchomieniu system IDS wspomaga identyfikację sygnatur w pakietach sieciowych, które mogą wskazywać ataki na klienta. Zapora programu OfficeScan umożliwia zapobieganie następującym znanym typom ataków:
Zbyt duży fragment: Atak typu Denial of Service, w którym haker kieruje ponadwymiarowy pakiet TCP/UDP do komputera docelowego. Może to spowodować przepełnienie bufora i zablokowanie komputera lub jego ponowne uruchomienie.
Atak Ping of Death: Atak typu Denial of Service, w którym haker kieruje ponadwymiarowy pakiet ICMP/ICMPv6 do komputera docelowego. Może to spowodować przepełnienie bufora i zablokowanie komputera lub jego ponowne uruchomienie.
Skonfliktowane ARP: Rodzaj ataku, w którym haker wysyła żądanie ARP (Address Resolution Protocol), w którym adres IP lokalizacji źródłowej i docelowej jest taki sam, co komputera. Komputer docelowy nieprzerwanie wysyła odpowiedź ARP (własny adres MAC) do samego siebie, co powoduje awarie oraz blokowanie komputera.
Atak SYN flood: Atak typu Denial of Service, w którym program wysyła do komputera wiele pakietów synchronizacji TCP (SYN), powodując nieprzerwane wysyłanie przez ten komputer odpowiedzi typu potwierdzenie synchronizacji (SYN/ACK). Może to wyczerpać pamięć komputera i doprowadzić do jego awarii.
Pokrywający się fragment: Podobnie jak w przypadku ataku typu Teardrop, w tym ataku typu Denial of - do komputera wysyłane są pokrywające się fragmenty TCP. Powoduje to nadpisanie informacji nagłówka w pierwszym fragmencie TCP, co może spowodować przejście fragmentu przez zaporę. Zapora może zezwolić na przepuszczenie do docelowego komputera następujących po sobie fragmentów ze złośliwym kodem.
Teardrop: Podobnie jak w przypadku ataku opartego na pokrywających się fragmentach, w tym ataku typu Denial of Service używane są fragmenty adresu IP. Myląca wartość offsetu w drugim lub dalszym fragmencie IP może spowodować awarię systemu operacyjnego komputera podczas próby ponownego złożenia fragmentów.
Niewielki fragment: Rodzaj ataku, w którym niewielki rozmiar fragmentu TCP wymusza dołączenie informacji nagłówka z pierwszego pakietu TCP do następnego fragmentu. Może to spowodować, że routery obsługujące filtrowanie ruchu zignorują następujące po sobie fragmenty, które mogą zawierać złośliwy kod.
Pofragmentowany IGMP: Atak typu Denial of Service, w którym pofragmentowane pakiety IGMP wysyłane są do komputera, który nie jest w stanie poprawnie ich przetworzyć. Może to spowodować zablokowanie komputera lub jego powolną pracę.
Atak typu LAND: Typ ataku, w którym pakiety synchronizacji IP (SYN) o takim samym adresie źródłowym i docelowym są wysyłane do danego komputera, powodując wysyłanie przez ten komputer odpowiedzi typu potwierdzenia synchronizacji (SYN/ACK) do samego siebie. Może to spowodować zablokowanie komputera lub jego powolną pracę.
Zapora programu OfficeScan wysyła dostosowane komunikaty alarmowe do określonych odbiorców, gdy ilość naruszeń zapory przekroczy pewne progi, co może sygnalizować atak.
Użytkownikom klientów można przydzielić uprawnienie do wyświetlania ustawień zapory na konsoli klienta OfficeScan. Użytkownikom można także przydzielić uprawnienia do włączania lub wyłączania zapory, systemu wykrywania intruzów oraz do powiadamiania o naruszeniu zapory.
Zobacz również: