Брандмауэр OfficeScan обеспечивает надежную защиту компьютера от атак хакеров и сетевых вирусов, играя роль защитного барьера между клиентским компьютером и сетью.
Фильтрация трафикаБрандмауэр OfficeScan способен контролировать как входящий, так и исходящий трафик, а также блокировать трафик определенного типа в зависимости от следующих критериев:
направление (входящий/исходящий);
протокол (TCP/UDP/ICMP/ICMPv6);
порты назначения;
компьютеры источника и назначения.
Приложения
Сканирование на наличие сетевых вирусовКроме того, брандмауэр OfficeScan проверяет каждый пакет на наличие сетевых вирусов.
Настраиваемые профили и политикиБрандмауэр OfficeScan предоставляет возможность настройки политик разрешения или запрета для определенных типов сетевого трафика.
Потоковая проверка трафикаБрандмауэр OfficeScan осуществляет потоковую проверку трафика. Он контролирует все подключения клиента и запоминает состояние каждого подключения. Брандмауэр способен определить условия любого соединения, предсказать последующие действия и нарушение стандартных условий. Кроме определения профилей и политик, в основе алгоритма фильтрации лежит анализ подключений и фильтрация пакетов, прошедших через брандмауэр.
Система обнаружения проникновенияКроме того, в составе брандмауэра OfficeScan имеется система обнаружения проникновения (IDS). Во время работы IDS данные сетевых пакетов сравниваются с базой данных для определения атаки на клиентский компьютер. Брандмауэр OfficeScan может предотвратить следующие известные типы вторжения:
Too Big Fragment (слишком большой фрагмент): атака типа «отказ в обслуживании», когда хакер направляет на целевой компьютер пакет TCP/UDP завышенного размера. Это может вызвать переполнение буфера компьютера, что приведет к его «зависанию» или перезагрузке.
Ping of Death (смертельный опрос): атака типа «отказ в обслуживании», когда хакер направляет на целевой компьютер пакет ICMP/ICMPv6 завышенного размера. Это может вызвать переполнение буфера компьютера, что приведет к его «зависанию» или перезагрузке.
Conflicted ARP (конфликт протокола разрешения адресов): тип атаки, при котором злоумышленник посылает запрос Address Resolution Protocol (ARP) с совпадающими IP-адресами источника и назначения. Целевой компьютер начинает в бесконечном цикле отправлять ответ ARP (свой MAC-адрес) самому себе, что приводит к «зависанию» или сбою.
SYN Foold (синхронная атака): атака типа «отказ в обслуживании», при которой программа отсылает на компьютер множественные пакеты синхронизации TCP (SYN), заставляя его отсылать множественные подтверждения синхронизации (SYN/ACK). Этот процесс может вызвать переполнение памяти компьютера и через некоторое время привести к сбою системы.
Overlapping Fragment (перекрывающиеся фрагменты): сходная с атакой Teardrop (прорыв), эта атака типа «отказ в обслуживании», заключающаяся в отправке на компьютер перекрывающихся TCP-фрагментов. Это позволяет переписать информацию в заголовке первого TCP-фрагмента и проникнуть сквозь брандмауэр. Что, в свою очередь, может повлечь за собой проникновение на компьютер последующих фрагментов, содержащих злонамеренный код.
Teardrop (прорыв): атака, сходная с перекрывающимися фрагментами и относящаяся к типу «отказ в обслуживании», с использованием IP-фрагментов. Некорректное значение смещения во втором или последующих IP-фрагментах может привести к сбою в работе операционной системы принимающего компьютера при попытке собрать фрагменты.
Tiny Fragment (атака малыми фрагментами): тип атаки, при котором из-за малого размера TCP-фрагментов заголовок первого TCP-пакета переносится в следующий. Вследствие этого, маршрутизатор, фильтрующий трафик, может пропустить последующие фрагменты, содержащие злонамеренный код.
Fragmented IGMP (фрагментированный протокол управления группами Интернет): атака типа «отказ в обслуживании», при которой пакеты IGMP отсылаются на целевой компьютер, который не может правильно обрабатывать эти пакеты. Это может вызвать «зависание» или снижение производительности системы.
Land Attack (атака на папку локальной сети): тип атаки, при котором на компьютер отсылаются пакеты IP синхронизации (SYN) с одинаковыми адресами источника и назначения, вследствие чего компьютер начинает слать подтверждения синхронизации (SYN/ACK) самому себе. Это может вызвать «зависание» или снижение производительности системы.
Контроль эпидемии нарушений защиты брандмауэраБрандмауэр OfficeScan направляет определенным адресатам настраиваемые уведомления, если нарушения защиты брандмауэра превосходят заданный предел, что может служить сигналом атаки.
Права на работу с брандмауэром клиентаАдминистратор может предоставить пользователю необходимые права на просмотр параметров брандмауэра в консоли клиента OfficeScan. Права могут быть также предоставлены на включение и выключение брандмауэра, системы обнаружения вторжений и уведомления о нарушениях защиты брандмауэра.