防毒墙网络版防火墙

防毒墙网络版防火墙过滤所有传入和传出的网络通信，可根据以下标准阻止某些类型的网络通信：

• 方向（入站/出站）

• 协议 (TCP/UDP/ICMP/ICMPv6)

• 目标端口

• 源计算机和目标计算机

• 应用程序

防毒墙网络版防火墙还会在每个数据包中查找是否有网络病毒。

防毒墙网络版防火墙让您可以配置策略以阻止或允许指定类型的网络通信。

防毒墙网络版防火墙是基于状态进行检查的防火墙；它监视到客户端的所有连接并记住所有连接状态。它可以确定任何连接中的特定条件，预测应采取的处理措施及检测正常连接中是否存在中断。因此，过滤决定不仅基于概要文件和策略，还基于通过分析连接和过滤经过防火墙的数据包所建立的环境。

防毒墙网络版防火墙还包括入侵检测系统 (IDS)。启用后，IDS 可以帮助确定网络数据包中可能表示会攻击客户端的特征码。防毒墙网络版防火墙可以帮助阻止以下众所周知的入侵：

• Too Big Fragment：拒绝服务攻击，黑客将特大的 TCP/UDP 数据包定向到目标计算机。这会导致计算机缓存溢出，从而使计算机死机或重新启动。

• Ping of Death：拒绝服务攻击，黑客将特大的 ICMP/ICMPv6 数据包定向到目标计算机。这会导致计算机缓存溢出，从而使计算机死机或重新启动。

• Conflicted ARP：一种攻击类型，黑客会向计算机发送带有相同源和目标 IP 地址的地址解析协议 (ARP) 请求。目标计算机会持续向自身发送 ARP 响应（其 MAC 地址），从而导致其死机或崩溃。

• SYN Flood：拒绝服务攻击，程序会将多个 TCP 同步 (SYN) 数据包发送到计算机，从而导致计算机持续发送同步应答 (SYN/ACK) 响应。这会耗尽计算机的内存，并最终导致计算机崩溃。

• Overlapping Fragment：与 Teardrop 攻击相似，这种拒绝服务攻击会向计算机发送重叠的 TCP 碎片。会覆盖第一个 TCP 碎片中的头信息，并有可能通过防火墙。然后防火墙可能会允许带有恶意代码的后续碎片通过，到达目标计算机。

• Teardrop：与 Overlapping Fragment 攻击相似，这种拒绝服务攻击涉及 IP 碎片。第二个或后面的 IP 碎片中的混淆偏移值会导致接收计算机的操作系统在尝试重新整理碎片时崩溃。

• Tiny Fragment 攻击：一种攻击类型，用一个很小的 TCP 碎片将第一个 TCP 数据包的头信息压到下一个碎片中。这可导致过滤网络通信的路由器忽略可能包含恶意数据的后续碎片。

• Fragmented IGMP：一种拒绝服务攻击，向目标计算机发送被分割的 IGMP 数据包，导致无法正确处理 IGMP 数据包。这会使计算机死机或变慢。

• LAND Attack：一种攻击类型，向计算机发送带有相同源地址和目标地址的 IP 同步 (SYN) 数据包，导致计算机向自身发送同步应答 (SYN/ACK) 响应。这会使计算机死机或变慢。

防火墙违例超出特定阈值（可能意味着发生攻击）时，防毒墙网络版防火墙会向指定收件人发送定制的通知消息。

管理员可以向您授予在防毒墙网络版客户端控制台中查看防火墙设置的权限。还可拥有启用或禁用防火墙、入侵检测系统和防火墙违例通知消息的权限。