fwabt
OfficeScan 防火牆使用狀態檢測和高效能網路病毒掃瞄,來保護網路上的用戶端和伺服器。透過中央管理主控台,您就可以建立規則,依據應用程式、IP 位址、通訊埠號碼或通訊協定過濾連線,然後將規則套用至不同的使用者群組。
您可以在 Windows XP 電腦(已啟動 Windows 防火牆)上啟動、設定和使用 OfficeScan 防火牆。不過,必須謹慎管理您的策略,以避免建立相衝突的防火牆策略,而產生無法預期的結果。如需有關「Windows 防火牆」的詳細資訊,請參閱 Microsoft 文件。
OfficeScan 防火牆包含下列主要功能和優點:
OfficeScan 防火牆會過濾所有輸入和輸出,提供根據下列條件封鎖特定傳輸類型的能力:
方向(輸入/輸出)
通訊協定 (TCP/UDP/ICMP/ICMPv6)
目標通訊埠
來源和目標電腦
OfficeScan 防火牆會在允許特定應用程式存取網路的同時過濾這些應用程式的入站和出站流量。但是,網路連線要視管理員設定的策略而定。
「認證安全防護軟體清單」列出可略過防火牆策略安全層級的應用程式。如果安全層級設定為「中」或「高」,OfficeScan 仍會允許應用程式執行和存取網路。
針對提供更多完整清單的全域「認證安全防護軟體清單」啟動查詢。這是一份由趨勢科技動態更新的清單。
這項功能可配合行為監控使用。請務必在啟動全域的「認證安全防護軟體清單」之前,先啟動「未經授權的變更防範服務」和「認證安全防護軟體服務」。
OfficeScan 防火牆也會檢查每個封包是否有網路病毒。如需詳細資訊,請參閱網路病毒。
OfficeScan 防火牆可讓您將策略設為封鎖或允許指定的網路傳輸類型。您可以指派策略到一或多個資料檔,然後將資料檔部署到指定的 OfficeScan 用戶端。這是一種組織和設定用戶端防火牆設定的高度自訂方法。
OfficeScan 防火牆是一種狀態檢測防火牆,會監控所有與用戶端間的連線,且會記憶所有連線狀態。它可識別任何連線的特定狀況、預測應該採用的處理行動,並偵測一般連線的中斷情況。因此,有效地使用防火牆不僅需要建立資料檔和策略,還需要分析連線和過濾通過防火牆的封包。
OfficeScan 防火牆也包括「入侵偵測系統」(IDS)。IDS 系統啟動後,可以協助識別出網路封包中可能指出用戶端遭到攻擊的病毒碼。OfficeScan 防火牆有助於防止下列知名的入侵行為:
Too Big Fragment:一種拒絕服務攻擊,其中駭客會將過大的 TCP/UDP 封包導向目標電腦。這會造成電腦的緩衝器溢位而凍結或重新啟動電腦。
Ping of Death:一種「拒絕服務」攻擊,駭客會將過大的 ICMP/ICMPv6 封包導向目標電腦。這會造成電腦的緩衝器溢位而凍結或重新啟動電腦。
Conflicted ARP:一種攻擊類型,其中駭客會傳送具有相同來源和目標 IP 位址的「位址解析通訊協定」(ARP) 要求給電腦。目標電腦持續將 ARP 回應(其 MAC 位址)傳送給自己,使其凍結或當機。
SYN Flood: 一種「拒絕服務」攻擊,其中程式會將多個 TCP 同步化 (SYN) 封包傳送到電腦,造成電腦持續傳送同步化確認 (SYN/ACK) 回應。這會耗盡電腦記憶體且最終使電腦當機。
Overlapping Fragment: 類似於 Teardrop 攻擊,這種「拒絕服務」攻擊會將重疊的 TCP 片段傳送到電腦。這會覆寫第一個 TCP 片段中的標題資訊,且有可能通過防火牆。防火牆可能接著會允許具有惡意程式碼的後續片段通過而到達目標電腦。
Teardrop: 類似於重疊片段攻擊,這種「拒絕服務」攻擊與 IP 片段有關。位於第二或其後 IP 片段的混淆偏移值可能會造成接收端電腦作業系統在嘗試重組片段時當機。
Tiny Fragment Attack: 一種攻擊類型,其中小型 TCP 片段會迫使第一項 TCP 封包標題資訊到下一個片段中。這會造成過濾傳輸的路由器忽略後續片段,而這些片段可能包含惡意資料。
Fragmented IGMP: 一種「拒絕服務」攻擊,會將片段式 IGMP 封包傳送到目標電腦,而此電腦無法正確處理 IGMP 封包。這可能會使電腦凍結或速度減慢。
LAND Attack: 一種攻擊類型,會將具有相同來源和目標位址的 IP 同步化 (SYN) 封包傳送給電腦,使電腦將同步化確認 (SYN/ACK) 回應傳送給自己。這可能會使電腦凍結或速度減慢。
當防火牆違規事件超過特定門檻值時,OfficeScan 防火牆會傳送自訂通知訊息給指定收件者,發出攻擊通知。
授與用戶端使用者在 OfficeScan 用戶端主控台上檢視其防火牆設定的權限,也可以授與使用者啟動或關閉防火牆、入侵偵測系統和防火牆違規通知訊息的權限。
請參閱: