Suche

Dieses Dokument ist eine Übersetzung aus dem Englischen. Möglicherweise wurde die englische Originalversion nach der Übersetzung und Veröffentlichung dieses Dokuments aktualisiert. Symantec übernimmt keine Gewähr für die Richtigkeit hinsichtlich der Vollständigkeit der Übersetzung.


Situation:

Lösung:
Einleitung
Wenn Computer in einem privaten Netzwerk eine Verbindung mit dem Internet herstellen, verbinden sie ihr Netzwerk physisch mit unzähligen unbekannten Netzwerken. Obwohl die meisten Verbindungen keine Bedrohung für den Computer oder das Netzwerk darstellen, gibt es naturgemäß auch Personen mit weniger guten Absichten, wie Hacker und Skript-Kiddies, die versuchen, mithilfe ungeschützter Computer in Ihr Netzwerk zu gelangen. Erfolgreiche Angriffe sind eine Gefahr für vertrauliche Informationen und koennen die Produktivität verlangsamen und so Ruf und Wert einer Marke zerstören.
Firewalls, die auf Endpoint-Computern installiert werden, bieten Schutz vor solchen Angriffen, indem sie zwischen den Computern und den externen Netzwerken, einschließlich Internet, eine Sperre errichten. Dieses Dokument konzentriert sich auf die Komponente des Netzwerkbedrohungsschutzes (oder Client-Firewall) von Symantec™ Endpoint Protection; insbesondere den Zweck der Client-Firewall, die Elemente einer Firewall-Richtlinie, wie Firewall-Regeln verarbeitet werden, sowie Beste Verfahren für die Implementierung einer Firewall-Richtlinie in Ihrem Netzwerk.

Herausforderungen beim Konfigurieren der Client-Firewall
Firewalls sind nur so gut, wie die Richtlinien, die sie durchsetzen. Eine schlechte Richtlinie ermöglicht Hackern den Zutritt und hindert vertrauenswürdige Quellen gleichzeitig daran, auf wichtige Ressourcen zuzugreifen. Bevor Sie die Client-Firewall konfigurieren, sollten Sie verstehen, wie die Firewall die Regeln verarbeitet, wie man die Regeln effektiv erstellt (Schutzfunktion mit maximaler Leistung) und wie die Firewall mit den anderen Komponenten von Symantec Endpoint Protection kommuniziert.

Was sind Symantec Endpoint Protection 11.0 und Netzwerkbedrohungsschutz?
Symantec Endpoint Protection 11.0 schützt Endpunkt-Computer vor Viren, Bedrohungen und Risiken und stellt drei Schutzebenen für diese zur Verfügung. Die Ebenen sind Netzwerkbedrohungsschutz, proaktiver Bedrohungsschutz sowie Virenschutz und Antispyware-Schutz. Der Netzwerkbedrohungsschutz hindert unter Verwendung von Regeln und Signaturen Bedrohungen daran, auf Ihren Computer zuzugreifen. Der proaktive Bedrohungsschutz erkennt und schwächt die Bedrohungen basierend auf ihrem Verhalten ab. Virenschutz und Antispyware-Schutz nutzt von Symantec erstellte Signaturen zum Identifizieren und Abschwächen der Bedrohungen, die versuchen, auf Ihre Computer zuzugreifen bzw. bereits Zugriff haben. Die Symantec Endpoint Protection-Client-Firewall stellt eine Barriere zwischen dem Computer und dem Internet zur Verfügung. Die Client-Firewall hindert nicht-autorisierte Benutzer daran, auf die mit dem Internet verbundenen Computer und Netzwerke zuzugreifen, erkennt mögliche Hackerangriffe, schützt persönliche Informationen und beseitigt unerwünschte Quellen von Netzwerkverkehr. Die Firewall schützt auch vor Netzwerkbedrohungen und Malware, beispielweise Bots, die versuchen, sich in Ihrem Netzwerk stark auszubreiten. Alle Daten, die an den oder vom Client-Computer gesendet werden, müssen durch die Client-Firewall verlaufen. Hier werden die Informationspakete dann überprüft. Pakete, die den angegebenen Sicherheitskriterien nicht entsprechen, werden von der Client-Firewall blockiert.

Firewall-Richtlinien
Firewall-Richtlinien bestehen aus einer oder mehreren Regeln, die in Kombination den Zugriff von Benutzern auf das Netzwerk entweder zulassen oder blockieren. Firewall-Richtlinien enthalten die folgenden Elemente:

• Firewall-Regeln
• Zustandsorientierte Prüfung
• Regelprioritätsnummer
• Steuerelementyp
• Standard-Firewall-Regeln
• Intelligente Datenverkehrfilterfunktionen
• NetBIOS und Token Rings
• Stealth-Einstellungen

Firewall-Regeln
Firewall-Regeln steuern, wie der Client den Client-Computer zusätzlich zu tückischem ausgehenden Datenverkehr vor bösartigem eingehenden Datenverkehr und Anwendungen schützt. Firewall-Regeln können den Computer für andere im Internet unsichtbar machen, Remote-Benutzer vor Hackerangriffen schützen, und Hacker daran hindern, über diese Computer heimlich in das Unternehmensnetzwerk einzudringen.
Intelligente Datenverkehrsfilter erlauben bestimmte Verkehrsarten, die in den meisten Netzwerken erforderlich sind, z.B DHCP-, DNS- und WINS-Datenverkehr . Beispiele der Datenverkehrs- und Stealth-Einstellungen, die zusätzliche Datenverkehrsfunktionen aktivieren, sind Schutz auf Treiberebene, NetBIOS-Schutz, Token Ring-Datenverkehr, DNS-Reverse-Abfrage und Stealth-Moduseinstellungen. Im Allgemeinen beschreibt eine Firewall-Regel die Bedingungen, unter denen eine Netzwerkverbindung zugelassen oder verweigert werden kann.
Verwenden Sie die folgenden Firewall-Komponenten, um die Kriterien für eine Firewall-Regel festzulegen:

• Auslöser: Auslöser enthalten Anwendungen, Hosts, Protokoll und Netzwerkadapter. Die Auslöserdefinitionen können kombiniert werden, um noch komplexeren Regeln zu bilden, beispielsweise die Erkennung eines bestimmten Protokolls im Verhältnis zu einer bestimmten Zieladresse. Bei der Auswertung von Regeln müssen alle Auslöser für eine positive Übereinstimmung zutreffen. Wenn ein beliebiger Auslöser in Bezug auf das aktuelle Paket nicht zutrifft, kann die Regel nicht angewendet werden.

Verwenden Sie die folgenden Firewall-Komponenten, um die Kriterien für eine Firewall-Regel zu definieren:

• Bedingte Parameter: Bedingte Parameter beschreiben nicht einen Aspekt einer Netzwerkverbindung. Stattdessen definieren sie die Kriterien, die verwendet werden, um den aktiven Status einer Regel zu bestimmen. Bedingte Parameter sind optional und, wenn nicht definiert, ohne Bedeutung. Werden diese Parameter definiert, ist der anerkannte Status der Regel direkt betroffen. Sie können einen Zeitplan definieren oder einen Bildschirmschonerstatus festlegen, der vorschreibt, wann eine Regel als aktiviert oder deaktiviert gilt. Die Firewall wertet deaktivierte Regeln nicht aus, wenn Pakete erhalten werden.
• Aktionsparameter: Aktionsparameter geben an, welche Aktionen bei einer erfolgreichen Übereinstimmung der Regel ausgeführt werden. Wenn die Regel als Antwort auf ein erhaltenes Paket ausgewählt wird, werden alle Aktionen ausgeführt. Das Paket wird zugelassen oder verweigert und je nach Konfiguration erfolgt eine Protokollierung.

Zustandsabhängige Prüfung
Die Firewall nutzt zustandsabhängige Prüfungen. Eine zustandsabhängige Prüfung ist ein Verfahren, das derzeit zulässige Verbindungen verfolgt. Eine Verbindung wird durch eine eindeutige Kombination aus Ziel-IP-Adressen, Ports und Anwendungen gekennzeichnet.
Mithilfe der Verbindungsdaten trifft der Client Entscheidungen über den Datenverkehrsfluss. Wenn ein neu erhaltenes Paket einer bestehenden zugelassenen Verbindung entspricht, läuft es nicht die Regelkontrolle durch. Das Paket wird dann automatisch zugelassen. Außerdem vereinfachen zustandsabhängige Prüfungen die Regelgrundlagen. Für Datenverkehr, der in nur eine Richtung initiiert wird, müssen Sie keine Regeln erstellen, die Datenverkehr in beide Richtungen zulassen. Client-Datenverkehr, der gewöhnlich in eine Richtung initiiert wird, fasst Telnet (Port 23), HTTP (Port 80), HTTPS (Port 443) und FTP (Port 21) um. Für diese Protokolle erstellen Sie nur die ausgehende Regel. Die Antwort wird automatisch durch den SEP-Client zugelassen.

Anordnen der Firewall-Regeln nach Priorität
Jeder Regel in der Firewall-Tabelle wird automatisch eine Prioritätsnummer zugewiesen. Diese Nummer legt die Verarbeitungsreihenfolge der Regeln fest. Die Symantec Endpoint Protection-Client-Firewall verarbeitet den Firewall-Regelsatz in der sequenziellen Reihenfolge und beginnt mit Regel 1.

Der Schweregrad der Regel (null bis 15) legt fest, wie kritisch die Regel bei Auslösung ist:

• Kritisch
• Schwerwiegend
• Geringfügig
• Informationen

Regeln werden keineswegs logisch kombiniert, und die Firewall implementiert nicht einen bestpassenden Algorithmus. Dies vereinfacht die Erstellung von Regelsätzen und die Problembehebung, weil Sie jenseits der einfachen Zuordnung von Datenverkehr nicht an Regelauswahllogik denken müssen.
Der Firewall-Regelsatz enthält eine blaue Trennungslinie:
Systemadministratoren mit vollem Zugriff können die Regeln der höchsten Priorität ändern, die über der blaue Linie abgelegt werden.
Clients mit geringeren Zugriffsrechten können manchmal Regeln mit niedrigerer Priorität ändern, die unterhalb der blauen Linie abgelegt werden.

Steuerelementyp
Regeln werden als Server- oder Client-Regeln eingeordnet: Server-Regeln werden auf dem Management-Server erstellt und auf den Client heruntergeladen. Client-Regeln sind Regeln, die ein Benutzer auf einem Client erstellt.
Im Folgenden wird Verhältnis zwischen der Steuerungsstufe des Client-Benutzers und der Interaktion des Benutzers bezüglich der Firewall-Regeln veranschaulicht:

• In der Server-Steuerung empfängt der Client die Server-Regeln, aber der Benutzer kann sie nicht ansehen. Der Benutzer kann keine Client-Regeln erstellen.
• In der gemischten Steuerung empfängt der Client die Server-Regeln, und der Benutzer kann diese im Dialogfeld zu den Firewall-Regeln ansehen. Der Benutzer kann auch Regeln erstellen, die mit vorhandenen Regeln zusammengeführt werden. Allerdings stehen die Client-Regeln unterhalb der blauen Linie und haben eine niedrigere Priorität.
• In der Client-Steuerung liegt die vollständige Steuerung beim Client. Daher ist Vorsicht angeraten, wenn Benutzern gemischte Steuerung oder Client-Steuerung gewährt wird.

Für Clients in der gemischten Steuerung verarbeitet die Firewall Server- und Client-Regeln in einer bestimmten Reihenfolge. Server-Regeln mit hoher Priorität werden zuerst verarbeitet. Client-Regeln werden an zweiter Stelle verarbeitet, und Server-Regeln mit einer niedrigeren Priorität werden zuletzt verarbeitet.
Auch wenn für einen Client die gemischte Steuerung eingestellt wird, ist Vorsicht angeraten, da der Benutzer eine Client-Regel erstellen kann, die allem Datenverkehr zulässt und diese Regel alle Server-Regeln unterhalb der blauen Linie überschreiben kann.

Standard-Firewall-Regeln
Die Firewall wird mit Standardregeln installiert, die wie folgendermaßen eingeteilt werden: Zulassen, Verweigern, Blockieren und Protokollieren oder Nur protokollieren.
Die Regeln zum Zulassen beinhalten fragmentierte Pakete und das Netzwerkprotokoll "Wireless Extensible Authentication Protocol over LAN" (Wireless EAPOL). Drahtlose EAPOL ist derzeit für ethernetähnliche LANs einschließlich 802.1x Wireless sowie Token-Ring-LANs (einschließlich FDDI) definiert. Auch zulässig sind MS Remote Access und Routing ARP Driver, alle ausgehenden Geschäftsanwendungen, alle ausgehenden Pings, Pongs, Tracert und VPN sind zugelassen.
Die Regeln zum Verweigern fassen das Blockieren von IPv6, IPv6 über IPv4, lokaler Dateifreigabe und Remote-Verwaltung um.
Die Regeln zum Protokollieren enthalten: Nicht-protokollieren von Rundfunk (Broadcast-) und Multicast-Datenverkehr, Blockieren und Protokollieren von IP-Datenverkehr und Blockieren allen anderen Datenverkehrs.

Intelligente Datenverkehrfilterfunktionen
Intelligente Datenverkehrfilterfunktion ermöglicht die Verwendung wesentlicher Netzwerkdienste ohne die Erstellung von Regeln, um diese Dienste ausdrücklich zuzulassen.
Intelligente Filter werden standardmäßig aktiviert und sind für die folgenden Dienste definiert:

• DHCP
• DNS
• WINS

Intelligente Filter werden vor der Prüfung von Regelsätzen ausgewertet, das heißt, dass jedes Paket, das einem aktiven Vorkommen eines intelligenten Filters entspricht, zugelassen wird. Alle andere Pakete werden verweigert. Die DHCP-, DNS- oder WINS-Anfrage muss vom Client-Computer stammen, und die Antwort muss innerhalb eines vorbestimmten fünfsekündigen Zeitraums erfolgen. Der Server sendet die Antwort und der Antworttyp wird in Verhaeltnis zur ursprünglichen Client-Anfrage auf seine Gültigkeit überprüft.

Intelligetentes DHCP lässt normale DHCP-Runfunk-Nachrichten zu, ohne dass eine Regel definiert werden muss. Die DHCP-Meldungen des Clients müssen konfiguriert werden, um eine IP-Adresse automatisch zu beziehen.

Wie der intelligente Filter-Mechanismus die DHCP-Austausch-Meldungen bearbeitet:

• Der Client gibt zuerst eine Rundfunk-DHCP-Discover-Nachricht aus. Das Senden dieser Nachricht führt zur Erstellung eines neuen intelligenten Filters.
• Der Server muss mit einem ANGEBOT antworten und zwar innerhalb von fünf Sekunden. Beachten Sie, dass jede intelligente Filterverbindung nach fünf Sekunden das Zeitlimit überschreitet.
• Der Client gibt dann eine Rundfunk-DHCP-Anfragenachricht aus, die einen weiteren intelligenten Filter erstellt. Der Server muss nun mit einer QUITTUNG antworten und zwar innerhalb von fünf Sekunden.

Die Schnittstelle, durch die die DNS-Anfragen übertragen werden, muss in den TCP/IP-Einstellungen mit einem primären und auf Wunsch einem sekundären DNS-Server konfiguriert werden. Die primären und sekundären Serverzuweisungen können manuell konfiguriert oder mithilfe der DHCP-Adressierung empfangen werden. Nur vom Client initiierte und an den angegebenen primären oder sekundären DNS-Server adressierte Anfragen sind zulässig. Alle anderen DNS-Anfragen werden automatisch abgelehnt.

Smart WINS aktiviert die Verwendung des WINS-Dienstes. WINS-Anfragen müssen konfiguriert werden, um die WINS-Auflösung in den erweiterten TCP/IP-Einstellungen zu verwenden. Anders als DNS, was auf die Angabe eines primären und sekundären Servers begrenzt ist, kann eine beliebige Anzahl von WINS-Servern angegeben werden. Nur Anfragen, die vom Client initiiert und an einen vorbestimmten WINS-Server adressiert werden, sind zulässig. Alle anderen WINS-Anfragen werden automatisch abgelehnt. Die vom Client initiierte Auflösungsanfrage führt dazu, dass ein neuer intelligenter Filter zur Liste hinzugefügt wird, wobei ein fünfsekündiger Antwortzeitraum in Verhaeltnis zu der jeweiligen Anfrage festgelegt wird. Der angefragte Server muss innerhalb des festgelegten Zeitraums antworten. Der Inhalt der Antwort wird anhand der ursprünglichen Anfrage validiert. Ungültige Antworten werden ignoriert.

NetBIOS und Token Rings
Sie können die Datenverkehrseinstellungen auf dem Client aktivieren, um den Verkehr, der über Treiber, NetBIOS und Token-Rings kommuniziert, zu erkennen und zu blockieren. Sie können auch Einstellungen zur Erkennung von Datenverkehr, der unoffensichtliche Angriffe nutzt, konfigurieren.

Einstellungen für Datenverkehr enthalten Folgendes:

• Schutz auf Treiberebene aktivieren, der standardmäßig aktiviert wird. Wenn diese Option aktiviert wird, wird jeder Protokolltreiber, der auf ein Netzwerk zugreift, als Netzwerkanwendung gesehen. Protokolltreiber können dynamisch blockiert oder zugelassen werden. Beachten Sie, dass NetBIOS-Schutz standardmäßig nicht aktiviert ist. Wenn diese Option aktiviert wird, hindert die Firewall-Richtlinie einen Client am Empfang von NetBIOS-Paketen auf UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 und TCP 1026, die von Computern stammen, die sich in einem anderen Teilnetz sich befinden.
• "Token-Ring-Datenverkehr zulassen" ist standardmäßig aktiviert. Wenn Clients über einen Token-Ring-Adapter kommunizieren, muss diese Option in einer Firewall-Richtlinie aktiviert werden, damit der Client auf das Netzwerk zugreifen kann.
• "Reverse-DNS-Lookup aktivieren" ist standardmäßig aktiviert. Wenn der Client ein IP-Paket abfängt, das eine unbekannte IP-Adresse hat, kann mithilfe dieser Option eine umgekehrte DNS-Anfrage gesendet werden, um den Domänennamen zu ermitteln.
• "Anti-MAC-Spoofing aktivieren" ist standardmäßig deaktiviert. Wenn diese Option aktiviert wird, schützt Anti-MAC-Spoofing den Computer davor, dass ein anderer Computer eine MAC-Adressentabelle zurücksetzt.

Stealth-Einstellungen
Beim Konfigurieren von Stealth-Einstellungen hängen Kompatibilitätsprobleme von unterschiedlichen Einstellungen ab. Einige Einstellungen können die Anzeige von Websites beeinträchtigen. Andere Einstellungen wiederum blockieren bei der Installation einer inkompatiblen Netzwerkkarte sämtlichen Datenverkehr. Anders als Einstellungen für Datenverkehr werden alle Stealth-Einstellungen deaktiviert.

Sie können die folgenden Stealth-Einstellungen konfigurieren:

• Stealth-Modus für Web-Browsen aktivieren: Erkennt allen HTTP-Datenverkehr auf Port 80 von einem Webbrowser und entfernt Informationen wie Browser-Name und -Version, das Betriebssystem und den Verweis auf die Webseite. Diese Einstellung hindert Websites daran, zu ermitteln, welches Betriebssystem und Browser der Client verwendet.
• TCP-Neusequenzierung aktivieren: Diese Einstellung hindert einen Eindringling daran, die Möglichkeit zum Fälschen der IP-Adresse eines Computers zu nutzen, indem TCP-Sequenzierungsummern zufaellig angeordnet werden.
• BS-Fingerabdruckmaskierung aktivieren: Diese Einstellung verhindert, dass Programme das Betriebssystems eines Computers erkennen, auf dem die SEP-Client-Software ausgeführt wird. Die Einstellung funktioniert am besten, wenn TCP-Neusequenzierung aktiviert wird. Der Client ändert den TTL- (Time-To-Live, Gültigkeitsdauer) und den Kennungswert der TCP/IP-Pakete, um andere Programme an der Identifizierung eines Betriebssystems anhand von Paketsignaturen zu hindern.

Reihenfolge der Regelverarbeitung
Die folgende Reihenfolge zeigt die Reihenfolge, in der die Netzwerkbedrohungsschutzelemente verarbeitet werden. Zu diesen Elementen gehören Datenverkehr und Stealth-Einstellungen:

• Benutzerdefinierte Intrusion Prevention-Signaturen werden zuerst verarbeitet.
• Als nächstes werden Intrusion Prevention-Einstellungen, Datenverkehrseinstellungen und Stealth-Einstellungen verarbeitet.
• Danach werden intelligente Datenverkehrsfilter und Firewall-Regeln verarbeitet.
• Schließlich werden Port-Scan-Überprüfungen und IPS-Signaturen, die über LiveUpdate heruntergeladen werden, verarbeitet.

Intrusion Prevention
Das Intrusion Prevention-System (IPS) ist nach der Firewall die zweite Sicherheitsschicht des Clients. Das Intrusion Prevention-System ist ein netzwerkbasiertes System, das auf jedem Computer ausgeführt wird, auf dem der Client installiert und das IPS-System aktiviert ist. Wenn ein bekannter Angriff erkannt wird, können ihn eine oder mehrere Intrusion Prevention-Funktionen automatisch blockieren.
Der Client enthält intelligente Angriffssignaturen, die einen Angriff weniger wahrscheinlich zulassen. Der Client enthält auch eine zustandsabhängige Engine, die allen ein- und ausgehenden Datenverkehr verfolgt.
Standardmäßig enthält der Client die Intrusion Prevention-Engine und einen entsprechenden Satz von Angriffssignaturen.

Sie können bestimmte Typen von Intrusion Prevention-Angriffen auf dem Client blockieren. Diese richten sich nach den von Ihnen ausgewählten Intrusion Prevention-Einstellungen. Um die IPS-Signatur-Engine von Symantec und die benutzerdefinierte IPS-Signatur-Engine zu aktivieren, müssen Sie beispielsweise die Option "Intrusion Prevention aktivieren" aktivieren.

Folgende Intrusion Prevention-Einstellungen können konfiguriert werden:

• Intrusion Prevention aktivieren: Erkennt und blockiert Netzwerkangriffe automatisch. Wenn Sie diese Einstellung nicht aktivieren, ignoriert der Client mögliche Angriffssignaturen.
• Dienstverweigerung aktivieren: Erkennt bekannte Angriffe, die sich auf mehreren Paketen basieren.
• Erkennung von Port-Scan aktivieren: Überwacht alle eingehenden Pakete, die durch eine beliebige Sicherheitsregel blockiert werden.
• IP-Adressen von Angreifern automatisch blockieren: Blockiert Netzwerkverkehr des Angreifers für eine konfigurierbare Dauer (Standard sind 10 Minuten).

Beachten Sie Folgendes: Wenn für den Client eine gemischte Steuerung eingestellt wird, muessen Sie diese Einstellungen auch im Dialogfeld für die Steuereinstellungen des Clients bzw. Servers aktivieren.

Bewährte Vorgehensweise: Anwenden von Firewall-Richtlinien in Ihrem Netzwerk
Bevor Sie eine Firewall-Richtlinie in Ihrem gesamten Netzwerk anwenden, sollten Sie die Richtlinie in einer Untergruppe von Clients anwenden, die das Netzwerk vertreten. Wenn möglich wenden Sie die Richtlinie zuerst in einer Testumgebung an. Symantec Endpoint Protection stellt die Standard-Firewall-Richtlinie als Grundlage zur Verfügung. In den meisten Fällen muss die Standard-Firewall-Richtlinie entsprechend der Netzwerkarchitektur und den Sicherheitsrichtlinien des Unternehmens geändert werden.

Da die Firewall zustandsabhängige Prüfungen verwendet, werden die Erstellung und Verwaltung von Regeln vereinfacht, und die Client-Computer sind beim Herstellen der erforderlichen Verbindungen geschützt. Komponenten der Firewall-Richtlinie, die nicht auf Firewall-Regeln basieren, schützen ebenfalls Ihre Client-Computer. Zu diesen Komponenten gehören Intrusion Prevention und intelligente Datenverkehrfilter.

Wenn Sie eine Firewall-Richtlinie in Ihrem Netzwerk anwenden möchten, führen Sie folgende Schritte durch:

• Intrusion Prevention-Schutz nutzen
• Firewall-Richtlinie auf eine Teilgruppe von Computern anwenden
• Netzwerkverkehr mittels Protokollen überwachen
• Richtlinien anhand der in den Protokollen erfassten Netzwerkinformationen anpassen
• Die geänderte Firewall-Richtlinie für das Netzwerk übernehmen

Aktivieren und Konfigurieren von Intrusion Prevention
Ungeachtet dessen, wie Sie andere Netzwerkbedrohungsschutzfunktionen konfigurieren, können Sie Ihre Clients und Server vor vielen Netzwerkangriffen schützen, indem Sie Intrusion Prevention aktivieren. Intrusion Prevention ist eine effektive Methode, um bekannte Angriffe zu blockieren. Während die Signaturen für neue Angriffe erstellt werden, können Sie Ihre Computer schützen, indem Sie Ihre IPS-Signaturen mit LiveUpdate aktualisieren. Zusätzlich können Sie benutzerdefinierte Intrusion Prevention-Signaturen erstellen, die von der Firewall zuerst verarbeitet werden.

Anwenden der Firewall-Richtlinie
Die Standard-Firewall-Richtlinie kann möglicherweise für das Unternehmen notwendigen Datenverkehr blockieren. Um dies zu vermeiden, sollten Sie die Standardrichtlinie viel mehr freizügig gestalten.
Führen Sie dazu irgendeine der folgenden Änderungen durch:

• Ändern Sie einige oder alle standardmäßigen Blockierungsregeln in Zulassungsregeln, und stellen Sie sicher, dass deren Protokollierungsoption auf In Datenverkehrsprotokoll schreiben festgelegt ist, damit immer wenn der Datenverkehr diesen Regeln entspricht, werden die Daten protokolliert.
• Erstellen Sie eine neue Regel (tolerante Regel), und stellen Sie Zulassen sowie In Datenverkehrsprotokoll schreiben ein. Verschieben Sie die tolerante Regel an den Anfang der Firewall, damit sie zuerst verarbeitet wird.

Überwachen des Netzwerkverkehrs
Nachdem Sie die geänderte Firewall-Richtlinie angewendet haben, können Sie den Datenverkehr überwachen und analysieren, der von der Symantec Endpoint Protection Manager-Konsole über Ihre Client-Computer geleitet wird. Anhand der Datenverkehrsprotokolle ersehen Sie, welcher Datenverkehr je nach Anwendung, Uhrzeit oder Dienst zugelassen oder blockiert werden sollte.

Feineinstellen der Firewall-Richtlinie
Sobald Sie die Informationen in den Datenverkehrsprotokollen ausgewertet haben, können Sie die Firewall-Richtlinie entsprechend ändern. Sie können die Firewall-Richtlinie mithilfe der Datenverkehrs- und Stealth-Einstellungen, die bestimmte Arten von Netzwerkverkehr zulassen oder blockieren, zudem strikter oder großzügiger gestalten.
Im Allgemeinen können Sie die Firewall-Richtlinie verschärfen, indem Sie den Zugriff von Anwendungen auf das Netzwerk bzw. den Start von Anwendungen einschränken. Hierzu erstellen Sie benutzerdefinierte Firewall-Regeln für bestimmte Anwendungen. Es gibt allerdings Beschränkungen, da Firewall-Regeln, die bestimmte Anwendungen an einem Netzwerkzugriff hindern, trotzdem zulassen, dass die Anwendung gestartet wird. Dies ist unter Umständen nicht das, was Sie beabsichtigen.
Eine andere mögliche und durchaus effiziente Methode besteht darin, eine Anwendungssteuerungsrichtlinie einzusetzen. Mit einer Anwendungssteuerungsrichtlinie können Sie die Ausführung von Anwendungen blockieren.
Verschärfen Sie die Firewall-Richtlinie nach und nach. Blockieren Sie beispielsweise eine oder zwei Anwendungen auf einmal, und testen Sie die Richtlinie dann wieder. Wenn keine Probleme auftreten, können Sie die Richtlinie bei Bedarf noch weiter verschärfen oder beschränkend machen.

Verteilen geänderter Firewall-Richtlinien im gesamten Netzwerk
Nachdem Sie die Änderung der Firewall-Richtlinie anhand der Daten aus den Datenverkehrsprotokollen und der Umgebungstestergebnisse abgeschlossen haben, können Sie die Firewall-Richtlinie im gesamten Netzwerk anwenden. Die Firewall schützt Ihre Client-Computer weitgehend und lässt gleichzeitig den erforderlichen Datenverkehr durch.

Zusätzliche Ressourcen
Weitere Informationen über die Symantec Endpoint Protection-Client-Firewall und die Anwendungssteuerung erhalten Sie im Administratorhandbuch zu Symantec Endpoint Protection und im Handbuch zu Symantec Endpoint Protection-Client.

Weiterführende Links
Dieses Dokument ist in folgenden Sprachen verfügbar:

• Brazilian-Portuguese: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/br_docid/20080818101143935
• French: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/fr_docid/20080818101217935
• Italian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/it_docid/20080818101305935
• Polish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/pl_docid/20080818101329935
• Hungarian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/hu_docid/20080818101356935
• Russian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/ru_docid/20080818101422935
• Czech: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/cz_docid/20080818101448935
• Spanish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/es_docid/20080818101516935

Dokument ID: 20080818101244935
Zuletzt bearbeitet: 11/05/2008
Erstellungsdatum: 08/18/2008
Produktbezeichnung: Endpoint Protection 11

Wegweiser · Rechtliche Hinweise · Impressum · Datenschutz · Feedback · Kontakt · Websites weltweit