Keresés

Az eredeti dokumentum angol nyelven készült. Lehetséges, hogy miután ez a fordítás elkészült és megjelent, az eredeti angol verziót frissítették. A Symantec nem vállal felelősséget a fordítás pontosságáért és teljességéért.


Helyzet:

Megoldás:
Bevezetés
Amikor számítógépek egy magánhálózatban kapcsolódnak az internethez, akkor azok fizikailag megszámlálhatatlanul sok hálózathoz kapcsolódnak. Amíg a legtöbb kapcsolat nem jelent veszély a számítógép vagy a hálózat számára, addig vannak olyan elvetemült emberek, mint például a hackerek, akik megpróbálnak bejutni a számítógépre nem védett számítógépeken keresztül. Egy sikeres támadással bizalmas információkhoz férhetnek hozzá, akadályozhatják a termelést, és ezzel egy egész hírnevet vagy márkanevet tönkretehetnek.
A végponti számítógépekre telepített tűzfalak ilyen támadásokkal szemben védenek azáltal, hogy akadályt képeznek a számítógép és a külső hálózat között, beleértve az internetet is. Ez a leírás a Symantec™ Endpoint Protection hálózati támadásokkal szembeni védelmi (vagy ügyféltűzfal-) összetevőjére fókuszál; különösen az ügyféltűzfal céljára, egy tűzfalházirend elemeire, a tűzfalszabályok feldolgozásának módjára és hasznos tanácsokra arra vonatkozóan, hogyan építhet fel egy tűzfalat a hálózatban,

Az ügyféltűzfal konfigurálásának problémája
A tűzfalak éppen annyira jók, mint amennyire azok a házirendek, amelyen alapulnak. Egy gyengén összerakott házirend könnyen beengedheti a támadókat, míg a megbízható forrásokat távol tarthatja az erőforrásoktól. Mielőtt konfigurálná a klienstűzfalat, meg kell értenie, hogyan dolgozza fel a tűzfal a szabályokat, hogyan hozhat létre hatékony szabályokat (védelem és maximális teljesítmény), és hogyan működik együtt a tűzfal a Symantec Endpoint Protection összetevőivel.

Mi a Symantec Endpoint Protection 11.0 és a Network Threat Protection?
A Symantec Endpoint Protection 11.0 a végponti számítógépeket védi vírusoktól, fenyegetésektől és egyéb kockázatoktól, továbbá három védelmi réteget biztosít a végponti számítógépek számára. Ezek a rétegek: hálózatifenyegetés-védelem, proaktív fenyegetésvédelem, valamint antivirus (vírusok elleni) és antispyware (kémprogramok elleni) védelem. A hálózatifenyegetés-védelem szabályok és azonosítók használatával blokkolja a fenyegetések számítógéphez való hozzáférését. A proaktív fenyegetésvédelem a fenyegetéseket viselkedésük alapján azonosítja és mérsékli. Az antivirus- és antispyware-védelem a Symantec-azonosítókon keresztül azonosítja és elhárítja azon fenyegetéseket, amelyek megpróbáltak hozzáférni vagy hozzá is fértek a számítógéphez. A Symantec Endpoint Protection ügyféltűzfala akadályt állít a számítógép és a külső hálózat közé. Az ügyféltűzfal megakadályozza, hogy jogtalan felhasználók hozzáférjenek az internethez csatlakozó számítógépekhez és a hálózatokhoz, azonosítja a lehetséges hackertámadásokat, megvédi a személyes információkat, és kiszűri a nem kívánt hálózatiforgalom-forrásokat. A tűzfal a hálózati támadásokkal és az olyan káros szoftverekkel szemben is véd, amelyek megpróbálnak szétterjedni a hálózaton, például a botok. Minden információ, amely az ügyfélgépbe megy vagy onnan jön, áthalad a tűzfalon, és a tűzfal minden egyed adatcsomagot megvizsgál. Az ügyféltűzfal blokkol minden olyan csomagot, amely nem felel meg a megadott biztonsági feltételeknek.

Tűzfalházirendek
A tűzfalházirendek egy vagy több szabályból állnak, melyek együtt engedélyezik vagy tiltják, hogy egy felhasználó hozzáférjen a hálózathoz. A tűzfalházirendek a következő elemeket tartalmazzák:

• Tűzfalszabályok
• Alapos vizsgálat
• Szabályelsőbbség-szám
• Vezérléstípus
• Alapértelmezett tűzfalszabályok
• Fejlett forgalomszűrés
• NetBIOS- és Tokengyűrűk
• Lopakodásbeállítások

Tűzfalszabályok
A tűzfalszabályok azt vezérlik. hogyan védje meg az ügyfél az gépet a káros bejövő forgalomtól és alkalmazásoktól, valamint a káros kimenő forgalomtól. A tűzfalszabályok láthatatlanná teszik a számítógépet az interneten lévő többi gép számára, megvéti a távoli felhasználókat a hackertámadásoktól, és megakadályozza, hogy hackerek egy hátsó bejáraton keresztül hozzáférjenek a vállalati hálózathoz.
A fejlett forgalomszűrők átengedik az olyan forgalmat, amelyek a legtöbb hálózaton szükségesek, például a DHCP-, DNS- és WINS-forgalmat. Vannak olyan vezérlőszintű beállítások, amelyek további forgalmat is átengednek; ilyen például a NetBIOS-védelem, a tokengyűrű-forgalom, a DNS-visszakeresés és a lopakódómód-beállítások. Általában véve a tűzfalszabályok azokat a feltételeket írják le, amelyek alapján a tűzfal egy kapcsolatot engedélyez vagy letilt.
A következő tűzfalösszetevők használatával meghatározhatja egy tűzfalszabály feltételeit:

• Kiváltók – Ide tartoznak alkalmazások, gazdagépek, protokollok és hálózati adapterek. A kiváltók kombinálásával összetett szabályokat hozhat létre, például egy adott protokoll adott célállomásra menő forgalma. A szabályok vizsgálatánál minden kiváltónak igaznak kell lennie ahhoz, hogy pozitív találatot kapjon. Ha bármelyik kiváltó nem igaz az adott csomagra, akkor a szabály nem alkalmazható.

A következő tűzfalösszetevők használatával meghatározhatja egy tűzfalszabály feltételeit:

• Feltételes paraméterek – A feltételes paraméterek nem írják le egy hálózati kapcsolat jellemzőjét. Ehelyett a feltételes paraméter azt a feltételt írja le, amely alapján megállapítható, hogy egy szabály aktív-e vagy sem. A feltételes paraméterek nem kötelezőek, és nincs jelentősége annak, hogy meg vannak-e adva vagy sem. Ha ezek a paraméterek meg vannak adva, akkor az a szabály észlelt állapotára közvetlenül hatással van. Megadhat egy időtartamot vagy egy képernyővédő-állapotot, amely alapján a rendszer egy szabályt aktívnak vagy inaktívnak kezel. A tűzfal nem veszi figyelembe az inaktív szabályokat a fogadott csomagoknál.
• Műveletparaméterek – A műveleti paraméterek azt határozzák meg, mi történjen, ha egy szabály érvényesnek bizonyul. Ha a szabály egy fogadott csomag alapján lett kiválasztva, mindegyik művelet végre lesz hajtva. A konfigurációtól függően a csomagot a rendszer engedélyezi vagy elutasítja, és még naplóbejegyzés is készülhet erről.

Alapos vizsgálat
A tűzfal alapos vizsgálatot hajt végre. Az alapos vizsgálat egy folyamat, amely a jelenleg engedélyezett kapcsolatokat vizsgálja. Egy kapcsolatot IP-címek, portok és alkalmazások egyedi kombinációja azonosít.
Az ügyfélgép a kapcsolatinformációk alapján dönt a forgalom irányáról. Amikor egy újonnan fogadott csomag megfelel egy már meglévő kapcsolattal, a csomag nem megy át a szabályellenőrző folyamaton. A csomagot a rendszer automatikusan átengedi. Még fontosabb, hogy az alapos vizsgálat lehetővé teszi a szabályalapok egyszerűsítését. Olyan forgalmak esetében, amelyeket csak egy irányba kezdeményeztek, nem kell szabályt létrehozni a kétirányú forgalom engedélyezéséhez. A tipikusan egy irányba kezdeményezett forgalmak: Telnet (23-as port), HTTP (80-as port), HTTPS (443-as port) és FTP (21-es port). Ezen protokollok számára csak kimenőszabályt kell létrehozni, a választ ugyanis a SEP-ügyfél automatikusan engedélyezi.

Tűzfalszabályok elsőbbségi sorrendje
A tűzfaltáblázatban minden szabályhoz egy elsőbbségi szám kerül. A szabályszám a szabályfeldolgozás sorrendjét határozza meg. A Symantec Endpoint Protection ügyféltűzfal az elsőtől kiindulva, növekvő sorrendben dolgozza fel a szabályokat.

A szabályerősség (0-15) azt határozza meg, mennyire kritikus a szabály, amikor életbe lép:

• Kritikus
• Fontos
• Kevésbé fontos
• Információ

A szabályok nincsenek logikusan kombinálva, és a tűzfal nem alkalmaz "legjobb sorrend" algoritmust. A következő példa a szabálykészlet-tervezést és a hibakeresést leegyszerűsíti, mert nem kell figyelembe venni a szabálykiválasztási logikát egy egyszerű forgalomfigyelés mellett.
A tűzfalszabály-készlet egy kék elválasztó vonalat tartalmaz:
A teljes hozzáféréssel rendelkező rendszergazdák módosíthatják a kék vonal feletti, legfontosabb szabályokat.
A vegyes hozzáféréssel rendelkező ügyfelek néha módosíthatják a kék vonal alatti, kevésbé fontos szabályokat.

Vezérléstípus
A szabályok kiszolgáló- és ügyfélszabályokra oszlanak: A kiszolgálószabályokat a kezelőkiszolgálón hozzák létre, és onnan töltik le az ügyfélgépek. Az ügyfélszabályok olyan szabályok, amelyeket a felhasználó hoz létre az ügyfélgépen.
A következőkben a felhasználó hozzáférési szintje és a felhasználó tűzfalszabályokkal kapcsolatos közreműködése közötti kapcsolat látható:

• Kiszolgálóvezérlés esetén az ügyfélgép megkapja a kiszolgálószabályokat, de azokat nem tekintheti meg. A felhasználó nem tud ügyfélszabályokat létrehozni.
• Vegyes vezérlés esetén az ügyfélgép megkapja a kiszolgálószabályokat, és azokat megtekintheti a Firewall Rules (Tűzfalszabályok) párbeszédpanelen. A felhasználó szabályokat is létrehozhat, amelyek a meglévő szabályokkal vonódnak össze. Azonban az ügyfélszabályok a kék vonal alá kerülnek, és kisebb lesz a prioritásuk.
• Ügyfélvezérlés esetén az ügyfél teljes hozzáféréssel rendelkezik. Járjon el körültekintően, amikor vegyes vagy ügyfélvezérlést ad a felhasználóknak.

Vegyes vezérlésű ügyfélgépek esetén a tűzfal a kiszolgáló- és az ügyfélszabályokat egy megadott sorrendben dolgozza fel. Először a fontos kiszolgálószabályok kerülnek feldolgozásra. Ezután jönnek az ügyfélszabályok, majd a végén a kevésbé fontos kiszolgálószabályok.
Járjon el körültekintően, amikor vegyes vezérlést ad egy felhasználónak, mert az létrehozhat egy olyan szabályt, amely minden forgalmat engedélyez, és ez a szabály így felül fogja bírálni a kék vonal alatti kiszolgálószabályokat.

Alapértelmezett tűzfalszabályok
A tűzfal alapértelmezett szabályokkal kerül telepítésre. Ezen szabályok az Allow (Engedélyezés), Deny (Elutasíts), Block and Log (Blokkolás és naplózás) vagy a Log only (Csak naplózás) csoportba oszthatók.
Az Allow (Engedélyezés) szabály magába foglalja a töredékcsomagokat és a Wireless Extensible Authentication Protocol Over LANS (Wireless EAPOL) protokollt is. A Wireless EAPOL protokollt jelenleg olyan Ethernet-szerű helyi hálózatokhoz definiálták mint a 802.1x-es vezeték nélküli hálózat, valamint a tokengyűrűt tartalmazó hálózatok (beleértve az FDDI-t). Ezenkívül még engedélyezettek az MS-távolielérés alkalmazásai, az útválasztó ARP-illesztőprogram, a kimenő üzleti alkalmazások, a kimentő ping, pong, tracert parancsok, valamint a VPN-kapcsolatok.
A Deny (Elutasítás) szabályai között szerepel az IPv6, az IPv6 IPv4-en keresztül, a helyi fájlmegosztás és a távoli segítség.
A naplózási szabályok tartalma: Ne naplózza a boradcast- és multicast-forgalmat, blokkolja és naplózza az IP-forgalmat, és blokkoljon minden más forgalmat.

Fejlett forgalomszűrés
A fejlett tartalomszűrés segítségével a létfontosságú hálózati szolgáltatások használhatók maradnak anélkül is, hogy külön engedélyező szabályt kellene létrehozni nekik.
A fejlett szűrők alapértelmezésként be vannak kapcsolva, és a következő szolgáltatásokra vonatkoznak:

• DHCP
• DNS
• WINS

A fejlett szűrők a szabályok előtt kerülnek megvizsgálásra, vagyis ha egy csomag megfelel egy fejlett szűrőnek, akkor az engedélyezésre kerül. Az összes többit a rendszer elutasítja. A DHCP-, DNS- vagy WINS-kérelmet az ügyfélgépről kell kezdeményezni, és a válasznak az előre megadott 5 másodpercen belül meg kell érkeznie. A kiszolgáló elküldi a választ, és a választípus érvényes lesz az eredeti ügyfélkéréssel kapcsolatosan.

A fejlett DHCP lehetővé teszi, hogy normál DHCP-üzenetek jelenhessenek meg anélkül, hogy erre szabályt kellene létrehozni. Az ügyfél-DHCP-üzeneteket úgy kell konfigurálni, hogy egy IP-címet automatikusan kaphasson.

Hogyan kezeli a fejlett szűrő a DHCP-üzenetcseréket:

• Az ügyfél először kiküld egy DHCP-kereső üzenetet. Az üzenet kiküldésével létrejön egy új fejlett szűrő.
• A kiszolgálónak válaszolnia kell egy AJÁNLAT üzenettel, a megadott 5 másodpercen belül. Ne felejtse el, hogy mindegyik fejlett szűrő hatályát veszti 5 másodperc elteltével.
• Az ügyfél ezután kiad egy DHCP-kérést, amely megint létrehoz egy fejlett szűrőt, majd a kiszolgálónak a megadott 5 másodpercen belül egy JÓVÁHAGYÁS üzenettel kell válaszolnia.

A DNS-kérelmeket átvivő felületet a TCP/IP-beállításoknál kell megadni egy elsődleges vagy nem kötelező módon egy másodlagos DNS-kiszolgáló megadásával. Az elsődleges és a másodlagos kiszolgáló megadható kézzel, de DHCP-n keresztül is lekérdezhető. Csak az ügyfélgép által kezdeményezett és a megadott elsődleges vagy mádoslagos DNS-kiszolgálónak menő kérések engedélyezettek. Minden más DNS-kérés automatikusan vissza lesz utasítva.

A fejlett WINS lehetővé teszi a WINS-szolgáltatás használatát. A WINS beállításokat úgy kell megadni, hogy azok a TCP/IP speciális beállításainál megadott WINS-feloldást használják. A DNS-sel ellentétben, amelynél elsődleges és másodlagos kiszolgálók megadására van lehetőség, a megadható WINS-kiszolgálók száma korlátlan. Csak az ügyfélgép által kezdeményezett és az előre megadott elsődleges WINS-kiszolgálónak menő kérések engedélyezettek. Minden más WINS-kérés automatikusan vissza lesz utasítva. Ay ügyfél feloldási kérelme egy új fejlett szűrő létrehozását eredményezi, amely egy öt másodperces időablakot nyit az adott kérés megválaszolására. A megszólított kiszolgálónak válaszolnia kell, és a válasznak meg kell érkeznie a megadott időintervallumban. A válasz tartalmát a rendszer összeveti az eredeti kéréssel. Az érvénytelen válaszokat a rendszer figyelmen kívül hagyja.

NetBIOS- és Tokengyűrűk
Lehetőség van a forgalombeállítások engedélyezésére annak érdekében, hogy megtalálja és blokkolja azon forgalmat, amely illesztőprogramokon, a NetBIOS-on vagy tokengyűrűkön keresztül kommunikál. Olyan beállításokat is megadhat, amellyel sokkal láthatatlanabb támadásokat is azonosíthat.

A forgalombeállítások a következő elemeket tartalmazzák:

• Illesztőprogram-szintű védelem engedélyezése (engedélyezett alapértelmezésként). Amikor ez a lehetőség engedélyezve van, bármely protokoll-illesztőprogram, mely a hálózatot éri el, alkalmazásnak minősül. A protokoll-illesztőprogramok dinamikusan engedélyezhetők vagy tilthatók le. Vegye figyelembe, hogy az Enable NetBIOS (NetBIOS engedélyezése) alapértelmezésben ki van kapcsolva. Amikor ez a lehetőség engedélyezve van, a tűzfal megakadályozza, hogy az ügyfélgép NetBIOS-csomagokat fogadjon a 88-as, a 137-es és a 138-as UDP, valamint a 135-ös, a 139-es, a 445-ös és az 1026-os TCP porton, ha azok olyan számítógépről érkeznek, amelyek egy másik alhálózaton van.
• Minden tokengyűrű-forgalom alapértelmezésként engedélyezve van. Amikor az ügyfélgépek egy tokengyűrű-adapteren keresztül kommunikálnak, ennek a lehetőségnek engedélyezve kell lennie egy tűzfalházirendben, hogy az ügyfélgép elérhesse a hálózatot.
• A DNS-visszakeresés engedélyezése alapértelmezésként be van kapcsolva. Amikor az ügyfélgép egy olyan IP-csomagot fogad, amelynek IP-címe ismeretlen, ez a lehetőség megengedi, hogy egy DNS-visszakeresési kérést küldjön az ügyfélgép, hogy feloldja a cím tartománynevét.
• MAC-hamisításvédelem engedélyezése alapértelmezésként ki van kapcsolva. Amikor ez a lehetőség be van kapcsolva, a MAC-hamisításvédelem megvédi a számítógépet attól, hogy egy másik számítógép törölje a MAC-címtáblát.

Lopakodásbeállítások
A lopakodásbeállítások megadásánál kompatibilitási problémák adódhatnak attól függően, hogy mi van engedélyezve. Egyes beállítások hatására hibásan jelenhetnek meg weboldalak. Más beállítások hatására az összes forgalom blokkolva lehet, ha nem kompatibilis NIC-kártya van telepítve. A forgalmi beállításokkal ellentétben a lopakodásbeállítások ki vannak kapcsolva.

A következő lopakodásbeállításokat adhatja meg:

• Lopakodásmódú webböngészés engedélyezése: Ez a beállítás minden olyan HTTP-forgalmat azonosít, amely egy böngészőből jön a 80-as porton, és eltávolít olyan információkat, mint a böngésző neve és verziószáma, az operációs rendszer, vagy hivatkozások a weboldalra. E beállítás megakadályozza, hogy webhelyek megtudják, milyen operációs rendszert és böngészőt használ a felhasználó.
• TCP-újraszekvenciálás: Ez a beállítás megakadályozza, hogy egy betolakodó kihasználja azt, hogy egy számítógép IP-címe meghamisítható a TCP-szekvencia véletlenszerűsítésével.
• OS-ujjlenyomat elmosása: Ez a beállítás megakadályozza, hogy az alkalmazások kiderítsék, milyen operációs rendszeren fut a SEP-ügyfélprogram. Ez a beállítás úgy a leghasznosabb, ha a TCP-újraszekvenciálás engedélyezve van. Az ügyfél módosítja a TTL-t (életben tartási időt) és a TCP/IP-csomagok azonosítóértékét, így más programok nem tudják kideríteni a csomagaláírások alapján, milyen operációs rendszer fut az ügyfélgépen.

Szabályfeldolgozás sorrendje
A következőkben azt láthatja, milyen sorrendben kerülnek a hálózatitámadás-védelem elemei feldolgozásra. Ezek az elemek forgalom- és lopakodásbeálíltásokat tartalmaznak:

• Először a egyéni behatolásvédelmi azonosítók kerülnek feldolgozásra.
• Ezután a behatolásmegelőzési beállítások, a forgalombeállítások és a lopakodásbeállítások lesznek feldolgozva.
• Ezt követik a fejlett szűrők és a tűzfalszabályok.
• Végül a LiveUpdate-en keresztül letöltött portvizsgálat-ellenőrzést és az IPS-azonosítókat dolgozza fel a rendszer.

Behatolásvédelem
A tűzfal után a behatolásvédelem (IPS) a második védelmi réteg. A behatolásvédelem egy hálózati alapú rendszer, mely minden számítógépen működik, amelyen az ügyfélprogram telepítve van, és amelyen az IPS engedélyezve van. Amikor egy ismert támadást észlel a rendszer, egy vagy több behatolásvédelmi technológia blokkolja azt.
Az ügyfélprogramok fejlett támadási azonosítókat tartalmaznak, melyek nagy valószínűséggel kiszűrik a behatolási kísérletet. Az ügyfélprogram rendelkezik egy alapos motorral is, amely nyomon követ minden bejövő és kimenő forgalmat. Az ügyfélprogram alapértelmezésként tartalmazza a behatolásvédelmi motort és a megfelelő támadásazonosító-készletet is.

Csak adott típusú behatolásvédelmi támadások blokkolhatók az ügyfélgépen. Ez a megadott beállításoktól függ. Például engedélyeznie kell az Enable Intrusion Prevention (Behatolásvédelem engedélyezése) beállítást ahhoz, hogy engedélyezze a Symantec IPS-azonosítómotort és az egyéni IPS-azonosítómotort.

A következő behatolásvédelmi beállításokat adhatja meg:

• Behatolásvédelem engedélyezése – Automatikusan azonosítja és blokkolj a hálózati támadásokat. Ha nem engedélyezi ezt a beállítást, az ügyfélgép figyelmen kívül hagyja az esetleges támadási azonosítókat.
• Szolgáltatáselutasítás (DoS) engedélyezése – Azonosítja a több csomagra épített támadásokat.
• Portvizsgálat-azonosítás engedélyezése – Figyeli az összes olyan bejövő csomagot, amelyet egy biztonsági szabály blokkolt.
• Támadó IP-címének automatikus blokkolása – Blokkolja egy támadótól érkező forgalmat egy megadott időre (alapértelmezésként 10 percre)

Vegye figyelembe, hogy ha vegyes vezérlést ad egy ügyfélgépnek, ezeket a beállításokat is engedélyeznie kell a Client/Server Control Settings (Ügyfél/kiszolgáló vezérlésbeállításai) párbeszédpanelen.

Hasznos tanács – Tűzfalházirendek alkalmazása saját hálózatában
Mielőtt egy tűzfalházirendet alkalmaznak teljes hálózatára, próbálja ki azt előbb egy olyan kisebb hálózaton vagy alhálózaton, amely hasonlít a teljes hálózatához. Ha lehetséges, akkor a házirendet előbb egy tesztkörnyezetben kellene kipróbálnia. A Symantec Endpoint Protection az alapértelmezett tűzfalházirendet egy alapnak szánja, amelyre felépítheti saját tűzfalát. A legtöbb esetben módosítania kell az alapértelmezett tűzfalházirendet, hogy megfeleljen saját hálózat architektúrájának és vállalata biztonságpolitikájának.

A tűzfal alapos vizsgálatai leegyszerűsítik a szabályok létrehozását és karbantartását, és lehetővé teszik az ügyfélgépek számára, hogy létrehozzák a szükséges kapcsolatot, ugyanakkor biztonságban is legyenek. A tűzfalházirend azon összetevői, amelyek nem tűzfalszabályokon alapulnak, szintén védelmet nyújtanak az ügyfélgépek számára. Ezek az összetevők a behatolásvédelem és a fejlett forgalomszűrés.

Amikor készen áll arra, hogy egy tűzfalházirendet hálózatára alkalmazzon, a következő lépéseket kövesse:

• Használja ki a behatolásvédelmet.
• A tűzfalházirendet alkalmazza egy kisebb alhálózatra.
• Kísérje figyelemmel a forgalmat naplók használatával.
• Finomhangolja a házirendeket a naplók információi alapján.
• Alkalmazza a módosított tűzfalházirendet a teljes hálózatra.

Behatolásvédelem engedélyezése és konfigurálása
Függetlenül attól, hogyan konfigurálja az egyéb hálózatifenyegetés-védelmi funkciókat, ügyfélgépét és kiszolgálóit megvédheti számos hálózati támadástól, ha engedélyezi a behatolásvédelmet. A behatolásvédelem egy hatékony módszer az ismert támadások kivédésére. Mivel az új támadásokhoz azonosítók készülnek, a számítógép megvédhető az IPS-azonosítók LiveUpdate-en keresztüli frissítésével. Ezenfelül létrehozhat egyéni behatolásvédelmi azonosítókat, melyeket a tűzfal elsőként dolgoz fel.

Tűzfalházirend alkalmazása
Lehet, hogy az alapértelmezett tűzfalházirend blokkolja az üzleti tevékenységhez fontos forgalmat. Ennek elkerüléséhez módosítania kell az alapértelmezett tűzfalházirendet úgy, hogy az megengedőbb legyen.
Ezt a következő módok egyikén teheti meg:

• Módosítson egy vagy több Block (Blokkolás) szabályt Permit (Engedélyezés) szabályra, és győződjön meg arról, hogy ezen szabályok Logging (Naplózás) beállításának értéke Write to the Traffic log (Feljegyzés a forgalmi naplóba), így minden egyes alkalommal, amikor ilyen adatforgalom zajlik, az bekerül a naplóba.
• Hozzon létre egy új szabályt(Permissive Rule (Engedélyező szabály)), és állítsa azt Permit (Engedélyezés) és Write to the Traffic log (Feljegyzés a forgalmi naplóba) értékűre. Tegye ezt az engedélyező szabályt a lista tetejére, így a tűzfal elsőként fogja feldolgozni azt.

Hálózati forgalom figyelése
A módosított tűzfalházirend alkalmazása után figyelemmel kísérheti és kielemezheti az ügyfélgépeken áthaladó forgalmat a Symantec Endpoint Protection Manager Console konzolból. A forgalmi naplókból az alkalmazások, a dátum és a szolgáltatás alapján megállapíthatja, melyik forgalmat kellene engedélyezni és melyiket blokkolni.

Tűzfalházirend finomhangolása
Miután megvizsgálta a forgalmi naplók információit, felhasználhatja azokat a tűzfalházirend módosításához. A tűzfalházirenden a Traffic and Stealth Settings (Forgalom- és lopakodásbeállítások) módosításával is lazíthat vagy szigoríthat, melyek egyes hálózati forgalmat engedélyeznek vagy tiltanak le.
Általában véve úgy szigoríthat a tűzfalházirenden, hogy korlátozza az alaklmazások hálózathoz való hozzáférését és azok elindulását. Ezt úgy teheti meg, hogy egyéni tűzfalszabályokat hoz létre egyes alkalmazások számára. Azonban vannak korlátozások is, mivel azon tűzfalszabályok, amelyek megakadályozzák, hogy egyes alkalmazások hozzáférjenek a hálózathoz, nem tiltják az alkalmazás futását. Ezért az eredmény eltérhet a kívánttól.
Egy másik módszer, mely hatékonyabb lehet, az Application Control (Alkalmazásvezérlés) házirendek használata. Egy ilyen házirenden keresztül blokkolható az alkalmazások futtatása.
A tűzfalházirend szigorítását fokozatosan végezze el. Például egyszerre egy-két alkalmazást blokkoljon, majd tesztelje le a házirendet. Ha nem jelentkeznek problémák, szükség szerint tovább szigoríthatja azt.

A módosított tűzfalházirendet alkalmazása a teljes hálózatra
Miután befejezte a tűzfalházirend módosítását a forgalmi naplókból származó hálózati információk és a környezeti tesztek alapján, kiterjesztheti azt a teljes hálózatra úgy, hogy szinte biztos lehet abban, hogy a tűzfal megvédi az összes ügyfélgépet, és átengedi a szükséges hálózati forgalmat.

További források
A Symantec Endpoint Protection ügyféltűzfaláról és alkalmazásvezérléséről további információkat a Symantec Endpoint Protection Administration Guide (rendszergazdai útmutató) és a Symantec Endpoint Protection Client Guide (ügyféloldali útmutató) kiadványokban talál.

Referenciahivatkozások
Ez a dokumentum a következő nyelveken érhető el:

• Brazilian-Portuguese: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/br_docid/20080818101143935
• French: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/fr_docid/20080818101217935
• German: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/de_docid/20080818101244935
• Italian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/it_docid/20080818101305935
• Polish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/pl_docid/20080818101329935
• Russian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/ru_docid/20080818101422935
• Czech: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/cz_docid/20080818101448935
• Spanish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/es_docid/20080818101516935

Dokumentum-azonosító: 20080818101356935
Utolsó módosítás: 10/29/2008
A létrehozás dátuma 08/18/2008
Termék(ek): Endpoint Protection 11

Oldaltérkép · Jogi nyilatkozatok · Adatvédelmi szabályzat · Kapcsolatfelvétel · Globális weboldalak · Licencszerződések