Ten dokument jest tłumaczeniem z języka angielskiego. Możliwe, że po przetłumaczeniu i opublikowaniu tego dokumentu dokonano aktualizacji oryginalnej wersji angielskiej. Firma Symantec nie gwarantuje dokładności w zakresie kompletności tłumaczenia.
Rozwiązanie:
Wprowadzenie
Gdy komputery znajdujące się w sieci prywatnej łączą się z Internetem, fizycznie łączą swoją sieć z niezliczonymi nieznanymi sieciami. Większość połączeń nie stwarza żądanego zagrożenia dla komputera ani sieci, ale zdarzają się też osobnicy, tacy jak hackerzy i „script kiddies”, którzy próbują zinfiltrować sieć, wykorzystując niechronione komputery. Udany atak może doprowadzić do ujawnienia tajnych informacji, zakłócenia pracy, a w konsekwencji do utraty dobrego imienia i wartości marki.
Zapory instalowane w systemach końcowych chronią przed takimi atakami, tworząc barierę między komputerami a sieciami zewnętrznymi, włącznie z Internetem. Ten dokument koncentruje się na składniku Ochrona przed zagrożeniami sieciowymi (czyli zaporze klienckiej) programu Symantec™ Endpoint Protection, a konkretnie na zastosowaniach zapory klienckiej, elementach zasady zapory, sposobie przetwarzania reguł zapory i sprawdzonych metodach wdrażania zasady zapory w sieci.
Wyzwania związane z konfigurowaniem zapory klienckiej
Zapory są dokładnie tak skuteczne, jak wymuszane przez nie zasady. Źle skonstruowana zasada umożliwia dostęp napastnikom, zarazem utrudniając zaufanym źródłom dostęp do niezbędnych zasobów. Przed skonfigurowaniem zapory klienckiej należy zapoznać się ze sposobem, w jaki zapora przetwarza reguły, zasadami tworzenia skutecznych reguł (zapewniających ochronę bez obniżania wydajności) i interakcjami zapory z innymi składnikami programu Symantec Endpoint Protection.
Do czego służy program Symantec Endpoint Protection 11.0 i funkcja Ochrona przed zagrożeniami sieciowymi?
Program Symantec Endpoint Protection 11.0 chroni komputery końcowe przed wirusami i zagrożeniami bezpieczeństwa oraz zapewnia trzy warstwy ochrony. Warstwy te to ochrona przed zagrożeniami sieciowymi, zapobieganie zagrożeniom i ochrona przed wirusami oraz programami typu spyware. Funkcja ochrony przed zagrożeniami sieciowymi blokuje dostęp zagrożeń do komputera, używając reguł i sygnatur. Funkcja zapobiegania zagrożeniom eliminuje zagrożenia, wykrywając je na podstawie ich działania. Funkcja ochrony przed wirusami i programami typu spyware, wykorzystując sygnatury tworzone przez firmę Symantec, wykrywa i eliminuje zagrożenia, które próbują uzyskać dostęp lub uzyskały dostęp do komputerów. Zapora kliencka programu Symantec Endpoint Protection tworzy barierę między komputerem użytkownika a siecią zewnętrzną. Zapora kliencka uniemożliwia nieautoryzowanym użytkownikom dostęp do komputerów i sieci łączących się z Internetem, wykrywa ewentualne ataki hakerów, chroni dane osobiste użytkowników i eliminuje niepożądane źródła ruchu w sieci. Zapora chroni również sieć przed zagrożeniami i destrukcyjnym oprogramowaniem, które próbuje rozprzestrzenić się w sieci, na przykład przed botami. Wszystkie informacje przychodzące i wychodzące z komputera klienckiego muszą przejść przez zaporę kliencką, która analizuje pakiety danych. Zapora kliencka blokuje pakiety nie spełniające określonych kryteriów bezpieczeństwa.
Zasady zapory
Zasady zapory składają się z reguł stosowanych w celu zezwalania lub blokowania użytkownikom dostępu do sieci. Zasady zapory obejmują następujące elementy:
- Reguły zapory
- Stanowa analiza pakietów
- Numer priorytetu reguły
- Typ kontroli
- Domyślne reguły zapory
- Inteligentne filtrowanie ruchu
- Ustawienia NetBIOS i Token Ring
- Ustawienia ukrywania
Reguły zapory
Reguły zapory określają sposób ochrony komputera klienckiego przed destrukcyjnym ruchem przychodzącym i wychodzącym oraz destrukcyjnymi aplikacjami. Reguły zapory mogą uczynić komputer niewidocznym w Internecie, chronią użytkowników zdalnych przed atakami hakerów oraz uniemożliwiają hakerom uzyskanie dostępu do sieci firmowej „tylnymi drzwiami” za pośrednictwem tych komputerów.
Inteligentne filtrowanie ruchu zezwala na określone typy ruchu, takie jak ruch DHCP, DNS i WINS, wymagane w większości sieci. Przykłady ustawień ruchu i ukrywania, które umożliwiają dodatkowe funkcje obsługi ruchu, to ochrona na poziomie sterowników, ochrona protokołu NetBIOS, ruch protokołu Token Ring, odwrotna translacja adresów DNS i ustawienia trybu ukrywania. Reguła zapory opisuje warunki, w jakich połączenie sieciowe może zostać dozwolone lub zablokowane.
Do definiowania kryteriów reguły zapory służą następujące składniki zapory:
- Wyzwalacze — aplikacje, hosty, protokoły i karty sieciowe. Definicje wyzwalające można łączyć, aby utworzyć bardziej złożone reguły, na przykład w celu identyfikowania określonego protokołu w odniesieniu do określonego adresu docelowego. Gdy zapora analizuje regułę, wszystkie wyzwalacze muszą zwracać wartość true, aby dopasowanie było pozytywne. Jeśli żaden z wyzwalaczy nie zwróci wartości true w odniesieniu do bieżącego pakietu, zapora nie może zastosować reguły.
Do definiowania kryteriów reguły zapory służą następujące składniki zapory:
- Parametry warunkowe — nie opisują aspektu połączenia sieciowego. Parametry warunkowe określają natomiast kryteria definiujące aktywny stan reguły. Parametry warunkowe są opcjonalne, i jeśli nie zostały zdefiniowane, nie mają znaczenia. Gdy parametry te są zdefiniowane, mają bezpośredni wpływ na postrzegany stan reguły. Można zdefiniować harmonogram lub określić stan wygaszacza ekranu, który będzie określał, kiedy dana reguła ma być uważana za aktywną lub nieaktywną. Zapora nie analizuje nieaktywnych reguł, gdy odbiera pakiety.
- Parametry działania — określają działania, które ma podjąć zapora po pomyślnym dopasowaniu reguły. Jeśli reguła zostanie wybrana w odpowiedzi na odebrany pakiet, zapora wykona wszystkie działania. Pakiet zostanie przepuszczony lub odrzucony i ewentualnie zarejestrowany (w zależności od konfiguracji ustawień).
Stanowa analiza pakietów
Zapora stosuje stanową analizę pakietów. Stanowa analiza pakietów to proces śledzący aktualnie dozwolone połączenia. Połączenie jest identyfikowane na podstawie niepowtarzalnej kombinacji docelowego adresu IP, portów i aplikacji.
Klient podejmuje decyzje dotyczące ruchu na podstawie tych informacji o połączeniu. Jeśli nowo odebrany pakiet odpowiada istniejącemu dozwolonemu połączeniu, nie przechodzi przez proces porównania z regułami. Pakiet jest automatycznie przepuszczany. Co ważniejsze, stanowa analiza pakietów umożliwia uproszczenie bazy reguł. Dla ruchu inicjowanego tylko w jednym kierunku nie trzeba tworzyć reguł zezwalających na ruch w obu kierunkach. Ruch generowany przez klienta inicjowany zazwyczaj w jednym kierunku to ruch protokołów Telnet (port 23), HTTP (port 80), HTTPS (port 443) i FTP (port 21). Dla tych protokołów wystarczy utworzyć tylko regułę ruchu wychodzącego, odpowiedź jest automatycznie przepuszczana przez klienta Symantec Endpoint Protection.
Priorytety reguł zapory
Numer priorytetu jest automatycznie przypisywany każdej regule w tabeli zapory. Numer reguły określa kolejność jej przetwarzania. Zapora kliencka programu Symantec Endpoint Protection przetwarza zestaw reguł zapory w kolejności, od reguły numer jeden.
Istotność reguły (od zera do piętnastu) określa, jak ważna jest wyzwolona reguła:
- Krytyczne
- Poważne
- Drobne
- Informacje
Reguły nie są w żaden sposób łączone logicznie, a zapora nie stosuje algorytmu najlepszego dopasowania. Upraszcza to projektowanie zestawu reguł i rozwiązywanie problemów, ponieważ nie trzeba brać pod uwagę logiki wyboru reguł — wystarcza proste dopasowanie ruchu.
Zestaw reguł zapory zawiera niebieską linię rozdzielającą:
Administratorzy systemu, mający pełny dostęp, mogą modyfikować reguły o najwyższym priorytecie, znajdujące się ponad niebieską linią.
Użytkownicy klientów pracujących w trybie kontroli mieszanej mogą czasami modyfikować reguły o niższym priorytecie, znajdujące się pod niebieską linią.
Typ kontroli
Reguły są klasyfikowane jako reguły serwera lub klienta: reguły serwera są tworzone na serwerze zarządzania i pobierane na klienta. Reguły klienta to reguły tworzone przez użytkownika na kliencie.
Poniżej przedstawiono relację między poziomem kontroli użytkownika klienta a interakcją użytkownika z regułami zapory:
- W trybie kontroli serwera klient otrzymuje reguły serwera, lecz użytkownik nie może ich wyświetlić. Użytkownik nie może tworzyć reguł klienta.
- W trybie kontroli mieszanej klient otrzymuje reguły serwera, a użytkownik może je wyświetlić w oknie dialogowym Reguły zapory. Użytkownik może również tworzyć reguły, które są scalane z istniejącymi regułami. Niemniej jednak, reguły klienta są umieszczane pod niebieską linią i mają niższy priorytet.
- W trybie kontroli klienta klient ma pełną kontrolę. Umożliwianie użytkownikom pracy w trybie kontroli mieszanej lub kontroli klienta należy stosować z dużą ostrożnością.
W przypadku klientów z kontrolą mieszaną zapora przetwarza reguły serwera i reguły klienta w określonej kolejności. Najpierw przetwarzane są reguły serwera o wyższych priorytetach. Następnie przetwarzane są reguły klienta, a na końcu reguły serwera o niższym priorytecie.
Konfigurowanie klienta w trybie kontroli mieszanej nie jest zalecane, ponieważ użytkownik może utworzyć regułę klienta zezwalającą na cały ruch i reguła ta wyłączy wszystkie reguły serwera znajdujące się pod niebieską linią.
Domyślne reguły zapory
Zapora jest instalowana z regułami domyślnymi, klasyfikowanymi jako Zezwalaj, Odrzucaj, Blokuj i rejestruj lub Tylko rejestruj.
Reguły z kategorii Zezwalaj obejmują pofragmentowane pakiety oraz protokół Wireless Extensible Authentication Protocol Over LANS (Wireless EAPOL). Protokół Wireless EAPOL jest aktualnie zdefiniowany dla sieci LAN podobnych do Ethernetu, takich jak bezprzewodowa sieć 802.1x, a także sieci LAN typu Token Ring (takich jak FDDI). Dozwolone są także sterownik dostępu zdalnego i routingu ARP firmy Microsoft, wszystkie aplikacje firmowe generujące ruch wychodzący oraz wychodzące żądania ping, pong, tracert i VPN.
Reguły z kategorii Odrzucaj obejmują blokowanie protokołów IPv6 i IPv6 over IPv4, lokalnego udostępniania lików oraz administracji zdalnej.
Reguły z kategorii Rejestruj to reguły: Nie rejestruj ruchu emisji i multiemisji, Blokuj i rejestruj ruch TCP/IP oraz Blokuj cały inny ruch.
Inteligentne filtrowanie ruchu
Inteligentne filtrowanie ruchu umożliwia używanie niezbędnych usług sieciowych bez definiowania reguł jawnie zezwalających na te usługi.
Inteligentne filtry są domyślnie włączone i zdefiniowane dla następujących usług:
Inteligentne filtry są stosowane przed regułami zapory, co oznacza, że wszystkie pakiety zgodne z aktywnym wystąpieniem inteligentnego filtru są przepuszczane. Wszystkie inne są odrzucane. Żądanie DHCP, DNS lub WINS musi pochodzić z komputera klienckiego, a odpowiedź musi nastąpić w ciągu predefiniowanego pięciosekundowego okresu. Serwer wysyła odpowiedź, której poprawność jest weryfikowana na podstawie oryginalnego żądania klienta.
Filtr Smart DHCP umożliwia normalną emisję komunikatów DHCP bez definiowania reguły. Komunikaty DHCP klienta należy skonfigurować, aby uzyskiwać automatycznie adres IP.
Sposób obsługi wymiany komunikatów DHCP przez mechanizm inteligentnego filtrowania:
- Klient wykonuje emisję komunikatu DHCP Discover. Wysłanie tego komunikatu powoduje utworzenie nowego inteligentnego filtru.
- Serwer musi odpowiedzieć komunikatem OFFER w odpowiednim, pięciosekundowym oknie. Należy pamiętać, że każde połączenie inteligentnego filtru ma pięciosekundowy limit czasu.
- Następnie klient wykonuje emisję komunikatu DHCP Request, co powoduje utworzenie następnego inteligentnego filtru, a serwer musi odpowiedzieć komunikatem ACKNOWLEDGEMENT w odpowiednim, pięciosekundowym oknie.
Dla interfejsu, przez który wysyłane są żądania DNS, należy skonfigurować w ustawieniach TCP/IP podstawowy i (opcjonalnie) pomocniczy serwer DNS. Serwer podstawowy i pomocniczy można skonfigurować ręcznie albo odbierać z serwera DHCP. Dozwolone są jedynie żądania inicjowane przez klienta i wysyłane na adres określonego podstawowego lub pomocniczego serwera DNS. Wszystkie inne żądania DNS są automatycznie odrzucane.
Filtr Smart WINS umożliwia korzystanie z usługi WINS. Konieczne jest skonfigurowanie żądań WINS do używania rozpoznawania nazw WINS w zaawansowanych ustawieniach TCP/IP. W odróżnieniu od usługi DNS, która jest ograniczona do podanego serwera podstawowego i pomocniczego, można zdefiniować dowolną liczbę serwerów WINS. Dozwolone są jedynie żądania inicjowane przez klienta i wysyłane na adres predefiniowanego serwera WINS. Wszystkie inne żądania WINS są automatycznie odrzucane. Żądanie klienta powoduje dodanie do listy nowego inteligentnego filtru, co definiuje pięciosekundowe okno odpowiedzi na dane żądanie. Oczekiwany serwer musi odpowiedzieć, a odpowiedź musi zostać odebrana w określonym czasie. Prawidłowość treści odpowiedzi jest sprawdzana również przy użyciu oryginalnego żądania. Nieprawidłowe odpowiedzi są ignorowane.
Ustawienia NetBIOS i Token Ring
Ustawienia ruchu na komputerze klienckim można ustawić tak, aby wykrywać i blokować ruch odbywający się za pośrednictwem sterowników, protokołu NetBIOS oraz Token Ring. Można również skonfigurować ustawienia tak, aby był wykrywany ruch wykorzystujący mniej widoczne metody ataku.
Dostępne są następujące ustawienia ruchu:
- Włącz ochronę na poziomie sterowników, opcja włączona domyślnie. Gdy opcja ta jest włączona, każdy sterownik protokołu uzyskujący dostęp do sieci jest widziany jako aplikacja sieciowa. Sterowniki protokołów można blokować lub przepuszczać dynamicznie. Należy zauważyć, że opcja Włącz ochronę systemu NetBIOS nie jest domyślnie włączona. Gdy ta opcja jest włączona, zasada zapory uniemożliwia klientowi odbieranie pakietów NetBIOS pochodzących z komputerów znajdujących się w innej podsieci na portach UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 i TCP 1026.
- Opcja Zezwalaj na ruch Token Ring jest domyślnie włączona. Gdy klienci komunikują się za pomocą karty typu Token Ring, opcja ta musi być włączona w zasadzie zapory, aby klient mógł uzyskać dostęp do sieci.
- Opcja Włącz odwrotną translację adresu DNS jest domyślnie włączona. Gdy klient przechwytuje pakiet protokołu IP o nieznanym adresie IP, opcja ta umożliwia wysłanie żądania DNS w celu próby rozpoznania nazwy domeny źródłowej.
- Opcja Włącz przeciwdziałanie fałszowaniu adresów MAC jest domyślnie wyłączona. Gdy opcja ta jest włączona, funkcja przeciwdziałania fałszowaniu adresów MAC chroni komputer użytkownika przed możliwością zresetowania tabeli adresów MAC przez inny komputer.
Ustawienia ukrywania
W razie konfigurowania ustawień ukrywania problemy ze zgodnością zależą od włączonych ustawień. Niektóre ustawienia mogą powodować nieprawidłowe generowanie stron internetowych. Inne ustawienia mogą powodować blokowanie całego ruchu, gdy zainstalowana jest niezgodna karta NIC. W odróżnieniu od ustawień ruchu, wszystkie ustawienia ukrywania są wyłączone.
Można skonfigurować następujące ustawienia ukrywania:
- Włącz tryb ukrywania przeglądania Internetu: to ustawienie wykrywa cały ruch HTTP z przeglądarki internetowej na porcie 80 i usuwa z niego informacje takie, jak nazwa i wersja przeglądarki, informacje o systemie operacyjnym i o stronie odsyłającej. Dzięki temu witryny internetowe nie uzyskują informacji o przeglądarce ani systemie operacyjnym klienta.
- Włącz zmianę sekwencji TCP: to ustawienie uniemożliwia napastnikowi podszycie się pod adres IP komputera, gdyż zmienia losowo numery kolejne TCP.
- Włącz maskowanie niepowtarzalnego identyfikatora systemu operacyjnego: to ustawienie uniemożliwia programom wykrywanie systemu operacyjnego komputera klienta Symantec Endpoint Protection. Ustawienie to działa najskuteczniej przy włączonym mechanizmie zmiany sekwencji TCP. Klient zmienia czas TTL i wartość identyfikatora pakietów TCP/IP, aby uniemożliwić innym programom identyfikację systemu operacyjnego przy użyciu sygnatur pakietów.
Kolejność przetwarzania reguł
Poniżej przedstawiono kolejność przetwarzania wszystkich elementów funkcji Ochrona przed zagrożeniami sieciowymi. Elementy te obejmują ustawienia ruchu i trybu ukrywania:
- Najpierw przetwarzane są sygnatury niestandardowego systemu zapobiegania włamaniom.
- Następnie przetwarzane są ustawienia systemu zapobiegania włamaniom, ruchu i trybu ukrywania.
- Następnie przetwarzane są inteligentne filtry ruchu i reguły zapory.
- Na koniec przetwarzane jest sprawdzanie skanowania portów i sygnatury systemu zapobiegania włamaniom pobrane za pomocą usługi LiveUpdate.
Zapobieganie włamaniom
System zapobiegania włamaniom to druga po zaporze warstwa ochrony klienta. System zapobiegania włamaniom to system sieciowy działający na każdym komputerze, na którym zainstalowano klienta i włączono funkcję zapobiegania włamaniom. W przypadku wykrycia znanego ataku jedna lub więcej technologii zapobiegania włamaniom może go automatycznie zablokować.
Klient zawiera inteligentne sygnatury ataku, które zazwyczaj nie dopuszczają do włamania. Klient zawiera również mechanizm analizy stanowej, śledzący cały ruch przychodzący i wychodzący. Klient zawiera domyślnie mechanizm systemu zapobiegania włamaniom i odpowiedni zestaw sygnatur ataków.
Określone typy ataków na klienta można blokować, w zależności od wybranej technologii zapobiegania włamaniom. Konieczne jest na przykład włączenie ustawienia Włącz funkcję Zapobieganie włamaniom, aby umożliwić włączenie mechanizmu opartego na sygnaturach firmy Symantec i na sygnaturach niestandardowych.
Można skonfigurować następujące ustawienia funkcji Zapobieganie włamaniom:
- Włącz funkcję Zapobieganie włamaniom — automatycznie wykrywa i blokuje ataki sieciowe. Jeśli ustawienie nie zostanie włączone, klient będzie ignorować sygnatury możliwych ataków.
- Włącz wykrywanie ataków typu odmowa obsługi — wykrywanie identyfikujące znane ataki oparte na wielu pakietach.
- Włącz wykrywanie skanowania portów — monitoruje wszystkie pakiety wychodzące zablokowane przez dowolną regułę zabezpieczeń.
- Automatycznie blokuj adres IP atakującego — blokuje ruch sieciowy od napastnika przez skonfigurowany czas (domyślnie 10 minut).
Aby skonfigurować te ustawienia na kliencie w trybie kontroli mieszanej, należy je również włączyć w oknie dialogowym Ustawienia kontroli klient/serwer.
Sprawdzona metoda — stosowanie zasad zapory w sieci
Przed zastosowaniem zasady zapory do całej sieci należy wypróbować ją najpierw, stosując zasadę do małego, reprezentatywnego dla sieci podzestawu klientów. Jeśli to możliwe, należy najpierw zastosować zasadę w środowisku testowym. Program Symantec Endpoint Protection zawiera domyślną zasadę zapory, którą można użyć jako podstawy własnej zasady. W większości przypadków w domyślnej zasadzie zapory należy wprowadzić modyfikacje odpowiednie do architektury sieci i firmowych zasad zabezpieczeń.
Funkcja stanowej analizy upraszcza tworzenie i konserwację reguł zapory, zarazem umożliwiając komputerom klienckim wykonywanie niezbędnych połączeń i zapewniając im ochronę. Składniki zasady zapory nie oparte na regułach zapory również chronią komputery klienckie. Składniki te to system zapobiegania włamaniom i inteligentne filtry ruchu.
Przed zastosowaniem gotowej zasady zapory do sieci warto wykonać następujące czynności:
- Zastosowanie systemu zapobiegania włamaniom
- Zastosowanie zasady zapory do małego podzestawu komputerów
- Monitorowanie ruchu sieciowego za pomocą dzienników
- Zoptymalizowanie zasad na podstawie zgromadzonych w dziennikach informacji o sieci
- Zastosowanie zmodyfikowanej zasady zapory do sieci
Włączanie i konfigurowanie funkcji Zapobieganie włamaniom
Bez względu na sposób konfiguracji innych funkcji ochrony przed zagrożeniami sieciowymi, klientów i serwery można uchronić przed wieloma atakami sieciowymi, włączając funkcję Zapobieganie włamaniom. Funkcja Zapobieganie włamaniom to skuteczna metoda blokowania znanych ataków. Zaktualizowane sygnatury ataków można pobierać za pomocą usługi LiveUpdate, aby chronić komputery przed nowymi atakami. Ponadto można utworzyć sygnatury niestandardowego systemu zapobiegania włamaniom, które są przetwarzane przez zaporę w pierwszej kolejności.
Zastosowanie zasady zapory
Domyślna zasada zapory może blokować ruch niezbędny do codziennego działania firmy. Aby uniknąć takiej sytuacji, należy zmodyfikować domyślną zasadę.
Zasadę domyślną można złagodzić za pomocą następujących modyfikacji:
- Zmiany niektórych lub wszystkich domyślnych reguł blokujących na reguły zezwalające i ustawienia dla nich opcji Rejestrowanie – Zapisz w dzienniku ruchu, aby rejestrować każde zdarzenie dopasowania tych reguł.
- Utworzenia nowej reguły (zezwalającej) i ustawienia dla niej działań Zezwalaj oraz Zapisz w dzienniku ruchu. Tę regułę zezwalającą należy przenieść na początek listy reguł zapory, aby była przetwarzana jako pierwsza.
Monitorowanie ruchu w sieci
Po zastosowaniu zmodyfikowanej zasady zapory ruch przechodzący przez komputery klienckie warto monitorować i analizować za pomocą konsoli programu Symantec Endpoint Protection Manager. Na podstawie dzienników ruchu można określić, który ruch należy dopuszczać lub blokować w zależności od aplikacji, pory dnia lub usługi.
Optymalizacja zasady zapory
Po przeanalizowaniu danych z dzienników ruchu można zmodyfikować zasadę zapory. Można również zwiększyć lub zmniejszyć restrykcyjność zasady zapory, konfigurując ustawienia ruchu i ukrywania w celu umożliwienia lub zablokowania niektórych typów ruchu sieciowego.
Restrykcyjność zasady zapory można zwiększyć, ograniczając dostęp aplikacji do sieci lub ich uruchamianie. Można w tym celu utworzyć niestandardowe reguły zapory dla określonych aplikacji. Metoda ta ma jednak swoje ograniczenia, ponieważ reguły zapory blokujące dostęp do sieci określonym aplikacjom nie uniemożliwiają ich uruchamiania. Efekty mogą być więc inne niż zamierzone.
Inną ewentualną metodą, być może skuteczniejszą, jest użycie zasady kontroli aplikacji. Za pomocą zasady kontroli aplikacji można blokować wykonywanie aplikacji.
Restrykcyjność zasady należy zwiększać stopniowo. Można na przykład blokować po jednej lub dwie aplikacje naraz, a następnie testować zasadę. Jeśli nie wystąpią problemy, można kontynuować zwiększanie restrykcyjności zasady.
Zastosowanie zmodyfikowanej zasady zapory do całej sieci
Po ukończeniu modyfikowania zasady zapory na podstawie danych z dzienników ruchu i testów środowiskowych można ją zastosować do całej sieci, mając dużą pewność, że zapora będzie chronić komputery klienckie i zezwalać na niezbędny ruch sieciowy.
Dodatkowe zasoby
Więcej informacji na temat funkcji zapory klienckiej i kontroli aplikacji programu Symantec Endpoint Protection zawiera Podręcznik administratora programu Symantec Endpoint Protection i Podręcznik klienta programu Symantec Endpoint Protection.
Odsyłacze
Ten dokument jest dostępny w następujących językach:
Produkty i
usługi
WYDRUKUJ TO ROZWIĄZANIE
OCEŃ TO ROZWIĄZANIE