|
Включить Smart DHCP
|
Разрешает передачу только исходящих запросов DHCP и входящих
ответов DHCP. Кроме того, Smart DHCP допускает обновление DHCP.
Вместо применения этого параметра для работы с DHCP можно
настроить правило брандмауэра, разрешающее передачу трафика UDP
через порты 67 (bootps) и 68 (bootpc).
Протокол DHCP применяется для присвоения динамических IP-адресов
сетевым устройствам. Каждый раз, когда устройство подключается к
корпоративной сети, ему присваивается новый динамический IP-адрес.
DHCP поддерживает как статические, так и динамические IP-адреса.
Применение динамических адресов упрощает администрирование сети,
так как IP-адреса присваиваются автоматически. В остальных случаях
администратору приходится вручную присваивать уникальный IP-адрес
при каждом добавлении компьютера в корпоративную сеть. В случае
перемещения клиента из одной подсети в другую DHCP вносит
необходимые изменения в его конфигурацию IP.
|
|
Включить Smart DNS
|
Разрешает передачу исходящих запросов назначенным серверам DNS и
прием ответов от этих серверов.
Если ответ на запрос DNS приходит в течение пяти секунд, то
передача данных разрешается. Все прочие пакеты DNS отклоняются.
Такжде для работы с DNS можно настроить правило брандмауэра,
разрешающее передачу трафика UDP на удаленный порт 53 (domain).
|
|
Включить Smart WINS
|
Разрешает передачу исходящих запросов назначенным серверам WINS
и прием ответов от этих серверов.
Если ответ на запрос WINS приходит в течение пяти секунд, то
передача данных разрешается. Все прочие пакеты WINS
отклоняются.
Вместо применения этого параметра для работы с WINS можно
настроить правило брандмауэра, разрешающее передачу пакетов UDP на
удаленный порт 137.
WINS предоставляет распределенную базу данных имен NetBIOS
компьютеров и групп, настроенных в сети. WINS применяется для
преобразования имен NetBIOS в IP-адреса. WINS применяется для
преобразования имен NetBIOS в иерархических сетях, использующих
протокол NetBIOS для TCP/IP. Применение имен NetBIOS являлось
обязательным для работы с сетевыми службами в старых операционных
системах Microsoft. Помимо TCP/IP протокол имен NetBIOS совместим с
рядом сетевых протоколов, в том числе NetBEUI и IPX/SPX. Однако
WINS специально разработан для поддержки NetBIOS в TCP/IP (NetBT).
WINS упрощает управление пространством имен NetBIOS в сетях на базе
TCP/IP.
|
|
Включить защиту NetBIOS
|
Блокирует трафик NetBIOS, поступающий от внешнего шлюза.
Этот параметр позволяет разрешить совместный доступ к папкам и
принтерам локальной сети в сетевом окружении, но защитить компьютер
от использования NetBIOS из внешней сети. Он блокирует пакеты
NetBIOS, отправленные с IP-адресов, которые не входят в диапазоны
внутренних адресов ICANN. Внутренние адреса ICANN включают в себя
адреса 10.x.x.x, 172.16.x.x, 192.168.x.x и 169.254.x.x, за
исключением подсетей 169.254.0.x и 169.254.255.x. Пакеты NetBIOS
включают UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 и TCP
1026.
|
Примечание:
|
Защита NetBIOS может привести к ошибкам в
работе приложения Microsoft Outlook, если компьютер клиента
подключается к серверу Microsoft Exchange, расположенному в другой
подсети. Для решения этой проблемы создайте правило брандмауэра,
явно разрешающее доступ к этому серверу.
|
|
|
Разрешить трафик Token Ring
|
Разрешает доступ к сети компьютерам клиентов, которые
подключаются через адаптер Token Ring (независимо от правил
брандмауэра, настроенных на клиенте).
Если этот параметр будет выключен, то в корпоративную сеть не
будет передаваться никакой трафик с компьютеров, использующих
адаптер Token Ring. Брандмауэр не поддерживает фильтрацию трафика
Token Ring. Он либо разрешает весь трафик Token Ring, либо
блокирует весь трафик.
|
|
Включить защиту от имитации MAC-адреса
|
Разрешает обмен пакетами ARP только с определенным хостом. Весь
остальной трафик ARP блокируется и регистрируется в журнале
безопасности.
Некоторые хакеры используют технику имитации MAC-адреса для
подмены сеанса связи между компьютерами. MAC-адреса - это
аппаратные адреса, идентифицирующие компьютеры, серверы,
маршрутизаторы и другие устройства. Если компьютеру A требуется
подключиться к компьютеру B, он может отправить ему пакет ARP.
Защита от имитации MAC-адреса позволяет предотвратить сброс
таблицы MAC-адресов с другого компьютера. Если компьютер отправляет
сообщение ARP REQUEST, то клиент разрешает прием ответного
сообщения ARP RESPOND в течение 10 секунд после отправки запроса.
Все сообщения ARP RESPOND, отправленные не в ответ на запрос,
клиент блокирует.
|
|
Разрешить отслеживание сетевых приложений
|
Разрешает клиенту отслеживание изменений сетевых приложений,
работающих на клиентском компьютере.
Сетевые приложения принимают и отправляют данные. Клиент
отслеживает изменения содержимого приложения.
|
|
Блокировать весь трафик, когда брандмауэр не работает
|
Блокирует весь исходящий и входящий трафик на компьютере, когда
брандмауэр по какой-либо причине не работает.
Компьютер не защищен:
В эти небольшие отрезки времени безопасность не обеспечивается и
существует возможность несанкционированной передачи данных. Данный
параметр позволяет запретить приложениям несанкционированно
подключаться к другим компьютерам.
|
Примечание:
|
Если защита от угроз из сети выключена, то
клиент игнорирует этот параметр.
|
|
|
Разрешить начальный трафик DHCP и NetBIOS
|
Разрешает начальный обмен данными, необходимый для установления
соединения с сетью. Эти данные включают в себя начальный трафик
DHCP и NetBIOS, позволяющий клиенту получить IP-адрес.
|
|
Параметры трафика IP, для которого не найдено ни одного
правила
|
Управляет входящим и исходящим трафиком IP, который не
соответствует правилам брандмауэра. Трафик IP включает пакеты
данных, которые перемещаются по IP-сетям и используют протоколы
TCP, UDP и ICMP. Типы трафика IP - приложения, почтовые сообщения,
передача файлов, программы проверки связи и веб-передачи.
Для настройки доступны следующие параметры трафика IP:
-
Разрешить трафик IP
Разрешает весь входящий и исходящий трафик, если иное не указано
в правиле брандмауэра. Например, если включено правило брандмауэра,
которое блокирует трафик VPN, брандмауэр разрешает весь трафик,
кроме трафика VPN.
-
Разрешить только трафик приложения
Разрешает исходящий и входящий трафик приложений и блокирует
трафик, не связанный с приложениями. Например, брандмауэр разрешает
Internet Explorer, но блокирует трафик VPN, если иное не указано в
правиле брандмауэра.
-
Спрашивать перед разрешением трафика приложения
Отображает сообщение, в котором спрашивается, разрешить или
заблокировать приложение. Например, можно выбрать, следует ли
блокировать файлы мультимедиа. Либо можно скрыть рассылки из
процесса NTOSKRNL.DLL. Процесс NTOSKRNL.DLL может указывать на
программу-шпиона, поскольку такие программы часто загружают и
устанавливают процесс NTOSKRNL.DLL.
|
|
Включить режим скрытого просмотра веб-страниц
|
Обнаруживает трафик HTTP из веб-браузера через любой порт и
удаляет следующую информацию: имя и номер версии браузера,
операционную систему и ссылочную веб-страницу. Это не позволяет
другим веб-сайтам узнать тип операционной системы и веб-браузера
локального компьютера. Трафик HTTPS (SSL) не обрабатывается.
|
Предупреждение!
|
Применение режима скрытого просмотра
веб-страниц может привести к ошибкам в работе некоторых веб-сайтов.
Отдельные веб-серверы создают веб-страницы в динамическом режиме на
основе информации о веб-браузере. Поскольку в этом режиме сведения
о браузере скрыты, отдельные веб-страницы могут отображаться
неправильным образом. В скрытом режиме сигнатура веб-браузера
HTTP_USER_AGENT заменяется на шаблон сигнатуры в заголовке запроса
HTTP.
|
|
|
Включить переупорядочение TCP
|
Предотвращает подмену или имитацию IP-адреса.
Злоумышленники используют подмену IP-адреса для нападения на
сеанс связи между компьютерами, например компьютерами A и B.
Злоумышленник может отправить пакет данных, после получения
которого компьютер A разорвет соединение. После этого злоумышленник
занимает место компьютера A и пытается атаковать компьютер B. В
целях защиты компьютера предусмотрена возможность рандомизации
порядковых номеров TCP.
|
Примечание:
|
Маскировка операционной системы работает
наиболее эффективно, когда включено упорядочение TCP.
|
|
Предупреждение!
|
Упорядочение TCP предусматривает изменение
порядкового номера TCP в ходе работы службы клиента. Порядковые
номера работающей и неработающей службы различаются. Поэтому
сетевые соединения прерываются при запуске или остановке службы
брандмауэра. Пакеты TCP/IP используют последовательность номеров
сеансов для связи с другими компьютерами. Если клиент не запущен,
то компьютер клиента использует схему нумерации Windows. Если
клиент запущен и функция упорядочения TCP включена, то клиент
использует другую схему нумерации. В случае непредвиденной
остановки службы клиента восстанавливается схема нумерации Windows
и пакеты трафика отбрасываются. Кроме того, в ходе работы функции
упорядочения TCP могут возникать неполадки с отдельными NIC,
приводящие к блокировке всего входящего и исходящего трафика.
|
|
|
Включить маскировку ОС
|
Предотвращает определение типа операционной системы компьютера
клиента. Клиент изменяет значения TTL и идентификатор в пакетах
TCP/IP, для того чтобы скрыть тип операционной системы.
|
Примечание:
|
Маскировка операционной системы работает
наиболее эффективно, когда включено упорядочение TCP.
|
|
Предупреждение!
|
В ходе работы функции упорядочения TCP могут
возникать неполадки с отдельными NIC, приводящие к блокировке всего
входящего и исходящего трафика.
|
|
