Включить интеллектуальный DHCP

Разрешает только исходящие запросы DHCP и входящие ответы DHCP. Кроме того, Smart DHCP допускает обновление DHCP.

Для работы с DHCP можно также настроить правило брандмауэра, разрешающее передачу трафика UDP через порты 67 (bootps) и 68 (bootpc).

Протокол DHCP применяется для присвоения динамических IP-адресов сетевым устройствам. Каждый раз, когда устройство подключается к корпоративной сети, ему присваивается новый динамический IP-адрес. DHCP поддерживает как статические, так и динамические IP-адреса. Применение динамических адресов упрощает администрирование сети, так как IP-адреса присваиваются автоматически. Иначе администратору приходится вручную присваивать уникальный IP-адрес при каждом добавлении компьютера в корпоративную сеть. В случае перемещения клиента из одной подсети в другую DHCP вносит необходимые изменения в его конфигурацию IP.

Включить интеллектуальный WINS

Разрешает передачу исходящих запросов назначенным серверам WINS и прием ответов от этих серверов.

Если ответ на запрос WINS приходит в течение пяти секунд, то обмен данными разрешается. Все прочие пакеты WINS отклоняются.

Альтернативный вариант: для работы с WINS можно настроить правило брандмауэра, разрешающее передачу пакетов UDP на удаленный порт 137.

WINS предоставляет распределенную базу данных, в которой регистрируются и отслеживаются динамические сопоставления имен NetBIOS компьютеров и групп, используемых сетью. WINS применяется для преобразования имен NetBIOS в IP-адреса. WINS применяется для разрешения имен NetBIOS в сетях с маршрутизацией, использующих протокол NetBIOS для TCP/IP. Применение имен NetBIOS было обязательным для формирования сетевых служб в прежних версиях операционных систем Microsoft. Помимо TCP/IP протокол имен NetBIOS совместим с рядом сетевых протоколов, в том числе NetBEUI и IPX/SPX. Однако WINS специально разработан для поддержки NetBIOS в TCP/IP (NetBT). WINS упрощает управление пространством имен NetBIOS в сетях на базе TCP/IP.

Включить интеллектуальный DNS

Разрешает передачу исходящих запросов назначенным серверам DNS и прием ответов от этих серверов.

Если ответ на запрос DNS приходит в течение пяти секунд, то передача данных разрешается. Все прочие пакеты DNS отклоняются.

Также для работы с DNS можно настроить правило брандмауэра, разрешающее передачу трафика UDP на удаленный порт 53 (domain).

Включить защиту NetBIOS

Блокирует трафик NetBIOS, поступающий с внешнего шлюза.

Эта опция позволяет использовать совместный доступ к папкам и принтерам локальной сети в сетевом окружении, одновременно обеспечивая защиту компьютера от NetBIOS-атак из любой внешней сети. Она блокирует пакеты NetBIOS, отправленные с IP-адресов, которые не входят в диапазоны заданных внутренних адресов ICANN. Внутренние диапазоны адресов ICANN включают в себя адреса 10.x.x.x, 172.16.x.x, 192.168.x.x и 169.254.x.x, за исключением подсетей 169.254.0.x и 169.254.255.x. Пакеты NetBIOS включают UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 и TCP 1026.

Разрешить трафик Token Ring

Разрешает доступ к сети компьютерам клиентов, которые подключаются через адаптер Token Ring (независимо от правил брандмауэра, настроенных в клиенте).

Если эту опцию отключить, в корпоративную сеть не будет передаваться любой трафик с компьютеров, использующих адаптер Token Ring. Брандмауэр не поддерживает фильтрацию трафика Token Ring. Он либо разрешает весь трафик Token Ring, либо блокирует его полностью.

Включить защиту от имитации MAC-адреса

Разрешает входящий и исходящий трафик ARP (Address Resolution Protocol, протокол разрешения адресов) только при адресации ARP-запроса на данный конкретный хост. Весь остальной трафик ARP блокируется и регистрируется в журнале безопасности.

Некоторые хакеры используют технику имитации MAC-адреса для подмены сеанса связи между компьютерами. MAC-адреса - это аппаратные адреса, идентифицирующие компьютеры, серверы, маршрутизаторы и другие устройства. Если компьютеру A требуется подключиться к компьютеру B, он может отправить ему пакет ARP.

Защита от имитации MAC-адреса позволяет предотвратить сброс таблицы MAC-адресов с другого компьютера. Если компьютер отправляет сообщение ARP REQUEST, то клиент разрешает прием ответного сообщения ARP RESPOND в течение 10 секунд после отправки запроса. Клиент блокирует все сообщения ARP RESPOND, отправленные не в ответ на запрос.

Разрешить отслеживание сетевых приложений

Разрешает клиенту отслеживание изменений сетевых приложений, работающих на клиентском компьютере.

Сетевые приложения принимают и отправляют данные. Клиент отслеживает изменения содержимого приложения.

Блокировать весь трафик, когда брандмауэр не работает

Блокирует весь исходящий и входящий трафик на компьютере клиента, когда брандмауэр по какой-либо причине не работает.

Компьютер не защищен:

В эти небольшие отрезки времени безопасность не обеспечивается, и возможен несанкционированный обмен данными. Данная настройка позволяет запретить приложениям несанкционированно подключаться к другим компьютерам.

Разрешить начальный трафик DHCP и NetBIOS

Разрешает начальный обмен данными, необходимый для установления соединения с сетью. Эти данные включают в себя начальный трафик DHCP и NetBIOS, позволяющий клиенту получить IP-адрес.

Выявлять отказы в обслуживании

Обнаружение отказов в обслуживании по типу относится к обнаружению вторжений. Если параметр включен, трафик клиента блокируется при обнаружении шаблона одной из известных сигнатур независимо от номера порта или типа интернет-протокола.

Выявлять сканирование портов

Отслеживает все входящие пакеты, блокируемые любым правилом безопасности. Если за короткий промежуток времени правило блокирует разные пакеты из разных портов, Symantec Endpoint Protection создает запись в журнале безопасности. Обнаружение сканирования портов не блокирует пакеты. Для блокирования трафика в случае обнаружения сканирования портов необходимо создать политику безопасности.

Разрешить трафик IP

Разрешает весь входящий и исходящий трафик, если иное не указано в правиле брандмауэра. Например, если добавлено правило брандмауэра, которое блокирует трафик VPN, брандмауэр разрешает весь трафик, кроме трафика VPN.

Разрешить только трафик приложения

Разрешает исходящий и входящий трафик приложений и блокирует трафик, не связанный с приложениями. Например, брандмауэр разрешает трафик Internet Explorer, но блокирует трафик VPN, если иное не указано в правиле брандмауэра.

Спрашивать перед разрешением трафика приложения

Отображает сообщение, в котором спрашивается, разрешить или заблокировать приложение. Например, можно выбрать, следует ли блокировать файлы мультимедиа. Либо можно скрыть широковещательные пакеты из процесса NTOSKRNL.DLL. Процесс NTOSKRNL.DLL может указывать на наличие программы-шпиона, поскольку такие программы часто загружают и устанавливают процесс NTOSKRNL.DLL.

Включить переупорядочение TCP

Предотвращает подмену или имитацию IP-адреса.

Злоумышленники используют подмену IP-адреса для нападения на сеанс связи между компьютерами, например компьютерами A и B. Злоумышленник может отправить пакет данных, после получения которого компьютер A разорвет соединение. Затем злоумышленник может притвориться компьютером A и подключиться для атаки к компьютеру B. Для защиты компьютера упорядочение TCP рандомизирует порядковые номера пакетов TCP.

Маскировка операционной системы работает наиболее эффективно, когда включено переупорядочение TCP.

Включить маскировку ОС

Предотвращает определение типа операционной системы компьютера клиента. Клиент изменяет значения TTL и идентификатор в пакетах TCP/IP, чтобы скрыть тип операционной системы.

Включить режим скрытого просмотра веб-страниц

Обнаруживает трафик HTTP из веб-браузера через любой порт и удаляет следующую информацию: имя и номер версии браузера, операционную систему и ссылочную веб-страницу. Это не позволяет другим веб-сайтам узнать тип операционной системы и веб-браузера локального компьютера. Трафик HTTPS (SSL) не обрабатывается.