We use cookies to ensure that we give you the best experience on our website. By continuing to browse, we are assuming that you have no objection in accepting cookies. You can change your cookie settings at any time.

Close

BullGuard Support

Vi er her 24/7 for at hjælpe dig.


Send en e-mail til vores support team og får svar i løbet af 24 timer.


Firewall-indstillinger

 

Dette afsnit sætter dig i stand til at definere, hvordan Firewall-programmet styrer trafikken på computeren, når den har forbindelse til en netværk. Det indeholder avancerede modultilpasningsvalg, som sætter dig i stand til at indstille modulet til at matche dine egne sikkerhedsbehov eller din netværkskonfiguration.

 

 

fw_001.png

 

 

Firewall: Sætter dig i stand til at aktivere eller deaktivere Firewall-programmet.

 

Undernet: Giver adgang til listen med netværk, som computeren opretter forbindelse til.

 

Sikkerhed: Sætter dig i stand til at tilpasse Firewall-angrebsregistreringssystemet og tilføje værter, der er tillid til, som bliver fritaget fra denne kontrol.

 

Logføring: Definerer de begivenhedstyper, der bliver logført af Firewall.

 

Advarsler: Gør det muligt for dig at specificere, hvordan sikkerhedsadvarsler og begivenhedsmeddelelser vises.

Undernet

 

For at forbedre sikkerheden af firewall'en kan du oprette en række netværk, du har tillid til (det fungerer i LAN-netværk), så programmet bedre kan filtrere trafikken og blokere potentielt farlige forbindelser.

 

 

fw_002.png

 

 

Vælg de netværk, som du har tillid til: Denne mulighed hænger tæt sammen med Program - Avancerede regler og lavniveauregler, fordi med disse regler vil Firewall styre al netværkstrafik. Den vil derfor tillade trafik for de computere, der er en del af et netværk, der er tillid til, mens adgang nægtes til bestemte porte eller forbindelsestyper for alle andre computere uden for netværk, der er tillid til.

 

Opsætning af subnet, du har tillid til, hjælper med at modvirke angreb som MAC/IP-spoofs eller stopper computere, der udgiver sig for at være DNS/Gateway-servere, i at oprette forbindelse til din computer.

 

BullGuard vil automatisk registrere alle nye netværksindstillinger, og når først computeren er forbundet til netværket, vil programmet føje det til listen over netværk, du har tillid til. Netværket vil kunne ses på listen Subnet, du har tillid til. I den sektion kan du se alle netværkstilpasninger, som opererer på computeren i øjeblikket og de tilhørende netværk.

 

Når blot et netværk er markeret, vil Firewall se det som et netværk, der er tillid til. Hvis du afmarkerer det, vil Firewall vise det som et LAN, der ikke er tillid til.

 

Du tilføjer et subnet ved at klikke på + og angive detaljer for netværket. Klik på OK for at gemme det nye subnet.

 

 

fw_004.png

 

 

Du skal kende den korrekte IP-adresse og subnetmaske for at komme ind i de to felter for at tilføje den korrekte LAN. Hvis enten IP eller undernetmasken er forket, tilføjes et andet undernet. Hvis du ikke er sikker på de korrekte detaljer, vil vi anbefale, at du spørger en systemadministrator.

 

Den bedste måde at få detaljerne rigtige er at kontrollere, hvad Gateway-serverens IP-adresse og subnetmaske er. Hvis oplysningerne ser ud som 192.168.1.1 med 255.255.255.0 som maske, anbefales det at bruge følgende IP-adresse og subnetmaske: 192.168.1.0 med 255.255.255.0 som maske.

Sikkerhedsindstillinger

 

Information til stede i fanen Sikkerhed er direkte relateret til beskyttelse mod netværksangreb tilbudt af BullGuard firewall. Valgene i denne fane giver dig mulighed for at tilpasse firewallangrebseregistreringen til dine netværksspecifikationer.

 

 

5_main_sets_fw_3.png

 

 

Bliv ved med at anvende Firewall-regler, når BullGuard er lukket: Dette vil gøre det muligt for Firewall at fungere, når hovedprogrammet er lukket. Bemærk, at det kan skabe problemer med programmer, der ikke er på listen Program, der forsøger at få adgang til netværket.

 

Da BullGuard er lukket, og det kun er Firewall-programmet, der kører i baggrunden, indlæses der ikke nogen brugerflade og ingen synlige Firewall-pop op-spørgsmål.

 

Da du kun har en begrænset tidsperiode, hvor du kan besvare pop op'er, og du ikke kan se dem på kontoen for brugerfladen, da den ikke er indlæst, vil Firewall udføre standardhandlingen og blokere de programmer, der ikke vises i listen Program. Hvis du har en veldefineret programliste, vil Firewall naturligvis ikke blokere nødvendige programmer.

 

Aktiver angrebsregistrering: Vil aktivere eller hindre BullGuard firewall i at blokere netværksangreb. Det anbefales altid at holde dette valg aktivt.

 

Registrer, når programmer ændres: Denne funktion vil gøre det muligt for BullGuard at se, når et program fra listen Program er ændret. Derfor vil det spørge dig, om du vil blive ved med at tillade eller blokere programmet.

 

Denne mulighed er meget anvendelig, da den modvirker kaprede programmer i at få adgang til internettet uden din tilladelse. Det fungerer bedst med realtidsscanningsmodulet fra antivirus ved at oprette sikkerhedslag, der øger computerens sikkerhed.

 

Firewall vil også registrere, når et program forsøger at ændre et program, der opretter forbindelse til internettet og vil spørge dig, om du vil tillade det eller ej. Du bør være opmærksom på, at softwareopdateringer kan ændre eksekverbare filer (som periodiske Windows-opdateringer), og i sådanne tilfælde bør du fortsætte med at tillade de ændrede filer..

 

Angrebsregistrering


 

 

Angrebsregistreringssystemet er hjertet i Firewallen.

 

Indstilling for angrebsregistrering

 

BullGuard vil blokere et bredt udbud af netværksangreb. Men på grund af specifikke netværkskrav og udstyrskonfigurationer kan nogle informationer modtaget fra internettet udløse en 'falsk positiv' angrebsadvarsel. Det er årsagen til, at du kan redigere Firewall-angrebsparametre, så de matcher netværkets egenskaber.

 

 

 

fw_007.png

 

 

 

Konfigurer til Registrerede portscanninger, Enkelte portscanninger og Afvisning af service-angreb: Giver dig mulighed for at redigere firewall'ens følsomhedsniveau over for disse typer angreb.

 

Konfigurer avancerede indstillinger for ARP-beskyttelse: Giver dig mulighed for at redigere følsomhedsniveauet i angrebsregistreringen ved ARP-scanninger.

 

Udeluk værter, du har tillid til, fra angrebsregistrering: Alle IP-adresser på listen over værter, du har tillid til, vil blive udelukket fra angrebsregistreringens kontrol.

 

Forbyd indtrængende personer i (sekunder): for hvert registreret angreb kan du indstille Firewallen til at forbyde kilde-IP i en fastsat tid.

 

 

Angrebstyper


Registrer portscanninger: Sætter Firewall i stand til at registrere portscanninger, som ikke er egentlige angreb, men en almindelig handling før et angreb - et forsøg på at se, hvilke porte der er åbne på computeren.

 

 

Enkelt portscanningsangreb: A angrebstype som forsøger at se, hvilke porte der er åbne på destinationscomputeren. Ikke et angreb i sig selv, men en almindelig handling før et angreb.

 

Registrer Denial of Service (DoS)-angreb: Sætter Firewall i stand til at registrere og forhindre et angreb, som vil gøre netværkstjenester og -ressourcer utilgængelige for deres brugere. Der er forskellige måder, hvorpå DoS eller DDoS (Distributed Denial of Service-angreb) finder sted: Teardrop-angreb, ICMP-angreb, Nuke-angreb, distribuerede angreb. Og der er nogle klare tegn på disse angreb: lav netværksydelse, ikke muligt at åbne netværksressourcer (servere, printere, delte filer, netværktøjer/programmer), lav computerydelse. I visse tilfælde medfører DoS-angreb høj CPU-aktivitet, hvilket får operativsystemet til at gå ned.

 

Registrer tyveri af IP-adressespoofing: Registerer og blokerer netværkspakker fra angribere, der prøver at udgive sig for at være lovlige computere ved at forfalske netværkspakkens kilde-IP-adresse.

 

Registrer IP-adressetyveri: Vil beskytte computeren mod angribende personer, der kunne kopiere IP-adresser fra netværket for at få operativsystemet til at hænge eller gå ned. De kunne også nægte offercomputeren adgang til netværksressourcer eller -tjenester ved at sende falske ARP-pakker, hvormed de faktisk ville stjæle “identiteten” af den angrebne computer.

 

Registrer ARP-scanning: Sætter Firewall i stand til at registrere ARP-scanninger, hvormed en angribende person, der stiller sig op som en anden computer/server, forsøger at snyde målet til at sende oplysninger til sig. Denne type angreb genererer forsinkelser i dataoverførsel eller Denial of Service på det angrebne udstyr, fordi af ARP-spoofing. Vigtige og følsomme data (chat-sessioner, e-mails) kan opfanges på den måde.

 

Fragmented-ICMP-angreb: Firewallen vil registrere enhver angribende person, der forsøger at sende ICMP-pakker, der er fragmenterede, i et forsøg på at komme forbi sikkerhedsforanstaltninger.

 

Fragmented-IGMP-angreb: Firewallen vil registrere enhver angribende person, der forsøger at sende IGMP-pakker, der er fragmenterede, i et forsøg på at komme forbi sikkerhedsforanstaltninger.

 

Short-fragments-angreb: Sikrer, at Firewall registrerer de typer pakker, der bruges i DoS-angreb. Pakkerne ændres med vilje til at være af en mindre størrelse end almindelige pakker, så de ikke bliver registreret af sikkerhedssystemer (hardware- eller software-Firewalls).

 

1234-angreb: Sætter Firewall i stand til at registrere ICMP-typeangreb baseret på afsendelse af fejlbehæftede ICMP-tidsstempler.

 

Overlapped-fragments-angreb: Firewall vil forhindre angribende personer i at sende fragmenterede pakker, der har oplysninger, som overlapper hinanden, i håbet om at svække systemet og gøre det sårbart over for et angreb. Denne procedure bruges normalt i Teardrop-angreb.

 

WinNuke-angreb: Denne mulighed vil beskytte din computer mod et angreb, der sender en OOB (Out of Band)-pakke, som vil forårsage nedlukning af computeren og en BSOD (Blue Screen of Death). Dette angreb vil ikke ødelægge nogen data på computerdisken, men det vil medføre tab af alle ikke-gemte data forud for angrebet. Denne slags angreb skete især i tidlige Windows-versioner (Windows 95, gamle NT-versioner og Windows 3.11).

 

Teardrop-angreb: Gør det muligt for Firewallen at forhindre angribende personer i at sende tilpassede fragmenter i nye størrelser, der overlapper hinanden. En bug i TCP-protokollen, der kunne udnyttes, genererede en dårlig håndtering af sådanne pakker. Det er et angreb, der er specielt for Windows 3.11, 95 og gamle versioner af Windows NT og Linux.

 

Nestea-angreb: Beskytter computeren mod et Linux-specifikt netværksangreb, der ligner et Teardrop-angreb. Denne type angreb ville udnytte netværkspakkers defragmentationsfejl i ældre versioner af Linux.

 

Ice Ping-angreb: Denne mulighed sætter Firewallen i stand til at registrere, om Windows fejlbehandler ICMP-pakker, de opdeles i et stort antal små fragmenter. Normalt går computeren ned, når den samler de små pakker.

 

OpenTear-angreb: Firewallen vil holde computeren sikker mod en type angreb, der bruger vilkårligt spoofed IP'er til at overstrømme tilfældige porte fra målcomputeren med vilkårligt fragmenterede UDP-pakker, der vil få operativsystemet til at gå ned i Windows 95, 98, NT 2000.

 

IGMPSYN-angreb: Gør det muligt for Firewallen at håndtere denne almindelige Denial of Service-teknik.

 

Misdannede IP-valgmuligheder: Firewallen forhindrer angribende personer i at sende en pakke med et stort IP-valgmulighedsfelt, der genererer et bufferoverløb i TCP/IP-stakken. Dette medfører muligheden for at køre skadelige koder på målcomputeren og øge netværksaktiviteten, så netværkstrafikkens hastighed næsten går i stå.

 

Moyari13-angreb: Beskytter computeren mod angreb af ICMP-typen, hvorigennem den angribende person sender et ulovlig ICMP-tidsstempel. Ved modtagelse af denne pakke går computeren ned (netværket holder op med at reagere). Det bruges mod Windows 95/98.

 

FAWX-angreb: Gør det muligt for Firewallen at forhindre en type IGMP Denial of Service-angreb, der ville fastfryse operativsystemer som Windows 95, 98 eller NT.

 

FAWX2-angreb: Firewallen beskytter dit system mod en type angreb, der sender vilkårlige junk-pakker, der oversvømmer port 139, så du får blå skærm under Windows 95, 98 eller 2000.

 

KOX-angreb: Denne mulighed gør det muligt for Firewallen at registrere en type IGMP Denial of Service-angreb, der ville fastfryse operativsystemer som Windows 95, 98 eller NT.

 

 

Parametre til angrebsregistrering

 

Dette afsnit sætter dig i stand til at finindstille følsomheden for Firewallen med hensyn til angrebsadvarselsudløsere for portscanninger, enkeltportscannninger og Denial of Service. Det fungerer som følger:

 

 

Jo mere følsom Firewallen er, jo hurtigere vil en angrebsadvarsel blive vist, og den angribende IP bliver forbudt i standard forbudsperioden (300 sekunder), selv om dette kan forøge mulighederne for angrebsregistrering af 'falske positive'.

 

Jo mindre følsom firewall'en er, jo længere varer det, før en angrebsadvarsel bliver udløst, og mængden af 'falske positive' er tæt på nul. Men for afslappet sikkerhed kan bringe computerens integritet i fare.

 

 

Standardindstillingen for Firewallen vil give en balance mellem et tæt sikkerhedssystem og en lav frekvens for registrering af falske positive og næsten ingen netværkstrafikforringelse. På grund af den fortsatte netværkstrafikfiltrering kan du forvente, at forbindelseshastigheden bliver lidt langsommere. I tilfælde af store hastighedsforskelle anbefaler vi dig dog at kontakte BullGuards supportteam.

 

 

FW 1

 

 

Portscanningsangrebsadvarsler udløses baseret på scorer. Portene får udpeget en bestemt vægt (vigtighed), der vil afgøre deres følsomhed. Et portscanningsangreb udløses, når en bestemt score (standarden eller en brugerangivet værdi) nås.

 

Denne metode præsenterer fordele, da det vil gøre Firewallen tilpasselig, så du kan konfigurere den til at undgå angrebsregistreringer af falske positive.

 

Som standard har portene specificerede værdier i angrebsregistreringen. En åben port har vægten 0 (betydning), da ingen kan mistænkes for illegal portscanning, når destinationen er sådanne porte (selvom websider kan foretage hurtige portscanninger på brugerens computer til f.eks. dataoverførsel). En lukket port (firewall'en vil holde følsomme porte lukket eller i hemmelig tilstand) har vægten 1 (betydning) eller mere. Normalt holdes alle ubrugte porte lukket af firewall'en.

 

Angrebsadvarslen udløses på basis af en tidsbegrænsning og den samlede score over den bestemte tidsgrænse.

 

Tidsgrænse: Hvis betingelserne er tilfredsstillede over en forudbestemt tidsperiode, udløses advarselsmeddelelsen. Standarden er 600 ms, men du kan ændre det.

 

Scoring: Når en computer/server vil scanne 6 lukkede porte på mindre end 600 ms, betragtes handlingen som skadelig, og advarslen om portscanning vises. Når portscanninger forekommer fra en computer/server, vil firewall'en kontrollere, om portene er åbne eller lukkede og beregne summen af den ekstra vægt på de scannede porte. Hvis totalen overstiger standardvægten (6), udløses advarslen om portscanning.

 

Ved konfigurering af parametrene for angrebsregistrering har du mulighed for at indstille tilpassede værdier for følsomme porte, som BullGuard skal være mere opmærksom på. Grundlæggende betyder det, at hvis et angreb har en af de følsomme porte som destination, udløses advarslen tidligere, og angriberen bliver blokeret hurtigere.

 

For at redigere listen over følsomme porte klikker man på Konfigurer i redigeringsvinduet for angrebsparametre.

 

 

FW 3

 

 

Tilføj en ny port til listen ved at klikke på +, vælg protokoltype, angiv portnummer, og tildel den en vægt (betydning).

 

Konfigurer avancerede indstillinger for ARP-beskyttelse

 

Denne funktion giver BullGuard mulighed for at registrere angreb fra afslørede computere eller servere og forbedre computerens sikkerhedsniveau yderligere.

 

 

fw_010.png

 

 

Bloker uopfordrede ARP-pakker: Dette er en anden sikkerhedsfunktion, der vil blokere alle potentielt farlige ARP-trafikpakker, der ikke tidligere er blevet anmodet om af noget program på din computer. Normalt sendes uopfordrede ARP-pakker af inficerede computere eller af angribere, der udgiver sig for at være servere eller andre computere i dit netværk og prøver at narre computeren til at åbne kommunikationsporte.

 

Beskyt mod kaprede gateways: Beskytter brugeren mod afslørede Gateway-servere.

 

Beskyt mod kopiering af IP-adresse: Når der oprettes en ny IP-adresse til en computer i et netværk, sender computeren denne information på netværket. BullGuard læser den type trafik, og hvis IP-adressen er nøjagtig den semme som IP-adressen på din computer, vil programmet blokere informationspakkerne. Nogle styresystemer vil 'hænge', når de forsøger at læse disse trafikpakker, og BullGuard hindrer, at informationerne når styresystemet og bliver afkodet.

 

 

Registrerer, når programmer bliver ændret

 

Denne funktion vil gøre BullGuard i stand til at se, når et program fra Programlisten er ændret og vil spørge dig, om du ønsker at blive ved med at tillade eller blokere programmet. Denne mulighed er meget anvendelig, da den modvirker kaprede programmer i at få adgang til internettet uden din tilladelse. Det fungerer bedst med realtidsscanningsmodulet fra antivirusprogrammet ved at oprette sikkerhedslag, der øger computerens sikkerhed.

 

 

fw_006.png

 

 

 

fw_016.png

 

 

Firewall'en vil også registrere, når et program prøver at redigere et program, der forbinder til internettet og vil spørge dig, om du ønsker at fortsætte med at tillade det. Du bør være opmærksom på, at softwareopdateringer kan ændre eksekverbare filer (som periodiske Windows-opdateringer), og i sådanne tilfælde bør du fortsætte med at tillade de ændrede filer.

Logning

 

Fanen Logning giver dig mulighed for at vælge de informationer, firewall'en viser i firewalllogfilerne, både i programmet og i de logfiler, der oprettes på brugerens computer.

 

 

fw_018.png

 

 

 

TCP-logning

 

Log TCP-forbindelse (oprettelse, afslutning): Opretter en post i firewall'ens logfil, hvor der står, at der er oprettet en TCP-forbindelse; aktiveret som standard.

 

Log individuelt tilladte pakker (deaktiveret som standard): Opretter en post for alle tilladte TCP-pakker.

 

Log individuelt blokerede pakker (aktiveret som standard): Opretter en post for alle blokerede TCP-pakker.

 

 

ICMP-logning

 

Log ICMP-tilladte pakker (aktiveret som standard): Opretter en post for alle tilladte ICMP-pakker.

 

Log ICMP-blokerede pakker (aktiveret som standard): Opretter en post for alle blokerede ICMP-pakker.

 

 

UDP-logning

 

Log UDP-tilladte pakker (deaktiveret som standard): Opretter en post for alle tilladte UDP-pakker.

 

Log UDP-blokerede pakker (aktiveret som standard): Opretter en post for alle blokerede UDP-pakker.

 

Log broadcastpakker (deaktiveret som standard): Opretter en post for alle broadcast UDP-pakker, som er blevet tilladt/blokeret.

 

 

Andre indstillinger

 

Log andre protokoltilladte pakker (deaktiveret som standard): Opretter en post for alle tilladte tilpassede protokolpakker.

 

Log andre protokolblokerede pakker (aktiveret som standard): Opretter en post for alle blokerede tilpassede protokolpakker.

 

Løs netværkselementer (fjernvært, porte): Med denne funktion aktiveret vil firewall'en prøve at læse netværksnavnet på netværksproblemet som f.eks. computernavn (det fungerer kun, hvis PC/netværk tillader det, eller hvis et netværksnavn er indstillet).

 

 

Standardindstillinger

 

Logningmulighederne nulstilles til standardmuligheder.

Advarselsafsnit

 

Indstillingerne for Advarsler vil hjælpe dig med at konfigurere Firewall-meddelelser og pop op-skærme, deres frekvens, og hvordan de vises på skærmen.

 

 

5_main_sets_fw_3_4.png

 

 

Anvend et automatisk svar, hvis jeg ikke svarer inden for et par sekunder: Pop op-vinduer med firewallmeddelelser har en standard timeout på 20 sekunder, hvor du kan vælge, om du ønsker at tillade programmet adgang til netværket eller ej. Når tiden er udløbet, vil firewall'en anvende den forudindstillede handling, der som standard er at blokere programmet. Du kan ændre standardhandlingen til at tillade det, hvis der ikke er noget svar inden for tidsgrænsen.

 

Adviser mig, når et program automatisk får adgang til internettet: Viser en firewallpop op-meddelelse, hver gang et program automatisk har fået tilladelse til at få forbindelse til netværket baseret på listen over kendte programmer.

 

 

fw_autoa1.png

 

 

Vis en sikkerhedsadvarsel, og luk det efter et par sekunder: Når funktionen er aktiveret, vil der blive vist en firewallmeddelelse, der informerer dig om en sikkerhedshandling. Pop op-vinduet lukker som standard efter 30 sekunder.

 

Afspil en lydfil: Bruger Windows foruddefinerede eller brugerdefinerede lyde, når et firewallmeddelelsesvindue vises.

 

Adviser mig, når der registreres netværksændringer: Viser en firewallpop op-meddelelse om netværksændringer registreret af firewall'en.

 

 

fw_014.png






00: 00: 00: 00
Dage Timer Minutter Sekunder
Close