We use cookies to ensure that we give you the best experience on our website. By continuing to browse, we are assuming that you have no objection in accepting cookies. You can change your cookie settings at any time.

BullGuard Ondersteuning

We zijn hier om u te helpen 24/7


E-mail ons ondersteuning team en we komen binnen 24 uur bij u terug


Instellingen Firewall

 

Hier kunt u bepalen hoe de firewall het verkeer op uw computer regelt als deze is aangesloten op een netwerk. U vindt er ook geavanceerde opties om de beveiliging aan te passen, zodat u deze helemaal kunt afstemmen op uw eigen beveiligingsbehoeften of uw netwerkconfiguratie.

 

 

setfw_001.png

 

 

Firewall: hiermee kunt u de firewall aan- en uitzetten.

 

Subnetten: biedt toegang tot de lijst met netwerken waarmee uw computer verbinding maakt.

 

Beveiliging: hiermee kunt u het aanvalsdetectiesysteem van de firewall aanpassen en vertrouwde hosts toevoegen die zijn vrijgesteld van deze controle.

 

Logboek: bepaalt welke soorten gebeurtenissen de firewall registreert.

 

Waarschuwingen: hier kunt u bepalen hoe de beveiligingswaarschuwingen en gebeurtenismeldingen worden weergegeven.

Subnets

 

Om de veiligheid die wordt geboden door de firewall te vergroten, kunt u een reeks vertrouwde netwerken instellen (dit werkt bij Local Area Networks), zodat de applicatie het verkeer beter kan filteren en potentieel gevaarlijke verbindingen kan blokkeren.

 

 

main29.png

 

 

Kies de netwerken die u vertrouwt: Deze optie hangt nauw samen met de Toepassings-, Geavanceerde en Laag-niveauregels, omdat de firewall al het netwerkverkeer beheert aan de hand van die regels. Daarom wordt alleen verkeer toegestaan voor computers die deel uitmaken van een vertrouwd netwerk, terwijl aan alle andere computers buiten de vertrouwde netwerken de toegang tot bepaalde poorten of verbindingstypes wordt geweigerd.

 

Door vertrouwde subnetten in te stellen worden aanvallen als MAC/IP-vervalsing voorkomen en kunnen computers die zich voordoen als DNS/Gateway-servers geen verbinding met uw computer maken.

 

BullGuard detecteert automatisch alle nieuwe netwerkinstellingen, en zodra de computer verbinding heeft met dat netwerk, zal het netwerk worden toegevoegd aan de lijst met vertrouwde netwerken. Het netwerk is terug te vinden in de lijst Vertrouwde subnetten. In dat gedeelte kunt u alle netwerkadapters zien die op dat moment op uw computer opereren en de daaraan geassocieerde netwerken.

 

Als een netwerk is aangevinkt, beschouwt de firewall het als een vertrouwd netwerk. Haalt u het vinkje weg, dan ziet de firewall het als een niet-vertrouwd LAN.

 

Om een bepaald subnet toe te voegen, klikt u op de knop + en vult u de gegevens voor dat netwerk in. Klik op OK om het nieuwe subnet op te slaan.

 

 

main30.png

 

 

U moet het juiste IP-adres en subnetmasker invullen om het juiste LAN toe te voegen. Als het IP-adres of het subnetmasker niet klopt, wordt een ander subnet toegevoegd. Als u twijfelt aan de juistheid van de gegevens, adviseren wij u contact op te nemen met de systeembeheerder.

 

De beste manier om aan de juiste gegevens te komen is te controleren wat het IP-adres en subnetmasker van de gateway-server is. Als deze gegevens lijken op 192.168.1.1 met 255.255.255.0 als masker, kunt u het beste het volgende IP-adres en subnetmasker gebruiken: 192.168.1.0 met 255.255.255.0 als masker.

Beveiligingsinstellingen

 

De informatie op het tabblad Beveiliging houdt rechtstreeks verband met de bescherming tegen aanvallen op het netwerk die BullGuard Firewall biedt. De opties op dit tabblad bieden u de middelen om de aanvalsdetectie van de firewall aan de specificaties van uw netwerk aan te passen.

 

 

main32.png

 

 

Firewall-regels blijven toepassen nadat BullGuard is afgesloten: Hierdoor blijft de firewall actief als de hoofdtoepassing wordt afgesloten. Dit kan tot problemen leiden met toepassingen die niet op de applicatielijst staan en toch toegang tot het netwerk proberen te krijgen.

 

Omdat BullGuard is afgesloten en de firewall alleen nog op de achtergrond actief is, wordt er geen gebruikersinterface geladen en krijgt u pop-upvragen van de firewall niet te zien.

 

Omdat u weinig tijd hebt om de pop-upvragen te beantwoorden en u ze door het ontbreken van de interface niet kunt zien, voert de firewall de standaardactie uit en worden programma's geblokkeerd als ze niet op de applicatielijst staan. Als de applicatielijst correct is samengesteld, zal de firewall de benodigde toepassingen niet blokkeren.

 

Aanvaldetectie inschakelen: Hiermee kunt u de blokkade van netwerkaanvallen door de BullGuard Firewall in- of uitschakelen. Wij adviseren u om deze optie altijd ingeschakeld te laten.

 

Aanpassing van programma's detecteren: Met behulp van deze functie kan BullGuard zien of een programma op de applicatielijst is gewijzigd. Het zal u dan vragen of u de toepassing wilt blijven toestaan of deze wilt blokkeren.

 

Deze optie is bijzonder nuttig als u wilt voorkomen dat gekaapte applicaties zonder uw toestemming verbinding maken met het internet. Dit werkt het beste in combinatie met de realtime scanner van het antivirusprogramma, omdat beveiligingslagen worden aangemaakt die de veiligheid van uw computer optimaliseren.

 

De firewall detecteert ook pogingen tot wijziging van een programma dat verbinding met internet zoekt, en vraagt u of u dat wilt toestaan of weigeren. Let erop dat softwareupdates kunnen leiden tot wijziging van uitvoerbare bestanden (zoals de periodieke Windows-updates), en in dergelijke gevallen moet u de gewijzigde bestanden blijven toestaan.

 

 

Aanvalsdetectie


 

De aanvalsdetectie vormt het hart van de firewall.

 

 

Instellingen aanvalsdetectie


 

BullGuard blokkeert allerlei soorten netwerkaanvallen. Specifieke netwerkvereisten en configuraties van apparatuur kunnen er echter toe leiden dat bepaalde van het internet afkomstige informatie een 'vals alarm' veroorzaakt. Daarom kunt u de aanvalsparameters van de firewall aanpassen aan de eigenschappen van uw netwerk.

 

 

 

main33.png

 

 

 

De knop Configureren voor detectie van Poortscans, Enkelvoudige poortscans en Denial-of-Service aanvallen: Hiermee kunt u de gevoeligheid van de firewall voor dit soort aanvallen aanpassen.

 

Geavanceerde ARP-beschermingsinstellingen configureren: Hiermee kunt u de gevoeligheid van de aanvalsdetector voor ARP-scans aanpassen.

 

Vertrouwde hosts uitsluiten van aanvalsdetectie: Alle IP-adressen in de lijst met vertrouwde hosts worden uitgesloten van de controles van de aanvalsdetectie.

 

Indringers uitsluiten gedurende (seconden): bij iedere gedetecteerde aanval kunt u het IP-adres van de aanvaller gedurende een bepaalde periode door de firewall laten uitsluiten.

 

 

Soorten aanvallen


 

Poortscans detecteren: hiermee kan de firewall een poortscan detecteren; dit is niet echt een aanval, maar een actie die vaak voorafgaat aan een aanval en waarbij wordt gezocht naar open poorten op uw computer.

 

Enkelvoudige poortscans detecteren: A type of attack that tries to see what ports are open on the target computer. Not an attack by itself, but a common action preceding an attack.

 

Denial-of-Service (DoS)-anvallen: Hiermee kan de firewall een type aanval detecteren en verhinderen waarbij netwerkdiensten en -bronnen onbereikbaar worden voor de gebruikers. Er zijn verschillende manieren om een DoS- of DDoS (Distributed Denial of Service)-aanval uit te voeren: Teardrop-aanvallen, ICMP-aanvallen, Nuke-aanvallen en gedistribueerde aanvallen. Deze aanvallen zijn herkenbaar aan bepaalde signalen: slechte netwerkprestaties, geen toegang tot netwerkbronnen (servers, printers, gedeelde bestanden, netwerktools en -toepassingen), trage computers. Soms veroorzaakt een DoS-aanval een hoge CPU-activiteit, waardoor het besturingssysteem vastloopt.

 

IP-adresbedrog detecteren: Detecteert en blokkeert netwerkpakketten van aanvallers die proberen zich voor te doen als legitieme computers door het IP-adres van de bron van de netwerkpakketten te vervalsen.

 

Diefstal IP-adres detecteren: Beschermt uw computer tegen aanvallers die IP-adressen uit het netwerk kopiëren om het besturingssysteem te laten vastlopen of crashen. Ze kunnen de aangevallen computer ook de toegang tot de netwerkbronnen of -diensten ontzeggen door valse ARP-pakketten te verzenden, waarmee ze in feite de 'identiteit' van de aangevallen computer stelen.

 

ARP-scans detecteren:: Hiermee detecteert de firewall ARP-scans, waarbij de aanvaller zich voordoet als een andere computer of server en zo het doelwit probeert te verleiden tot het sturen van informatie. Dit soort aanvallen leidt tot vertraging bij de gegevensoverdracht of het uitvallen van diensten op de aangevallen apparatuur als gevolg van de ARP-vervalsing. Belangrijke en vertrouwelijke gegevens (chats, e-mails) kunnen zo worden onderschept.

 

Gefragmenteerde ICMP-aanval: de firewall detecteert aanvallers die proberen de beveiliging te omzeilen door het verzenden van gefragmenteerde ICMP-pakketten.

 

Gefragmenteerde IGMP-aanval: de firewall detecteert aanvallers die proberen de beveiliging te omzeilen door het verzenden van gefragmenteerde IGMP-pakketten.

 

Korte fragmenten-aanval: Zorgt ervoor dat de firewall de pakkettypes herkent die worden gebruikt bij DoS-aanvallen. De pakketten zijn met opzet kleiner gemaakt dan de normale pakketten, zodat ze niet worden ontdekt door de beveiligingssystemen (hardware- of software-firewalls).

 

1234-aanval: hiermee kan de firewall een type ICMP-aanval detecteren waarbij foutieve ICMP-tijdstempels worden verstuurd.

 

Overlappende fragmenten-aanval: De firewall voorkomt dat de aanvaller gefragmenteerde pakketten kan sturen met elkaar overlappende informatie in de hoop het systeem te verzwakken en kwetsbaar te maken voor een aanval. Deze aanpak wordt vaak gehanteerd bij een Teardrop-aanval.

 

WinNuke-aanval: Deze optie beschermt uw computer tegen een aanval waarbij een OOB-pakket (Out of Band) wordt verstuurd, wat leidt tot een vergrendeling van de computer en een BSOD (Blue Screen of Death). Deze aanval beschadigt geen gegevens op de harde schijf, maar alle gegevens die niet voor de aanval waren opgeslagen, gaan verloren. Dit type aanval was kenmerkend voor oudere Windows-versies (Windows 95, oude NT-versies en Windows 3.11).

 

Teardrop-aanval: Hiermee voorkomt de firewall dat een aanvaller elkaar overlappende fragmenten van aangepaste lengte stuurt. Een fout in het TCP-protocol zorgde ervoor dat die pakketten niet goed werden verwerkt. Deze aanval is kenmerkend voor Windows 3.11, 95 en oude versies van Windows NT en Linux.

 

Nestea-aanval: Beschermt uw computer tegen een specifieke aanval op Linux-netwerken, die lijkt op een teardrop-aanval. Dit type aanval maakt misbruik van een fout in de defragmentatie van netwerkpakketten bij oudere versies van Linux.

 

Ice Ping-aanval: Optie die de firewall laat detecteren of Windows fouten maakt bij de verwerking van ICMP-pakketten die in een groot aantal kleine fragmenten zijn opgedeeld. Meestal loopt de computer vast bij het combineren van de kleinere pakketjes.

 

Opentear-aanval: de firewall beschermt uw computer tegen een type aanval waarbij vanaf willekeurige vervalste IP-adressen allerlei poorten op de doelcomputer worden bestookt met gefragmenteerde UDP-pakketten, waardoor de besturingssystemen Windows 95, 98, NT 2000 vastlopen.

 

IGMPSYN-aanval: zorgt dat de firewall deze bekende denial-of-service-techniek het hoofd biedt.

 

Misvormde IP-opties: De firewall voorkomt dat een aanvaller een pakket stuurt met een groot veld IP-adresopties en zo een bufferoverschrijding veroorzaakt in de TCP/IP-stack. Dit maakt het mogelijk kwaadaardige code uit te voeren op de doelcomputer en leidt tot veel netwerkactiviteit en zeer traag netwerkverkeer.

 

Moyari13-aanval: Beschermt uw computer tegen een type ICMP-aanval waarbij de aanvaller een illegaal ICMP-tijdstempel verstuurt. Na ontvangst van dit pakket crasht de computer en reageert het netwerk niet meer. Dit wordt gebruikt tegen Windows 95/98.

 

FAWX-aanval: hiermee kan de firewall een type IGMP denial of service-aanval voorkomen waardoor besturingssystemen als Windows 95, 98 of NT vastlopen.

 

FAWX2-aanval: de firewall beschermt uw systeem tegen een type aanval waarbij willekeurige junkpakketten poort 139 bestoken, wat leidt tot een blauw scherm in Windows 95, 98 of 2000.

 

KOX-aanval: met deze optie kan de firewall een type IGMP denial of service-aanval detecteren waardoor besturingssystemen als Windows 95, 98 of NT vastlopen.

 

 

Aanvalsdetectieparameters

 

Hier kunt u de gevoeligheid van de firewall voor poortscans, enkelvoudige poortscans en Denial-of-Service-aanvallen verfijnen. Het gaat als volgt:

 

Hoe gevoeliger de firewall, hoe sneller er een waarschuwing verschijnt en het IP-adres van de aanvaller wordt uitgesloten voor de standaard uitsluitingsperiode (300 seconden), al neemt de kans op een 'vals alarm' ook toe.

 

Hoe minder gevoelig de Firewall, hoe langer het duurt voordat een aanvalswaarschuwing wordt gegeven, zodat de kans op een 'vals alarm' nagenoeg nihil is. Een te lage beveiliging kan echter de integriteit van de computer in gevaar brengen.

 

De standaardinstelling van de firewall biedt een evenwicht tussen een robuuste beveiliging en een gering aantal gevallen van vals alarm, waarbij het netwerkverkeer nauwelijks hinder ondervindt. Door de permanente filtering van het netwerkverkeer moet u rekening houden met een verbindingssnelheid die iets lager ligt. Mocht de snelheid sterk afwijken, dan adviseren wij u contact op te nemen met het supportteam van BullGuard.

 

 

setfw_014.png

 

 

Bij een poortscan wordt een aanvalswaarschuwing gegeven op basis van een score. Aan elke poort wordt een bepaald gewicht (belang) toegekend, dat bepalend is voor de gevoeligheid. Een poortscan wordt als een aanval beschouwd na het bereiken van een bepaalde score (een standaardwaarde of de door de gebruiker bepaalde waarde).

 

Voordeel van deze methode is dat de firewall aanpasbaar is en door u kan worden ingesteld om gevallen van vals alarm te voorkomen.

 

Alle poorten hebben standaard een bepaalde waarde bij aanvalsdetectie. Een open poort heeft het gewicht (belang) 0, omdat niemand beschuldigd kan worden van het illegaal scannen van een poort wanneer het juist de bedoeling is dat de poort beschikbaar is (sommige websites voeren ook een snelle poortscan uit op de computer van de gebruiker bij overdracht van gegevens bijvoorbeeld). Een gesloten poort (de firewall houdt gevoelige poorten gesloten of verborgen) heeft het gewicht (belang) 1 of hoger. Ongebruikte poorten worden meestal gesloten gehouden door de firewall.

 

Een aanvalswaarschuwing wordt gegeven op basis van een tijdslimiet en de totale score gedurende de aangegeven tijdslimiet.

 

Tijdslimiet: Als gedurende een vooraf bepaalde periode wordt voldaan aan de voorwaarden, verschijnt er een waarschuwing. Standaard is dat 600 ms, maar u kunt deze waarde aanpassen.

 

Score bepalen: Als een computer/server 6 gesloten poorten in minder dan 600 ms probeert te scannen, wordt dit beschouwd als een kwaadaardige actie die aanleiding geeft tot een poortscan-waarschuwing. Als een poortscan wordt uitgevoerd vanaf een computer/server, controleert de firewall of de poorten open of gesloten zijn en wordt het totale gewicht van de gescande poorten berekend. Als het totaal hoger is dan het standaardgewicht (6), wordt een poortscan-waarschuwing getoond.

 

Bij de configuratie van de aanvalsdetectieparameters kunt u de waarde van gevoelige poorten waar BullGuard meer aandacht aan moet besteden verhogen. Dit houdt in dat er sneller een waarschuwing wordt afgegeven als een aanval gericht is op een gevoelige poort en dat de aanvaller sneller wordt geblokkeerd.

 

Om de lijst met gevoelige poorten te bewerken, klikt u op de knop Configureren in het venster voor de bewerking van aanvalsparameters.

 

 

setfw_016.png

 

 

Om een nieuwe poort aan de lijst toe te voegen, klikt u op de knop +, waarna u het protocoltype selecteert, het poortnummer invult en het gewicht (belang) toekent.

 

Geavanceerde ARP-beschermingsinstellingen configureren

 

Met behulp van deze functie kan BullGuard aanvallen detecteren van gecomprimeerde computers of servers en het beveiligingsniveau van de computer verder verhogen.

 

 

main36.png

 

 

Ongevraagde ARP-pakketten blokkeren: Dit is een beveiligingsfunctie die alle potentieel gevaarlijke ARP-pakketten blokkeert die niet eerder zijn opgevraagd door een applicatie op uw computer. Meestal worden ongevraagde ARP-pakketten verzonden door geïnfecteerde computers of door aanvallers die zich voordoen als servers of andere computers uit uw netwerk en die uw computer ertoe proberen aan te zetten om communicatiepoorten te openen.

 

Beschermen tegen gekaapte gateways: Beschermt de gebruiker tegen gevaarlijke gateway-servers.

 

Beschermen tegen IP-adresduplicatie: Als een nieuw IP-adres wordt ingesteld voor een computer in een netwerk, wordt deze informatie door de computer uitgezonden in het netwerk. BullGuard volgt dit verkeer, en als het IP-adres exact hetzelfde is als het IP-adres van uw computer, worden de informatiepakketten geblokkeerd. Sommige besturingssystemen lopen vast als zij deze verkeerspakketten proberen te lezen en BullGuard wil voorkomen dat deze informatie het besturingssysteem bereikt om daar gedecodeerd te worden.

 

Wijzigingen in applicaties detecteren

 

Met behulp van deze functie kan BullGuard in de gaten houden of een programma op de applicatielijst is gewijzigd en u vragen of u de applicatie wilt blijven toestaan of blokkeren. Deze optie is bijzonder nuttig als u wilt voorkomen dat gekaapte applicaties zonder uw toestemming verbinding maken met het internet. Dit werkt het beste in combinatie met de realtime scanner van het antivirusprogramma, omdat beveiligingslagen worden aangemaakt die de veiligheid van uw computer optimaliseren.

 

 

setfw_006.png

 

 

 

setfw_21.png

 

 

De firewall detecteert ook pogingen tot wijziging van een programma dat verbinding zoekt met het internet, en zal u vragen of u dit programma wilt blijven toestaan of niet. Let erop dat softwareupdates kunnen leiden tot wijziging van uitvoerbare bestanden (zoals de periodieke Windows-updates), en in dergelijke gevallen moet u de gewijzigde bestanden blijven toestaan.

Logboek

 

Via het tabblad Logboek kunt u kiezen welke informatie de firewall weergeeft in de firewall-logboeken, zowel binnen de applicatie als in de logbestanden die op de computer van de gebruiker worden aangemaakt.

 

 

setfw_017.png

 

 

TCP-log aanmaken

 

TCP-verbinding vermelden (aanmaken, beëindigen): Maakt een vermelding in het firewall-logboek dat een TCP-verbinding is gemaakt; standaard ingeschakeld

 

Individueel toegestane pakketten vermelden (standaard uitgeschakeld): Maakt een melding van ieder toegestaan TCP-pakket

 

Individueel geblokkeerde pakketten vermelden (standaard uitgeschakeld): Maakt melding van ieder geblokkeerd TCP-pakket

 

 

ICMP-log aanmaken

 

ICMP-toegestane pakketten vermelden (standaard ingeschakeld): Maakt melding van ieder toegestaan ICMP-pakket

 

ICMP-geblokkeerde pakketten vermelden (standaard ingeschakeld): Maakt melding van ieder geblokkeerd ICMP-pakket

 

 

UDP-log aanmaken

 

UDP-toegestane pakketten vermelden (standaard uitgeschakeld): Maakt melding van ieder toegestaan UDP-pakket

 

UDP-geblokkeerde pakketten vermelden (standaard ingeschakeld): Maakt melding van ieder geblokkeerd UDP-pakket

 

UDP-uitzending pakketten vermelden (standaard uitgeschakeld): Maakt melding van ieder uitgezonden UDP-pakket dat is toegestaan/geblokkeerd

 

 

Overige instellingen

 

Toegestane pakketten van andere protocollen vermelden (standaard uitgeschakeld): Maakt melding van ieder toegestaan pakket uit een aangepaste lijst van protocollen

 

Geblokkeerde pakketten van andere protocollen vermelden (standaard ingeschakeld): Maakt melding van ieder geblokkeerd pakket uit een aangepaste lijst van protocollen

 

Netwerkobjecten herstellen (remote hosts, poorten): Als deze functie is ingeschakeld, probeert de firewall de netwerknaam van het specifieke netwerkonderdeel, zoals de computernaam, te lezen (dit werkt alleen als de computer/het netwerk dit toestaat of als een netwerknaam is ingesteld)

 

 

Standaardinstellingen herstellen

 

De logboekopties worden teruggezet naar de standaardinstellingen.

Waarschuwingen

 

De instellingen voor Waarschuwingen helpen u met het configureren van de meldingen en pop-ups van de firewall, de frequentie en de wijze waarop ze op het scherm worden weergegeven.

 

 

setfw_018.png

 

 

Automatisch beantwoorden als ik niet binnen enkele seconden reageer: De pop-ups met mededelingen van de firewall blijven standaard 20 seconden zichtbaar. In deze periode kunt u kiezen of u het programma wel of geen toegang wilt verlenen tot het netwerk. Als u niet op tijd reageert, past de firewall de vooraf gekozen actie toe. De standaardactie is de applicatie blokkeren. U kunt de standaardactie wijzigen in 'Toestaan' als het antwoord niet op tijd wordt gegeven.

 

Waarschuw mij als een programma automatisch toegang tot het internet krijgt: Toont een pop-upbericht van de firewall telkens wanneer een applicatie automatisch toegang heeft gekregen tot het netwerk op basis van de lijst met bekende applicaties.

 

 

fw_001.png

 

 

Waarschuw me wanneer een veiligheidsgebeurtenis plaatsvindt: Als deze optie is ingeschakeld, verschijnt een bericht van de firewall als er een beveiligingsgebeurtenis heeft plaatsgevonden. De pop-up met de mededeling verdwijnt standaard na 30 seconden.

 

Een geluidsbestand afspelen: Maakt gebruik van standaardgeluiden van Windows of door de gebruiker gedefinieerde geluiden als een mededelingenvenster van de firewall verschijnt.

 

Waarschuw mij als netwerkwijzigingen worden gedetecteerd: Toont een pop-upbericht over iedere netwerkwijziging die door de firewall wordt opgemerkt.

 

 

fw_048.png