Konfiguracja Firewalla

Aby przejść do konfiguracji zapory sieciowej należy kliknąć “Szablony konfiguracyjne” > “Profile” > kliknąć nazwę profilu Windows > “Sekcję Add Profile” > “Firewall” > “Ustawienia zapory sieciowej”.

• Zakładka “Ustawienia zapory sieciowej” umożliwia skonfigurowanie ogólnego zachowania zapory sieciowej CCS na zarządzanych urządzeniach, do których jest zastosowany profil.
• Możesz włączyć/wyłączyć zaporę, wybrać poziom ochrony zapory, skonfigurować alerty, monitorować ruch i wiele więcej.

Konfiguruj ustawienia zapory sieciowej

• Logowanie do ITarianina
• Kliknij “Applications” > “Endpoint Manager”.
• Kliknij “Szablony konfiguracyjne” > “Profile”.
• Otwórz profil Windows zastosowany do Twoich urządzeń docelowych
• Otwórz zakładkę “Firewall”, jeśli została ona już dodana do profilu
  • Kliknij “Add Profile Section” > “Firewall”, jeśli nie został jeszcze dodany.

• Otwórz zakładkę “Ustawienia zapory sieciowej”, jeśli nie jest jeszcze otwarta.

Enable Firewall – Włączenie lub wyłączenie ochrony Firewall w punkcie końcowym. Jeśli włączone, można wybrać tryb, w którym zapora powinna działać. Dostępne są następujące tryby:

• • Custom ruleset
  • Safe mode
  • Training mode
• Zobacz ‘Firewall and HIPS modes explained‘ aby dowiedzieć się więcej o trybach zapory sieciowej

Temporarily switch Firewall to training mode

• • Umieść zaporę w trybie szkoleniowym na określony czas. CCS automatycznie powróci do trybu z listy rozwijanej po zakończeniu okresu szkolenia.
  • Uwaga – Upewnij się, że wybrałeś “Tryb bezpieczny” lub “Niestandardowy zestaw reguł” w menu rozwijanym.

Show popup alerts – Czy alerty zapory mają być wyświetlane w punkcie końcowym za każdym razem, gdy zapora napotka żądanie dostępu do sieci, czy też nie, aby użytkownik mógł na nie odpowiedzieć.

• Jeśli zdecydujesz się nie pokazywać alertów, możesz wybrać domyślne reakcje z listy rozwijanej “Auto Action”. Dostępne opcje to:
  • Block Requests – Blokuj żądania
  • Allow Requests – Zezwalaj na żądania

Turn traffic animation effects on – Ikona CCS w zasobniku może wyświetlać niewielką animację za każdym razem, gdy ruch przechodzi do lub z komputera.

• Można włączyć lub wyłączyć animację, która ma być wyświetlana w punkcie końcowym.

Create rules for safe applications – Comodo Firewall ufa aplikacji, jeśli:

• Aplikacja pochodzi od dostawcy, który ma status “Zaufany” na liście lokalnych dostawców w CCS
• Aplikacja jest zaufana w bazie plików online (jeśli jest na białej liście)
• Aplikacja jest zaufana na lokalnej liście plików CCS
  • Więcej o specyfice klasyfikacji plików można dowiedzieć się w tym wiki.
• Domyślnie CCS nie tworzy automatycznie reguł ‘allow’ dla bezpiecznych aplikacji. Oszczędza to zasoby i upraszcza interfejs reguł poprzez zmniejszenie liczby tworzonych reguł.
• Włączenie tej opcji powoduje, że CCS uczy się zachowań bezpiecznych aplikacji i może automatycznie tworzyć dla nich reguły “Zezwalaj”. Reguły te są wymienione w interfejsie CCS “Ustawienia” > “Zapora sieciowa” > “Reguły aplikacji”. Zaawansowani użytkownicy mogą edytować/modyfikować te reguły według własnego uznania. (Domyślnie = Wyłączone).

Set alert frequency level – Włączenie tej opcji pozwala na konfigurację ilości alertów generowanych przez Comodo Firewall, z rozwijanego menu w punkcie końcowym. Należy zauważyć, że nie ma to wpływu na bezpieczeństwo, które jest określane przez reguły, które zostały skonfigurowane (na przykład w “Regułach aplikacji” i “Regułach globalnych”). Dla większości użytkowników, domyślne ustawienie “Niski” jest idealnym poziomem – zapewnia, że jesteś informowany o próbach połączeń i podejrzanych zachowaniach, ale nie przytłacza Cię komunikatami alarmowymi. (Domyślnie=Wyłączone)

Dostępne są następujące opcje:

• Very High: Zapora pokazuje osobne alerty dla wychodzących i przychodzących żądań połączeń dla protokołów TCP i UDP na określonych portach i dla określonych adresów IP dla danej aplikacji. To ustawienie zapewnia najwyższy stopień widoczności prób połączeń przychodzących i wychodzących, ale prowadzi do mnożenia się alertów zapory. Na przykład, użycie przeglądarki do połączenia się z domową stroną internetową może wygenerować aż 5 oddzielnych alertów dla samego tylko wychodzącego połączenia TCP.
• High: Firewall wyświetla osobne alerty dla wychodzących i przychodzących żądań połączenia zarówno dla protokołów TCP jak i UDP na określonych portach dla danej aplikacji.
• Medium: Zapora pokazuje alerty dla wychodzących i przychodzących żądań połączeń dla obu protokołów TCP i UDP dla danej aplikacji.
• Low: Zapora pokazuje alerty dla wychodzących i przychodzących żądań połączenia dla aplikacji. Jest to ustawienie zalecane przez firmę Comodo i jest odpowiednie dla większości użytkowników.
• Very Low: Zapora sieciowa pokazuje tylko jeden alert dla danej aplikacji.

Ustawienia częstotliwości alertów odnoszą się tylko do prób połączeń przez aplikacje lub z adresów IP, którym (jeszcze) nie zdecydowałeś się zaufać.

Set new on-screen alert timeout to – Jak długo Firewall pokazuje alert, bez żadnej interwencji użytkownika na punkcie końcowym. Domyślnie limit czasu jest ustawiony na 120 sekund. Możesz dostosować to ustawienie do własnych preferencji, zaznaczając tę opcję i wybierając okres z rozwijanego pola kombi.

Filter IPv6 traffic – Jeśli jest włączona, składnik zapory sieciowej CCS w punkcie końcowym będzie filtrować ruch sieciowy IPv6 oprócz ruchu IPv4.

Dodatkowa uwaga: IPv6 oznacza protokół internetowy w wersji 6 i ma zastąpić protokół internetowy w wersji 4 (IPv4). Jest to spowodowane przede wszystkim przewidywanym wyczerpaniem się dostępnych adresów IP. Protokół IPv4 został opracowany w 1981 r. i nadal jest najczęściej stosowaną wersją – odpowiada za prawie cały dzisiejszy ruch w Internecie. Ponieważ jednak IPv4 wykorzystuje 32 bity dla adresów IP, istnieje fizyczna górna granica około 4,3 miliarda możliwych adresów IP – liczba ta jest powszechnie uważana za niewystarczającą do sprostania dalszemu rozwojowi Internetu. Mówiąc prościej, istnieje niebezpieczeństwo, że liczba urządzeń wymagających adresów IP przekroczy liczbę dostępnych adresów IP. To trudne do pokonania ograniczenie doprowadziło już do opracowania rozwiązań “obejściowych”, takich jak NAT (Network Address Translation), które umożliwiają wielu hostom w sieciach prywatnych dostęp do Internetu przy użyciu jednego adresu IP.

IPv6, z drugiej strony, wykorzystuje 128 bitów na adres (zapewniając 3,4×1038 unikalnych adresów) i jest postrzegany jako jedyne realistyczne, długoterminowe rozwiązanie problemu wyczerpania adresów IP. W IPv6 wprowadzono również wiele ulepszeń, których nie było w IPv4 – w tym większe bezpieczeństwo, lepszą obsługę urządzeń mobilnych i bardziej wydajne trasowanie pakietów danych.

Filter loopback traffic – Połączenia loopback odnoszą się do wewnętrznej komunikacji w komputerze. Wszelkie dane przesyłane przez komputer za pośrednictwem połączenia zwrotnego są natychmiast przez niego odbierane. Nie wymaga to połączenia z Internetem lub siecią lokalną na zewnątrz komputera. Adres IP sieci loopback to 127.0.0.1, o którym być może słyszałeś pod nazwą domeny “http://localhost”, czyli adresem Twojego komputera.

Ataki przez kanał Loopback mogą być wykorzystywane do zalewania komputera żądaniami TCP i/lub UDP, co może spowodować uszkodzenie stosu IP lub awarię komputera. Pozostawienie tej opcji włączonej oznacza, że firewall będzie filtrować ruch wysyłany przez ten kanał w punktach końcowych. (Domyślnie = Włączone).

Block fragmented IP traffic – Kiedy połączenie jest otwierane pomiędzy dwoma komputerami, muszą one uzgodnić maksymalną jednostkę transmisji (MTU). Fragmentacja datagramów IP występuje, gdy dane przechodzą przez router z MTU mniejszym niż MTU używane przez użytkownika, tzn. gdy datagram jest większy niż MTU sieci, przez którą musi zostać wysłany, jest dzielony na mniejsze “fragmenty”, które są wysyłane oddzielnie.

Fragmentacja pakietów IP może stwarzać zagrożenie podobne do ataku DOS. Co więcej, fragmentacje te mogą podwoić czas potrzebny na wysłanie pojedynczego pakietu i spowolnić czas pobierania.

• Zaznacz tą opcję, jeśli chcesz, aby składnik zapory CCS w punkcie końcowym blokował pofragmentowane datagramy. (Domyślnie = Enabled).

Do Protocol Analysis – Analiza protokołów jest kluczem do wykrywania fałszywych pakietów wykorzystywanych w atakach typu Denial of Service (DOS).

• Wybierz tę opcję, jeśli chcesz, aby firewall w punkcie końcowym sprawdzał, czy każdy pakiet jest zgodny ze standardami danego protokołu, jeśli nie, to pakiety są blokowane (Domyślnie = Enabled).

Enable anti-ARP spoofing – Nieodpłatna ramka ARP (Address Resolution Protocol) jest odpowiedzią ARP, która jest rozgłaszana do wszystkich maszyn w sieci i nie jest odpowiedzią na żadne żądanie ARP. Kiedy odpowiedź ARP jest rozgłaszana, wszystkie hosty są zobowiązane do uaktualnienia swoich lokalnych buforów ARP, niezależnie od tego, czy odpowiedź ARP była odpowiedzią na żądanie ARP, czy nie. Gratisowe ramki ARP są ważne, ponieważ aktualizują pamięć podręczną ARP maszyny za każdym razem, gdy następuje zmiana w innej maszynie w sieci (na przykład, jeśli karta sieciowa jest wymieniana w innej maszynie w sieci, wtedy darmowa ramka ARP informuje maszynę o tej zmianie i żąda aktualizacji pamięci podręcznej ARP, aby dane mogły być prawidłowo kierowane). Jednakże, podczas gdy wywołania ARP mogą być istotne dla ciągle zmieniającej się sieci biurowej składającej się z wielu maszyn, które muszą się nawzajem aktualizować, mają one o wiele mniejsze znaczenie dla, powiedzmy, pojedynczego komputera w małej sieci. Włączenie tego ustawienia pomaga blokować takie żądania w punktach końcowych, do których profil jest stosowany – chroniąc pamięć podręczną ARP przed potencjalnie złośliwymi aktualizacjami (Domyślnie = Enabled).

• Kliknąć “Save” (Zapisz) w panelu “Firewall”, aby ustawienia zaczęły obowiązywać na punktach końcowych, do których profil został zastosowany.

Więcej informacji:

• How to configure internet access rights for applications via Endpoint Manager
• How to add global rules for firewall in a Windows profile
• How to create a custom firewall rule set in a Windows profile
• How to configure network zones in a Windows profile
• How to configure port sets in a Windows profile