McAfee Desktop Firewall

Producthandleiding Revisie 1.0

McAfee Desktop Firewall™ versie 8.0

AUTEURSRECHT © 2003 Networks Associates Technology, Inc. Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, uitgezonden, overgezet of opgeslagen in een geautomatiseerd gegevensbestand, of vertaald in om het even welke taal in enige vorm of op enige wijze, zonder schriftelijke toestemming van Networks Associates Technology, Inc. of zijn leveranciers of verwante bedrijven. Voor deze toestemming kunt u schrijven naar de juridische afdeling van Network Associates op het volgende adres: 5000 Headquarters Drive, Plano, Texas 75024, Verenigde Staten of belt u met +1-972-308-9960.

TOEKENNING HANDELSMERKEN Active Firewall, Active Security, Active Security (in Katakana), ActiveHelp, ActiveShield, AntiVirus Anyware en het grafisch ontwerp ervan, AVERT, Bomb Shelter, Certified Network Expert, Clean-Up, CleanUp Wizard, CNX, CNX Certification Certified Network Expert en het grafisch ontwerp ervan, Covert, Network Associates’ grafisch ontwerp (gestyleerde N), Disk Minder, Distributed Sniffer System, Distributed Sniffer System (in Katakana), Dr Solomon’s, Dr Solomon’s label, Enterprise SecureCast, Enterprise SecureCast (in Katakana), ePolicy Orchestrator, Event Orchestrator (in Katakana), EZ SetUp, First Aid, ForceField, GMT, GroupShield, GroupShield (in Katakana), Guard Dog, HelpDesk, HomeGuard, Hunter, LANGuru, LANGuru (in Katakana), M en het grafisch ontwerp ervan, Magic Solutions, Magic Solutions (in Katakana), Magic University, MagicSpy, MagicTree, McAfee, McAfee (in Katakana), McAfee en het grafisch ontwerp ervan, McAfee.com, MultiMedia Cloaking, Net Tools, Net Tools (in Katakana), NetCrypto, NetOctopus, NetScan, NetShield, NetStalker, Network Associates, Network Policy Orchestrator, NetXray, NotesGuard, nPO, Nuts & Bolts, Oil Change, PC Medic, PCNotary, PortalShield, Powered by SpamAssassin, PrimeSupport, Recoverkey, Recoverkey – International, Registry Wizard, Remote Desktop, ReportMagic, RingFence, Router PM, Safe & Sound, SalesMagic, SecureCast, Service Level Manager, ServiceMagic, SmartDesk, Sniffer, Sniffer (in Hangul), SpamKiller, SpamAssassin, Stalker, SupportMagic, ThreatScan, TIS, TMEG, Total Network Security, Total Network Visibility, Total Network Visibility (in Katakana), Total Service Desk, Total Virus Defense, Trusted Mail, UnInstaller, Virex, Virus Forum, ViruScan, VirusScan, WebScan, WebShield, WebShield (in Katakana), WebSniffer, WebStalker, WebWall, Who’s Watching Your Network, WinGauge, Your E-Business Defender, ZAC 2000, Zip Manager zijn geregistreerde handelsmerken of handelsmerken van Network Associates, Inc. en/of zijn dochterondernemingen in de VS en/ of andere landen. Merkproducten van Sniffer® worden alleen gemaakt door Network Associates, Inc. Alle andere geregistreerde en niet-geregistreerde handelsmerken in dit document zijn het alleeneigendom van hun respectieve eigenaren. Dit product bevat software of kan software bevatten die is ontwikkeld door het OpenSSL Project voor gebruik in de OpenSSL Toolkit (http://www.openssl.org/). Dit product bevat cryptografische software of kan cryptografische software bevatten die geschreven is door Eric Young ([email protected]). Dit product bevat enkele softwareprogramma’s of kan enkele software programma’s bevatten waarvoor de gebruiker een licentie (of sublicentie) heeft die valt onder de GNU General Public License (GPL) of andere vergelijkbare licenties van Free Software, die de gebruiker onder andere toestemming geeft bepaalde programma’s, of gedeelten van programma’s, te kopiëren, te wijzigen en opnieuw te distribueren, en de gebruiker toegang verschaft tot de broncode. De GPL vereist dat de broncode van software die valt onder de GPL en die in een uitvoerbaar binair formaat wordt gedistribueerd naar enig persoon ook beschikbaar wordt gesteld aan deze gebruikers. Voor dergelijke software die valt onder de GPL is de broncode beschikbaar gesteld op deze cd. Als een Free Software-licentie vereist dat Network Associates rechten op het gebruik, kopiëren of wijzigen van een softwareprogramma moet bieden die breder zijn dan de rechten die in deze overeenkomst worden verleend, dan hebben die rechten voorrang op de rechten en beperkingen in deze overeenkomst.

LICENTIEOVEREENKOMST MEDEDELING VOOR ALLE GEBRUIKERS: LEES AANDACHTIG DE WETTELIJKE OVEREENKOMST DIE OP DE DOOR U GEKOCHTE LICENTIE BETREKKING HEEFT, EN WAARIN DE ALGEMENE BEPALINGEN EN VOORWAARDEN WORDEN UITEENGEZET VOOR HET GEBRUIK VAN DE SOFTWARE WAARVOOR U OVER EEN LICENTIE BESCHIKT. ALS U NIET WEET WELK TYPE LICENTIE U HEBT GEKOCHT, RAADPLEEGT U DE VERKOOPOVEREENKOMST EN DE ANDERE GERELATEERDE DOCUMENTEN VOOR DE LICENTIEVERLENING OF KOOPOPDRACHT DIE BIJ UW SOFTWAREPAKKET ZIJN GELEVERD, OF DIE U AFZONDERLIJK HEBT ONTVANGEN BIJ UW AANKOOP (ALS BOEKJE, BESTAND OP DE CD VAN HET PRODUCT OF BESTAND OP DE WEBSITE WAARVAN U DE SOFTWARE HEBT GEDOWNLOAD). INSTALLEER DE SOFTWARE NIET INDIEN U NIET MET ALLE BEPALINGEN VAN DEZE OVEREENKOMST INSTEMT. U MAG HET PRODUCT EVENTUEEL TERUGSTUREN NAAR NETWORK ASSOCIATES OF DE PLAATS VAN AANKOOP VOOR EEN VOLLEDIGE TERUGBETALING VAN DE AANKOOPSOM.

Uitgebracht in juni 2003 / McAfee Desktop FirewallTM softwareversie 8.0 DOCUMENT BUILD # DBN 007-NL

Inhoud Voorwoord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Gebruikers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Afspraken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Informatie verkrijgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Contactgegevens McAfee Security en Network Associates . . . . . . . . . . . . . . . . . . . . . . . . 16

1 Introductie op Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Wat is Desktop Firewall? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Over de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Over de toepassingen-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Over het inbraakdetectiesysteem (IDS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 De twee versies van Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Wat is nieuw in deze release? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Gemeenschappelijke functies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Bidirectionele Leermodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Toepassingen-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Ondersteuning voor regels gebaseerd op niet-IP-protocollen . . . . . . . . . . . . . . . . . . 25 Ondersteuning voor regels die op draadloos verkeer zijn gebaseerd . . . . . . . . . . . . 26 Ondersteuning voor regels gebaseerd op domeinen . . . . . . . . . . . . . . . . . . . . . . . . . 27 Ondersteuning voor tijd-gebaseerde regels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 IDS-handtekeningen bijwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Beleidsarchieven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 ePolicy Orchestrator-functies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Verbeterde rapporten en verbeterd filteren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Quarantainemodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Audit Learn Mode (Leermodus controle) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Externe regels controleren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Bladeren door bekende regels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Producthandleiding

v

Inhoud

Deel 1

Desktop Firewall als zelfstandig product gebruiken 2 Aan de slag met Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . 39 Kort overzicht van de Desktop Firewall-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 De systeemwerkbalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Het pictogram op de systeemwerkbalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Het snelmenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 De hoofdconsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 De menu’s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Het menu Taak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Het menu Bewerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Het menu Beeld . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Het menu Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Het tabblad Firewallbeleid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Het dialoogvenster Vertrouwde netwerken . . . . . . . . . . . . . . . . . . . . . . . . 49 Het dialoogvenster Firewallregel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 De Leermodus-waarschuwing van de firewall . . . . . . . . . . . . . . . . . . . . . . 50 Het tabblad Toepassingenbeleid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Het dialoogvenster Toepassingsregel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 De Leermodus-waarschuwingen van de toepassingen-monitor . . . . . . . . 53 Het tabblad Inbraakbeleid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Het dialoogvenster Geblokkeerde host . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Het dialoogvenster Waarschuwing: inbraakdetectie . . . . . . . . . . . . . . . . . 56 Het dialoogvenster Waarschuwing: detectie van vals IP-adres . . . . . . . . 58 Het tabblad Activiteitenlogboek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Starten en stoppen Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Kiezen welke functies u wilt gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Alle productfuncties activeren en deactiveren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 De firewall-functie activeren en deactiveren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 De toepassingen-monitorfunctie activeren en deactiveren . . . . . . . . . . . . . . . . . . . . 62 De toepassingen-monitor in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Koppelen van toepassingen-monitor in- en uitschakelen . . . . . . . . . . . . . . . . . 63 De IDS-functie activeren en deactiveren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 De logboekfunctie activeren en deactiveren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 De logboekfunctie voor de firewall in- en uitschakelen . . . . . . . . . . . . . . . . . . . 64

vi

McAfee Desktop FirewallTM softwareversie 8.0

Inhoud

3 De firewall instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Over de firewallfunctie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Firewallregels en prioriteit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 De lijst met firewallregels ordenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Beveiligingsniveaus en beleidsarchieven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 De standaardbeveiligingsniveaus van de software . . . . . . . . . . . . . . . . . . . . . . 68 Het beveiligingsniveau Leerstarter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Het beveiligingsniveau Minimaal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Het beveiligingsniveau Client gemiddeld . . . . . . . . . . . . . . . . . . . . . . . . . 69 Het beveiligingsniveau Client hoog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Het beveiligingsniveau Server gemiddeld . . . . . . . . . . . . . . . . . . . . . . . . . 69 Het beveiligingsniveau Server hoog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Leermodus-waarschuwingen van de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Vertrouwde netwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 De firewallfunctie instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 De firewall-functie in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 De Leermodus van de firewall in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . 72 De Leermodus voor inkomend verkeer in- en uitschakelen . . . . . . . . . . . . . . . . 72 De Leermodus voor uitgaand verkeer in- en uitschakelen . . . . . . . . . . . . . . . . 72 Beveiligingsniveaus en beleidsarchieven gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . 72 Een beveiligingsniveau gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Een beleidsarchief gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Een beleidsarchief maken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Een beleidsarchief maken met behulp van de functie Exporteerbeleid . . . 74 Een beleidsarchief maken met behulp van het dialoogvenster Beleidsarchief bewerken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Een beleidsarchief bewerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Een beleidsarchief verwijderen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Vertrouwde netwerken instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Opties voor vertrouwde netwerken instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Iemand toevoegen aan de lijst met Vertrouwde netwerken . . . . . . . . . . . . . . . . 77 Iemand verwijderen uit de lijst Vertrouwde netwerken . . . . . . . . . . . . . . . . . . . 77 Reageren op Leermodus-waarschuwingen van de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Reageren op een Leermodus-waarschuwing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Firewallregels bewerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Een nieuwe firewallregel maken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Een firewallregel kopiëren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Producthandleiding

vii

Inhoud

Een firewallregel bewerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Een firewallregel verwijderen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Een firewallregel activeren en deactiveren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Een nieuwe regelgroep maken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Een beleidsbestand exporteren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Een beleidsbestand importeren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

4 Het inbraakdetectiesysteem (IDS) instellen . . . . . . . . . . . . . . . . . 87 Over de IDS-functie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Inbraakwaarschuwingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 De IDS-functie instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 De IDS-functie activeren en deactiveren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Inbraakwaarschuwingen in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 De standaard reactie van de software op inbraken configureren . . . . . . . . . . . . . . . . 90 Automatisch potentiële inbrekers blokkeren . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Automatisch potentiële inbrekers toelaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Opties voor het instellen van waarschuwingsberichten . . . . . . . . . . . . . . . . . . . . . . . 92 De aanvallen selecteren waarop u wilt controleren . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Reageren op een inbraakdetectiewaarschuwingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Geblokkeerde adressen bewerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Iemand toevoegen aan de lijst met geblokkeerde adressen . . . . . . . . . . . . . . . . . . . 94 Iemand uit de lijst met geblokkeerde adressen verwijderen . . . . . . . . . . . . . . . . . . . 96 Een IP-adres traceren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 IDS-handtekeningen bijwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 IDS-handtekeningen onmiddellijk bijwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Regelmatige updates van IDS-handtekeningen plannen . . . . . . . . . . . . . . . . . . . . . . 97 AutoUpdate inschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Een planning voor AutoUpdate instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 AutoUpdate dagelijks uitvoeren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 AutoUpdate wekelijks uitvoeren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 AutoUpdate maandelijks uitvoeren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 AutoUpdate eenmalig uitvoeren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 AutoUpdate uitvoeren bij het opstarten van uw computer . . . . . . . . . . . . 104 AutoUpdate uitvoeren bij het aanmelden . . . . . . . . . . . . . . . . . . . . . . . . 104 AutoUpdate uitvoeren wanneer de computer niet actief is . . . . . . . . . . . 105 AutoUpdate onmiddellijk uitvoeren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 AutoUpdate uitvoeren via een inbelverbinding . . . . . . . . . . . . . . . . . . . . 105 Geavanceerde planningsopties toepassen . . . . . . . . . . . . . . . . . . . . . . . 106

viii


Inhoud

5 Toepassingen-monitor instellen . . . . . . . . . . . . . . . . . . . . . . . . . 107 Informatie over de functie toepassingen-monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Waarschuwingen van leermodus voor toepassingen . . . . . . . . . . . . . . . . . . . . . . . 108 De functie toepassingen-monitor instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 De functie toepassingen-monitor activeren of deactiveren . . . . . . . . . . . . . . . . . . . 108 De maken van toepassingen-monitor activeren en deactiveren . . . . . . . . . . . 109 De koppelen van toepassing-monitor activeren en deactiveren . . . . . . . . . . . 109 De Leermodus voor toepassingen activeren en deactiveren . . . . . . . . . . . . . . . . . . 109 De Leermodus voor het maken van toepassingen activeren of deactiveren . . 109 De Leermodus voor het maken van toepassingen activeren of deactiveren . . 110 Op waarschuwingen van leermodus voor toepassingen reageren . . . . . . . . . . . . . . . . . . 110 Met toepassingsregels werken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Een nieuwe toepassingsregel maken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Een toepassingsregel bewerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Een toepassingsregel verwijderen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Een toepassingsregel uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

6 Vastlegging instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Informatie over vastlegging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 IDS-gebeurtenissen in het Activiteitenlogboek . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 IDS-gebeurtenisgegevens zoeken en exporteren . . . . . . . . . . . . . . . . . . . . . . 116 Systeemgebeurtenissen in het Activiteitenlogboek . . . . . . . . . . . . . . . . . . . . . . . . . 117 De functie vastlegging instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 De vastlegging van firewallgebeurtenissen activeren of deactiveren . . . . . . . . . . . . 117 Vastgelegde gebeurtenissen filteren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Vastgelegde gebeurtenissen sorteren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Het logboek opslaan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Het logboek wissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Deel 2

Desktop Firewall met ePolicy Orchestrator gebruiken 7 Aan de slag met Desktop Firewall en ePO . . . . . . . . . . . . . . . . . 123 Over ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Het systeem ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Hoe Desktop Firewall samenwerkt met ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . 124 Een kort overzicht van de ePolicy Orchestrator-interface . . . . . . . . . . . . . . . . . . . . . . . . 125

Producthandleiding

ix

Inhoud

De consolestructuur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Het gegevensvenster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Toegang verkrijgen tot Desktop Firewall via ePolicy Orchestrator . . . . . . . . . . . . . . . . . . 126 De weergave Policies (Beleid) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Het tabblad Firewall Configuration (Configuratie firewall) . . . . . . . . . . . . 129 Het tabblad Application Configuration (Configuratie toepassingen) . . . . 131 Het tabblad Intrusion Configuration (Configuratie inbraak) . . . . . . . . . . . 133 Het tabblad Administrative Configuration (Configuratie beheer) . . . . . . . 134 De weergave Properties (Eigenschappen) . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 De weergave Tasks (Taken) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

8 De software instellen voor installatie . . . . . . . . . . . . . . . . . . . . . 141 Over het overnemen van een beleid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Kiezen welke functies u wilt gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 De firewall-functie in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 De functie toepassingen-monitor in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . 144 Om de toepassingen-monitor in- en uit te schakelen . . . . . . . . . . . . . . . . . . . 144 Om het koppelen van toepassingen-monitor activeren en deactiveren . . . . . . 145 De IDS-functie in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Regelen wat de gebruiker ervaart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Weergeven en verbergen Desktop Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 Delen van de Desktop Firewall-interface vergrendelen en ontgrendelen . . . . . . . . . 147 De optie Export Policy (Exporteerbeleid) in- en uitschakelen . . . . . . . . . . . . . . . . . 148 De software configureren bij het importeren van een beleidsbestand . . . . . . . . . . . . . . . 149 Een beleidsbestand importeren in ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . 149 De functie ePO-rapporten instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 De optie ePO reporting (ePO-rapporten) in- en uitschakelen . . . . . . . . . . . . . 150 Het verplicht maken van het beleid van Desktop Firewall controleren . . . . . . . . . . . . . . . 151 Beleid verplicht maken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

9 De Firewall met ePO instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Met firewallregels in ePO werken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Een regel van een gebruiker bekijken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Een regel van een gebruiker kopiëren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Gebruikersregels bewaren of overschrijven . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Bekende regels gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Bekende regels aan uw lijst met firewallregels toevoegen . . . . . . . . . . . . . . . 156 Regels maken met de Audit Learn Mode (Leermodus controle) . . . . . . . . . . . . . . . 157

x


Inhoud

Firewall Audit Learn Mode in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . 157 Quarantaines instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Werking van de Quarantine Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Quarantine Mode instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Het dialoogvenster Quarantine Mode openen . . . . . . . . . . . . . . . . . . . . . . . . . 161 De Quarantine Mode activeren en deactiveren . . . . . . . . . . . . . . . . . . . . . . . . 161 In quarantaine geplaatste netwerken definiëren . . . . . . . . . . . . . . . . . . . . . . . 162 De foutoptie van Quarantine Mode instellen . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Een quarantaine-waarschuwingsbericht instellen . . . . . . . . . . . . . . . . . . . . . . 163 De lijst met regels voor de Quarantine Mode bekijken en bewerken . . . . . . . . 164

10 Het Inbraakdetectiesysteem met ePO instellen . . . . . . . . . . . . 167 Info over de IDS-functie en ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 De IDS-functie in ePO instellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 De aanvallen waarop u wilt scannen selecteren in ePO . . . . . . . . . . . . . . . . . . . . . 168 De lijst met geblokkeerde adressen van een gebruiker automatisch wissen . . . . . . 169

11 Toepassingen-monitor met ePO instellen . . . . . . . . . . . . . . . . . 171 Met toepassingsregels in ePO werken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Een regel van een gebruiker bekijken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Een regel van een gebruiker kopiëren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Gebruikersregels bewaren of overschrijven . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Regels maken met de Audit Learn Mode (Leermodus controle) . . . . . . . . . . . . . . . 174 Audit Learn Modes in- en uitschakelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

12 Rapporten maken met ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Info over Desktop Firewall-rapporten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Gebeurtenisgegevens en ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 De agent een weksignaal geven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 De Desktop Firewall-rapporten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Desktop Firewall-rapporten maken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 De rapportagefunctie van ePO openen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Groepen voor de rapportage selecteren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Een rapport genereren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

Producthandleiding

xi

Inhoud

Deel 3

Bijlagen, verklarende woordenlijst en index A Foutenrapportage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Het foutenrapportage-hulpprogramma gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Het foutenrapportage-hulpprogramma uitvoeren met Desktop Firewall (zelfstandige versie) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Het foutenrapportage-hulpprogramma uitvoeren met Desktop Firewall (ePolicy Orchestrator-versie) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Het foutenrapportage-hulpprogramma gebruiken . . . . . . . . . . . . . . . . . . . . . . . . . . 189

Verklarende woordenlijst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

xii


Voorwoord Deze handleiding is een introductie op de McAfee Desktop FirewallTM softwareversie 8.0 en biedt de volgende informatie:

Overzicht van het product.

Beschrijving van alle functies.

Procedures voor het uitvoeren van taken.

Verklarende woordenlijst.

Gebruikers Deze informatie is in de eerste plaats bestemd voor twee soorten gebruikers:

Netwerkbeheerders die verantwoordelijk zijn voor het antivirus- en beveiligingsprogramma van hun bedrijf.

Gebruikers die in zekere mate verantwoordelijk zijn voor het configureren en gebruiken van de software op hun eigen werkstations.

Producthandleiding

13

Voorwoord

Afspraken In deze handleiding worden de volgende afpraken toegepast: Vet

Alle woorden van de gebruikersinterface, inclusief opties, menu’s, knoppen en namen van dialoogvensters. Voorbeeld

Voer de Gebruikersnaam en het Wachtwoord van de gewenste account in. Courier

Tekst die iets weergeeft wat de gebruiker exact typt, bijvoorbeeld een opdracht achter de systeemprompt. Voorbeeld

Om de agent in te schakelen, voert u deze opdrachtregel uit op de clientcomputer: FRMINST.EXE /INSTALL=AGENT /SITEINFO=C:\TEMP\SITELIST.XML

Cursief

Namen van producthandleidingen en onderwerpen (titels) in de handleidingen; nadruk; introduceren van een nieuwe term. Voorbeeld

Raadpleeg de Desktop Firewall Producthandleiding voor meer informatie.

Generieke termen staan tussen punthaken. Voorbeeld

In de consolestructuur onder ePolicy Orchestrator klikt u met de rechtermuisknop op <SERVER>. OPMERKING

Aanvullende informatie, bijvoorbeeld een andere methode voor het uitvoeren van dezelfde opdracht.

WAARSCHUWING Belangrijk advies ter bescherming van een gebruiker, het

computersysteem, het bedrijf, de software-installatie of gegevens.

14


Informatie verkrijgen

Informatie verkrijgen Installatiehandleiding *†

Systeemvereisten en instructies voor het installeren en starten van de software. Desktop Firewall 8.0 Installatiehandleiding

Producthandleiding *

(Deze handleiding.) Inleiding op het product en de functies, gedetailleerde informatie voor het configureren van de software, informatie over de installatie, terugkerende taken en besturingsprocedures. Desktop Firewall 8.0 Producthandleiding

Help §

Algemene en gedetailleerde informatie over het configureren en gebruiken van de software. Wat is dit? contextafhankelijke help.

Opmerkingen bij de release ‡

ReadMe. Productinformatie, opgeloste problemen, eventuele bekende problemen en laatste toevoegingen of wijzigingen in het product of de documentatie.

Contactgegevens ‡

Contactgegevens voor services en bronnen van McAfee Security en Network Associates: technische ondersteuning, klantenservice, AVERT (Anti-Virus Emergency Response Team), bètaprogramma en training. Dit bestand bevat ook telefoonnummers, postadressen, webadressen en faxnummers van de kantoren van Network Associates in de Verenigde Staten en in andere landen.

* † ‡ §

Een .pdf-bestand van Adobe Acrobat op de product-cd of de downloadsite van McAfee Security. Een gedrukte handleiding die bij de product-cd hoort. Tekstbestanden bij de softwaretoepassing en op de product-cd. Help toegankelijk vanuit de softwaretoepassing: Helpmenu rechtermuisklik-optie voor Wat is dit? help.

en/of Help-knop

voor help op

paginaniveau;

Producthandleiding

15

Voorwoord

Contactgegevens McAfee Security en Network Associates Technische ondersteuning Homepage

http://www.nai.com/naicommon/services/technical-support/intro.asp

Zoeken in de KnowledgeBase

https://knowledgemap.nai.com/phpclient/Homepage.aspx

PrimeSupport Service Portal *

http://mysupport.nai.com

McAfee Beta Site

http://www.mcafeeb2b.com/beta/

AVERT (Anti-Virus Emergency Response Team) Homepage

http://www.mcafeeb2b.com/naicommon/avert/default.asp

Virusinformatiebibliotheek

http://vil.nai.com

Een voorbeeld verzenden

https://www.webimmune.net/default.asp

Downloadsite Homepage

http://www.mcafeeb2b.com/naicommon/download/

DAT-bestand en engine Updates

http://www.mcafeeb2b.com/naicommon/download/dats/find.asp ftp://ftp.nai.com/pub/antivirus/datfiles/4.x

Product upgrades *

http://www.mcafeeb2b.com/naicommon/download/upgrade/login.asp

Training Training op locatie

http://www.mcafeeb2b.com/services/mcafee-training/default.asp

McAfee Security University

http://www.mcafeeb2b.com/services/mcafeesecurityu.asp

Network Associates Klantenservice E-mail

[email protected]

Web

http://www.nai.com http://www.mcafeeb2b.com

Network Associates in de Verenigde Staten, Canada en Latijns-Amerika: Telefoon

+1-888-VIRUS NO

of +1-888-847-8766

Maandag – Vrijdag, 08:00 u. – 20:00 u. McAfee stelt de input van klanten erg op prijs en gebruikt deze bij de ontwikkeling van nieuwe oplossingen. Als u linguïstische feedback of opmerkingen over het taalgebruik in McAfee-producten hebt, kunt u een e-mail sturen naar: [email protected] Voor aanvullende informatie over contactgegevens van Network Associates en McAfee Security – onder andere gratis telefoonnummers voor andere geografische gebieden – raadpleegt u het Contactbestand dat bij de productrelease hoort. * Legitimatie voor het aanmelden verplicht.

16


1

Introductie op Desktop Firewall

Deze paragraaf is een introductie op Desktop Firewall 8.0 en de functies van deze software.

Wat is Desktop Firewall?

De twee versies van Desktop Firewall

Wat is nieuw in deze release?

Wat is Desktop Firewall? De Desktop Firewall-software biedt beveiliging voor afzonderlijke computers. De software beschermt computers tegen externe bedreigingen (bijvoorbeeld hackers) en interne bedreigingen (bijvoorbeeld sommige virussen). De software beschermt computers met behulp van verschillende functies, onder andere:

Een firewall die het inkomend en uitgaand netwerkverkeer controleert en dit

blokkeert of toestaat aan de hand van de regels die u instelt.

Een toepassingen-monitor. Dit systeem controleert de toepassingen die u gebruikt en voorkomt dat gespecificeerde toepassingen starten of zich aan andere programma’s binden.

Een inbraakdetectiesysteem (IDS) dat het verkeer naar uw computer scant en eventuele potentiële aanvallen op uw systeem identificeert.

Een activiteitenlogboek waarin informatie over Desktop Firewall-acties worden

geregistreerd. U gebruikt dit logboek bijvoorbeeld voor het oplossen van problemen of voor het controleren van activiteiten die hebben plaatsgevonden. U kunt alle functies gebruiken of alleen de functies die u nodig hebt.

Producthandleiding

17


Over de firewall Desktop Firewall omvat de functie firewall. Deze firewall is een programma dat fungeert als filter tussen uw computer en het netwerk of het Internet. De firewall scant alle verkeer dat op uw computer arriveert (inkomend verkeer) en alle verkeer dat door uw computer wordt verzonden (uitgaand verkeer). De firewall scant verkeer op pakketniveau. De firewall controleert elk inkomend of uitgaand pakket aan de hand van de lijst met regels. Een regel is een reeks criteria waaraan een actie is gekoppeld. Als een pakket overeenkomt met alle criteria in een regel, voert de firewall de actie uit die door de regel wordt gespecificeerd: het pakket mag door de firewall of het pakket wordt geblokkeerd. Een regel kan bijvoorbeeld alle DNS-zoekacties toestaan. De regel specificeert in dat geval dat dit alleen van toepassing is op pakketten die gebruik maken van het UDP-protocol en de DNS-service (op poort 53). De aan deze regel gekoppelde actie is in dit geval ‘Toestaan’. Wanneer de firewall een pakket DNS-zoekacties onderschept, wordt de lijst met regels gecontroleerd. Het pakket wordt door de firewall gelaten als het overeenkomt met deze bepaalde regel. U kunt de regels zo eenvoudig of ingewikkeld maken als nodig is. Desktop Firewall ondersteunt regels gebaseerd op:

IP-protocollen en niet-IP-protocollen.

De richting van het netwerkverkeer (inkomend, uitgaand, of beide).

De toepassing die het verkeer heeft gegenereerd.

De service of poort die uw computer heeft gebruikt (als ontvanger of als verzender).

De service of poort die de externe computer heeft gebruikt (als ontvanger of als verzender).

Het IP-adres of de IP-adressen die het pakket gebruikt.

De tijd waarop of de week waarin het pakket is verzonden.

Om het configureren van de firewallfunctie eenvoudiger te maken, beschikt Desktop Firewall over:

Beveiligingsniveaus

Leermodus

Een beveiligingsniveau is een verzameling standaardregels en firewallinstellingen. Desktop Firewall wordt geleverd met verscheidene voorgedefinieerde beschermingsniveaus voor verschillende situaties. Om over te schakelen naar een ander beveiligingsniveau, selecteert u eenvoudig de betreffende naam in de lijst Beveiligingsniveau op het tabblad Firewallbeleid.

18


Wat is Desktop Firewall?

U kunt ook een aangepaste verzameling regels en instellingen maken die van toepassing zijn op alle functies van Desktop Firewall (niet alleen de firewall). Dit soort verzamelingen noemt men beleidsarchieven; deze worden weergegeven in de lijst Beveiligingsniveau. Als u niet precies weet welke regels u nodig hebt, schakelt u de Leermodus in. In deze modus vraagt Desktop Firewall u een actie te selecteren wanneer er een pakket wordt onderschept en de firewall niet weet hoe het pakket moet worden behandeld (als er geen regel voor is). De software vraagt u een actie (toestaan of blokkeren) te selecteren en maakt vervolgens automatisch een nieuwe regel die voortaan op dit type pakket van toepassing is. U kunt regels maken en de firewallfunctie configureren met behulp van het tabblad Firewallbeleid in het hoofdvenster van Desktop Firewall.

Over de toepassingen-monitor Desktop Firewall omvat de functie toepassingen-monitor. Met deze functie kunt u de software configureren om de gebruikte toepassingen te controleren, en deze toe te staan of te blokkeren. Desktop Firewall biedt twee soorten controles op toepassingen. Er kan toezicht worden gehouden op:

het maken van toepassingen

het koppelen van toepassingen

Als de Desktop Firewall-software het maken van toepassingen ontdekt, zoekt het naar programma’s die proberen te starten. U wilt wellicht voorkomen dat sommige toepassingen starten. Sommige virussen proberen bijvoorbeeld programma’s uit te voeren die uw computer beschadigen. U kunt voorkomen dat dit gebeurt door toepassingsregels te maken (vergelijkbaar met firewallregels) die alleen toestemming tot uitvoering geven aan de programma’s die u gebruikt. Wanneer de Desktop Firewall-software het koppelen van toepassingen ontdekt, zoekt het naar programma’s die proberen zichzelf aan andere toepassingen te binden (of te “koppelen”). Toepassingen moeten zich soms aan andere programma’s binden, maar in sommige gevallen is dit verdacht gedrag dat op een virus of op een andere aanval op uw systeem kan wijzen. U kunt Desktop Firewall configureren om alleen het maken van toepassingen, alleen het koppelen van toepassingen, of beide te controleren.

Producthandleiding

19


De functie toepassingen-monitor van Desktop Firewall werkt op dezelfde wijze als de firewallfunctie. U maakt een lijst met toepassingsregels, één regel voor elke toepassing die u wilt toestaan of blokkeren. Elke keer als Desktop Firewall een toepassing ontdekt die probeert te starten of zich te koppelen aan een andere toepassing, wordt de lijst met toepassingsregels gecontroleerd om te zien of het programma toestemming heeft om dit te doen. Vervolgens krijgt de toepassing toestemming of wordt geblokkeerd, op basis van de actie die u hebt gespecificeerd in de regel. Om het maken van toepassingsregels te vereenvoudigen beschikt Desktop Firewall over een Leermodus voor beide typen toepassingen-monitors. Als deze modus is ingeschakeld, vraagt Desktop Firewall u welke actie moet worden ondernomen wanneer er een toepassing wordt ontdekt waarvoor geen regel is gemaakt. De software vraagt u een actie (toestaan of blokkeren) te selecteren en maakt vervolgens automatisch een nieuwe regel die voortaan op deze toepassing wordt toegepast. U kunt toepassingsregels maken en de functie toepassingen-monitor configureren met behulp van het tabblad Toepassingenbeleid in het hoofdvenster vanDesktop Firewall.

Over het inbraakdetectiesysteem (IDS) Desktop Firewallbevat een inbraakdetectiesysteem (IDS). Net als de firewallfunctie, probeert het IDS aanvallen op uw systeem te stoppen. De firewallfunctie probeert te voorkomen dat aanvallen zich voordoen door het toegestane netwerkverkeer te beperken. Het IDS controleert daarentegen het verkeer dat door de firewall mag gaan en zoekt naar patronen die erop kunnen wijzen dat een potentiële aanval wordt voorbereid. Aanvallen worden ook wel inbraken genoemd. Sommige inbraken slagen omdat ze een combinatie van benaderingen gebruiken. Firewalls controleren individuele communicatiepogingen en kunnen de patronen die kenmerkend zijn voor deze geraffineerde aanvallen niet zien. Inbraakdetectiesystemen zijn gespecialiseerd in het ontdekken van deze aanvallen. Het IDS van Desktop Firewall gebruikt een bibliotheek met IDS-handtekeningen om de patronen van veel voorkomende aanvallen te herkennen. Een handtekening is een verzameling informatie die betrekking heeft op een speciale aanval en waarmee Desktop Firewall de aanval kan herkennen. De Desktop Firewall-software wordt geleverd met een standaardset IDS-handtekeningen. U kunt de lijst met handtekeningen bijwerken met behulp van de opties AutoUpdate en Nu bijwerken. Als u het IDS inschakelt, controleert Desktop Firewall continu het inkomend verkeer. Als er een potentiële aanval wordt ontdekt, wordt u gevraagd een actie te selecteren: het IP-adres van de inbreker blokkeren of niet blokkeren. U kunt ook proberen het IP-adres te traceren om de inbreker te identificeren.

20


De twee versies van Desktop Firewall

Als u een inbreker wilt blokkeren, voegt Desktop Firewall het betreffende IP-adres toe aan de lijst met geblokkeerde adressen. U kunt zelf adressen aan deze lijst toevoegen (u hoeft niet te wachten op een inbraak). U kunt de lijst met geblokkeerde IP-adressen weergeven met behulp van het tabblad Inbraakbeleid in het hoofdvenster van Desktop Firewall. U kunt de IDS-functie van Desktop Firewall configureren met behulp van het dialoogvenster McAfee Desktop Firewall-opties. Het dialoogvenster heeft twee tabbladen. Op het tabblad Opties kunt u opgeven op welke wijze Desktop Firewall u moet waarschuwen wanneer er zich een aanval voordoet. Op het tabblad Handtekeningen kunt u selecteren op welke bekende aanvallen Desktop Firewall moet controleren.

De twee versies van Desktop Firewall Desktop Firewall is verkrijgbaar in twee versies: de stand-alone versie en de ePolicy Orchestrator (ePO)-versie. De stand-alone versie van Desktop Firewall is bestemd voor één computer. U configureert de software rechtstreeks. Deze versie is ideaal voor individuele gebruikers of kleine bedrijfsnetwerken. De versie ePolicy Orchestrator van Desktop Firewall werkt anders. McAfee ePolicy Orchestrator is een afzonderlijk softwarebeheerproduct. U gebruikt ePolicy Orchestrator om Desktop Firewall vanuit één punt (de ePO-console) te distribueren naar een groot aantal verschillende computers. Vanaf de console kunt u ook alle gedistribueerde firewalls beheren, updates voor het beleid en de handtekeningen verzenden en informatie verzamelen voor het maken van rapporten. Deze versie van Desktop Firewall is ideaal voor bedrijven.

Producthandleiding

21


Wat is nieuw in deze release? Deze release van Desktop Firewall-software omvat nieuwe functies voor zowel de zelfstandige als de ePolicy Orchestrator-versie van het product.

Gemeenschappelijke functies Nieuwe functies die in beide versies beschikbaar zijn, zijn onder andere:

22

Bidirectionele Leermodus op pagina 23.

Toepassingen-monitor op pagina 24.

Ondersteuning voor regels gebaseerd op niet-IP-protocollen op pagina 25.

Ondersteuning voor regels die op draadloos verkeer zijn gebaseerd op pagina 26.

Ondersteuning voor regels gebaseerd op domeinen op pagina 27.

Ondersteuning voor tijd-gebaseerde regels op pagina 28.

IDS-handtekeningen bijwerken op pagina 29.

Beleidsarchieven op pagina 30.



Bidirectionele Leermodus Vorige release

In de vorige releases van Desktop Firewall was de firewallfunctie Leermodus automatisch van toepassing op zowel het inkomend als het uitgaand netwerkverkeer.

Huidige release

In deze release kunt u opgeven of de Leermodus van de firewall moet worden toegepast op inkomende communicatie, uitgaande communicatie, of beide.

Voordelen

In de meeste gevallen hoeft u alleen maar het onbekende inkomende verkeer te controleren (dat wil zeggen het verkeer dat op uw computer arriveert vanuit een andere bron). Met deze nieuwe functie kunt u het uitgaande verkeer negeren, zodat u minder waarschuwingen van de Leermodus hoeft af te handelen.

Vindplaats

Om de firewallfunctie Leermodus te configureren, opent u het hoofdvenster van de Desktop Firewall en klikt u op het tabblad Firewallbeleid. De selectievakjes van de Leermodus ziet u bovenaan op het tabblad.

Voor meer informatie

Raadpleeg De Leermodus van de firewall in- en uitschakelen op pagina 72 voor meer informatie.

Producthandleiding

23


Toepassingen-monitor Vorige release

In de vorige releases van Desktop Firewall kon u (met behulp van de firewallfunctie) alleen individuele pakketten controleren die gemaakt waren door toepassingen.

Huidige release

In deze release gebruikt u de nieuwe Desktop Firewall-functie toepassingen-monitor om specifieke toepassingen toe te staan of te blokkeren. U kunt toepassingen controleren die proberen te starten (toepassingen maken), of toepassingen die proberen zichzelf te binden aan andere programma’s (toepassingen koppelen).

Voordelen

Met deze functie kunt u het starten van ongewenste programma’s blokkeren, en verdachte programma’s (onder andere bepaalde virussen) identificeren en voorkomen dat deze zich aan normale toepassingen binden.

Vindplaats

Deze functie is toegankelijk via het tabblad Toepassingenbeleid in het hoofdvenster van Desktop Firewall.


Voor meer informatie over deze functie, raadpleegt u Over de toepassingen-monitor op pagina 19. Raadpleeg Toepassingen-monitor instellen op pagina 107 voor meer informatie.

24



Ondersteuning voor regels gebaseerd op niet-IP-protocollen Vorige release

In de vorige releases van Desktop Firewall kon u alleen firewallregels maken die van toepassing waren op IP-gebaseerd verkeer.

Huidige release

In deze release kunt u firewallregels maken die van toepassing zijn op niet-IP-protocollen zoals IPX en Appletalk.

Voordelen

Dankzij deze functie kan de firewall een grotere hoeveelheid netwerkverkeer filteren, waardoor uw computer beter wordt beveiligd.

Vindplaats

Voor het maken van een firewallregel gebaseerd op niet-IP-protocollen, opent u het hoofdvenster van Desktop Firewall en klikt u op het tabblad Firewallbeleid. Klik op Toevoegen en selecteer Nieuwe regel. In het dialoogvenster Firewallregel selecteert u de optie Niet-IP in het gebied Protocol. Selecteer het relevante protocol in de lijst Niet-IP. Vul de andere criteria in voor uw nieuwe regel en klik op OK.


Raadpleeg Een nieuwe firewallregel maken op pagina 79 voor meer informatie.

Producthandleiding

25


Ondersteuning voor regels die op draadloos verkeer zijn gebaseerd Vorige release

In vorige releases van Desktop Firewall was het niet mogelijk om firewallregels te maken op basis van draadloos netwerkverkeer.

Huidige release

In deze release kunt u 'blokkeerregels' voor de firewall maken, die gebaseerd zijn op de draadloze 802.11a-, 802.11b- en 802.11g-protocollen.

Voordelen

Met deze functie kunt u het draadloze netwerkverkeer binnen uw organisatie beperken of voorkomen.

Vindplaats

Voor het maken van een firewallregel die op draadloze protocollen is gebaseerd, opent u het hoofdvenster van Desktop Firewall en klikt u op het tabblad Firewallbeleid. Klik op Toevoegen en selecteer Nieuwe regel. Selecteer de IP-lijst in het dialoogvenster Firewallregel en selecteer vervolgens het item 802.11 IP in de lijst. Vul de andere criteria in voor uw nieuwe regel en klik op OK.



26



Ondersteuning voor regels gebaseerd op domeinen Vorige release

In vorige releases van Desktop Firewall was het niet mogelijk firewallregels te maken op basis van Internet-domeinen.

Huidige release

In deze release kunt u firewallregels maken die van toepassing zijn op netwerkverkeer dat bestemd is voor, of afkomstig is van, specifieke domeinen (bijvoorbeeld www.test.com).

Voordelen

Met deze functie kunt u de firewallfunctie eenvoudiger beheren. Als u in vorige releases een geheel domein wou blokkeren, moest u de IP-adressen identificeren die gekoppeld waren aan dat domein en vervolgens regels maken op basis van deze IP-adressen. Deze addressen kunnen steeds weer veranderen. Als u regels maakt op basis van domeinen heeft de regel een grotere dekking en vereist minder onderhoud.

Vindplaats

Voor het maken van een firewallregel gebaseerd op een domein, opent u het hoofdvenster van Desktop Firewall en klikt u op het tabblad Firewallbeleid. Klik op Toevoegen en selecteer Nieuwe regel. In het dialoogvenster Firewallregel selecteert u Domainnaam/namen of Volledig gekwalificeerd domein in de lijst Adres. Klik op de knop die nu verschijnt om het domein te definiëren. Vul de andere criteria in voor uw nieuwe regel en klik op OK.



Producthandleiding

27


Ondersteuning voor tijd-gebaseerde regels Vorige release

In vorige releases van Desktop Firewall was het niet mogelijk om tijdbeperkingen op firewallregels toe te passen.

Huidige release

In deze release kunt u tijdbeperkingen toepassen op een firewallregel. U kunt er bijvoorbeeld voor zorgen dat Desktop Firewall de regel alleen op werkdagen of tijdens kantooruren toepast. U kunt ook aangeven hoe Desktop Firewall de regel gedurende de overige tijd moet behandelen. Als de regel niet geldig is voor het huidige tijdstip, kan de software:

De regel uitschakelen.

De regel omkeren.

Als u bijvoorbeeld een regel maakt die op HTTP gebaseerd verkeer tijdens kantooruren toestaat, kunt u er ofwel voor zorgen dat Desktop Firewall de regel gedurende de overige tijd negeert (de regel is uitgeschakeld), of dat de regel wordt omgekeerd en HTTP-verkeer gedurende de overige tijd wordt geblokkeerd.

Voordelen

Deze functie maakt uw firewallbeleid flexibeler, omdat u regels kunt maken die alleen van toepassing zijn op bepaalde dagen of tijden.

Vindplaats

Om tijdbeperkingen toe te passen op een regel, opent u het hoofdvenster van Desktop Firewall. Dubbelklik op de regel die u wilt wijzigen. In het dialoogvenster Firewallregel selecteert u het selectievakje Regel tot huidig ingesteld tijdsinterval beperken en klikt u op Tijd. Gebruik het dialoogvenster Tijdsinterval bewerken om de tijden en dagen in te stellen waarop u deze regel wilt activeren. Geef ook aan of u de regel buiten deze tijdsperiode wilt uitschakelen (gebruik hiervoor de optie Regel na het verlopen van de tijd deactiveren), of dat de regel moet worden omgekeerd (gebruik hiervoor de optie Regeltoestemming na het verlopen van de tijd omschakelen).



28



IDS-handtekeningen bijwerken Vorige release

In de vorige releases van Desktop Firewall beschikte de IDS-functie over een voorgedefinieerde lijst met aanvallen die Desktop Firewall kon ontdekken. Het was niet mogelijk deze lijst te configureren of nieuwe aanvallen aan de lijst toe te voegen.

Huidige release

In deze release kunt u configureren welke aanvallen het IDS moet controleren. U kunt ook de lijst met IDS-handtekeningen bijwerken. (Handtekeningen zijn beschrijvingen van bekende aanvallen die Desktop Firewall gebruikt ter herkenning.) U kunt regelmatige AutoUpdates plannen of zelf de handtekeningen bijwerken.

Voordelen

Dankzij deze functie bent u ervan verzekerd dat Desktop Firewall up-to-date is en naar alle recente aanvallen zoekt.

Vindplaats

Om AutoUpdates te plannen, klikt u met de rechtermuisknop op het pictogram op de systeemwerkbalk van Desktop Firewall en selecteert u Eigenschappen automatisch bijwerken.

Om direct bij te werken, klikt u met de rechtermuisknop op het pictogram Desktop Firewall op de systeemwerkbalk en selecteert u Nu bijwerken.

Om de aanvallen te selecteren waarop u Desktop Firewall wilt laten controleren, opent u het hoofdvenster van Desktop Firewall en klikt u op het menu Bewerken. Selecteer Opties om het dialoogvenster McAfee Desktop Firewall-opties te openen. Klik op het tabblad Handtekeningen om de lijst met beschikbare IDS-handtekeningen weer te geven en te bewerken.


Raadpleeg IDS-handtekeningen bijwerken op pagina 97 voor meer informatie.

Producthandleiding

29


Beleidsarchieven Vorige release

In de vorige releases van Desktop Firewall was het mogelijk de lijst met firewallregels te exporteren maar het was niet mogelijk alle instellingen van Desktop Firewall op te slaan in een bestand.

Huidige release

In deze release kunt u aangepaste beveiligingsniveaus voor Desktop Firewall maken. Deze worden beleidsarchieven genoemd. Beleidsarchieven hebben invloed op de instellingen van de firewall, de toepassingen-monitor, het IDS en het logboek. U kunt deze instellingen eenvoudig toepassen door een naam van een beleidsarchief te selecteren in de lijst Beveiligingsniveau van de firewall.

Voordelen

Met deze functie kunt u direct heen en weer schakelen tussen reeksen regels en instellingen.

Vindplaats

Om een nieuw beleidsarchief te maken, moet u eerst de gewenste instellingen voor de firewall, de toepassingen-monitor, het IDS en het logboek instellen. Wanneer dit is voltooid, klikt u op het menu Taak en selecteert u Exporteer beleid. Voer een bestandsnaam in voor het beleidsarchief en klik vervolgens op OK. Klik op Ja als Desktop Firewall vraagt of u hiervan een beleidsarchief wilt maken. Voer een naam in voor het beleidsarchief; deze naam verschijnt in de lijst Desktop Firewall Beveiligingsniveau. Klik op OK om het maken van het beleidsarchief te voltooien. Om de naam van een bestaand beleidsarchief te wijzigen, selecteert u Beleidsarchief bewerken in de lijst Beveiligingsniveau. Gebruik het dialoogvenster Beleidsarchief bewerken om de naam van het beleidsarchief te

selecteren en te wijzigen.


30

Raadpleeg Beveiligingsniveaus en beleidsarchieven op pagina 67 voor meer informatie.



ePolicy Orchestrator-functies De nieuwe functies die alleen in de versie ePolicy Orchestrator van Desktop Firewall beschikbaar zijn, zijn onder andere:

Verbeterde rapporten en verbeterd filteren op pagina 31.

Quarantainemodus op pagina 32.

Audit Learn Mode (Leermodus controle) op pagina 33

Externe regels controleren op pagina 34.

Bladeren door bekende regels op pagina 36.

Verbeterde rapporten en verbeterd filteren Vorige release

In de vorige releases van Desktop Firewall was het mogelijk rapporten te maken. Niet ter zake doende informatie kon echter niet uit een rapport worden gefilterd.

Huidige release

In deze release wordt het filteren ondersteund door Desktop Firewall en ePolicy Orchestrator. Voor de meeste Desktop Firewall-rapporten kunt u criteria opgeven voor ten minste een van de kolommen in het rapport. Bij het voltooien van een rapport gebruikt Desktop Firewall alleen gegevens die voldoen aan al uw filtercriteria.

Voordelen

Dankzij het filteren kunt u de rapporten klein en handelbaar houden en wordt er alleen relevante informatie weergegeven.

Vindplaats

Als u het dialoogvenster Report Data Filter (Filter rapportgegevens) wilt zien, genereert u een rapport in ePolicy Orchestrator.


Raadpleeg Rapporten maken met ePO op pagina 177 voor meer informatie.

Producthandleiding

31


Quarantainemodus Vorige release

In de vorige releases van Desktop Firewall kon niet worden voorkomen dat computers communiceerden met andere netwerkgebruikers als deze niet beschikten over het nieuwste beleid en de laatste software-updates, DAT-bestanden, enzovoort.

Huidige release

In deze release kunt u beschermde subnets en adressen specificeren. Als een Desktop Firewall-computer een van deze adressen ontvangt, plaatst de software deze automatisch in quarantaine totdat ePolicy Orchestrator heeft gecontroleerd of ze over alle benodigde bestanden en configuraties beschikken. U kunt speciale firewallregels instellen die alleen van toepassing zijn op gebruikers in quarantaine.

Voordelen

Met deze functie verbetert u de gehele netwerkbeveiliging omdat u ervoor zorgt dat alle netwerkgebruikers over de meest actuele configuraties en bestanden beschikken.

Vindplaats

Om het dialoogvenster Define Quarantined Networks (In quarantaine geplaatste netwerken definiëren) te openen, gaat u naar het tabblad Administrative Configuration (Configuratie beheer) in ePolicy Orchestrator. Daarna klikt u op Configure Quarantine Mode (Quarantainemodus configureren).


Raadpleeg Quarantaines instellen op pagina 158.

32



Audit Learn Mode (Leermodus controle) Vorige release

In vorige releases van Desktop Firewall was het mogelijk om de Leermodus voor de firewallfunctie in te schakelen. In deze modus vraagt Desktop Firewall de gebruikers een actie te selecteren (toestaan of blokkeren) wanneer er onbekend netwerkverkeer wordt ontdekt. De software maakt dan een nieuwe firewallregel, die op de betreffende keuze is gebaseerd. Bij de gewone Leermodus moeten de gebruikers reageren op Leermodus-waarschuwingen en heeft u geen invloed op het toestaan of blokkeren van verkeer door gebruikers.

Huidige release

In deze release kunt u kiezen tussen de Leermodus en de nieuwe Audit Learn Mode (Leermodus controle). U kunt de Audit Learn Mode (Leermodus controle) toepassen op de firewallfunctie of op de functie toepassingen-monitor. Als u de Audit Learn Mode (Leermodus controle) inschakelt, krijgen de gebruikers geen Leermodus-waarschuwingen te zien en hoeven zij hier dus ook niet op te reageren. Hun Desktop Firewall-software maakt automatisch nieuwe 'toestaan'-regels wanneer er onbekende toepassingen of firewallverkeer wordt onderschept.

Voordelen

Audit Learn Mode (Leermodus controle) biedt dezelfde functionaliteit als de Leermodus, maar vereist geen actie van de gebruikers. Deze functie vormt een

krachtige combinatie met de functie voor het controleren van externe regels (zie Externe regels controleren op pagina 34), waarmee u op afstand de regels kunt bekijken die door de Audit Learn Mode (Leermodus controle) zijn gemaakt, en waarmee geschikte regels naar uw hoofdregelreeks kunnen worden gekopieerd, zodat ze vervolgens bij alle gebruikers kunnen worden geïnstalleerd.

Producthandleiding

33


Vindplaats

Om Audit Learn Mode (Leermodus controle) in of uit te schakelen, gaat u naar het tabblad Administrative Configuration (Configuratie beheer) in ePolicy Orchestrator en selecteert of deselecteert u het selectievakje Enable Audit Learn Mode (Functie leermodus voor het controleren van toepassingen activeren)


Zie een van de volgende onderwerpen:

Het tabblad Administrative Configuration (Configuratie beheer) op pagina 134.

Firewall Audit Learn Mode in- en uitschakelen op pagina 157.

Audit Learn Modes in- en uitschakelen op pagina 174.

Externe regels controleren Vorige release

In de vorige releases van Desktop Firewall was het niet mogelijk om de regels te controleren die individuele gebruikers aan hun lijst met firewallregels toevoegden wanneer u hen de mogelijkheid bood om regels te maken of de Leermodus inschakelde.

Huidige release

In deze release kunt u de ePO-console gebruiken om de lijst met regels van een gebruiker op afstand te bekijken. U kunt bovendien geselecteerde regels kopiëren en toevoegen aan de hoofdregelreeks om deze vervolgens bij andere Desktop Firewall-gebruikers te installeren.

Voordelen

Deze functie is vooral handig wanneer u de Leermodus of de Audit Learn Mode (Leermodus controle) voor Desktop Firewall-gebruikers activeert. Als deze modi actief zijn, maakt Desktop Firewall automatisch nieuwe regels wanneer er onbekende toepassingen of firewallverkeer wordt ontdekt. U gebruikt Externe regels controleren om de geleerde regels regelmatig opnieuw te beoordelen.

34



Vindplaats

Om de lijst met regels van een externe gebruiker te zien, selecteert u die gebruiker in ePolicy Orchestrator en opent u het tabblad Firewall Configuration (Configuratie firewall) of Application Configuration (Configuratie toepassingen). De regels die door een gebruiker zijn gemaakt, worden weergegeven in de lijst Client Rules (Clientregels). OPMERKING

Voordat u Externe regels controleren gaat gebruiken, moet u het selectievakje Merge these rules with users rules (Deze regels samenvoegen met gebruikersregels) selecteren. Als dit selectievakje niet is geselecteerd, zal Desktop Firewall, iedere keer wanneer u de geïnstalleerde beheerregels wijzigt, alle door de gebruikers gemaakte regels overschrijven. Bovendien worden er in dat geval geen gebruikersregels in de lijst Client Rules (Clientregels) weergegeven.


Raadpleeg Een regel van een gebruiker bekijken op pagina 154 voor meer informatie over het bekijken van firewallregels van gebruikers. Raadpleeg Een regel van een gebruiker bekijken op pagina 172 voor meer informatie over het bekijken van toepassingsregels van gebruikers.

Producthandleiding

35


Bladeren door bekende regels Vorige release

In de vorige releases van Desktop Firewall werd de firewallfunctie geleverd met een reeks voorgedefinieerde bekende regels. Beheerders hadden geen mogelijkheid deze standaardregels weer te geven of te wijzigen.

Huidige release

In deze release kunnen ePolicy Orchestrator-beheerders de volledige lijst met voorgedefinieerde regels weergeven. Beheerders kunnen deze regels ook toevoegen aan hun eigen lijst met firewallregels.

Voordelen

Bekende regels maken het configureren van Desktop Firewall eenvoudiger, omdat de beheerder in veel gevallen gebruik kan maken van bestaande regels in plaats van nieuwe te maken.

Vindplaats

Om de lijst met beschikbare regels weer te geven in Desktop Firewall, gaat u naar het tabblad Firewall Configurations (Configuratie firewall) in ePolicy Orchestrator en klikt u op Add (Toevoegen). Selecteer Predefined Rules (Voorgedefinieerde regels). Desktop Firewall geeft dan een volledige lijst met voorgedefinieerde firewallregels weer.


Zie Bekende regels gebruiken op pagina 156 voor meer informatie.

36


DEEL

1

Desktop Firewall als zelfstandig product gebruiken

Aan de slag met Desktop Firewall De firewall instellen Het inbraakdetectiesysteem (IDS) instellen Toepassingen-monitor instellen Vastlegging instellen

2

Aan de slag met Desktop Firewall

Deze paragraaf bevat een zeer uitgebreide introductie op de Desktop Firewall-interface en de voornaamste functies van de software (stand-alone versie). In deze paragraaf wordt tevens het starten en stoppen van zowel het product als de individuele onderdelen behandeld. De volgende onderwerpen komen aan bod:

Kort overzicht van de Desktop Firewall-interface.

Desktop Firewall starten en stoppen.

Kiezen welke functies u wilt gebruiken.

Kort overzicht van de Desktop Firewall-interface Deze paragraaf geeft een introductie op de belangrijkste onderdelen van de gebruikersinterface van Desktop Firewall. Als u informatie nodig hebt over specifieke velden, lijsten en opties tijdens het gebruik van het product, kunt u meer informatie verkrijgen met behulp van het helpsysteem Desktop Firewall Wat is dit?. OPMERKING

Deze hulp is toegankelijk vanuit alle dialoogvensters van Desktop Firewall, behalve de hoofdconsole. Om toegang te krijgen tot dit type hulp, moet u eerst naar het dialoogvenster gaan waarover u informatie wilt. Klik daarna op het pictogram met het vraagteken in de rechterbovenhoek. De muisaanwijzer verandert in een vraagteken. Klik op het deel van de interface waarvoor u hulp nodig hebt. Desktop Firewall opent een kort Wat is dit? help-onderwerp in een pop-upvenster.

Afbeelding 2-1. Het pictogram Wat is dit?

Producthandleiding

39


De systeemwerkbalk Tijdens het installeren van Desktop Firewall voegt de software een pictogram toe aan de systeembalk van Windows. U gebruikt dit pictogram voor het controleren van de status van het product. U kunt Desktop Firewall ook zo configureren dat het pictogram niet wordt weergegeven. Als u met de rechtermuisknop op het pictogram op de systeemwerkbalk klikt, geeft Desktop Firewall een menu weer dat u kunt gebruiken voor het uitvoeren van de voornaamste acties.

Het pictogram op de systeemwerkbalk Het Desktop Firewall-pictogram op de systeemwerkbalk verandert om de status van het product aan te geven. Het pictogram geeft aan wanneer het product goed werkt, wanneer het is uitgeschakeld en wanneer het een aanval op uw systeem heeft ontdekt. In de volgende tabel ziet u hoe het pictogram eruit ziet, afhankelijk van de status van de software. Pictogram

De status van Desktop Firewall Desktop Firewall werkt correct.

Desktop Firewall heeft een potentiële aanval op uw computer ontdekt.

Desktop Firewall is uitgeschakeld.

Als u de muis een paar seconden boven het pictogram op de systeemwerkbalk houdt, ziet u ToolTips (Knopinfo) die de status van de software aangeven.

40


Kort overzicht van de Desktop Firewall-interface

Het snelmenu Als u met de rechtermuisknop op het pictogram op de systeemwerkbalk klikt, geeft Desktop Firewall een menu weer dat u kunt gebruiken voor het uitvoeren van de voornaamste acties: Menuopdracht

Beschrijving

Firewall inschakelen/uitschakelen

Als Desktop Firewall is uitgeschakeld, start deze optie het product opnieuw op. Als Desktop Firewall is ingeschakeld, schakelt deze optie het product uit.

Help

Opties...

Start de gekozen helpsystemen in uw standaard webbrowser:

Help-onderwerpen start het voornaamste on line helpsysteem van Desktop Firewall.

Virusinformation opent de pagina met de virusinformatiebibliotheek van McAfee Security, zodat u bekende virussen kunt onderzoeken.

Sample insturen opent de pagina WebImmune van McAfee Security, zodat u potentieel geïnfecteerde bestanden voor analyse kunt insturen.

Technische ondersteuning opent de ondersteuningspagina voor Desktop Firewall van McAfee Security.

Opent het dialoogvenster McAfee Desktop Firewall-opties waarin u de IDS-functie kunt configureren en Desktop Firewall opdracht kunt geven het pictogram op de systeemwerkbalk weer te geven of te verbergen.

Producthandleiding

41


42

Menuopdracht

Beschrijving

Beeld

Opent de hoofdconsole van Desktop Firewall naar het tabblad dat u opgeeft:

Firewall-beleid geeft het tabblad Firewall-beleid weer waarin u kunt werken met firewallregels en vertrouwde netwerken kunt instellen.

Toepassingenbeleid geeft het tabblad Toepassingenbeleid weer waarin u kunt werken met toepassingsregels en de toepassingen-monitor kunt configureren.

Inbraakbeleid geeft het tabblad Inbraakbeleid weer waarin u een lijst met geblokkeerde IP-adressen kunt weergeven en nieuwe adressen aan de lijst kunt toevoegen.

Activiteitenlogboek geeft het tabblad Activiteitenlogboek weer waarin u informatie over toegestaan of geblokkeerd verkeer kunt weergeven en de logboekfunctie kunt configureren.

Eigenschappen automatisch bijwerken...

Opent het dialoogvenster AutoUpdate-eigenschappen Desktop Firewall dat u gebruikt voor het plannen van regelmatige updates van IDS-handtekeningen.

Nu bijwerken...

Dwingt Desktop Firewall onmiddellijk nieuwe handtekeningen voor de IDS-functie te downloaden.

Info...

Opent het dialoogvenster Info Desktop Firewall dat het versienummer en andere productinformatie weergeeft.



De hoofdconsole U opent de hoofdconsole van Desktop Firewall door te dubbelklikken op het pictogram op de systeemwerkbalk of door met de rechtermuisknop op het pictogram te klikken en een van de opties van Beeld te selecteren in het menu dat wordt geopend. De hoofdconsole van Desktop Firewall geeft u toegang tot alle functies en configuratieopties. De console bestaat uit verschillende menu’s en tabbladen. Met de menu’s kunt u dezelfde acties uitvoeren als met het snelmenu van het pictogram op de systeemwerkbalk, alsmede een paar extra acties. Met de tabbladen kunt u de softwarefuncties configureren en informatie over de functies weergeven. Elk tabblad hoort bij een specifieke functie van Desktop Firewall: Naam tabblad

Hoort bij functie

Firewallbeleid

De firewallfunctie die netwerkcommunicatie toestaat of blokkeert op basis van de regels die u definieert.

Toepassingenbeleid

De functie toepassingen-monitor die het uitvoeren van programma’s toestaat of blokkeert (toepassingen maken) of voorkomt dat programma’s zich binden aan andere toepassingen (toepassingen koppelen).

Inbraakbeleid

De IDS-functie die zoekt naar complexe aanvallen op uw computer en bekende aanvallers blokkeert.

Activiteitenlogboek

De logboekfunctie die informatie over activiteiten van Desktop Firewall registreert zodat u deze te allen tijde kunt controleren en exporteren.

De menu’s Met de menu’s in de hoofdconsole van Desktop Firewall kunt u tabbladen veranderen en functies van Desktop Firewall configureren. Sommige menuopdrachten veranderen afhankelijk van het tabblad dat u gebruikt in de hoofdconsole van Desktop Firewall. De optie Wissen (in het menu Bewerken) is bijvoorbeeld alleen beschikbaar wanneer u het tabblad Activiteitenlogboek gebruikt.

Producthandleiding

43


Het menu Taak Met het menu Taak kunt u acties uitvoeren die u niet kunt uitvoeren met behulp van een van de tabbladen van Desktop Firewall.

44

Menuopdracht Taak

Beschrijving

Exporteer beleid

Exporteert de volgende informatie naar een beleidsbestand:

De huidige lijst met firewallregels.

De huidige lijst met toepassingsregels.

De huidige lijst met geblokkeerde IDS-adressen.

Uw instellingen van de Leermodus.

Uw vertrouwde netwerken.

Een lijst met alle uitgesloten IDS-handtekeningen.

Uw instellingen van het activiteitenlogboek.

Uw instellingen van de systeemwerkbalk (zichtbaar of verborgen).

Importeer beleid

Laadt alle informatie van een geëxporteerd beleidsbestand en gebruikt dit om de bestaande instellingen van de software te vervangen.

McAfee Desktop Firewall activeren

Schakelt alle functies van Desktop Firewall in, tenzij u een van deze functies specifiek hebt uitgeschakeld. (Functies omvatten de firewall, het inbraakdetectiesysteem (IDS), de toepassingen-monitor en het logboek.)

McAfee Desktop Firewall deactiveren

Schakelt Desktop Firewall uit. Hiermee worden alle functies van het product uitgeschakeld. Desktop Firewall controleert of blokkeert geen enkele netwerkwerkcommunicatie.

Eigenschappen automatisch bijwerken

Opent het dialoogvenster AutoUpdate-eigenschappen Desktop Firewall dat u gebruikt voor het plannen van regelmatige updates van IDS-handtekeningen.

Nu bijwerken

Dwingt Desktop Firewall onmiddellijk nieuwe handtekeningen voor de IDS-functie te downloaden.

Afsluiten

Sluit de hoofdconsole van Desktop Firewall.



Het menu Bewerken Met het menu Bewerken kunt u de beleidsopdrachten en de geblokkeerde adreslijsten bewerken en programma-opties configureren. Sommige menu-items zijn niet vanaf elk tabblad beschikbaar. Omhoog en Omlaag zijn bijvoorbeeld uitgeschakeld als u de tabbladen Inbraakbeleid en Activiteitenlogboek gebruikt. Menuopdracht Bewerken

Beschrijving

Omhoog

Verplaatst het geselecteerde item één positie omhoog in de lijst.

Omlaag

Verplaatst het geselecteerde item één positie omlaag in de lijst.

Verwijderen

Verwijdert de geselecteerde regel.

Wissen

Verwijdert alle items uit het logboekvenster.

Eigenschappen

Opent een dialoogvenster dat de eigenschappen van de geselecteerde opdracht weergeeft.

Opties

Opent het dialoogvenster McAfee Desktop Firewall-opties waarin u de IDS-functie kunt configureren en Desktop Firewall opdracht kunt geven het pictogram op de systeembalk weer te geven of te verbergen.

Het menu Beeld Met het menu Beeld kunt u van het ene tabblad overschakelen naar het andere. Menuopdracht Beeld

Beschrijving

Firewallbeleid

Geeft het tabblad Firewallbeleid weer waarin u de firewallregels kunt bewerken en vertrouwde netwerken kunt instellen.

Toepassingenbeleid

Geeft het tabblad Toepassingenbeleid weer waarin u de toepassingsregels kunt bewerken en de toepassingen-monitor kunt configureren.

Inbraakbeleid

Geeft het tabblad Inbraakbeleid weer waarin u een lijst met geblokkeerde IP-adressen kunt weergeven en nieuwe adressen aan de lijst kunt toevoegen.

Activiteitenlogboek

Geeft het tabblad Activiteitenlogboek weer waarin u informatie over toegestaan of geblokkeerd verkeer kunt weergeven en de logboekfunctie kunt configureren.

Producthandleiding

45


Het menu Help Met het menu Help krijgt u toegang tot een reeks informatie die betrekking heeft op Desktop Firewall en netwerkbeveiliging. Desktop Firewall opent de geselecteerde informatie in uw standaard webbrowser.

46

Menuopdracht Help

Beschrijving

Help-onderwerpen

Start het voornaamste on line helpsysteem van Desktop Firewall. Deze bevat productoverzichten en procedures.

Virusinformatie

Opent de webpagina van de virusinformatiebibliotheek van McAfee Security, zodat u bekende virussen kunt bestuderen.

Sample insturen

Opent de webpagina WebImmune van McAfee Security zodat u potentieel geïnfecteerde bestanden voor analyse kunt insturen.

Technische ondersteuning

Opent de webpagina voor ondersteuning van Desktop Firewall van McAfee Security.

Info

Opent het dialoogvenster Info Desktop Firewall die het versienummer en andere productinformatie weergeeft.



Het tabblad Firewallbeleid Met het tabblad Firewallbeleid kunt u de firewallfunctie configureren. Met dit tabblad kunt u:

De firewall in- of uitschakelen met behulp van het selectievakje Firewall inschakelen.

De Leermodus activeren of deactiveren met behulp van de selectievakjes van de Leermodus.

Een voorgedefinieerde serie firewallregels selecteren in de lijst Beschermingsniveau.

IP-adressen en subnetten identificeren waarmee u veilig denkt te kunnen communiceren, door deze toe te voegen aan de lijst Vertrouwde netwerken (klik op de knop Vertrouwd).

De regels die de firewall momenteel toepast controleren aan de hand van de lijst met regels.

Nieuwe firewallregels en -groepen maken met behulp van de knop Toevoegen.

Geselecteerde firewallregels bewerken of weergeven met behulp van de knop Eigenschappen.

Firewallregels verwijderen met behulp van de knop Verwijderen.

Afbeelding 2-2. Het tabblad Firewallbeleid

Producthandleiding

47


De lijst met regels geeft alle firewallregels weer die momenteel beschikbaar zijn voor Desktop Firewall. Elke regel vertegenwoordigt een regel of regelgroep. Lees de informatie in elke kolom om vast te stellen wat elke regel doet: Kolom

Geeft aan

Beschrijving

Een korte instructie over het doel van deze regel of regelgroep.

(Voor regels) Een pictogram dat aangeeft of de regel momenteel in gebruik is: geeft aan dat de regel actief is. geeft aan dat de regel uitgeschakeld is.

(Voor regelgroepen) Een pictogram dat aangeeft of de regels in de groep wel of niet actief zijn: geeft aan dat alle regels in deze groep actief zijn. geeft aan dat sommige regels in deze groep zijn uitgeschakeld. geeft aan dat alle regels in deze groep zijn uitgeschakeld.

Protocol

Of de regel verkeer toestaat of blokkeert: geeft aan dat de regel verkeer toestaat. geeft aan dat de regel verkeer blokkeert.

Of de regel van toepassing is op inkomend verkeer, uitgaand verkeer, of beide: geeft aan dat de regel van toepassing is op inkomend verkeer. geeft aan dat de regel van toepassing is op uitgaand verkeer. geeft aan dat de regel van toepassing is op beide richtingen.

Inbraak

Op welk(e) protocol(len) de regel van toepassing is (TCP, UDP, ICMP, enzovoort).

Of Desktop Firewall verkeer dat overeenkomt met deze regel behandelt als een inbraak (of aanval) op uw systeem: geeft aan dat deze regel een inbraakwaarschuwing maakt.

Planning

Of deze regel alleen van toepassing is op gespecificeerde tijden: geeft aan dat deze regel tijdbeperkingen heeft.

48



Kolom

Geeft aan

Service (L)

De namen van de services op uw computer waarop deze regel van toepassing is. Deze kolom geeft, indien mogelijk, ook de gekoppelde poortnummers aan. U kunt een individuele service, een reeks opeenvolgende services of een lijst met specifieke services definiëren, of alle (Ieder willekeurig) of geen services (n.v.t.) selecteren.

Service (R)

De namen van de services waarop deze regel van toepassing is, op de computer waar u verkeer naar toe stuurt of waarvan u verkeer ontvangt. Deze kolom geeft, indien mogelijk, ook de gekoppelde poortnummers aan. U kunt een individuele service, een reeks opeenvolgende services of een lijst met specifieke services definiëren, of alle (Ieder willekeurig) of geen services (n.v.t.) selecteren.

Adres

Het IP-adres, subnet, domein of een andere specifieke aanduiding waarop deze regel van toepassing is.

Toepassing

De toepassing waarop deze regel betrekking op heeft, inclusief de programmanaam en naam van het uitvoerbare bestand.

Het dialoogvenster Vertrouwde netwerken U opent het dialoogvenster Vertrouwde netwerken vanuit het tabblad Firewallbeleid (klik op de knop Vertrouwd). Met dit dialoogvenster kunt u de lijst met IP-adressen en subnetten weergeven die u als betrouwbaar hebt gedefinieerd. U kunt ook nieuwe items aan de lijst toevoegen en enkele belangrijke opties instellen. Een vertrouwd adres of subnet is een gebruiker, of groep gebruikers, waarmee u veilig denkt te kunnen communiceren. Als uw computer deel uitmaakt van een bedrijfsnetwerk, of als u vaak computerbronnen deelt met andere gebruikers, kunt u deze andere gebruikers vertrouwen. Met Desktop Firewall kunt u de computers die u vertrouwt als groep behandelen door deze toe te voegen aan de lijst Vertrouwde netwerken. Op deze manier kunt u eenvoudiger firewallregels maken speciaal voor deze gebruikers. U kunt individuele IP-adressen, een serie IP-adressen, of gehele subnetten toevoegen aan uw vertrouwde groep. U kunt ook automatisch uw lokale subnet toevoegen (het subnet waartoe uw computer behoort) aan de lijst Vertrouwde netwerken. Hiertoe selecteert u de optie Lokaal subnet automatisch opnemen.

Producthandleiding

49


Het dialoogvenster Firewallregel U opent het dialoogvenster Firewallregel vanuit het tabblad Firewallbeleid door een bestaande regel te bewerken of een nieuwe regel toe te voegen. Met dit dialoogvenster kunt u firewallregels maken en configureren. Een regel is een serie criteria. Wanneer Desktop Firewall uw inkomend en uitgaand verkeer filtert, vergelijkt het elk onderschept pakket met de criteria in uw regels. Als een pakket voldoet aan de criteria in een specifieke regel, volgt Desktop Firewall de instructie die hoort bij deze regel: het pakket door de firewall laten of het pakket blokkeren. U kunt regels zo algemeen of zo specifiek maken als nodig is. Hoe meer criteria u voor een regel definieert, hoe minder communicatiepogingen hiermee overeenkomen. Voor beschrijvingen van de individuele tekstvakken en lijsten in het dialoogvenster Firewallregel raadpleegt u Een nieuwe firewallregel maken op pagina 79.

De Leermodus-waarschuwing van de firewall Als u de Leermodus van de firewall inschakelt, verschijnt deze waarschuwing automatisch wanneer Desktop Firewall netwerkverkeer onderschept dat niet overeenkomt met een van de bestaande regels. Het dialoogvenster van de Leermodus-waarschuwing geeft op twee tabbladen informatie weer over het onderschepte verkeer, namelijk het tabblad Toepassingsgegevens en het tabblad Verbindingsgegevens. Het tabblad Toepassingsgegevens geeft informatie over de toepassing die het verkeer heeft gegenereerd, alsmede de tijd en datum waarop het verkeer is onderschept door Desktop Firewall. Het tabblad Verbindingsgegevens geeft de netwerkgegevens van het verkeer, inclusief het gebruikte protocol en de gebruikte poort, het IP-adres waarvandaan het verkeer is verzonden, het bestemmingsadres en nog meer.

Afbeelding 2-3. Het waarschuwingsdialoogvenster van de Leermodus van de firewall

50



Desktop Firewall gebruikt dit dialoogvenster om u te vragen een beslissing te nemen. U kunt het onderschepte verkeer door de firewall laten met behulp van de knop Toestaan of het verkeer blokkeren met de knop Weigeren. Desktop Firewall maakt een nieuwe regel gebaseerd op uw beslissing en voegt deze toe aan de lijst met firewallregels. U kunt eventueel het type regel wijzigen dat Desktop Firewall maakt. Daartoe gebruikt u de opties op het tabblad Verbindingsgegevens. Raadpleeg Reageren op een Leermodus-waarschuwing op pagina 78 voor meer informatie.

Het tabblad Toepassingenbeleid Met het tabblad Toepassingenbeleid kunt u de functie toepassingen-monitor configureren. Met deze functie kunt u de toepassingen beheren die u gebruikt. U kunt opgeven of een toepassing mag starten (ook wel toepassingen maken genoemd) en of een toepassing zich mag binden aan andere programma’s (ook wel toepassingen koppelen) genoemd. Met dit tabblad kunt u:

De toepassingen-monitor activeren of deactiveren met behulp van de bovenste twee selectievakjes Inschakelen.

De Leermodus activeren of deactiveren met behulp van de selectievakjes van de Leermodus.

Aan de hand van de lijst met regels de toepassingsregels controleren die Desktop Firewall momenteel toepast.

Nieuwe toepassingsregels maken met behulp van de knop Toevoegen.

Geselecteerde toepassingsregels bewerken of weergeven met behulp van de knop Eigenschappen.

Toepassingsregels verwijderen met behulp van de knop Verwijderen.

Afbeelding 2-4. Het tabblad Toepassingenbeleid

Producthandleiding

51


De lijst met regels toont alle toepassingsregels die momenteel door Desktop Firewall worden gebruikt. Elke regel vertegenwoordigt één regel. Lees de informatie in elke kolom om vast te stellen wat elke regel doet: Kolom

Geeft weer

Beschrijving

Een korte instructie over het doel van deze regel.

Een pictogram dat aangeeft of de regel momenteel in gebruik is: geeft aan dat de regel actief is. geeft aan dat de regel uitgeschakeld is.

Maken

Een pictogram dat aangeeft of Desktop Firewall de toepassing die aan deze regel is gekoppeld toestaat: geeft aan dat de toepassing mag worden gebruikt. geeft aan dat de toepassing niet mag worden gebruikt.

Koppelen

Een pictogram dat aangeeft of Desktop Firewall de toepassing die aan deze regel is gekoppeld toestaat zich aan andere programma’s te binden: geeft aan dat de toepassing zich mag koppelen aan andere programma’s. geeft aan dat de toepassing zich niet mag koppelen aan andere programma’s.

Toepassing

De bestandsnaam en het pad van de toepassing waarop deze regel van toepassing is.

Het dialoogvenster Toepassingsregel U opent het dialoogvenster Toepassingsregel vanuit het tabblad Toepassingenbeleid door een bestaande regel te bewerken of een nieuwe regel toe te voegen. Met dit dialoogvenster kunt u regels voor de toepassingen-monitor maken en configureren. Elke regel is een serie instructies die gekoppeld zijn aan een bepaalde toepassing. Om een regel te maken, specificeert u een toepassing en vervolgens selecteert of deselecteert u de selectievakjes om aan te geven of:

De toepassing mag worden gebruikt.

De toepassing zich aan andere programma’s mag binden.

U kunt de regel ook activeren of deactiveren.

52



Wanneer u het instellen van de regel hebt voltooid, voegt Desktop Firewall een nieuw item toe aan de lijst met toepassingsregels. Als u de toepassingen-monitor inschakelt, wordt deze lijst elke keer gecontroleerd wanneer een toepassing probeert te starten of zich aan een andere toepassing probeert te koppelen. Vervolgens krijgt de toepassing toestemming of wordt geblokkeerd op basis van de regels die u hebt gemaakt.

De Leermodus-waarschuwingen van de toepassingen-monitor Als u de Leermodus van de toepassingen-monitor inschakelt, verschijnen er automatisch waarschuwingen wanneer Desktop Firewall een toepassing ontdekt waarvoor geen regel is gemaakt. Om waarschuwingen weer te geven wanneer programma’s proberen te starten, selecteert u Leermodus voor het maken van toepassingen inschakelen op het tabblad Toepassingenbeleid. Om waarschuwingen weer te geven wanneer programma’s zich proberen te binden aan andere toepassingen, selecteert u Leermodus voor het koppelen van toepassingen activeren. De Leermodus geeft elke keer informatie over de toepassing die Desktop Firewall heeft ontdekt, en geeft tevens de tijd en datum aan waarop dit programma is onderschept.

Afbeelding 2-5. De dialoogvensters Waarschuwing: maken van toepassing en Waarschuwing: koppelen van toepassing

Desktop Firewall gebruikt deze waarschuwingen om u te vragen een beslissing te nemen. U kunt de toepassing laten starten of koppelen met behulp van de knop Toestaan of dit voorkomen met de knop Weigeren. Desktop Firewall maakt een nieuwe regel op basis van uw beslissing en voegt deze toe aan de lijst met toepassingsregels.

Producthandleiding

53


Het tabblad Inbraakbeleid Met het tabblad Inbraakbeleid kunt u de lijst met geblokkeerde hosts (IP-adressen) controleren en bewerken. Dit tabblad is verwant aan de IDS-functie van Desktop Firewall. Wanneer u deze functie inschakelt, controleert Desktop Firewall continu op aanvallen op uw systeem. Als er een aanval wordt ontdekt, vraagt Desktop Firewall of u de inbreker wilt toevoegen aan de lijst met geblokkeerde adressen. (U kunt dit indien nodig uitschakelen; zie Inbraakwaarschuwingen in- en uitschakelen op pagina 90.) U kunt ook zelf adressen toevoegen aan de lijst met geblokkeerde adressen. In tegenstelling tot de andere tabbladen van Desktop Firewall kunt u het tabblad Inbraakbeleid niet gebruiken om de IDS-functie in- of uit te schakelen of om de

functie te configureren. Voor het instellen van de IDS-functie gebruikt u het dialoogvenster McAfee Desktop Firewall-opties. (Selecteer het menu Bewerken en klik vervolgens op Opties.) Met behulp van het tabblad Inbraakbeleid kunt u:

De lijst met geblokkeerde adressen controleren.

Nieuwe hosts blokkeren door hun gegevens toe te voegen aan de lijst met behulp van de knop Toevoegen.

Het blokkeren van hosts stoppen door de betreffende items te verwijderen met behulp van de knop Verwijderen.

De gegevens van een geselecteerde host bewerken of weergeven met behulp van de knop Eigenschappen.

Afbeelding 2-6. Het tabblad Inbraakbeleid

54



De lijst met geblokkeerde adressen toont alle hosts die momenteel worden geblokkeerd door Desktop Firewall. Elke regel vertegenwoordigt een host. Lees de gegevens in elke kolom voor meer informatie over afzonderlijke hosts: Kolom

Geeft weer

Bron

Het IP-adres dat Desktop Firewall blokkeert.

Reden voor blokkeren

Een uitleg waarom Desktop Firewall dit adres blokkeert. Als Desktop Firewall dit adres aan de lijst heeft toegevoegd vanwege een aanvalspoging op uw systeem, beschrijft deze kolom het type aanval. Als Desktop Firewall dit adres aan de lijst heeft toegevoegd omdat een van de firewallregels de optie Overeenkomst met regel als inbraak behandelen heeft gebruikt, staat in deze kolom de naam van de betreffende firewallregel. Als u dit adres zelf hebt toegevoegd staat in deze kolom alleen het IP-adres dat u hebt geblokkeerd.

Tijd

De tijd en datum waarop u dit adres aan de lijst met geblokkeerde adressen hebt toegevoegd.

Resterende tijd

Hoe lang Desktop Firewall doorgaat met het blokkeren van dit adres. Als u een vervaltijd hebt gespecificeerd toen u het adres blokkeerde, staat in deze kolom het aantal resterende minuten voordat Desktop Firewall het adres van de lijst verwijdert. Als u hebt gespecificeerd dat dit adres moet worden geblokkeerd totdat u het zelf uit de lijst verwijdert, staat in deze kolom Tot verwijderd.

Het dialoogvenster Geblokkeerde host U opent het dialoogvenster Geblokkeerde host vanuit het tabblad Inbraakbeleid door een nieuw geblokkeerd IP-adres toe te voegen of door een bestaande geblokkeerde host te bewerken. In dit dialoogvenster kunt u:

Een IP-adres instellen dat u wilt blokkeren.

Een domeinnaam opzoeken om het bijbehorende IP-adres te verkrijgen.

Opgeven hoe lang Desktop Firewall het IP-adres moet blokkeren.

Het IP-adres traceren voor het verzamelen van gegevens, bijvoorbeeld het MAC-adres (een unieke hardware-ID) en gegevens over de serverbanner.

Producthandleiding

55


Wanneer u het instellen van een geblokkeerd adres hebt voltooid, voegt Desktop Firewall een nieuw item toe aan de lijst op het tabblad Inbraakbeleid. Hiermee worden alle communicatiepogingen vanaf dat IP-adres geblokkeerd totdat u het adres verwijdert uit de lijst met geblokkeerde adressen of totdat een ingestelde tijdsperiode vervalt (dat wil zeggen de tijd die u hebt opgegeven in het dialoogvenster Geblokkeerde host).

Het dialoogvenster Waarschuwing: inbraakdetectie Als u zowel de IDS-functie als de optie Bij aanval waarschuwingsbericht weergeven inschakelt, verschijnt deze waarschuwing automatisch als Desktop Firewall een potentiële aanval op uw computer ontdekt. OPMERKING

Complexe aanvallen worden niet altijd ontdekt door een firewall. Dit is het geval wanneer de aanval op de computer bestaat uit verschillende, gelijktijdige benaderingen. Alleen inbraakdetectiesystemen zoals de IDS-functie van Desktop Firewall kunnen dit soort aanvallen herkennen en stoppen. Voor maximale beveiliging activeert u zowel de firewall als de IDS-functies. Het waarschuwingsdialoogvenster Waarschuwing: inbraakdetectie geeft op twee tabbladen informatie weer over de onderschepte aanval: het tabblad Indringersgegevens en het tabblad Pakketgegevens. Het tabblad Indringersgegevens geeft bijzonderheden over de aanval die verantwoordelijk is voor de waarschuwing, onder andere een beschrijving van de aanval, het IP-adres dat de aanval heeft verzonden, en de tijd en datum waarop Desktop Firewall deze aanval heeft onderschept.

56



Het tabblad Pakketgegevens geeft de gegevens weer die Desktop Firewall heeft onderschept, met vermeling van adresinformatie (bijvoorbeeld Ethernet-, IP- en TCP- of UDP-headers).

Afbeelding 2-7. Het dialoogvenster Waarschuwing: inbraakdetectie

Desktop Firewall gebruikt dit dialoogvenster om u te vragen een beslissing te nemen. Als het onderschepte verkeer geen aanval is, kunt u het doorlaten met behulp van de knop Niet blokkeren. Als de aanval een echte bedreiging vormt, kunt u deze stoppen met behulp van de knop Blokkeren. OPMERKING

De instellingen van de IDS-opties spelen een belangrijke rol in het beveiligen van uw computer tegen dit soort inbraken. Als u de instelling Aanvallers automatisch blokkeren selecteert in het dialoogvenster McAfee Desktop Firewall-opties, stopt Desktop Firewall verdachte aanvallen op het moment dat ze worden ontdekt. Als u deze optie niet selecteert, blijft Desktop Firewall netwerkverkeer doorlaten totdat u Blokkeren of Niet blokkeren kiest in het dialoogvenster Waarschuwing: inbraakdetectie. Als u klikt op Blokkeren voegt Desktop Firewall het IP-adres dat deze aanval heeft verzonden toe aan de lijst met geblokkeerde adressen op het tabblad Inbraakbeleid. U geeft op hoe lang het adres op de lijst moet blijven met behulp van de opties in het dialoogvenster Waarschuwing: inbraakdetectie. Naast het toestaan of blokkeren van de verdachte aanval, kunt u op Bron traceren klikken om gegevens te verzamelen over de aanvaller. Als u daarin slaagt, kunt u het MAC-adres van de aanvaller achterhalen (een unieke hardware-ID), de banner van de Telnet-server, de versie van de HTTP-server, de banner van de FTP-server en de banner van de SMTP-server.

Producthandleiding

57


Het dialoogvenster Waarschuwing: detectie van vals IP-adres Als u de IDS-functie inschakelt, verschijnt deze waarschuwing automatisch als Desktop Firewall een toepassing op uw computer ontdekt die vals netwerkverkeer verstuurt. Dit betekent dat de toepassing een ander IP-adres opgeeft zodat het lijkt alsof het verkeer vanaf uw computer van een andere computer afkomstig is. Dit gebeurt door het IP-adres in de uitgaande pakketten te veranderen. OPMERKING

Het opgeven van valse adressen is altijd een verdachte activiteit. Als u dit dialoogvenster ziet, moet u onmiddellijk de toepassing controleren die het valse verkeer verstuurt. Het dialoogvenster Waarschuwing: detectie van vals IP-adres is vergelijkbaar met de waarschuwing van de firewall-functie Leermodus. De waarschuwing toont op twee tabbladen informatie over het onderschepte verkeer: het tabblad Toepassingsgegevens en het tabblad Verbindingsgegevens. Het tabblad Toepassingsgegevens toont:

Het IP-adres waarvandaan het verkeer zogenaamd afkomstig is.

Gegevens over het programma dat verantwoordelijk is voor het genereren van het valse verkeer.

De tijd en datum waarop Desktop Firewall het verkeer heeft onderschept.

Het tabblad Verbindingsgegevens biedt nog meer netwerkgegevens. Het Lokaal adres is vooral interessant omdat dit het valse IP-adres toont dat de toepassing ten onrechte gebruikt, terwijl Extern adres uw werkelijk IP-adres toont.

Afbeelding 2-8. Het dialoogvenster Waarschuwing: detectie van vals IP-adres. Dit dialoogvenster behoort bij de IDS-functie.

58



Als Desktop Firewall vals netwerkverkeer ontdekt, probeert de software zowel het verkeer als de toepassing die het verkeer heeft gegenereerd te blokkeren. Dit gebeurt door een nieuwe regel toe te voegen aan het einde van de lijst met firewallregels. Deze regel Aanvaller met vals adres blokkeren blokkeert met name alle verkeer dat door de verdachte toepassing wordt gecreëerd, tenzij hij door een andere regel in de lijst wordt opgeheven.

Het tabblad Activiteitenlogboek Op het tabblad Activiteitenlogboek kunt u de logboekfunctie configureren en de acties van Desktop Firewall bijhouden. Op dit tabblad kunt u:

Het registreren door de firewall in- of uitschakelen met behulp van de selectievakjes Verkeerregistratie.

De huidige logboekgegevens weergeven in het gebied voor logboekweergave.

Pakketgegevens (aangeduid met het pictogram Inbraakgegevens) die zijn gekoppeld aan een specifieke IDS-gebeurtenis exporteren door met de rechtermuisknop op de logboekvermelding te klikken.

Filters toepassen op de logboekgegevens om alleen de informatie weer te geven waarin u bent geïnteresseerd (met behulp van de selectievakjes Filteropties).

De logboekgegevens exporteren naar een bestand met behulp van de knop Opslaan.

Alle items in het logboek wissen met behulp van de knop Wissen. OPMERKING

U kunt de logboekfunctie voor de firewallfunctie activeren en deactiveren. De logboekfunctie voor de IDS-functie en de functie toepassingen-monitor kan echter niet worden geactiveerd of gedeactiveerd. Desktop Firewall registreert altijd informatie over deze functies, maar u kunt deze gebeurtenissen verbergen door filters toe te passen.

Producthandleiding

59


Afbeelding 2-9. Het tabblad Activiteitenlogboek

In het weergavegebied van het logboek ziet u alle logboekitems die u wilt weergeven. Als u filters hebt toegepast op de gegevens (met behulp van de selectievakjes Filteropties) worden wellicht niet alle logboekitems getoond. Elk item in het logboek vertegenwoordigt één actie van Desktop Firewall. Lees de informatie in elke kolom als u meer wilt weten over deze acties: Kolom

Geeft weer

Tijd

De datum en tijd van de Desktop Firewall-actie.

Gebeurtenis

De functie die de actie heeft uitgevoerd. Verkeer geeft een firewall-actie aan. Toepassing geeft een actie van de toepassingen-monitor aan. Inbraak geeft een IDS-actie aan.

Adres

Het externe adres waar deze communicatie naar toe is gestuurd of waar deze communicatie afkomstig van is.

Inbraakgegevens

Een pictogram dat aangeeft dat Desktop Firewall de pakketgegevens heeft opgeslagen die bij deze aanval horen. (Dit pictogram verschijnt alleen voor items in het IDS-logboek.) geeft aan dat u de pakketgegevens kunt exporteren die bij dit logboek-item horen. Klik met de rechtermuisknop op de logboekvermelding om de gegevens op te slaan naar een Sniffer-bestand.

60


Starten en stoppen Desktop Firewall

Kolom

Geeft weer

Toepassing

Het programma dat de actie heeft veroorzaakt.

Bericht

Een beschrijving van de actie met zoveel mogelijk gegevens.

Starten en stoppen Desktop Firewall U kunt Desktop Firewall starten en stoppen met behulp van het menu Taak in de hoofdconsole van Desktop Firewall, of met behulp van het snelmenu dat hoort bij het pictogram op de systeemwerkbalk. In beide gevallen selecteert u McAfee Desktop Firewall activeren om de software te starten, of McAfee Desktop Firewall deactiveren om de firewall uit te schakelen. Wanneer u Desktop Firewall inschakelt, draait deze constant op de achtergrond. U kunt de individuele functies activeren en deactiveren zonder dat dit invloed heeft op de andere functies. Als u bijvoorbeeld de IDS-functie uitschakelt, kunt u de firewall-functie gewoon gebruiken. Als u echter Desktop Firewall uitschakelt, schakelt u tevens alle functies van de firewall uit. Deze functies omvatten de firewall, de toepassingen-monitor, de inbraakdetectie en het logboek. Desktop Firewall kan geen netwerkcommunicatie beveiligen wanneer hij is uitgeschakeld. OPMERKING

Als u de computer opnieuw opstart, bevindt Desktop Firewall zich nog steeds in de vorige status. Wanneer u dus voor het opnieuw opstarten de software hebt uitgeschakeld, is Desktop Firewall na het opstarten nog steeds uitgeschakeld.

Kiezen welke functies u wilt gebruiken U kunt de afzonderlijke functies van Desktop Firewall naar wens aan- en uitschakelen tijdens het uitvoeren van Desktop Firewall. U kunt kiezen uit:

De firewall die het inkomend en uitgaand netwerkverkeer inspecteert en dit

blokkeert of toestaat op basis van de regels die u hebt ingesteld.

De toepassingen-monitor die de door u gebruikte toepassingen controleert en voorkomt dat gespecificeerde toepassingen starten of zich aan andere programma’s binden.

Het inbraakdetectiesysteem (IDS) dat verkeer naar uw computer scant en

eventuele potentiële aanvallen op uw systeem identificeert.

Logging (Logboek) waarmee u de geschiedenis van Desktop Firewall-acties

kunt bijhouden om deze later te controleren.

Producthandleiding

61


Alle productfuncties activeren en deactiveren Om alle functies van Desktop Firewall gelijktijdig in- of uit te schakelen, moet u de software starten of stoppen. U doet dit met behulp van het menu Taak in de hoofdconsole van Desktop Firewall of met behulp van het snelmenu dat hoort bij het pictogram op de systeemwerkbalk. In beide gevallen selecteert u McAfee Desktop Firewall activeren om de software te starten, of McAfee Desktop Firewall deactiveren om de software uit te schakelen.

De firewall-functie activeren en deactiveren 1

In Desktop Firewall klikt u op het tabblad Firewallbeleid om dit te activeren.

2

Voer een van de volgende handelingen uit:

Om de firewall in te schakelen, selecteert u het selectievakje Firewall inschakelen.

Om de firewall uit te schakelen, deselecteert u het selectievakje. OPMERKING

Het activeren en deactiveren van de firewallfunctie heeft niet tot gevolg dat de inbraakdetectie, de toepassingen-monitor of de logboekfuncties worden geactiveerd of gedeactiveerd.

De toepassingen-monitorfunctie activeren en deactiveren Desktop Firewall ondersteunt twee soorten toepassingen-monitors. U kunt controleren op toepassingen die proberen te starten (toepassingen maken), of toepassingen die proberen zichzelf te binden aan andere programma’s (toepassingen koppelen). OPMERKING

Het activeren en deactiveren van de toepassingen-monitor heeft niet tot gevolg dat de firewall, de inbraakdetectie of de logboekfuncties worden geactiveerd of gedeactiveerd.

62


Kiezen welke functies u wilt gebruiken

De toepassingen-monitor in- en uitschakelen 1

In Desktop Firewall klikt u op het tabblad Toepassingenbeleid om dit actief te maken.

2


Om de controle op het maken van toepassingen te activeren, selecteert u het selectievakje Maken van toepassingen-monitor activeren.

Om de controle op het maken van toepassingen te deactiveren, deselecteert u het selectievakje Maken van toepassingen-monitor activeren.

Koppelen van toepassingen-monitor in- en uitschakelen 1

In Desktop Firewall klikt u op het tabblad Toepassingenbeleid om dit actief te maken.

2


Om de controle op het koppelen van toepassingen te activeren, selecteert u het selectievakje Koppelen van toepassingen-monitor activeren.

Om de controle op het koppelen van toepassingen te deactiveren, deselecteert u het selectievakje Koppelen van toepassingen-monitor activeren.

De IDS-functie activeren en deactiveren 1

In Desktop Firewall selecteert u het menu Bewerken.

2

Selecteer Opties. Het dialoogvenster McAfee Desktop Firewall-opties wordt weergegeven. Het gebied Inbraakdetectie-opties bestuurt de IDS-functie.

3


Om de inbraakdetectie te activeren, selecteert u het selectievakje Inbraakdetectie activeren.

Om de inbraakdetectie te deactiveren, deselecteert u het selectievakje Inbraakdetectie activeren. OPMERKING

Het activeren en deactiveren van de IDS-functie heeft niet tot gevolg dat de firewall, de toepassingen-monitor of de logboekfuncties worden geactiveerd of gedeactiveerd.

Producthandleiding

63


De logboekfunctie activeren en deactiveren Met Desktop Firewall kunt u informatie registreren over:

Acties die de software heeft toegestaan.

Acties die de software heeft geblokkeerd.

U kunt de logboekfunctie voor de firewallfunctie activeren en deactiveren. De logboekfunctie voor de IDS-functie en de functie toepassingen-monitor kan echter niet worden geactiveerd of gedeactiveerd. Desktop Firewall registreert altijd informatie over deze functies, maar u kunt deze gebeurtenissen verbergen door filters toe te passen. Voor de firewallfunctie kunt u ervoor kiezen om alleen ‘toegestane’ gebeurtenissen, alleen ‘geblokkeerde’ gebeurtenissen, beide of geen van beide te registreren.

De logboekfunctie voor de firewall in- en uitschakelen 1

In Desktop Firewall klikt u op het tabblad Activiteitenlogboek om dit actief te maken.

2


Om informatie over de toegestane firewall-acties te registreren, selecteert u het selectievakje Alle toegestane registreren.

Om het registreren van toegestane firewall-acties te deactiveren, deselecteert u het selectievakje. 3


Om informatie over de geblokkeerde firewall-acties te registreren, selecteert u het selectievakje Alle geblokkeerde registreren.

Om het registreren van geblokkeerde firewall-acties te deactiveren, deselecteert u het selectievakje.

64


3

De firewall instellen

Deze paragraaf is een introductie op de Desktop Firewall-functie en beschrijft hoe deze uw netwerkverkeer filtert op basis van de regels die u instelt. De volgende onderwerpen komen aan bod:

Over de firewallfunctie.

De firewallfunctie instellen.

Reageren op Leermodus-waarschuwingen van de firewall.

Firewallregels bewerken.

Over de firewallfunctie Desktop Firewall omvat een firewallfunctie die uw computer beschermt door alle netwerkverkeer dat u verstuurt en ontvangt te filteren. U kunt geautoriseerd verkeer door de firewall laten gaan en het resterende verkeer blokkeren. U configureert de firewall door regels in te stellen op het tabblad Firewallbeleid. Raadpleeg Firewallregels en prioriteit op pagina 66 voor meer informatie. De software wordt geleverd met verschillende sets voorgedefinieerde firewallregels. Deze regels noemt men beveiligingsniveaus. Beveiligingsniveaus bieden verschillende niveaus van beveiliging, gebaseerd op uw behoefte aan bescherming. Raadpleeg Beveiligingsniveaus en beleidsarchieven op pagina 67 voor meer informatie. Met behulp van de Leermodus maakt u nieuwe, aangepaste sets firewallregels. In de Leermodusvraagt Desktop Firewall u een actie te selecteren wanneer er onbekend netwerkverkeer wordt ontdekt. Als u een actie hebt geselecteerd, maakt de software automatisch een nieuwe firewallregel voor dit type verkeer. Raadpleeg Leermodus-waarschuwingen van de Firewall op pagina 70 voor meer informatie. Uw groep met Vertrouwde netwerken kan het beheer van regels ook eenvoudiger maken. Deze groep bevat een lijst met adressen en subnetten waarmee u veilig denkt te kunnen communiceren. Door deze gebruikers als een groep te behandelen, kunt u regels maken die speciaal op hen van toepassing zijn. Raadpleeg Het dialoogvenster Vertrouwde netwerken op pagina 49 en Vertrouwde netwerken op pagina 71 voor meer informatie.

Producthandleiding

65


Firewallregels en prioriteit Telkens als er netwerkverkeer wordt onderschept, past de firewallfunctie regels toe om vast te stellen wat er moet gebeuren. Een regel is een set voorwaarden waaraan dat verkeer moet voldoen. Aan elke regel is ook een actie gekoppeld, namelijk verkeer toestaan of verkeer blokkeren. Wanneer Desktop Firewall verkeer ontdekt dat overeenkomt met de voorwaarden van een regel, wordt de gespecificeerde actie uitgevoerd. U kunt regels maken en beheren met behulp van het tabblad Firewallbeleid in de hoofdconsole van Desktop Firewall. Dit tabblad bevat de lijst met firewallregels waarop alle regels die momenteel beschikbaar zijn voor Desktop Firewall staan vermeld. De software gebruikt prioriteit bij het toepassen van de regels op deze lijst. De prioriteit bepaalt welke regels de software als eerste moet toepassen. Wanneer Desktop Firewall netwerkverkeer onderschept, wordt altijd eerst de regel toegepast die bovenaan de lijst met regels staat. Als het verkeer aan de voorwaarden van deze regel voldoet, wordt het door Desktop Firewall toegestaan of geblokkeerd. Desktop Firewall past de eventuele andere regels in de regellijst niet meer toe. Als het verkeer echter niet aan de eerste voorwaarde van de regel voldoet, controleert Desktop Firewall de volgende regel in de lijst. De hele lijst met firewallregels wordt afgewerkt totdat er een regel is die overeenkomt met het verkeer. Als het verkeer met geen enkele regel overeenkomt, wordt het automatisch geblokkeerd, tenzij u de Leermodus hebt ingeschakeld (in dat geval vraagt de firewall u een actie te selecteren). Soms komt het onderschepte verkeer overeen met meer dan één regel in de lijst met firewallregels. In dat geval bepaalt de prioriteit dat Desktop Firewall alleen de eerste regel toepast (de hoogste op de lijst). Het controleren van de lijst wordt stopgezet en de firewall ziet dus nooit de tweede regel die van toepassing is.

De lijst met firewallregels ordenen Bij het maken of aanpassen van de lijst met firewallregels plaatst u de meest specifieke regels bovenaan op de lijst en de algemenere regels onderaan op de lijst. Op deze manier bent u er zeker van dat Desktop Firewall het verkeer filtert op de gewenste wijze. Het programma kan immers geen regels overslaan die gebaseerd zijn op uitzonderingen op andere, algemenere regels. U moet bijvoorbeeld twee regels maken om alle HTTP-verzoeken te blokkeren, behalve die van IP-adres 10.10.10.1:

‘Toestemmingsregel’: HTTP-verkeer afkomstig van IP-adres 10.10.10.1 toestaan. (Deze regel is zeer specifiek.)

‘Blokkeerregel’: Al het verkeer dat gebruik maakt van de HTTP-service

blokkeren. (Deze regel is zeer algemeen.)

66


Over de firewallfunctie

U moet de meer specifieke ‘Toestemmingsregel’ hoger op de lijst met firewallregels plaatsen dan de algemenere ‘Blokkeerregel’. Wanneer de firewall een HTTP-verzoek ontvangt van adres 10.10.10.1 bent u er zeker van dat de regel die het verkeer door de firewall laat gaan de eerste overeenkomende regel is die de firewall vindt. Als u de algemenere ‘Blokkeerregel’ hoger had geplaatst dan de meer specifieke ‘Toestemmingsregel’ zou Desktop Firewall het HTTP-verzoek van 10.10.10.1 vergelijken met de ‘Blokkeerregel’ voordat de uitzondering werd gevonden. Het verkeer zou worden geblokkeerd, hoewel u de HTTP-verzoeken van dit adres wilde toestaan. OPMERKING

Desktop Firewall gaat op een andere wijze om met de prioriteit voor regels die zijn gebaseerd op domeinen. Als er domeinregels in de lijst met firewallregels staan, past de software deze eerst toe.

Beveiligingsniveaus en beleidsarchieven Desktop Firewall-software wordt geleverd met een aantal voorgedefinieerde sets firewallregels. Deze regelsets noemt men beveiligingsniveaus. Beveiligingsniveaus bieden verschillende hoeveelheden firewallbescherming, gebaseerd op uw beveiligingsbehoefte. U kunt een beveiligingsniveau ongewijzigd gebruiken of als basis voor het maken van uw eigen, aangepaste lijst met regels. Met Desktop Firewall kunt u ook beleidsarchieven maken. Een beleidsarchief is een aangepaste verzameling instellingen voor de firewall, de toepassingen-monitor, het IDS en het logboek. OPMERKING

U kunt beleidsarchieven instellen en beheren met behulp van het tabblad Firewallbeleid. Deze beleidsarchieven zijn echter geen exclusieve firewallfunctie. Beleidsarchieven omvatten instellingen voor alle Desktop Firewall-functies, niet alleen de firewall. U selecteert beveiligingsniveaus en beleidsarchieven met behulp van de lijst Beveiligingsniveau op het tabblad Firewallbeleid.

Producthandleiding

67


De standaardbeveiligingsniveaus van de software Desktop Firewall biedt verschillende beveiligingsniveaus:

Minimaal

Leerstarter

Client gemiddeld

Client hoog

Server gemiddeld

Server hoog

Kies het beveiligingsniveau dat u wilt gebruiken in de lijst Beveiligingsniveau op het tabblad Firewallbeleid. Als u vervolgens regels toevoegt, bewerkt of verwijdert, verandert Desktop Firewall de weergavenaam in Aangepast om aan te geven dat u het beveiligingsniveau hebt bewerkt.

Het beveiligingsniveau Leerstarter Gebruik het beveiligingsniveau Leerstarter als u de Leermodus van Desktop Firewallwilt gebruiken om een aangepaste regellijst te maken voor uw omgeving. Dit beveiligingsniveau:

Blokkeert al het inkomend ICMP-verkeer dat een aanvaller kan gebruiken voor het verzamelen van informatie over uw computer. Desktop Firewall staat al het andere ICMP-verkeer toe.

Staat al het inkomend en uitgaand UDP-verkeer toe dat gerelateerd is aan DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name System), NTP (Network Time Protocol) en verificatieservices.

Het beveiligingsniveau Minimaal Gebruik het beveiligingsniveau Minimaal als basisbeveiliging tegen veel voorkomende aanvallen. Dit beveiligingsniveau:

68

Blokkeert al het inkomend ICMP-verkeer dat een aanvaller kan gebruiken voor het verzamelen van informatie over uw computer. Desktop Firewall staat al het andere ICMP-verkeer toe.

Staat Windows-verzoeken tot bestandsdeling toe van computers die tot hetzelfde subnet behoren als u, maar blokkeert verzoeken tot bestandsdeling van alle andere computers.

Geeft toestemming om te bladeren in Windows-domeinen, -werkgroepen en -computers.

Staat al het hoog inkomend en uitgaand UDP-verkeer toe.


Over de firewallfunctie

Staat al het verkeer toe dat gebruik maakt van BOOTP-, DNS- en Net Time UDP-poorten.

Het beveiligingsniveau Client gemiddeld Gebruik het beveiligingsniveau Client gemiddeld als u meer beveiliging wilt dan het niveau Minimaal biedt. Dit beveiligingsniveau:

Staat alleen ICMP-verkeer toe dat nodig is voor IP-netwerken (inclusief uitgaande pings, traceroutes en inkomende ICMP-berichten). Desktop Firewall blokkeert al het andere ICMP-verkeer.

Staat UDP-verkeer toe dat nodig is om toegang te verkrijgen tot IP-informatie (bijvoorbeeld uw eigen IP-adres of de netwerktijd). Desktop Firewall staat met dit beveiligingsniveau ook verkeer toe op hoge UDP-poorten (1024 of hoger).

Staat Windows-bestandsdeling toe, maar alleen voor uw lokale subnet. U kunt niet buiten uw lokale subnet bladeren en Desktop Firewall geeft niemand buiten uw subnet toegang tot de bestanden op uw computer.

Het beveiligingsniveau Client hoog Gebruik het beveiligingsniveau Client hoog als u wordt aangevallen of veel risico loopt te worden aangevallen. Dit beveiligingsniveau staat alleen minimaal verkeer van en naar uw systeem toe. Dit niveau omvat met name het volgende:

Staat alleen ICMP-verkeer toe dat nodig is voor een goede netwerkverbinding. Desktop Firewall blokkeert zowel inkomende als uitgaande pings.

Staat alleen UDP-verkeer toe nodig is om toegang te verkrijgen tot IP-informatie (bijvoorbeeld uw eigen IP-adres of de netwerktijd).

Blokkeert Windows-bestandsdeling.

Het beveiligingsniveau Server gemiddeld Gebruik het beveiligingsniveau Server gemiddeld als u een netwerkserver gebruikt. Dit beveiligingsniveau:

Staat ICMP-verkeer toe dat de communicatie tussen de server en de clients vergemakkelijkt. Desktop Firewall blokkeert al het andere ICMP-verkeer.

Staat UDP-verkeer toe dat nodig is om toegang te verkrijgen tot IP-informatie. Desktop Firewall staat ook verkeer toe op hoge UDP-poorten (1024 of hoger).

Producthandleiding

69


Het beveiligingsniveau Server hoog Selecteer het beveiligingsniveau Server hoog als u een server gebruikt die rechtstreeks verbonden is met het Internet en dus meer risico loopt te worden aangevallen. McAfee Security raadt u aan dit beveiligingsniveau te gebruiken als basis voor het maken van uw eigen, aangepaste set regels. Hiermee kunt u de beveiliging van de firewall volledig aan de eisen van uw server aanpassen. U kunt de firewall instellen om alleen de services toe te staan die de server ondersteunt om zo het aantal open poorten te reduceren. Dit beveiligingniveau geeft standaard:

Toestemming aan specifiek ICMP-verkeer, namelijk het verkeer dat de communicatie tussen de server en de clients vergemakkelijkt. Desktop Firewall blokkeert al het andere ICMP-verkeer.

Toestemming aan UDP-verkeer dat nodig is om toegang te verkrijgen tot IP-informatie. Desktop Firewall blokkeert al het andere UDP-verkeer.

Leermodus-waarschuwingen van de Firewall Wanneer u de firewallfunctie inschakelt, controleert Desktop Firewall continu het netwerkverkeer dat uw computer verzendt en ontvangt. Het verkeer krijgt toestemming of wordt geblokkeerd op basis van de regels die u hebt ingesteld op het tabblad Firewallbeleid. Als de software verkeer onderschept dat niet kan worden vergeleken met een bestaande regel, wordt dit automatisch geblokkeerd tenzij u de Leermodus van de firewall inschakelt. U kunt de Leermodus alleen inschakelen voor inkomende communicatie, alleen voor uitgaande communicatie of voor beide. In de Leermodus geeft Desktop Firewall een Leermodus-waarschuwing weer wanneer er onbekend netwerkverkeer wordt onderschept. Dit waarschuwingsdialoogvenster vraagt u een actie te selecteren, namelijk het verkeer toestaan of blokkeren. De firewall maakt een nieuwe regel op basis van de actie die u selecteert. Voor meer informatie raadpleegt u Reageren op Leermodus-waarschuwingen van de firewall op pagina 78.

70


De firewallfunctie instellen

Vertrouwde netwerken Als uw computer deel uitmaakt van een bedrijfsnetwerk of als u regelmatig computerbronnen met anderen deelt, wilt u de computers die u vertrouwt wellicht als groep behandelen. U kunt dan firewallregels maken die speciaal van toepassing zijn op deze groep. Met Desktop Firewall kunt u een groep vertrouwde netwerken maken. Vertrouwde netwerken omvatten bijvoorbeeld subnetten, individuele IP-adressen of adressenreeksen. De groep vertrouwde netwerken kunt u instellen en configureren met behulp van het dialoogvenster Vertrouwde netwerken. Klik op de knop Vertrouwd op het tabblad Firewallbeleid om dit dialoogvenster te openen. Als uw computer deel uitmaakt van een bedrijfsnetwerk en u de andere leden van het subnet als vertrouwd wilt behandelen, hoeft u deze niet zelf toe te voegen aan de lijst met vertrouwde netwerken. In plaats daarvan selecteert u de optie Lokaal subnet automatisch opnemen in het dialoogvenster Vertrouwde netwerken.

De firewallfunctie instellen Gebruik het tabblad Firewallbeleid om de firewallfunctie te configureren. Met dit tabblad kunt u:

De firewall in- of uitschakelen.

De Leermodus voor inkomend en/of uitgaand verkeer in- of uitschakelen.

Werken met beveiligingsniveaus en beleidsarchieven.

Werken met uw groep vertrouwde netwerken.

De firewall-functie in- en uitschakelen 1

In Desktop Firewall klikt u op het tabblad Firewallbeleid om het te activeren.

2


Om de firewall te activeren, selecteert u het selectievakje Firewall inschakelen.

Om de firewall te deactiveren, deselecteert u het selectievakje.

Producthandleiding

71


De Leermodus van de firewall in- en uitschakelen Desktop Firewall ondersteunt twee soorten Leermodi van de firewall:

Incoming Learn Mode (Leermodus voor inkomend verkeer) controleert alleen

verkeer dat uw computer ontvangt.

Outgoing Learn Mode (Leermodus voor uitgaand verkeer) controleert alleen verkeer dat uw computer verzendt.

De Leermodus voor inkomend verkeer in- en uitschakelen 1

In Desktop Firewall klikt u op het tabblad Firewallbeleid.

2


Om de waarschuwingen voor Incoming Learn Mode (Leermodus voor inkomend verkeer) te activeren, selecteert u het selectievakje Inkomend geactiveerd.

Om de waarschuwingen voor Incoming Learn Mode (Leermodus voor inkomend verkeer) te deactiveren, deselecteert u het selectievakje.

De Leermodus voor uitgaand verkeer in- en uitschakelen 1


2


Om de waarschuwingen voor Outgoing Learn Mode (Leermodus voor uitgaand verkeer) te activeren, selecteert u het selectievakje Uitgaand geactiveerd.

Om de waarschuwingen voor Outgoing Learn Mode (Leermodus voor uitgaand verkeer) te deactiveren, deselecteert u het selectievakje.

Beveiligingsniveaus en beleidsarchieven gebruiken Gebruik de lijst Beveiligingsniveau op het tabblad Firewallbeleid om een beveiligingsniveau of beleidsarchief te kiezen:

72

Een beveiligingsniveau is een voorgedefinieerde set firewallregels. U kunt beveiligingsniveaus niet maken of verwijderen.

Een beleidsarchief is een verzameling instellingen voor de firewall, de toepassingen-monitor, het IDS en het logboek. U kunt beleidsarchieven maken, bewerken en verwijderen.



Een beveiligingsniveau gebruiken 1


2

Gebruik de lijst Beveiligingsniveau om het beveiligingsniveau te kiezen dat u wilt gebruiken:

Minimaal Client gemiddeld Client hoog Server gemiddeld Server hoog Leerstarter Desktop Firewall vervangt uw firewallinstellingen door de instellingen van het beveiligingsniveau. Raadpleeg De standaardbeveiligingsniveaus van de software op pagina 68 voor meer informatie.

Een beleidsarchief gebruiken 1


2

Gebruik de lijst Beveiligingsniveau om het beleidsarchief te kiezen dat u wilt gebruiken: Desktop Firewall vraagt u te bevestigen of u dit beleidsarchief wilt gebruiken.

3

Klik Ja. Desktop Firewall vervangt al uw instellingen van de firewall, de toepassingen-monitor, het IDS en het logboek door de instellingen van het beleidsarchief.

Een beleidsarchief maken U kunt op twee manieren een nieuw beleidsarchief maken:

Al uw Desktop Firewall-instellingen configureren en deze vervolgens exporteren als beleidsarchief.

Gebruik het dialoogvenster Beleidsarchief bewerken om een bestaand beleidsbestand (.PFR) te importeren als beleidsarchief.

Producthandleiding

73


Een beleidsarchief maken met behulp van de functie Exporteerbeleid 1 In Desktop Firewall configureert u de functies van de firewall, de toepassingen-monitor, het IDS en het logboek. Uw beleidsarchief omvat al deze instellingen. 2

Selecteer het menu Taak en klik vervolgens op Exporteer beleid.

3

Ga naar de map waarin u het beleidsarchief wilt opslaan.

4

In het veld Bestandsnaam voert u een naam in voor het beleidsbestand. Sla deze stap over als u de standaardbestandsnaam (MDFPOLICY.PFR) wilt gebruiken.

5

Klik op Opslaan. Desktop Firewall vraagt of u dit beleidsbestand wilt gebruiken als beleidsarchief.

6

Klik op Ja. Desktop Firewall opent het dialoogvenster Beleidsarchief bewerken.

7

In het veld Beschrijving voert u een naam in voor het beleidsarchief. Deze naam verschijnt op de lijst Beveiligingsniveau op het tabblad Firewallbeleid.

8

Klik op OK. Desktop Firewall maakt het beleidsarchief en voegt dit toe aan de lijst Beveiligingsniveau.

Een beleidsarchief maken met behulp van het dialoogvenster Beleidsarchief bewerken. OPMERKING

Om een beleidsarchief te maken met behulp van deze procedure, moet u een bestaand Desktop Firewall beleidsbestand (.PFR) hebben. 1


2

In de lijst Beveiligingsniveau kiest u Beleidsarchief bewerken. Desktop Firewall opent het dialoogvenster Beleidsarchief bewerken.

3

Klik op Toevoegen.

4


74



5

Klik op Bladeren en ga vervolgens naar het beleidsbestand dat u wilt gebruiken als beleidsarchief.

6

Selecteer de bestandsnaam en klik op Openen.

7

Klik op OK. Desktop Firewall voegt het nieuwe beleidsarchief toe aan de lijst Beleidsarchieven in het dialoogvenster Beleidsarchief bewerken.

8

Klik op OK om terug te keren naar het tabblad Firewallbeleid. U kunt nu het nieuwe beleidsarchief openen vanuit de lijst Beveiligingsniveau op dit tabblad.

Een beleidsarchief bewerken 1


2


3

Selecteer het beleidsarchief dat u wilt bewerken en klik vervolgens op Eigenschappen.

4

Bewerk de beschrijving van het archief of klik op Bladeren om een nieuw beleidsarchiefbestand (.PFR) te maken.

5

Klik op OK om de wijzigingen op te slaan.

6

Klik op OK om het dialoogvenster Beleidsarchief bewerken te sluiten.

Een beleidsarchief verwijderen 1


2


3

Selecteer het beleidsarchief dat u wilt verwijderen en klik op Verwijderen.

4

Klik op Ja om het archief te verwijderen.

5

Klik op OK om uw wijzigingen op te slaan en sluit het dialoogvenster Beleidsarchief bewerken af. Desktop Firewall verwijdert het beleidsarchief uit de lijst Beveiligingsniveau maar verwijdert niet het beleidsbestand (.PFR) waarop dit beveiligingsniveau was gebaseerd.

Producthandleiding

75


Vertrouwde netwerken instellen Desktop Firewall houdt een lijst bij met adressen en subnetten die u vertrouwt. Deze gebruikers worden als groep behandeld, zodat u firewallregels kunt maken die alleen op hen van toepassing zijn. U bewerkt uw lijst met vertrouwde adressen en subnetten met behulp van het dialoogvenster Vertrouwde netwerken. Om dit dialoogvenster te openen, klikt u op Vertrouwd op het tabblad Firewallbeleid. In het dialoogvenster Vertrouwde netwerken kunt u:

Uw opties voor vertrouwde netwerken instellen (deze bepalen of Desktop Firewall andere computers op uw lokaal netwerk als vertrouwd behandelt).

Adressen of subnetten toevoegen aan uw lijst met vertrouwde netwerken.

Adressen of subnetten verwijderen die u niet meer vertrouwt.

Opties voor vertrouwde netwerken instellen 1


2

Klik op Vertrouwd. Het dialoogvenster Vertrouwde netwerken wordt weergegeven.

3

4

76

In het gebied Opties selecteert u een van de volgende opties: Optie

Beschrijving

Lokaal subnet niet automatisch opnemen

Laat Desktop Firewall gebruikers op uw subnet als niet-vertrouwd behandelen, tenzij u ze toevoegt aan uw lijst met Vertrouwde netwerken.

Lokaal subnet automatisch opnemen

Laat Desktop Firewall alle gebruikers op uw subnet als vertrouwd behandelen, ook als u ze niet hebt toegevoegd aan uw lijst met Vertrouwde netwerken.

Klik op OK.



Iemand toevoegen aan de lijst met Vertrouwde netwerken 1


2


3

Klik op Toevoegen. Het dialoogvenster Vertrouwd netwerk toevoegen wordt weergegeven.

4

In het gebied Type selecteert u IP-adres, IP-adressenreeks of Subnet om aan te geven welke van deze u wilt toevoegen.

5

Vul de resterende velden in om het adres, de reeks of het subnet te definiëren die Desktop Firewall moet vertrouwen.

6

Klik op OK. Desktop Firewall voegt een nieuw item toe aan de lijst Vertrouwde netwerken.

7

Klik op OK.

Iemand verwijderen uit de lijst Vertrouwde netwerken 1


2


3

In de lijst Vertrouwde netwerken selecteert u het adres, de reeks of het subnet dat u wilt verwijderen.

4

Klik op Verwijderen. Desktop Firewall vraagt u te bevestigen of u dit item uit de lijst wilt verwijderen.

5

Klik op Ja. De software verwijdert het geselecteerde item uit de lijst.

6

Klik op OK.

Producthandleiding

77


Reageren op Leermodus-waarschuwingen van de firewall Als u de Leermodus van de firewall hebt ingeschakeld voor het inkomend of het uitgaand verkeer, geeft Desktop Firewall een Leermodus-waarschuwing weer wanneer er onbekend netwerkverkeer wordt ontdekt. Gebruik dit waarschuwingsdialoogvenster om het verkeer toe te laten of te blokkeren. Desktop Firewall maakt een nieuwe firewallregel op basis van uw keuze.

Reageren op een Leermodus-waarschuwing 1

Klik eventueel op het tabblad Verbindingsgegevens en stel opties in voor uw nieuwe firewallregel: Optie

Beschrijving

Firewalltoepassingsregel maken voor alle poorten en services

Selecteer deze optie om ervoor te zorgen dat de nieuwe regel het verkeer van deze toepassing via iedere poort of service toestaan of blokkeert. Als u deze optie niet selecteert, zal de nieuwe firewallregel alleen verkeer via specifieke poorten toestaan of blokkeren.

Deze regel verwijderen wanneer de toepassing wordt afgesloten

78


Als het onderschepte verkeer een lagere poort dan 1024 gebruikt, zal de nieuwe regel alleen deze poort toestaan of blokkeren.

Als het onderschepte verkeer poort 1024 of hoger gebruikt, zal de nieuwe regel de reeks poorten van 1024 tot 65535 toestaan of blokkeren.

Selecteer deze optie om de nieuwe regel tijdelijk te maken; Desktop Firewall verwijdert de regel wanneer u de toepassing afsluit die:

Dit netwerkverkeer heeft geproduceerd, in het geval van uitgaande communicatie.

Dit netwerkverkeer verwerkt, in het geval van inkomende communicatie.

Firewallregels bewerken

2

Op het tabblad Toepassingsgegevens voert u een van de volgende handelingen uit: Indien

Dan

U dit verkeer wilt blokkeren (en al het vergelijkbare verkeer)

Klikt u op Weigeren.

U dit verkeer (en al het vergelijkbare verkeer) door de firewall wilt laten

Klikt u op Toestaan.

Desktop Firewall maakt een nieuwe firewallregel op basis van uw keuze en voegt deze toe aan de lijst met firewallregels op het tabblad Firewallbeleid. De software laat vergelijkbaar verkeer voortaan automatisch toe of blokkeert het automatisch.

Firewallregels bewerken De regels bepalen hoe de firewallfunctie reageert op inkomend en uitgaand netwerkverkeer. U maakt en beheert regels met behulp van de lijst met firewallregels op het tabblad Firewallbeleid. Met behulp van de lijst met firewallregels en het tabblad Firewallbeleid kunt u:

Nieuwe firewallregels en regelgroepen maken met behulp van de knop Toevoegen.

Bestaande firewallregels bewerken en uitschakelen met behulp van de knop Eigenschappen.

Firewallregels verwijderen met behulp van de knop Verwijderen.

Firewallregels kopiëren met behulp van de knop Dupliceren.

U kunt firewallregels (samen met de instellingen van de toepassingen-monitor, het IDS en het logboek) ook opslaan door ze te exporteren naar een beleidsbestand, of uw huidige Desktop Firewall-regels en -instellingen vervangen door een beleidsbestand te importeren.

Een nieuwe firewallregel maken 1


2

Klik op Toevoegen en selecteer vervolgens Nieuwe regel. Het dialoogvenster Firewallregel wordt weergegeven.

3

In het veld Beschrijving typt u een korte instructie die het doel van deze regel uiteenzet.

Producthandleiding

79


4

In de lijst Actie selecteert u een van de volgende mogelijkheden:

Toestaan, als u wilt dat deze regel verkeer door de firewall laat gaan.

Blokkeren, als u wilt dat deze regel voorkomt dat er verkeer door de

firewall gaat. 5

Gebruik de lijst Protocol om het netwerkprotocol te selecteren, waarop deze regel van toepassing moet zijn:

Selecteer IP om deze regel toe te passen op protocollen die op IP zijn gebaseerd. Selecteer een IP-protocol in de lijst, of selecteer Alle IP-protocollen om alle protocollen te controleren.

Selecteer Niet-IP om deze regel op andere protocollen, zoals IPX, toe te passen. 6

Met behulp van de lijst Richting geeft u op of u Desktop Firewall het inkomend verkeer, het uitgaand verkeer of beide richtingen wilt laten controleren bij het toepassen van deze regel.

7

Geef zonodig meer criteria op die de firewall moet controleren: Optie

Beschrijving

Toepassing

Past de regel toe op verkeer dat door een specifieke toepassing wordt gegenereerd. Selecteer een toepassing in de lijst of klik op Bladeren en ga naar het programmabestand.

Lokale service

Past de regel toe op verkeer dat gebruik maakt van een specifieke service of poort op uw computer. Standaard zijn de regels van toepassing op alle services en poorten. Met behulp van de lijst Lokale service kunt u één service, een reeks of een lijst specificeren. Gebruik vervolgens de resulterende velden om de services of poorten te selecteren. Kies services uit de lijst of voer hun gekoppelde poortnummers in.

80



Optie

Beschrijving

Remote service

Past de regel toe op verkeer dat gebruik maakt van een specifieke service of poort op een andere computer. Standaard zijn de regels van toepassing op alle services en poorten. Met behulp van de lijst Remote service kunt u één service, een reeks of een lijst specificeren. Gebruik vervolgens de resulterende velden om de services of poorten te selecteren. Kies services uit de lijst of voer hun gekoppelde poortnummers in.

Adres

Past de regel toe op verkeer dat bestemd is voor, of afkomstig is van, een specifiek IP-adres, subnet, reeks of domein. U kunt de regel ook toepassen op vertrouwd netwerkverkeer. Gebruik de lijst Adres om te kiezen op welk verkeer u de regel wilt toepassen. Gebruik vervolgens de resulterende velden of knoppen om de adressen, subnetten of domeinen in te stellen die u door Desktop Firewall wilt laten controleren.

Producthandleiding

81


8

In het gebied Opties specificeert u wanneer deze regel actief moet zijn en op welke manier u de firewall moet reageren wanneer er overeenkomend verkeer wordt ontdekt. Selecteer een van de volgende opties: Optie

Beschrijving

Overeenkomst met regel als inbraak behandelen

Laat Desktop Firewall reageren op verkeer dat overeenkomt met deze regel alsof het een aanval op uw computer was. Uw IDS-instellingen bepalen of de software het verkeer blokkeert en of er een inbraakdetectiebericht wordt weergegeven.

Regel tot huidig ingesteld tijdsinterval beperken

Past de regel toe in de tijdsperioden die u specificeert. U bepaalt of Desktop Firewall de regel in de resterende tijd uitschakelt of de actie die het gewoonlijk uitvoert omkeert (bijvoorbeeld verkeer toestaan dat normaal wordt geblokkeerd). Klik op Tijd om tijdbeperkingen voor deze regel in te stellen.

9

Overeenkomend verkeer registreren

Geeft Desktop Firewall opdracht gegevens over overeenkomend verkeer te registreren in het Activiteitenlogboek.

Actief

Laat Desktop Firewall deze regel afdwingen.

Klik op OK om deze regel op te slaan en sluit het dialoogvenster Firewallregel.

Een firewallregel kopiëren 1


2

In de lijst met firewallregels selecteert u de regel die u wilt kopiëren.

3

Klik op Dupliceren. Desktop Firewall voegt een kopie van deze regel toe onderaan uw lijst met regels.

82



Een firewallregel bewerken 1


2

In de lijst met firewallregels selecteert u de regel die u wilt bewerken.

3

Klik op Eigenschappen. Het dialoogvenster Firewallregel wordt weergegeven.

4

Bewerk eventueel noodzakelijke regelinstellingen. Raadpleeg Een nieuwe firewallregel maken op pagina 79 voor beschrijvingen van de velden.

5

Klik op OK om de wijzigingen op te slaan.

Een firewallregel verwijderen 1


2

In de lijst met firewallregels selecteert u de regel die u wilt verwijderen.

3

Klik op Verwijderen.

4

Klik op Ja om de regel te verwijderen.

Een firewallregel activeren en deactiveren 1


2

In de lijst met firewallregels selecteert u de regel die u wilt activeren of deactiveren.

3

Klik op Eigenschappen. Het dialoogvenster Firewallregel wordt weergegeven.

4

In het gebied Opties voert u een van de volgende handelingen uit:

Om de firewallregel te activeren, selecteert u Actief. Om de firewallregel te deactiveren, deselecteert u Actief. 5

Klik op OK.

Producthandleiding

83


Een nieuwe regelgroep maken 1


2

Klik op Toevoegen en selecteer vervolgens Nieuwe groep. Het dialoogvenster Firewallregelgroep wordt weergegeven.

3

In het veld Beschrijving voert u een korte instructie in die het doel van deze groep uiteenzet.

4

Klik op OK om de groep toe te voegen.

Een beleidsbestand exporteren OPMERKING

Wanneer u een beleidsbestand exporteert, slaat u alle instellingen van de huidige firewall, de toepassingen-monitor, het IDS en het logboek op. 1

In Desktop Firewall selecteert u het menu Taak.

2

Selecteer Exporteer beleid.

3

Ga naar de map waarin u het geëxporteerde beleidsbestand (.PFR) wilt opslaan.

4

In het veld Bestandsnaam voert u een naam in voor het beleidsbestand.

5

Klik op Opslaan. Desktop Firewall vraagt of u een beleidsarchief wilt maken van dit beleidsbestand.

6


Als u geen beleidsarchief wilt maken, klikt u op Nee. Desktop Firewall slaat al uw bestaande instellingen voor de firewall, de toepassingen-monitor, het IDS en het logboek op in een beleidsbestand.

Als u een beleidsarchief wilt maken van dit bestand klikt u op Ja. Desktop Firewall maakt het beleidsbestand en opent het dialoogvenster Eigenschappen van beleidsarchief bewerken. Ga verder naar stap 7. 7


8

Klik op OK. Desktop Firewall maakt het beleidsarchief en voegt dit toe aan de lijst Beveiligingsniveau.

84



Een beleidsbestand importeren OPMERKING

Wanneer u een beleidsbestand importeert, vervangt u alle huidige instellingen van de firewall, de toepassingen-monitor, het IDS en het logboek. 1

In Desktop Firewall selecteert u het menu Taak.

2

Selecteer Importeer beleid.

3

Ga naar het beleidsbestand (.PFR) dat u wilt importeren.

4

Selecteer de bestandsnaam en klik op Open.

5

Klik op Ja om het bestand te importeren. Desktop Firewall vervangt alle bestaande instellingen van de firewall, de toepassingen-monitor, het IDS en het logboek door de instellingen in het geïmporteerde beleidsbestand.

Producthandleiding

85


86


Het inbraakdetectiesysteem (IDS) instellen

4

Deze paragraaf is een introductie op het inbraakdetectiesysteem (IDS) van Desktop Firewall en geeft tevens een beschrijving van de wijze waarop dit systeem uw computer scant en aanvallen tegen uw computer blokkeert. De volgende onderwerpen komen aan bod:

De IDS-functie instellen

Reageren op een inbraakdetectiewaarschuwingen.

Geblokkeerde adressen bewerken.

IDS-handtekeningen bijwerken.

Over de IDS-functie De Desktop Firewall-software bevat een IDS-functie die uw computer beschermt tegen complexe aanvallen. Aanvallen worden ook wel inbraken genoemd. De firewallfunctie kan inkomend netwerkverkeer toelaten of blokkeren op basis van de regels die u hebt ingesteld, maar de firewall kan niet controleren of dit verkeer onderdeel vormt van een aanval. Om aanvallen te ontdekken moet u de IDS-functie inschakelen. Deze functie zoekt naar patronen in het inkomend netwerkverkeer. Bepaalde patronen vertegenwoordigen aanvallen. De IDS-functie maakt gebruik van een bibliotheek met IDS-handtekeningen om patronen van veel voorkomende aanvallen te herkennen. Een handtekening is een verzameling informatie die een specifieke aanval beschrijft, zodat Desktop Firewall de aanval kan herkennen. De Desktop Firewall-software wordt geleverd met een standaardset IDS-handtekeningen. U selecteert de handtekeningen die de software moet gebruiken en configureert hiermee op welke aanvallen het IDS moet controleren. U kunt de lijst met handtekeningen van Desktop Firewall ook bijwerken met behulp van de opties AutoUpdate en Nu bijwerken.

Producthandleiding

87


Inbraakwaarschuwingen Als u het IDS inschakelt, controleert Desktop Firewall continu het inkomend verkeer op aanvallen op uw systeem. Het IDS kan verdachte inbraken toelaten of blokkeren op basis van de standaardactie die u hebt gedefinieerd met behulp van het dialoogvenster McAfee Desktop Firewall-opties. Raadpleeg De standaard reactie van de software op inbraken configureren op pagina 90 voor meer informatie. U kunt tevens het weergeven van het bericht Waarschuwing: inbraakdetectie activeren of deactiveren. Deze waarschuwing wordt weergegeven wanneer het IDS een potentiële aanval ontdekt. Het dialoogvenster Waarschuwing: inbraakdetectie vraag u een actie te selecteren: de inbreker blokkeren of niet blokkeren. De software geeft een standaardreactie op inbraken. Met behulp van dit dialoogvenster kunt u deze reactie uitschakelen. Om inbraakwaarschuwingen te activeren of te deactiveren, raadpleegt u Inbraakwaarschuwingen in- en uitschakelen op pagina 90.

De IDS-functie instellen Gebruik het dialoogvenster McAfee Desktop Firewall-opties om de IDS-functie te configureren. In dit dialoogvenster kunt u:

88

De IDS-functie in- en uitschakelen.

Het weergeven van het bericht Waarschuwing: inbraakdetectie activeren.

De standaardreactie van de software op potentiële inbrekers bepalen: door de firewall laten gaan of blokkeren.

Manieren instellen waarop de software u moet waarschuwen wanneer er een inbraak wordt ontdekt.

Opgeven op welke aanvallen u de IDS-functie wilt laten scannen.



Afbeelding 4-10. Het dialoogvenster McAfee Desktop Firewall-opties.

De IDS-functie activeren en deactiveren 1


2

Selecteer Opties. Het dialoogvenster McAfee Desktop Firewall-opties wordt weergegeven. Het gebied Inbraakdetectie-opties bestuurt de IDS-functie.

3


Om de IDS-functie te activeren, selecteert u het selectievakje Inbraakdetectie activeren.

Om de IDS-functie te deactiveren, deselecteert u het selectievakje. 4

Klik op OK om uw IDS-instellingen op te slaan.

Producthandleiding

89


Inbraakwaarschuwingen in- en uitschakelen 1


2

Selecteer Opties. Het dialoogvenster McAfee Desktop Firewall-opties wordt weergegeven.

3

Zoek het selectievakje Bij aanval waarschuwingsbericht weergeven en voer een van de volgende handelingen uit:

Om inbraakwaarschuwingen te activeren, selecteert u het selectievakje. Om inbraakwaarschuwingen te deactiveren, deselecteert u het selectievakje. 4


De standaard reactie van de software op inbraken configureren Desktop Firewall moet weten hoe te handelen wanneer de IDS-functie een potentiële aanval ontdekt. U hebt twee opties:

Desktop Firewall kan de verdachte aanval blokkeren.

Desktop Firewall kan het verdachte netwerkverkeer door de firewall laten gaan.

Gebruik het dialoogvenster McAfee Desktop Firewall-opties om een van deze opties te selecteren. Als u inbraakwaarschuwingen hebt ingeschakeld, kunt u de standaardreactie van de software uitschakelen. Elke keer wanneer de IDS-functie een aanval ontdekt, wordt er een Waarschuwing: inbraakdetectie weergegeven. In dit dialoogvenster kunt u per geval kiezen of u het onderschepte verkeer wilt toelaten of blokkeren.

Automatisch potentiële inbrekers blokkeren 1


2


3

Selecteer het selectievakje Aanvallers automatisch blokkeren. Desktop Firewall blokkeert nu alle verdachte inbrekers en voegt hun IP-adressen toe aan de IDS-lijst met geblokkeerde adressen. De IDS-functie blokkeert inbrekers zodra ze worden ontdekt. U kunt configureren hoe lang de sofware inbrekers blokkeert door een blokkeringsoptie te selecteren.

90



4

Selecteer een van de volgende blokkeringsopties: Optie

Beschrijving

tot verwijderd

Blokkeert inbrekers totdat:

gedurende <TIJD> min.

5

U op Niet blokkeren klikt in het dialoogvenster Waarschuwing: inbraakdetectie.

U zelf de inbreker uit de lijst met geblokkeerde adressen verwijdert.

Blokkeert inbrekers totdat:

De door u gespecificeerde tijdsperiode is verstreken.

U op Niet blokkeren klikt in het dialoogvenster Waarschuwing: inbraakdetectie.



Automatisch potentiële inbrekers toelaten 1


2


3

Deselecteer het selectievakje Aanvallers automatisch blokkeren. Desktop Firewall laat nu potentiële inbrekers door de firewall. Als u inbraakwaarschuwingen hebt ingeschakeld, kunt u deze instelling opheffen door te klikken op Blokkeren in het dialoogvenster Waarschuwing: inbraakdetectie. Raadpleeg Inbraakwaarschuwingen op pagina 88 voor meer informatie.

4


Producthandleiding

91


Opties voor het instellen van waarschuwingsberichten 1


2


3

Kies een van de volgende opties voor het versturen van waarschuwingsberichten: Optie

Beschrijving

Bij aanval waarschuwing per e-mail sturen naar

Verstuurt elke keer wanneer de IDS-functie een aanval ontdekt een e-mailbericht naar het adres dat u opgeeft. U kunt slechts één e-mailadres invoeren. Gebruik de notatie [email protected]. Voer in het veld Uitgaande e-mailserver (SMTP) ook de domeinnaam of het IP-adres van een SMTP-server in. Desktop Firewall moet met deze server kunnen communiceren om e-mailwaarschuwingen te kunnen versturen.

Bij aanval geluid afspelen

Laat elke keer wanneer de IDS-functie een potentiële inbreker ontdekt een waarschuwingssignaal horen. U kunt de waarschuwingstoon veranderen in het dialoogvenster Eigenschappen voor Geluiden en audioapparaten (toegankelijk via het Windows-configuratiescherm). Stel het item Firewall inbraakwaarschuwing in om de waarschuwingstoon te veranderen.

Bij aanval het tray-pictogram van McAfee Firewall laten knipperen

4

92

Laat het Desktop Firewall-pictogram op de systeemwerkbalk beurtelings als normaal pictogram en als inbraakdetectiepictogram weergeven om een potentiële aanval op uw systeem aan te geven.



Reageren op een inbraakdetectiewaarschuwingen

De aanvallen selecteren waarop u wilt controleren 1


2


3

Klik op Handtekeningen om het betreffende tabblad weer te geven. Dit tabblad toont een lijst met alle handtekeningen waarover de IDS-functie beschikt. Elke handtekening is gekoppeld aan een aanval waarop Desktop Firewall kan controleren.

4

De handtekeningenlijst bewerken.

Om te controleren op een specifiek type aanval, selecteert u het selectievakje naast de desbetreffende naam.

Om een specifiek type aanval te negeren, deselecteert u het selectievakje naast de desbetreffende naam. 5

Klik op OK om uw instellingen op te slaan.

Reageren op een inbraakdetectiewaarschuwingen Als u inbraakwaarschuwingen hebt ingeschakeld, opent de Desktop Firewall-software een dialoogvenster Waarschuwing: inbraakdetectie wanneer de IDS-functie een aanval op uw systeem ontdekt. Gebruik dit dialoogvenster om een actie te selecteren: de inbreker blokkeren, de inbreker niet blokkeren of de inbreker traceren:

Klik op Blokkeren om de inbraak te stoppen. Desktop Firewall voegt tevens het IP-adres van de aanvaller toe aan de lijst met geblokkeerde adressen op het tabblad Inbraakbeleid. De IDS-functie blokkeert dit adres zolang het op de lijst staat. Selecteer een Blokkeer-optie om te bepalen hoe lang het hier zal blijven staan: Optie

Beschrijving

tot verwijderd

Blokkeert het adres van de inbreker totdat u het zelf uit de lijst met geblokkeerde adressen verwijdert.


Blokkeert het adres van de inbreker totdat:


U zelf het adres uit de lijst met geblokkeerde adressen verwijdert.

Producthandleiding

93


Klik op Niet blokkeren om de onderschepte communicatie te laten doorgaan. U doet dit bijvoorbeeld wanneer de potentiële inbraak in feite geautoriseerd netwerkverkeer is.

Klik op Traceren om het dialoogvenster Geblokkeerde host te openen, waarin u het IP-adres van de inbreker kunt traceren om meer gegevens over de inbreker te verzamelen. Voor meer informatie raadpleegt u Een IP-adres traceren op pagina 96.

Geblokkeerde adressen bewerken Desktop Firewall houdt op het tabblad Inbraakbeleid een lijst met geblokkeerde adressen bij. U kunt inbrekers aan deze lijst toevoegen door Blokkeren te selecteren in het dialoogvenster Waarschuwing: inbraakdetectie maar u kunt zelf ook adressen aan de lijst toevoegen. Met behulp van de lijst geblokkeerde adressen en het tabblad Inbraakbeleid kunt u:

Nieuwe IP-adressen opgeven die u wilt blokkeren met behulp van de knop Toevoegen.

Adressen verwijderen die u niet meer wilt blokkeren, met behulp van de knop Verwijderen.

Een IP-adres traceren met behulp van het dialoogvenster Geblokkeerde host.

Iemand toevoegen aan de lijst met geblokkeerde adressen 1

In Desktop Firewall klikt u op Inbraakbeleid om het betreffende tabblad weer te geven.

2

Klik op Toevoegen. Het dialoogvenster Geblokkeerde host wordt weergegeven.

94


Geblokkeerde adressen bewerken

3

Voer een van de volgende handelingen uit: Indien

Dan

U het IP-adres weet van de persoon die u wilt blokkeren

1 Typt u zijn/haar IP-adres in het veld IP-adres.

U alleen de domeinnaam weet die u wilt blokkeren

1 Klikt u op Opzoeken via DNS. 2 Typ de domeinnaam in het dialoogvenster Opzoeken via DNS. 3 Klik op Opzoeken. Desktop Firewall probeert het IP-adres dat bij de domeinnaam hoort te identificeren. Als dit slaagt, wordt het adres weergeven in het gebied Gevonden IP-adres. 4 Klik op Gebruiken om de adresgegevens naar het dialoogvenster Geblokkeerde host te verplaatsen.

4

Selecteer een van de opties Blokkeren om te bepalen hoe lang Desktop Firewall dit adres moet blokkeren: Optie

Beschrijving

tot verwijderd

Blokkeert de inbreker totdat u deze zelf uit de lijst met geblokkeerde adressen verwijdert.


5

Blokkeert de inbreker totdat:



Klik op OK. Desktop Firewall voegt dit adres toe aan de lijst met geblokkeerde adressen.

Producthandleiding

95


Iemand uit de lijst met geblokkeerde adressen verwijderen 1

In Desktop Firewall klikt u op Inbraakbeleid om het betreffende tabblad te openen.

2

Op de lijst geblokkeerde adressen selecteert u het IP-adres dat u niet meer wilt blokkeren.

3

Klik op Verwijderen. Desktop Firewall vraagt u te bevestigen of u dit adres niet meer wilt blokkeren.

4

Klik op Ja. Desktop Firewall verwijdert dit adres uit de lijst met geblokkeerde adressen.

Een IP-adres traceren 1

In Desktop Firewall klikt u op Inbraakbeleid om het betreffende tabblad te openen.

2


3

Indien

Dan

Het adres dat u wilt traceren reeds in de lijst met geblokkeerde hosts staat

1 Selecteert u dat adres en klikt u vervolgens op Eigenschappen.

Het adres dat u wilt traceren niet op de lijst met geblokkeerde hosts staat

1 Klikt u op Toevoegen.

Het dialoogvenster Geblokkeerde host wordt weergegeven.

2 In het dialoogvenster Geblokkeerde host typt u het adres dat u wilt traceren in het veld IP-adres.

Klik op Bron traceren. Desktop Firewall toont alle informatie die kon worden verzameld over dit adres in het gebied Traceerresultaten.

4

96

Klik op Annuleren om terug te keren naar het tabblad Inbraakbeleid.


IDS-handtekeningen bijwerken

IDS-handtekeningen bijwerken De IDS-functie ontdekt aanvallen doordat het patronen herkent in het inkomend netwerkverkeer. Bepaalde patronen in het verkeer vertegenwoordigen aanvallen. Desktop Firewall gebruikt handtekeningen om veel voorkomende aanvalspatronen te herkennen. Een handtekening is een verzameling informatie die een specifieke aanval beschrijft, zodat Desktop Firewall de aanval kan herkennen. De Desktop Firewall-software wordt geleverd met een standaardset IDS-handtekeningen. De software beschikt ook over twee functies voor het bijwerken van de lijst met handtekeningen: AutoUpdate en Nu bijwerken. Gebruik deze opties om de IDS-functie van Desktop Firewall altijd up-to-date te houden:

Gebruik Nu bijwerken om onmiddellijk de nieuwste handtekeningen voor Desktop Firewall te downloaden.

Gebruik AutoUpdate om regelmatige, automatische updates van handtekeningen te plannen.

IDS-handtekeningen onmiddellijk bijwerken 1

Klik met de rechtermuisknop op het Desktop Firewall-pictogram op de systeemwerkbalk en selecteer Nu bijwerken. Desktop Firewall start AutoUpdate en begint nieuwe handtekeningen te downloaden. Het scherm Update in Progress (Bezig met update) wordt weergegeven. Het statusgebied registreert elke AutoUpdate-actie.

2

Wanneer de update is voltooid, klikt u op Sluiten.

Regelmatige updates van IDS-handtekeningen plannen Gebruik de functie AutoUpdate voor het instellen van automatisch updates van handtekeningen. U kunt deze updates op elke willekeurige tijd plannen. Om regelmatige updates in te stellen, moet u:

AutoUpdate inschakelen.

Een planning voor AutoUpdate instellen.

Producthandleiding

97


AutoUpdate inschakelen 1

Klik met de rechtermuisknop op het Desktop Firewall-pictogram op de systeemwerkbalk en selecteer Eigenschappen automatisch bijwerken. Het dialoogvenster Eigenschappen van Desktop Firewall AutoUpdate wordt weergegeven.

2

Klik op Planning om het dialoogvenster Instellingen planning te openen.

3

Klik op Taak om het betreffende tabblad te openen.

4

In het gebied Instellingen planning selecteert u Activeren (geplande taak wordt op opgegeven tijdstip uitgevoerd). Deze instelling zorgt ervoor dat AutoUpdate wordt uitgevoerd op de tijden en dagen die u opgeeft op het tabblad Planning.

5

Als u niet wilt dat AutoUpdate gedurende een lange tijd doorgaat, selecteert u Beëindig de taak indien deze loopt gedurende; vervolgens geeft u een maximale uitvoertijd in uren en minuten op.

6

U kunt eventueel een gebruikersaccount opgeven die AutoUpdate tijdens het uitvoeren moet gebruiken. In het gebied Taak voert u de volgende accountgegevens in:

Gebruiker: Voer de gebruikersnaam voor de account in.

Domein: Voer de domeinnaam voor de account in.

Wachtwoord: Voer het wachtwoord voor de account in.

Merk op dat u niet beslist een gebruikersaccount hoeft op te geven voor AutoUpdate. Als u deze velden niet invult, wordt AutoUpdate uitgevoerd op de lokale systeemaccount. Als u wel een gebruikersaccount opgeeft, controleert u of deze account beschikt over het privilege logon als batchjob (aanmelden als batchtaak). Als dat niet het geval is, kan AutoUpdate niet goed toegang krijgen tot de netwerkbronnen. 7

Klik op Toepassen om de wijzigingen op te slaan. Nu AutoUpdate is ingeschakeld, kunt u een planning instellen voor AutoUpdate.

98



Een planning voor AutoUpdate instellen U kunt AutoUpdate op elke gewenste tijd en datum laten uitvoeren. Het dialoogvenster Instellingen planning biedt een aantal keuzes voor het uitvoeren van AutoUpdate:

Dagelijks

Wekelijks

Maandelijks

Eenmalig

Bij het opstarten van de computer

Bij aanmelden

Indien niet-actief

Onmiddellijk uitvoeren

Na het inbellen uitvoeren

AutoUpdate dagelijks uitvoeren 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning kiest u Dagelijks in de lijst Taak plannen.

3

In het veld Begintijd voert u het tijdstip in waarop AutoUpdate moet starten.

4

Selecteer een optie voor de tijdzone: Optie

Beschrijving

UTC-tijd

(Coordinated Universal Time) Voert AutoUpdate gelijktijdig uit in alle tijdzones.

Lokale tijd

5

Voert AutoUpdate afzonderlijk in elke lokale tijdzone uit.

Selecteer eventueel Willekeurige actie activeren. Hiermee wordt AutoUpdate uitgevoerd op een willekeurige tijd binnen de tijdsinterval die u hebt ingesteld. Voer een maximum tijdsinterval in uren en minuten in, tussen één minuut en vierentwintig uur.

Producthandleiding

99


6

Selecteer eventueel Gemiste taak uitvoeren. Wanneer AutoUpdate niet op de geplande tijd wordt uitgevoerd, zorgt deze optie ervoor dat AutoUpdate automatisch wordt uitgevoerd wanneer u de computer de volgende keer start. Geef een waarde in minuten op in het veld Gemiste taak uitstellen gedurende. Hiermee definieert u hoe lang u het uitvoeren van AutoUpdate wilt uitstellen als het niet binnen de geplande tijd wordt uitgevoerd.

7

Klik zonodig op Geavanceerd om een uitgebreidere planning voor AutoUpdate in te stellen. Raadpleeg Geavanceerde planningsopties toepassen op pagina 106 voor meer informatie.

8

In het veld Iedere in het gebied Taak dagelijks uitvoeren voert u een frequentie in dagen in. Als u bijvoorbeeld 2 in dit veld invoert, wordt AutoUpdate om de twee dagen uitgevoerd. Als u AutoUpdate op specifieke dagen van de week wilt uitvoeren, stelt u in plaats daarvan een planning Wekelijks in.

9

Klik op OK om uw instellingen op te slaan en sluit het dialoogvenster Instellingen planning.

AutoUpdate wekelijks uitvoeren 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning selecteert u Wekelijks in de lijst Taak plannen.

3

In het veld Begintijd voert u de tijd in waarop AutoUpdate moet starten.

4


Beschrijving

UTC-tijd


Lokale tijd

5



100



6


7


8

9

In het gebied Taak wekelijks uitvoeren stelt u een frequentie en een dag in voor AutoUpdate: Optie

Beschrijving

Iedere...

Geef een frequentie op, in weken Als u bijvoorbeeld 2 in dit veld invoert, wordt AutoUpdate om de twee weken uitgevoerd.

op...

Selecteer de dag(en) waarop u AutoUpdate wilt uitvoeren.


AutoUpdate maandelijks uitvoeren 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning selecteert u Maandelijks in de lijst Taak plannen.

3


4


Beschrijving

UTC-tijd


Lokale tijd


Producthandleiding

101


5


6

Selecteer eventueel Gemiste taak uitvoeren. Wanneer AutoUpdate niet op de geplande tijd wordt uitgevoerd, zorgt deze optie ervoor dat AutoUpdate automatisch wordt uitgevoerd wanneer u de computer de volgende keer start. Geef een waarde in minuten op in het veld Gemiste taak uitstellen gedurende. Dit definieert hoe lang u het uitvoeren van AutoUpdate wilt uitstellen als het niet binnen de geplande tijd wordt uitgevoerd.

7


8

In het gebied Taak maandelijks uitvoeren selecteert u een van de maandelijkse opties: Optie

Beschrijving

Dag van de maand

Selecteer deze optie om AutoUpdate uit te voeren op een specifieke kalenderdag (bijvoorbeeld, de 14e of de 31e).

Taak uitstellen gedurende

Selecteer deze optie om AutoUpdate uit te voeren op een relatieve dag van de maand (bijvoorbeeld, de tweede maandag of de laatste vrijdag). Gebruik de twee lijsten om deze optie te configureren.

9

Klik op Maanden selecteren en stel de maanden in waarin u AutoUpdate wilt uitvoeren.

10 Klik op OK om terug te keren naar het tabblad Planning. 11 Klik op OK om uw instellingen op te slaan en sluit het dialoogvenster

Instellingen planning.

102



AutoUpdate eenmalig uitvoeren 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning selecteert u Eenmalig in de lijst Taak plannen.

3


4


Beschrijving

UTC-tijd


Lokale tijd

5



6


7


8

In het gebied Taak eenmalig uitvoeren gebruikt u de lijst Uitvoeren om de datum te selecteren waarop u AutoUpdate wilt uitvoeren.

9


Producthandleiding

103


AutoUpdate uitvoeren bij het opstarten van uw computer 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning selecteert u Bij het opstarten van de computer in de lijst Taak plannen.

3

In het gebied Taak bij het opstarten van de computer uitvoeren stelt u de opstartopties in:

4

Optie

Beschrijving

Deze taak slechts een keer per dag uitvoeren

Selecteer deze optie om AutoUpdate slechts één keer per dag uit te voeren. Als u deze optie niet selecteert, wordt de taak elke keer uitgevoerd wanneer u de computer opnieuw opstart.


Voer een tijdsinterval in minuten in. Wanneer u de computer opnieuw opstart, wacht AutoUpdate tot deze tijdsperiode is verstreken voordat de update wordt gestart. Hiermee geeft u opstartscripts tijd voor de uitvoering.


AutoUpdate uitvoeren bij het aanmelden 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning selecteert u Bij aanmelden in de lijst Taak plannen.

3

In het gebied Taak bij aanmelden uitvoeren stelt u de aanmeldopties in:

4

104

Optie

Beschrijving

Deze taak slechts een keer per dag uitvoeren

Selecteer deze optie om AutoUpdate slechts één keer per dag uit te voeren. Als u deze optie niet selecteert, wordt de taak elke keer uitgevoerd wanneer u zich aanmeldt.


Voer een tijdsinterval in minuten in. Wanneer u zich aanmeldt bij de computer, wacht AutoUpdate tot deze tijdsperiode is verstreken voordat de update wordt gestart. Hierdoor hebben aanmeldscripts tijd om te draaien.




AutoUpdate uitvoeren wanneer de computer niet actief is 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning selecteert u Indien niet-actief in de lijst Taak plannen.

3

In het gebied Taak uitvoeren indien niet-actief voert u het aantal minuten in dat de computer niet-actief moet zijn voordat AutoUpdate start.

4


AutoUpdate onmiddellijk uitvoeren 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning selecteert u Onmiddellijk in de lijst Taak plannen.

3


4


AutoUpdate uitvoeren via een inbelverbinding 1 In het dialoogvenster Instellingen planning klikt u op Planning om het betreffende tabblad weer te geven. 2

In het gebied Planning selecteert u Na het inbellen uitvoeren in de lijst Taak plannen.

3


4

In het gebied Taak na inbellen uitvoeren selecteert of deselecteert u het selectievakje Deze taak slechts een keer per dag uitvoeren. Hiermee geeft u aan dat u deze taak slechts één keer per dag of vaker wilt uitvoeren voor gebruikers met een inbelverbinding.

5


Producthandleiding

105


Geavanceerde planningsopties toepassen 1 Het dialoogvenster Geavanceerde planningsopties openen: a

In het dialoogvenster Instellingen planning klikt u op Planning om naar het betreffende tabblad te gaan.

b

In het gebied Planning klikt u op Geavanceerd. Deze knop is alleen beschikbaar als u Dagelijk, Wekelijks, Maandelijks of Eenmalig in de lijst Taak plannen hebt geselecteerd.

2

Stel zonodig een Begindatum en een Einddatum in. Klik op elke lijst om een datum op de kalender te selecteren.

3

Selecteer zonodig Taak herhalen en gebruik de opties onder het selectievakje om op te geven hoe vaak AutoUpdate moet worden uitgevoerd: Optie

Beschrijving

Iedere

Voer een frequentie in en geef vervolgens op of dit minuten of uren moeten zijn.

Tot

Geef op wanneer AutoUpdate moet stoppen met herhalen. Voer een tijdstip in, of een duur in uren en minuten.

Als u Iedere bijvoorbeeld instelt op 1 uur en Tot instelt op een duur van 24 uur, wordt AutoUpdate de hele dag om het uur uitgevoerd. 4

106

Klik op OK om terug te keren naar het dialoogvenster Instellingen planning.


5

Toepassingen-monitor instellen

In deze paragraaf wordt de functie toepassingen-monitor van Desktop Firewall geïntroduceerd en beschreven hoe deze de door u gebruikte toepassingen controleert. Er wordt aandacht aan de volgende onderwerpen besteed:

Informatie over de functie toepassingen-monitor.

De functie toepassingen-monitor instellen.

Op waarschuwingen van leermodus voor toepassingen reageren.

Met toepassingsregels werken.

Informatie over de functie toepassingen-monitor De Desktop Firewall-software beschikt over een toepassingen-monitor. Met deze functie worden de door u gebruikte toepassingen gecontroleerd. U kunt specificeren of toepassingen mogen worden uitgevoerd (dit wordt het maken van toepassingen genoemd), en of ze zich met andere programma’s mogen verbinden (dit wordt het koppelen van toepassingen genoemd):

Gebruik de maken van toepassingen-monitor als u wilt voorkomen dat specifieke

of onbekende programma’s worden uitgevoerd. Sommige Paard van Troje-aanvallen kunnen bijvoorbeeld schadelijke toepassingen op uw computer uitvoeren zonder dat u er weet van hebt. Als u de maken van toepassingen-monitor activeert, kunt u voorkomen dat een dergelijke aanval slaagt door alleen de uitvoering van specifieke, legitieme toepassingen toe te staan. U kunt ook de Leermodus voor het maken van toepassingen activeren, zodat Desktop Firewall aan u vraagt wat er moet gebeuren zodra het programma merkt dat er wordt geprobeerd om een onbekende toepassing uit te voeren.

Gebruik de koppelen van toepassing-monitor als u wilt voorkomen dat onbekende toepassingen zich met andere programma's verbinden. Sommige legitieme toepassingen moeten zich met andere programma's verbinden, maar een dergelijke koppeling kan ook op een aanval duiden. Een schadelijke toepassing kan bijvoorbeeld proberen om een kopie van zichzelf naar andere mensen te e-mailen door zich aan uw e-mailprogramma te koppelen. Als het de toepassing lukt om zich met uw e-mailprogramma te verbinden, heeft het toegang tot de mogelijkheden van die toepassing.

Producthandleiding

107


U kunt voorkomen dat dergelijke aanvallen slagen door de koppelen van toepassing-monitor in te schakelen. U kunt deze functie zodanig configureren dat alleen specifieke toepassingen zich met andere programma's mogen verbinden. U kunt ook de Leermodus voor het koppelen van toepassingen activeren, zodat Desktop Firewall aan u vraagt wat er moet gebeuren zodra het programma merkt dat een onbekende toepassing zich aan andere programma's probeert te koppelen. U kunt beide toepassingen-monitors configureren door de toepassingsregels op het tabblad Toepassingenbeleid in te stellen. Elke toepassingsregel verbindt een reeks acties met een specifieke toepassing. Zie Met toepassingsregels werken op pagina 111 voor meer informatie.

Waarschuwingen van leermodus voor toepassingen Wanneer u de Leermodus voor het maken van toepassingen of de Leermodus voor het koppelen van toepassingen activeert, controleert Desktop Firewall continu alle toepassingsactiviteiten op uw computer. Deze toepassingen worden toegestaan of geblokkeerd op basis van de regels die u instelt op het tabblad Toepassingenbeleid. Als Desktop Firewall een toepassing detecteert die niet wordt herkend, wordt er een Waarschuwing: maken van toepassing of Waarschuwing: koppelen van toepassing weergegeven. Deze waarschuwingsvensters vragen u wat er moet gebeuren: de onbekende toepassing toestaan of blokkeren. Zie Op waarschuwingen van leermodus voor toepassingen reageren op pagina 110 voor meer informatie.

De functie toepassingen-monitor instellen Gebruik het tabblad Toepassingenbeleid om de functie toepassingen-monitor te configureren. Op dit tabblad kunt u:

De toepassingen-monitor activeren of deactiveren.

De Leermodus voor toepassingen activeren of deactiveren.

De functie toepassingen-monitor activeren of deactiveren Desktop Firewall ondersteunt twee typen toepassingen-monitors. U kunt controleren op toepassingen die proberen op te starten (maken van toepassingen) of op toepassingen die zichzelf met andere programma's proberen te verbinden (koppelen van toepassingen).

108


De functie toepassingen-monitor instellen

De maken van toepassingen-monitor activeren en deactiveren 1

Klik op het tabblad Toepassingenbeleid in Desktop Firewall om het te activeren.

2


Om de maken van toepassingen-monitor te activeren, selecteert u het selectievakje Maken van toepassingen-monitor activeren.

Om de maken van toepassingen-monitor te deactiveren, deselecteert u het selectievakje Maken van toepassingen-monitor activeren.

De koppelen van toepassing-monitor activeren en deactiveren 1


2


Om de koppelen van toepassing-monitor te activeren, selecteert u het selectievakje Koppelen van toepassing-monitor activeren.

Om de koppelen van toepassing-monitor te deactiveren, deselecteert u het selectievakje Koppelen van toepassing-monitor activeren.

De Leermodus voor toepassingen activeren en deactiveren Desktop Firewall ondersteunt twee typen Leermodus voor toepassingen:

De Leermodus voor het maken van toepassingen waarschuwt u wanneer er wordt geprobeerd om onbekende toepassingen uit te voeren.

De Leermodus voor het koppelen van toepassingen waarschuwt u wanneer onbekende toepassingen zich met andere programma's proberen te verbinden.

De Leermodus voor het maken van toepassingen activeren of deactiveren 1


2


Om de Leermodus-waarschuwingen te activeren, selecteert u het selectievakje Leermodus voor het maken van toepassingen activeren.

Om de Leermodus te deactiveren, deselecteert u het selectievakje.

Producthandleiding

109


De Leermodus voor het maken van toepassingen activeren of deactiveren 1


2


Om de Leermodus-waarschuwingen te activeren, selecteert u het selectievakje Leermodus voor het koppelen van toepassingen activeren.

Om de Leermodus uit te deactiveren, deselecteert u het selectievakje.

Op waarschuwingen van leermodus voor toepassingen reageren Als u de Leermodus van de maken-monitor of koppelen-monitor hebt geactiveerd, geeft Desktop Firewall een Waarschuwing: maken van toepassing of een Waarschuwing: koppelen van toepassing zodra er een onbekende toepassing wordt gedetecteerd. Gebruik dit dialoogvenster om een actie te selecteren:

Klik op Toestaan om de toepassing zijn actie te laten voltooien:

Wanneer u bij een Waarschuwing: maken van toepassing op Toestaan klikt, mag de toepassing worden uitgevoerd.

Wanneer u bij een Waarschuwing: koppelen van toepassing op Toestaan klikt, mag de toepassing zich met een ander programma verbinden.

Klik op Weigeren om de toepassing te blokkeren:

Wanneer u bij een Waarschuwing: maken van toepassing op Weigeren klikt, wordt de toepassing niet uitgevoerd.

Wanneer u bij een Waarschuwing: koppelen van toepassing op Weigeren klikt, kan de toepassing zich niet met een ander programma verbinden. Wanneer u op Toestaan of Weigeren klikt, maakt Desktop Firewall een nieuwe, op uw keuze gebaseerde toepassingsregel aan. Deze regel wordt aan de lijst met toepassingsregels op het tabblad Toepassingenbeleid toegevoegd. De software zal deze toepassing voortaan automatisch toestaan of blokkeren.

110


Met toepassingsregels werken

Met toepassingsregels werken Regels bepalen hoe de verschillende toepassingen door de functie toepassingen-monitor worden behandeld. U maakt en beheert regels met behulp van de lijst met toepassingsregels op het tabblad Toepassingenbeleid. Met de lijst met toepassingsregels en het tabblad Toepassingenbeleid kunt u:

Nieuwe toepassingsregels maken met de knop Toevoegen.

Bestaande toepassingsregels bewerken en deactiveren met de knop Eigenschappen.

Toepassingsregels verwijderen met de knop Verwijderen.

Een nieuwe toepassingsregel maken 1

Klik op het tabblad Toepassingenbeleid in Desktop Firewall.

2

Klik op Toevoegen. Het dialoogvenster Toepassingsregel verschijnt.

3

Gebruik de lijst met Toepassingen en selecteer de toepassing waarop deze regel betrekking moet hebben. Als de toepassing niet in de lijst staat, klikt u op Bladeren en zoekt u het uitvoerbaar bestand van de toepassing op.

4

Selecteer Toepassingsregel is actief.

5


6

Als

Dan

U deze toepassing wilt laten uitvoeren

Selecteert u Toepassing mag worden gemaakt.

U wilt voorkomen dat deze toepassing wordt uitgevoerd

Deselecteert u dit selectievakje.

Voer een van de volgende handelingen uit: Als

Dan

U wilt dat deze toepassing zich met andere programma's verbindt

Selecteert u Toepassing mag aan andere toepassingen worden gekoppeld.

U wilt voorkomen dat deze toepassing zich met andere programma's verbindt

Deselecteert u dit selectievakje.

Producthandleiding

111


7

Klik op OK om de nieuwe regel aan de lijst met toepassingsregels toe te voegen.

Een toepassingsregel bewerken 1


2

Selecteer de regel die u wilt bewerken in de lijst met toepassingsregels.

3

Klik op Eigenschappen. Het dialoogvenster Toepassingsregel verschijnt.

4

De instellingen van deze regel wijzigen: Instelling

Effect

Toepassing

Bepaalt op welke toepassing deze regel betrekking heeft. Selecteer een toepassing in de lijst of klik op Bladeren om naar het uitvoerbaar bestand van de toepassing te gaan.

5

Toepassingsregel is actief

Schakelt deze regel in of uit.

Toepassing mag worden gemaakt

Bepaalt of Desktop Firewall de uitvoering van deze toepassing toestaat of de uitvoering ervan blokkeert.

Toepassing mag aan andere toepassingen worden gekoppeld

Bepaalt of Desktop Firewall toestaat dat deze toepassing zich met andere programma's verbindt of de verbinding ervan blokkeert.

Klik op OK om de wijzigingen op te slaan en terug te keren naar het tabblad Toepassingenbeleid.

Een toepassingsregel verwijderen 1


2

Selecteer de regel die u wilt verwijderen in de lijst met toepassingsregels.

3

Klik op Verwijderen. Desktop Firewall vraagt u te bevestigen dat u de regel wilt verwijderen.

4

Klik op Ja. Desktop Firewall verwijdert de regel uit de lijst met toepassingsregels.

112


Met toepassingsregels werken

Een toepassingsregel uitschakelen 1


2

Selecteer de regel die u wilt uitschakelen in de lijst met toepassingsregels.

3

Klik op Eigenschappen. Het dialoogvenster Toepassingsregel verschijnt.

4

Selecteer het selectievakje Toepassingsregel is actief.

5

Klik op OK om de wijzigingen op te slaan. Desktop Firewall stopt met het toepassen van deze regel, maar verwijdert hem niet uit de lijst met toepassingsregels.

Producthandleiding

113


114


6

Vastlegging instellen

In deze paragraaf wordt de functie vastlegging van Desktop Firewall geïntroduceerd en beschreven hoe deze de informatie over de activiteiten van de software vastlegt. Er wordt aandacht aan de volgende onderwerpen besteed:

Informatie over vastlegging.

De functie vastlegging instellen.

Informatie over vastlegging Met de functie vastlegging van Desktop Firewall kunt u de door de software uitgevoerde acties registreren. Vastgelegde acties worden gebeurtenissen genoemd. De functie vastlegging registreert twee typen gebeurtenissen:

“Toegestane” gebeurtenissen. Deze registreren acties die een bepaalde gebeurtenis toestaan. Als de functie toepassingen-monitor bijvoorbeeld een programma laat opstarten, dan is dit een toegestane gebeurtenis.

“Geblokkeerde” gebeurtenissen. Deze registreren acties die een bepaalde

gebeurtenis voorkomen. Als de functie IDS bijvoorbeeld het verkeer van een bepaald IP-adres niet door de firewall laat, dan is dit een geblokkeerde gebeurtenis. U kunt de functie vastlegging voor de firewall activeren en deactiveren. De vastlegging voor de IDS-functie en de functie toepassingen-monitor kan echter niet worden geactiveerd of gedeactiveerd. Desktop Firewall registreert altijd informatie over deze functies, maar u kunt deze gebeurtenissen verbergen door filters toe te passen. Voor de firewallfunctie kunt u ervoor kiezen om alleen ‘toegestane’ gebeurtenissen, alleen ‘geblokkeerde’ gebeurtenissen, beide of geen van beide te registreren. Gebruik het tabblad Activiteiten logboek van Desktop Firewall om de vastlegging te configureren. Dit tabblad toont ook het gebeurtenissenlogboek. Elke regel geeft een aparte gebeurtenis weer. Elke kolom geeft specifieke informatie over de gebeurtenis. Zie Het tabblad Activiteitenlogboek op pagina 59 voor een beschrijving van de kolommen.

Producthandleiding

115


U kunt de gebeurtenissen in het logboek sorteren, zodat u specifieke gebeurtenissen makkelijker kunt vinden. U kunt de gebeurtenissen die Desktop Firewall weergeeft bovendien filteren, zodat alleen de gebeurtenissen die samenhangen met een bepaalde functie van de software (firewall, toepassingen-monitor of IDS) zichtbaar zijn. Als uw logboek te groot wordt, kunt u de gebeurtenisgegevens opslaan in een door tabs gescheiden tekstbestand (voor gebruik met andere toepassingen). Nadat de gegevens zijn opgeslagen, kunt u het logboek wissen.

IDS-gebeurtenissen in het Activiteitenlogboek Wanneer de Desktop Firewall IDS een mogelijke aanval op uw systeem detecteert, probeert deze informatie over het inkomende verkeer vast te leggen. Als de software hierin slaagt, kunt u de vastgelegde pakketgegevens bekijken in het Activiteitenlogboek. U kunt deze gegevens voor verdere analyse in een McAfee Sniffer .CAP-bestand opslaan.

IDS-gebeurtenisgegevens zoeken en exporteren 1

Deselecteer al uw filteropties behalve voor Inbraken. Desktop Firewall filtert nu alle firewall-gebeurtenissen en gebeurtenissen van de toepassingen-monitor en geeft alleen IDS-gebeurtenissen in het Activiteitenlogboek weer.

2

Controleer de kolom Inbraakgegevens voor elke IDS-gebeurtenis. Als er in deze kolom een pictogram ( ) verschijnt, betekent dit dat Desktop Firewall pakketgegevens voor deze gebeurtenis heeft vastgelegd.

3

Om de gegevens op te slaan, klikt u met de rechtermuisknop op de logboekvermelding en selecteert u vervolgens Gebeurtenisgegevens opslaan.

4

Selecteer de map waarin u het bestand wilt opslaan en geef het bestand een naam.

5

Klik op Opslaan. Desktop Firewall exporteert de vastgelegde gegevens naar een McAfee Sniffer-bestand dat u met behulp van compatibele software kunt bekijken.

116


De functie vastlegging instellen

Systeemgebeurtenissen in het Activiteitenlogboek Desktop Firewall legt soms zowel systeemgebeurtenissen als aan een functie gerelateerde gebeurtenissen vast. Systeemgebeurtenissen registreren problemen met de software, zoals een service die niet opstart. Systeemgebeurtenissen verschijnen altijd in het Activiteitenlogboek; u kunt niet oo systeemgebeurtenissen filteren en de vastlegging ervan niet deactiveren. De kolom Gebeurtenis blijft bij systeemgebeurtenissen leeg (deze kolom geeft normaal gesproken gebeurtenissen van het type Toepassing of Inbraak aan).

De functie vastlegging instellen U kunt de functie vastlegging van Desktop Firewall zodanig configureren dat alleen de informatie waarin u geïnteresseerd bent, wordt geregistreerd en weergegeven. U kunt:

De vastlegging voor firewallgebeurtenissen activeren of deactiveren.

Filters toepassen om de hoeveelheid gebeurtenissen die Desktop Firewall weergeeft te beperken.

Gebeurtenissen sorteren.

Het gebeurtenissenlogboek opslaan.

Het gebeurtenissenlogboek wissen.

De vastlegging van firewallgebeurtenissen activeren of deactiveren 1

Klik op het Activiteitenlogboek in Desktop Firewall om dit tabblad weer te geven.

2


Om informatie over toegestane firewallgebeurtenissen vast te leggen, selecteert u het selectievakje Alle toegestane registreren.

Om het vastleggen van toegestane firewallgebeurtenissen uit te schakelen, deselecteert u het selectievakje. 3


Om informatie over geblokkeerde firewallgebeurtenissen vast te leggen, selecteert u het selectievakje Alle geblokkeerde registreren.

Om het vastleggen van geblokkeerde firewallgebeurtenissen uit te schakelen, deselecteert u het selectievakje.

Producthandleiding

117


Vastgelegde gebeurtenissen filteren 1


2

Selecteer bij Filteropties selectievakjes om bepaalde typen gebeurtenissen weer te geven of deselecteer selectievakjes om bepaalde typen gebeurtenissen te verbergen: Selectievakje

Effect

Verkeer

Firewall-gebeurtenissen weergeven of verbergen

Toepassingen

Gebeurtenissen van de toepassingen-monitor weergeven of verbergen

Inbraken

IDS-gebeurtenissen weergeven of verbergen

OPMERKING

U kunt geen systeemgebeurtenissen filteren; Desktop Firewall geeft deze gebeurtenissen altijd weer.

Vastgelegde gebeurtenissen sorteren

118

1


2

Klik op de naam van een kolom om de vastgelegde gegevens op basis van de inhoud van de kolom te sorteren: Kolom

Effect

Tijd

Sorteert gebeurtenissen op grond van het tijdstip waarop ze plaatsvonden.

Gebeurtenis

Sorteert gebeurtenissen op grond van hun type. Alle Toepassings-gebeurtenissen verschijnen bijvoorbeeld in één blok.

Adres

Sorteert gebeurtenissen op grond van de eraan gekoppelde remote IP-adressen. (Dit is het adres waarnaar het firewall-verkeer werd verzonden of waarvan het werd ontvangen.)

Inbraakgegevens

Sorteert gebeurtenissen zodanig dat IDS-gebeurtenissen die inbraakgegevens hebben vastgelegd, worden afgezonderd.


De functie vastlegging instellen

Kolom

Effect

Toepassing

Sorteert gebeurtenissen op grond van de toepassing waardoor ze werden veroorzaakt.

Bericht

Sorteert gebeurtenissen op grond van het bericht dat eraan gekoppeld is (alfabetisch of omgekeerd alfabetisch). OPMERKING

U moet de functie vastleggen van firewallgebeurtenissen deactiveren voordat u het gebeurtenissenlogboek gaat sorteren. Doet u dit niet, dan blijft Desktop Firewall firewallgebeurtenissen onder aan de lijst toevoegen zonder deze op basis van de door u geselecteerde kolom te sorteren.

Het logboek opslaan 1


2

Klik op Opslaan.

3

Ga naar de map waarin u de logboekgegevens wilt opslaan.

4

Typ een naam voor het logboekbestand in het veld Bestandsnaam.

5

Klik op Opslaan.

Het logboek wissen 1


2

Klik op Wissen. Desktop Firewall vraagt u te bevestigen dat u alle vermeldingen in het logboek wilt verwijderen.

3

Klik op Ja. Desktop Firewall wist het Activiteitenlogboek.

Producthandleiding

119


120


DEEL

2

Desktop Firewall met ePolicy Orchestrator gebruiken

Aan de slag met Desktop Firewall en ePO De software instellen voor installatie De Firewall met ePO instellen Het Inbraakdetectiesysteem met ePO instellen Toepassingen-monitor met ePO instellen Rapporten maken met ePO

7

Aan de slag met Desktop Firewall en ePO

Deze paragraaf is een inleiding op Desktop Firewall 8.0 en behandelt het beheer van de firewall met behulp van McAfee ePolicy Orchestrator. De volgende onderwerpen komen aan bod:

Over ePolicy Orchestrator.

Hoe Desktop Firewall samenwerkt met ePolicy Orchestrator.

Een kort overzicht van de ePolicy Orchestrator-interface.

Toegang verkrijgen tot Desktop Firewall via ePolicy Orchestrator.

Over ePolicy Orchestrator McAfee ePolicy Orchestrator (ePO) is een gecentraliseerde softwarebeheertoepassing waarmee u:

Beveiligingsoplossingen voor uw gehele netwerk kunt beheren vanaf één console.

Een reeks ePO-compatibele toepassingen kunt opslaan in de ePolicy Orchestrator-software Repository (Opslagplaats) (inclusief Desktop Firewall).

Deze toepassingen kunt installeren op computers die door ePO worden beheerd.

Regelmatige updates van het product en het beleid kunt versturen.

Grafische rapporten kunt maken.

Producthandleiding

123


Het systeem ePolicy Orchestrator Een ePolicy Orchestrator-systeem omvat de volgende onderdelen:

De ePolicy Orchestrator-server die alle toepassingen opslaat die u installeert met behulp van ePO, alsmede alle gegevens die door ePO-agenten zijn verzameld.

De ePolicy Orchestrator-console. Dit is de gebruikersinterface voor het beheren en installeren van agenten en producten.

De ePolicy Orchestrator-agent. Deze toepassing installeert u op de computers die u beheert met ePO. Agenten verzamelen informatie voor ePolicy Orchestrator en voeren taken uit die u hebt ingesteld met behulp van de ePO-console.

Hoe Desktop Firewall samenwerkt met ePolicy Orchestrator Desktop Firewall integreert op dezelfde wijze in ePolicy Orchestrator als andere ePO-compatibele toepassingen (inclusief VirusScan en ThreatScan). Om Desktop Firewall en ePolicy Orchestrator te integreren, moet u: 1

ePolicy Orchestrator voorbereiden op het beheer van Desktop Firewall. Hiertoe voert u de Updater-toepassing van Desktop Firewall uit op uw ePO-server en -console.

2

De Desktop Firewall-software toevoegen aan de Repository (Opslagplaats) van ePolicy Orchestrator.

Raadpleeg uw Desktop Firewall-Installatiehandleiding voor meer informatie. Wanneer u Desktop Firewall hebt geïntegreerd in ePolicy Orchestrator kunt u de ePO-console gebruiken voor het configureren en beheren van de firewall. Met de console kunt u taken maken. Taken zijn instructies die ePolicy Orchestrator naar ePO-agenten stuurt. U gebruikt de taak Deployment (Installatie) van ePolicy Orchestrator om Desktop Firewall te installeren. U kunt deze taak op een specifieke dag en tijd laten uitvoeren door middel van het instellen van een taakplanning. Op de geplande tijd distribueert ePolicy Orchestrator uw taken naar de ePO agenten op uw doelcomputers. ePolicy Orchestrator verstuurt ook eventueel benodigde softwarebestanden. De ePO-agenten voeren de instructies in uw taken uit. Als u bijvoorbeeld een productinstallietaak wilt maken voor Desktop Firewall, installeren de ePO-agenten de clientsoftware op uw doelcomputers.

124


Een kort overzicht van de ePolicy Orchestrator-interface

De ePolicy Orchestrator-agenten communiceren regelmatig met uw ePO-server. Elke keer wanneer de agenten inchecken, ontvangen ze eventuele beleidswijzigingen voor de producten die op hun computers zijn geïnstalleerd. Wanneer u dus de configuratie van Desktop Firewall wijzigt, werken de ePolicy Orchestrator-agenten automatisch de eventueel betrokken computers bij in de volgende update-interval. U hoeft geen speciale taken in te stellen voor beleidsupdates van Desktop Firewall. Raadpleeg de Producthandleiding van ePolicy Orchestrator voor meer informatie over ePolicy Orchestrator-agenten, taken, en updates.

Een kort overzicht van de ePolicy Orchestrator-interface De ePolicy Orchestrator-interface heeft twee belangrijke onderdelen:

1 De consolestructuur waarin u ePolicy Orchestrator-objecten kunt selecteren waarmee u wilt werken (bijvoorbeeld individuele computers, of de gehele Repository (Opslagplaats) van de ePO-software).

2 Het gegevensvenster dat een gebied bevat voor het werken met het geselecteerde object.

1

2

Afbeelding 7-11. De ePolicy Orchestrator-console

Producthandleiding

125


De consolestructuur De consolestructuur wordt weergegeven aan de linkerkant van de ePolicy Orchestrator-console. De structuur is een hiërarchische weergave van alle objecten die ePolicy Orchestrator beheert. Wanneer u zich aanmeldt bij de ePO-server verschijnt er in de consolestructuur een pictogram voor deze server alsmede de pictogrammen voor de Directory (Map) en de Repository (Opslagplaats). In de Directory (Map) ziet u een hiërarchische weergave van de lokaties, groepen en individuele computers. Deze staan voor de gebruikers die u beheert met ePolicy Orchestrator. Om te werken met gebruikers, vouwt u de Directory (Map) uit en gaat u naar de resulterende lijst met groepen en lokaties. De Repository (Opslagplaats) bevat een lijst met alle toepassingen die u installeert en beheert met behulp van ePolicy Orchestrator.

Het gegevensvenster Het gegevensvenster verschijnt aan de rechterkant van de ePolicy Orchestrator-console. Soms bevat dit venster één pagina en soms is het in twee gedeelten gesplitst (een bovenste en een onderste gegevensvenster). In beide gevallen biedt het gegevensvenster een reeks acties die zijn gekoppeld aan het object dat u selecteert in de consolestructuur. Als u in de consolestructuur bijvoorbeeld Repository (Opslagplaats) selecteert, geeft het gegevensvenster acties weer voor het bijwerken van de software in de Repository (Opslagplaats).

Toegang verkrijgen tot Desktop Firewall via ePolicy Orchestrator U gebruikt de ePolicy Orchestrator-console voor het verkrijgen van toegang tot en het configureren van Desktop Firewall.Meestal werkt u met Desktop Firewall en maakt u gebruik van drie belangrijke ePO-weergaven:

126

De weergave Policies (Beleid), waarin u Desktop Firewall voor een specifieke computer of groep kunt configureren.

De weergave Properties (Eigenschappen), waarin u versiegegevens van Desktop Firewall voor een specifieke computer kunt verkrijgen.

De weergave Tasks (Taken), waarmee u de installatie van Desktop Firewall kunt plannen.


Toegang verkrijgen tot Desktop Firewall via ePolicy Orchestrator

De weergave Policies (Beleid) Het tabblad Policies (Beleid) van ePolicy Orchestrator geeft alle toepassingen weer die u kunt installeren op een geselecteerde computer of groep. Op dit tabblad kunt u deze toepassingen tevens configureren voordat u ze installeert. Om naar het tabblad Policies (Beleid) te gaan: 1

Gebruik de consolestructuur van ePolicy Orchestrator om een computer of groep te selecteren. Door het selecteren van een computer of groep worden de tabbladen Policies (Beleid), Properties (Eigenschappen) en Tasks (Taken) weergegeven in het ePO-gegevensvenster.

2

Kies het tabblad Policies (Beleid). ePolicy Orchestrator splitst het gegevensvenster in twee delen: een bovenste en een onderste gegevensvenster:

Het bovenste gebied geeft alle toepassingen weer die u kunt installeren op deze computer of groep.

Het onderste gebied geeft informatie weer over de toepassing die u in het bovenste gegevensvenster selecteert. Desktop Firewall moet in deze lijst worden weergegeven als McAfee Desktop Firewall 8.0. Als u de firewall niet op deze lijst ziet staan, controleert u of het product goed is geïnstalleerd. Raadpleeg de Desktop Firewall-Installatiehandleiding voor meer details. Om Desktop Firewall te configureren voor installatie, moet u de pagina Administrative Options (Beheeropties) openen in het onderste gegevensvenster. Om de pagina Administrative Options (Beheeropties) te openen: 1

Gebruik de consolestructuur van ePolicy Orchestrator om een computer of groep te selecteren.

2

In het gegevensvenster selecteert u het tabblad Policies (Beleid).

3

In het bovenste gegevensvenster dubbelklikt u op McAfee Desktop Firewall 8.0. Administrative Options (Beheeropties) wordt nu in de lijst weergegeven onder McAfee Desktop Firewall 8.0.

4

Selecteer Administrative Options (Beheeropties). ePolicy Orchestrator geeft de pagina Administrative Options (Beheeropties) weer in het onderste gegevensvenster.

Producthandleiding

127


Afbeelding 7-12. De pagina Administrative Options (Beheeropties) in ePO

De pagina Administrative Options (Beheeropties) gebruikt een interface die vergelijkbaar is met de interface van de standalone versie van Desktop Firewall. De interface bevat een aantal tabbladen om Desktop Firewall te configureren voor de installatie. Het betreft onder andere de volgende tabbladen:

Het tabblad Firewall Configuration (Configuratie firewall) voor het instellen van de firewallfunctie.

Het tabblad Application Configuration (Configuratie toepassingen) voor het instellen van de functie toepassingen-monitor.

Het tabblad Intrusion Configuration (Configuratie inbraak) voor het instellen van het inbraakdetectiesysteem.

Het tabblad Administrative Configuration (Configuratie beheer) voor het instellen van de specifieke ePO-functies in Desktop Firewall.

Voordat u Desktop Firewall configureert voor een specifieke ePolicy Orchestrator-groep of computer, moet u het selectievakje Inherit (Overnemen) bovenaan de pagina Administrative Options (Beheeropties) deselecteren. Als u dit niet doet, wijst ePO deze computer of groep automatisch toe aan dezelfde Desktop Firewall-configuratie als de lokatie of groep waartoe het behoort. Dit noemt men beleidovername. Raadpleeg Over het overnemen van een beleid op pagina 142 voor meer informatie. Wanneer u de configuratiewijzigingen hebt voltooid, klikt u altijd op de knop Apply (Toepassen) bovenaan de pagina Administrative Options (Beheeropties) om

uw wijzigingen op te slaan.

128



Het tabblad Firewall Configuration (Configuratie firewall) Met het tabblad Firewall Configuration (Configuratie firewall) kunt u de firewallfunctie configureren. Met deze functie kunt u filters plaatsen op de inkomende en uitgaande netwerkcommunicatie van uw gebruikers. Op dit tabblad kunt u:

De firewallfunctie in- of uitschakelen met behulp van het selectievakje Enable Firewall (Firewall inschakelen).

De Leermodus in- of uitschakelen met behulp van de selectievakjes van de Leermodus.

Een voorgedefinieerde set firewallregels selecteren in de lijst Policy Template (Beleidssjabloon).

IP-adressen en subnetten identificeren waarmee gebruikers veilig kunnen communiceren, door deze toe te voegen aan de lijst Trusted Networks (Vertrouwde netwerken) (klik daartoe op de knop Trusted (Vertrouwd)).

De lijst met Adminstrative Rules (Beheerregels) gebruiken om de firewallregels te controleren die ePO installeert.

De lijst met Client Rules (Clientregels) gebruiken om de regels te controleren die de geselecteerde gebruiker wellicht heeft toegevoegd.

Gebruikersregels overschrijven met behulp van het selectievakje Merge these rules with users rules (Deze regels samenvoegen met gebruikersregels).

Nieuwe firewallregels en -groepen maken met behulp van de knop Add (Toevoegen).

Geselecteerde firewallregels bewerken of weergeven met behulp van de knop Properties (Eigenschappen).

Firewallregels verwijderen met behulp van de knop Remove (Verwijderen).

Producthandleiding

129


Afbeelding 7-13. Het tabblad Firewall Configuration (Configuratie firewall) in ePO

De lijst met regels en andere interface-opties op dit tabblad zijn hetzelfde als die op het tabblad Firewallbeleid in the standalone versie van Desktop Firewall. In tegenstelling tot de standalone versie omvat de firewallfunctie van ePolicy Orchestrator een paar extra functies:

130

De lijst met regels bevat twee onderdelen. Het bovenste gedeelte van de lijst met regels bevat beheerregels (regels die u instelt en installeert met behulp van ePolicy Orchestrator). Het onderste gedeelte van de lijst met regels omvat gebruikersregels (regels die de geselecteerde gebruiker zelf of met behulp van de Learn Mode (Leermodus) heeft toegevoegd). Als u de regels van een gebruiker wilt toevoegen aan de lijst met te installeren regels kunt u ze van de lijst met Client Rules (Clientregels) naar de lijst met Administrative Rules (Beheerregels) slepen.

U kunt regels van gebruikers overschrijven. De lijst met gebruikersregels geeft regels weer die zijn gemaakt door gebruikers. Desktop Firewall overschrijft deze regels telkens wanneer u een configuratiewijziging in ePolicy Orchestrator maakt. Als u de gebruikersregels niet wilt overschrijven, selecteert u het selectievakje Merge these rules with users rules (Deze regels samenvoegen met gebruikersregels). Als u het bestaande Desktop Firewall-beleid volledig wil vervangen door een nieuwe set regels, deselecteert u dit selectievakje.



U kunt bekende regels controleren. Als u op Add (Toevoegen) klikt, biedt de ePolicy Orchestrator-versie van Desktop Firewall u een extra optie, namelijk Predefined Rules (Voorgedefinieerde regels). Door deze optie te selecteren opent u het dialoogvenster Select Predefined Rules (Selecteer voorgedefinieerde regels). Dit venster geeft een lijst met alle regels weer die bij Desktop Firewall worden geleverd. U kunt elk van deze regels toevoegen aan uw lijst met beheerregels door de betreffende regel te selecteren en op OK te klikken.

Het tabblad Application Configuration (Configuratie toepassingen) Met behulp van het tabblad Application Configuration (Configuratie toepassingen) kunt u de Desktop Firewall functie toepassingen-monitor configureren. Met deze functie kunt u de toepassingen beheren waarmee uw gebruikers werken. Met behulp van de toepassingen-monitor kunt u opgeven of een programma mag worden uitgevoerd (ook wel toepassingen maken genoemd) en of een programma zich mag binden aan andere programma’s (ook wel toepassingen koppelen genoemd). U kunt ook:

De toepassingen-monitor in- of uitschakelen met behulp van de bovenste twee selectievakjes Enable (Inschakelen).

De Learn Mode (Leermodus) in- of uitschakelen met behulp van de selectievakjes van de Learn Mode (Leermodus).

De lijst met Administrative Rules (Beheerregels) gebruiken voor het controleren van de toepassingenregels die ePO installeert.

De lijst met Client Rules (Clientregels) gebruiken voor het controleren van regels die de geselecteerde gebruiker eventueel heeft toegevoegd.

Gebruikersregels overschrijven met behulp van het selectievakje Merge these rules with users rules (Deze regels samenvoegen met gebruikersregels).

Nieuwe toepassingsregels maken met behulp van de knop Add (Toevoegen).

Geselecteerde toepassingsregels bewerken of weergeven met behulp van de knop Properties (Eigenschappen).

Toepassingsregels verwijderen met behulp van de knop Remove (Verwijderen).

Producthandleiding

131


Afbeelding 7-14. Het tabblad Application Configuration (Configuratie toepassingen) in ePO

De lijst met regels en andere interface-opties op dit tabblad zijn hetzelfde als die op het tabblad Toepassingenbeleid in de standalone versie van Desktop Firewall. In tegenstelling tot de standalone versie omvat de interface van ePolicy Orchestrator een paar extra functies voor toepassingen:

De lijst met regels bestaat uit twee onderdelen. Het bovenste gedeelte van de lijst

met regels bevat beheerregels (regels die u instelt en installeert met behulp van ePolicy Orchestrator). Het onderste gedeelte van de lijst met regels bevat gebruikersregels (regels die de geselecteerde gebruiker zelf of met behulp van de Learn Mode (Leermodus) heeft toegevoegd). Als u de regels van een gebruiker wilt toevoegen aan de lijst met te installeren regels kunt u ze van de lijst met Client Rules (Clientregels) naar de lijst met Adminstrative Rules (Beheerregels) slepen.

U kunt regels van gebruikers overschrijven. De lijst met Client Rules (Clientregels)

geeft regels weer die zijn gemaakt door gebruikers. Desktop Firewall overschrijft deze regels telkens wanneer u een configuratiewijziging in ePolicy Orchestrator maakt. Als u de gebruikersregels niet wilt overschrijven, selecteert u het selectievakje Merge these rules with users rules (Deze regels samenvoegen met gebruikersregels). Als u het bestaande Desktop Firewall-beleid volledig wil vervangen door een nieuwe set regels, deselecteert u dit selectievakje.

132



Het tabblad Intrusion Configuration (Configuratie inbraak) Met het tabblad Intrusion Configuration (Configuratie inbraak) kunt u instellingen configureren voor het inbraakdetectiesysteem (IDS). Wanneer u deze functie inschakelt, controleert Desktop Firewall de computer die het beveiligt continu op aanvallen. U kunt dit tabblad gebruiken om te definiëren of een geïnstalleerde Desktop Firewall:

Verdachte aanvallen blokkeert of het netwerkverkeer doorlaat.

De IP-adressen van potentiële aanvallers toevoegt aan de lijst met geblokkeerde adressen.

Waarschuwingsberichten per e-mail verstuurt wanneer er een potentiële aanval op het systeem wordt ontdekt.

Een waarschuwingsbericht weergeeft wanneer de computer wordt aangevallen.

Een waarschuwingsgeluid laat horen of het pictogram op de systeemwerkbalk laat knipperen om een potentiële aanval aan te geven.

De items in de lijst met geblokkeerde adressen verwijdert elke keer wanneer de firewall een bijgewerkt beleid van ePolicy Orchestrator ontvangt.

Een aantal of alle beschikbare IDS-handtekeningen gebruikt.

Afbeelding 7-15. Het tabblad Intrusion Configuration (Configuratie inbraak) in ePO

Het tabblad Intrusion Configuration (Configuratie inbraak) regelt dezelfde inbraakdetectie-instellingen als het dialoogvenster McAfee Desktop firewall-opties in de standalone versie van de software.

Producthandleiding

133


Als u Desktop Firewall-gebruikers toestaat hun programma-instellingen te veranderen, zijn de selecties die u op dit tabblad maakt slechts standaardselecties die de gebruikers kunnen veranderen. Als u echter de Desktop Firewall-interface vergrendelt (met behulp van het tabblad Administrative Configuration (Configuratie beheer)), worden deze instellingen vergrendeld totdat u, of een andere ePO-beheerder, ze weer verandert. Raadpleeg Delen van de Desktop Firewall-interface vergrendelen en ontgrendelen op pagina 147 voor meer informatie.

Het tabblad Administrative Configuration (Configuratie beheer) Op het tabblad Administrative Configuration (Configuratie beheer) kunt u regelen hoe Desktop Firewall wordt weergegeven bij de gebruikers. Bovendien kunt u hier de specifieke ePO-functies configureren. Met behulp van dit tabblad kunt u:

Desktop Firewall verbergen voor gebruikers.

Voorkomen dat gebruikers toegang hebben tot specifieke Desktop Firewall-functies.

De Audit Learn Mode (Controleleermodus) in- en uitschakelen voor de functies firewall en toepassingen-monitor.

De Quarantine Mode (Quarantainemodus) configureren.

Instellingen van de firewall, de toepassingen-monitor, en het IDS importeren uit een bestaand beleidsbestand.

Desktop Firewall configureren om gebeurtenisgegevens te verzenden naar ePolicy Orchestrator, zodat u de informatie kunt gebruiken voor het maken van rapporten.

Afbeelding 7-16. Het tabblad Administrative Configuration (Configuratie beheer) in ePO

134



Het tabblad bestaat uit twee onderdelen. Met het onderdeel Administrative Configuration Options (Configuratieopties beheer) kunt u specifieke ePO-functies instellen: Optie

Beschrijving

Enable Error Reporting (Foutenrapporten activeren)

Laat Desktop Firewall informatie verzamelen en rapporteren over interne problemen met de software.

Enable ePO Reporting (ePO-rapporten activeren)

Geeft Desktop Firewall opdracht om de gebeurtenisgegevens wel of niet naar ePolicy Orchestrator te verzenden. Gebeurtenisgegevens zijn vergelijkbaar met de gegevens van het Activiteitenlogboek in de standalone versie. ePolicy Orchestrator gebruikt gebeurtenisgegevens voor het maken van rapporten. Als u deze optie uitschakelt, verstuurt het geïnstalleerde product de gebeurtenisgegevens niet naar ePolicy Orchestrator en kunt u geen Desktop Firewall-rapporten maken voor deze computer of deze groep.

Enable Rulelist Exporting (Exporteren van regellijst activeren)

Activeert of deactiveert de optie Export Policy (Exporteer beleid) in het menu Task (Taak) van de geïnstalleerde Desktop Firewall.

Hide Tray Icon from Users (Pictogram op systeemwerkbalk verbergen voor gebruikers)

Geeft het Desktop Firewall-pictogram op de systeembalk weer of verbergt het.

Producthandleiding

135


Optie

Beschrijving

Enable Firewall Audit Learn Mode (Leermodus firewallcontrole inschakelen)

Activeert of deactiveert de Audit Learn Mode (Controleleermodus) voor de functies firewall en toepassingen-monitor.

Enable Application Audit Learn Mode (Leermodus voor het controleren van toepassingen inschakelen) Enable Application Hooking Audit Learn Mode (Leermodus voor het koppelen van toepassingen inschakelen)

Wanneer u de Audit Learn Mode (Controleleermodus) activeert, zoekt Desktop Firewall naar verkeer en toepassingen waarvoor geen regels zijn gemaakt. Wanneer er onbekend verkeer of toepassingen worden geïdentificeerd, maakt Desktop Firewall automatisch nieuwe regels die dit toestaan. Gebruikers kunnen de waarschuwingen van de Learn Mode (Leermodus) niet zien. Dit is wel het geval met de Learn Mode (Leermodus) die beschikbaar is vanuit de tabbladen Firewall Policy (Firewallbeleid) en Application Policy (Toepassingenbeleid). Met Audit Learn Mode (Controleleermodus) beschikt u over een manier om automatisch firewallregels en toepassingsregels te maken die u later nog eens kunt controleren. Dit is handig bij het installeren van Desktop Firewall voor testgroepen, zoals beschreven in de Desktop Firewall-Installatiehandleiding.

Configure Quarantine Mode (De Quarantainemodus configureren)

Opent het dialoogvenster Define Quarantined Networks (In quarantaine geplaatste netwerken definiëren).

Import Policy From File (Importeer beleid uit bestand)

Hiermee kunt u het beleid van de firewall, het IDS en de toepassingen-monitor importeren uit een bestaand beleidsbestand.

U gebruikt dit dialoogvenster om beveiligde netwerken in te stellen. Alle Desktop Firewall-gebruikers op deze netwerken moeten te allen tijde beschikken over een up-to-date beleid. Als ePolicy Orchestrator ontdekt dat een gebruiker een oud beleid heeft, wordt deze gebruiker in quarantaine geplaatst. Dit betekent dat de gebruiker alleen kan communiceren met ePO en de specifieke IP-adressen die u opgeeft. Deze gebruikers blijven in quarantaine totdat ePolicy Orchestrator hun software heeft bijgewerkt.

Deze optie biedt een snelle manier om Desktop Firewall te configureren voor installatie.

136



Met het onderdeel Allow Client Users to Configure... (Clientgebruiker mag... configureren) kunt u tijdens de installatie van de software opgeven welke delen van Desktop Firewall toegankelijk zijn voor gebruikers. U kunt de functies firewall, IDS en toepassingen-monitor afzonderlijk instellen. Selecteer de functie die u wilt configureren in de lijst aan de linkerkant. De lijst met instelbare opties verandert afhankelijk van uw selectie. Om gebruikers toe te staan een onderdeel van de interface te bewerken, selecteert u de optie die bij dit onderdeel hoort.Om te voorkomen dat gebruikers uw instellingen veranderen, selecteert u het selectievakje dat bij deze optie hoort. Wanneer u bijvoorbeeld gebruikers wilt toestaan de firewall in- en uit te schakelen, selecteert u de optie Allow Client to Enable/Disable Firewall (Client mag firewall in-/uitschakelen). Om te voorkomen dat gebruikers hun eigen firewallregels toevoegen, deselecteert u het selectievakje Allow Client to Create Additional Firewall Rules (Client mag extra firewallregels maken).

Producthandleiding

137


De weergave Properties (Eigenschappen) Met behulp van het tabblad Properties (Eigenschappen) van ePolicy Orchestrator kunt u de versiegegevens raadplegen van de software die u op een specifieke computer hebt geïnstalleerd. Met betrekking tot Desktop Firewallkunt u de volgende informatie bekijken:

Welke softwareversie u op die computer hebt geïnstalleerd.

Welke taal u hebt geïnstalleerd.

In welke map u Desktop Firewall hebt geïnstalleerd.

Welke regels heeft een client aan de door u geïnstalleerde regels toegevoegd. OPMERKING

Veel van deze informatie wordt niet in een voor mensen leesbare vorm gepresenteerd. U kunt niets veranderen aan deze weergave; wel kunt u controleren of de installatie van Desktop Firewall is geslaagd. Om naar het tabblad Properties (Eigenschappen) te gaan: 1

Gebruik de consolestructuur van ePolicy Orchestrator om een computer te selecteren waarop u Desktop Firewall hebt geïnstalleerd. De tabbladen Policies (Beleid), Properties (Eigenschappen) en Tasks (Taken) worden weergegeven in het gegevensvenster van ePolicy Orchestrator.

2

Kies het tabblad Properties (Eigenschappen).

3

Zoek McAfee Desktop Firewall 8.0 in de lijst Properties (Eigenschappen) en vouw deze uit. ePolicy Orchestrator geeft twee categorieën weer, namelijk General (Algemeen) en ClientPolicy (Clientbeleid):

Als u informatie wilt over de versie die u hebt geïnstalleerd, vouwt u General (Algemeen) uit.

Als u informatie wilt over de regels die de client heeft gemaakt, vouwt u ClientPolicy (Clientbeleid) uit.

138



De weergave Tasks (Taken) Het tabblad Tasks (Taken) in ePolicy Orchestrator geeft de taken weer die u hebt voor een specifieke groep of computer hebt gemaakt. Deze taken kunnen ook taken voor Desktop Firewallomvatten. U kunt ook nieuwe taken maken met behulp van dit tabblad. Om naar het tabblad Tasks (Taken) te gaan: 1

Gebruik de consolestructuur van ePolicy Orchestrator om een computer of groep te selecteren. De tabbladen Policies (Beleid), Properties (Eigenschappen) en Tasks (Taken) worden weergegeven in het gegevensvenster van ePolicy Orchestrator.

2

Kies het tabblad Tasks (Taken). ePolicy Orchestrator geeft alle bekende taken voor deze computer of groep weer. Elke regel in de lijst met taken vertegenwoordigt een afzonderlijke taak.

Producthandleiding

139


140


8

De software instellen voor installatie

Voordat u Desktop Firewall installeert, moet u de software configureren en het basisbeleid instellen. Deze paragraaf behandelt de taken die u wellicht moet uitvoeren op beheerniveau. Dit zijn onder andere:

Een beleid overnemen om de configuratie van Desktop Firewall te vereenvoudigen (zie Over het overnemen van een beleid op pagina 142).

Kiezen welke functies u wilt gebruiken (zie Kiezen welke functies u wilt gebruiken op pagina 142).

Desktop Firewall verbergen voor gebruikers (zie Weergeven en verbergen Desktop Firewall op pagina 147).

Regelen welke delen van de Desktop Firewall-interface gebruikers mogen veranderen (zie Delen van de Desktop Firewall-interface vergrendelen en ontgrendelen).

Desktop Firewall configureren door een bestaand bestandsbeleid te importeren (zie De software configureren bij het importeren van een beleidsbestand op pagina 149).

De functie ePO-rapporten instellen (zie De functie ePO-rapporten instellen op pagina 150).

Het verplicht maken van Desktop Firewall-beleid controleren (zie Het verplicht maken van het beleid van Desktop Firewall controleren op pagina 151).

Wanneer u deze taken hebt voltooid, kunt u specifieke opties voor de firewall, IDS, de toepassingen-monitor en vastlegging configureren. Raadpleeg de volgende hoofdstukken voor meer informatie. Wanneer u het instellen van Desktop Firewall hebt voltooid, gebruikt u ePolicy Orchestrator om de firewall bij uw gebruikers te installeren. Raadpleeg de Desktop Firewall-Installatiehandleiding voor instructies en aanbevelingen voor de installatie. Als u na de installatie veranderingen aanbrengt in een Desktop Firewall-configuratie, geeft ePolicy Orchestrator de nieuwe informatie via de ePO-agenten automatisch door aan uw geïnstalleerde Desktop Firewall-clients. U hoeft geen ePolicy Orchestrator-taken te plannen voor het bijwerken van een beleid op een bestaande Desktop Firewall-client.

Producthandleiding

141


Over het overnemen van een beleid Voordat u Desktop Firewall installeert, moet u de software configureren voor al uw doelgebruikers zodat zij de regels en instellingen krijgen die ze nodig hebben. U kunt de software voor elke gebruiker individueel configureren, maar dankzij ePolicy Orchestrator is dit niet meer nodig. U kunt overname gebruiken om de configuratie en het beheer van Desktop Firewall te vereenvoudigen. Overname betekent in dit geval dat u de individuele Desktop Firewall-gebruikers groepeert in ePolicy Orchestrator, waarna u de software op groepsniveau configureert in plaats van op individueel niveau. Alle leden van de groep krijgen automatisch de configuratie die u voor deze groep maakt (dat wil zeggen: nemen deze configuratie automatisch over). Wanneer u overschakelt naar de weergave Policies (Beleid) (zie De weergave Policies (Beleid) op pagina 127) voor het configureren van Desktop Firewall, verschijnt de optie Inherit (Overnemen) bovenaan de pagina Administrative Options (Beheeropties) (in het onderste gegevensvenster). Standaard schakelt ePolicy Orchestrator de optie Inherit (Overnemen) in. Schakel deze optie uit als u een individuele computer een andere Desktop Firewall-configuratie wilt geven dan de rest van de groepsleden. Voordat u begint met de configuratie van de software moet u uw Desktop Firewall-groepen plannen en instellen in ePolicy Orchestrator. Hierbij kunt u gebruik maken van de overnamemogelijkheid van ePO en daarmee het beheer van Desktop Firewall vereenvoudigen.

Kiezen welke functies u wilt gebruiken Voordat u Desktop Firewall installeert, moet u beslissen welke functies uw gebruikers nodig hebben. U kunt een individuele Desktop Firewall-functie aan- en uitschakelen zonder dat dit gevolgen heeft voor de andere functies. U kunt de volgende functies kiezen:

De firewall, die het inkomend en uitgaand netwerkverkeer inspecteert en dit

blokkeert of toestaat op basis van de regels die u hebt ingesteld.

De toepassingen-monitor die de toepassingen controleert waarmee uw gebruikers werken en voorkomt dat gespecificeerde toepassingen starten of zich aan andere programma’s binden.

Het inbraakdetectiesysteem (IDS) dat het verkeer naar de computers van uw

gebruikers controleert en potentiële aanvallen op hun systeem identificeert.

142



De firewall-functie in- en uitschakelen 1

In de consolestructuur van ePolicy Orchestrator vouwt u het pictogram Directory (Map) uit en gaat u naar de computer of groep waarvoor u Desktop Firewall wilt configureren.

2


3

In het bovenste gegevensvenster zoekt u McAfee Desktop Firewall 8.0 in de lijst met toepassingen. Dubbelklik op McAfee. Administrative Options (Beheeropties) wordt nu in de lijst weergegeven onder McAfee Desktop Firewall 8.0.

4


5

In het onderste gegevensvenster klikt u op Firewall Configuration (Configuratie firewall) om het betreffende tabblad weer te geven.

6


Om de firewall te activeren, selecteert u het selectievakje Enable Firewall (Firewall inschakelen).

Om de firewall te deactiveren, deselecteert u het selectievakje Enable Firewall (Firewall inschakelen). OPMERKING

Het activeren en deactiveren van de firewallfunctie heeft niet tot gevolg dat de functies van de inbraakdetectie, de toepassingen-monitor of het logboek worden geactiveerd of gedeactiveerd. 7

Klik op de knop Apply (Toepassen) bovenaan op het tabblad Firewall Configuration (Configuratie firewall).

Producthandleiding

143


De functie toepassingen-monitor in- en uitschakelen Desktop Firewall ondersteunt twee soorten toepassingen-monitors. U kunt controleren op toepassingen die proberen te starten (toepassing maken), of op toepassingen die proberen zich aan andere programma’s te binden (toepassing koppelen). Wees voorzichtig met het inschakelen van de toepassingen-monitor voor Desktop Firewall-gebruikers. Als gevolg van uw toepassingsregels kunnen gebruikers misschien niet de toepassingen gebruiken die ze nodig hebben. Als oplossing voor dit probleem kunt u de Learn Mode (Leermodus) inschakelen. De Learn Mode (Leermodus) vraagt de gebruiker te beslissen of hij/zij de toepassingen wil toelaten of blokkeren die Desktop Firewall niet herkent. De software maakt nieuwe toepassingsregels gebaseerd op het besluit van de gebruiker. U kunt deze regels controleren met behulp van de ePolicy Orchestrator. Een andere mogelijke oplossing is het gebruik van een proefproject om een uitgebreide set toepassings- en firewallregels te ontwikkelen voordat u Desktop Firewall installeert bij uw gebruikers. Raadpleeg de Desktop Firewall-Installatiehandleiding voor aanbevelingen. OPMERKING

Het activeren en deactiveren van de toepassingen-monitor heeft niet tot gevolg dat de functies van de firewall, de inbraakdetectie of het logboek worden geactiveerd of gedeactiveerd.

Om de toepassingen-monitor in- en uit te schakelen 1


2


3


4


5

144

In het onderste gegevensvenster klikt u op Application Configuration (Configuratie toepassingen) om het betreffende tabblad weer te geven.



6


Om de controle op het maken van toepassingen te activeren, selecteert u het selectievakje Enable Application Creation Monitor (Maken van toepassingen-monitor activeren).

Om de controle op het maken van toepassingen te deactiveren, deselecteert u het selectievakje Enable Application Creation Monitor (Maken van toepassingen-monitor activeren). 7

Klik op de knop Apply (Toepassen) bovenaan op het tabblad Application Configuration (Configuratie toepassingen).

Om het koppelen van toepassingen-monitor activeren en deactiveren 1


2


3


4


5

In het onderste gegevensvenster klikt u op Application Configuration (Configuratie toepassingen) om het betreffende tabblad weer te geven.

6


Om de controle op het koppelen van toepassingen te activeren, selecteert u het selectievakje Enable Application Hooking Monitor (Koppelen van toepassingen-monitor).

Om de controle op het koppelen van toepassingen te deactiveren, deselecteert u het selectievakje Enable Application Hooking Monitor (Koppelen van toepassingen-monitor activeren). 7

Klik op de knop Apply (Toepassen) bovenaan op het tabblad Application Configuration (Configuratie toepassingen).

Producthandleiding

145


De IDS-functie in- en uitschakelen 1


2


3


4


5

In het onderste gegevensvenster klikt u op Intrusion Configuration (Configuratie inbraak) om het betreffende tabblad weer te geven.

6


Om de inbraakdetectie te activeren, selecteert u het selectievakje Enable Intrusion Detection (Inbraakdetectie activeren).

Om de inbraakdetectie te deactiveren, deselecteert u het selectievakje Enable Intrusion Detection (Inbraakdetectie activeren). 7

Klik op de knop Apply (Toepassen) bovenaan op het tabblad Intrusion Configuration (Configuratie inbraak). OPMERKING

Het activeren en deactiveren van de IDS-functie heeft niet tot gevolg dat de functies van de firewall, de toepassingen-monitor of het logboek worden geactiveerd of gedeactiveerd.

Regelen wat de gebruiker ervaart Met Desktop Firewall kunt u regelen wat de gebruikers zien wanneer u de software installeert. U kunt:

146

De software volledig verbergen, zodat gebruikers niet merken dat de software draait.

Gedeelten van de interface vergrendelen, zodat gebruikers belangrijke instellingen niet kunnen veranderen.

De optie Export Policy (Exporteerbeleid) in het menu Task (Taak) in- of uitschakelen.


Regelen wat de gebruiker ervaart

Weergeven en verbergen Desktop Firewall 1


2


3


4


5

In het onderste gegevensvenster klikt u op Administrative Configuration (Configuratie beheer) om het betreffende tabblad weer te geven.

6

In het gebied Administrative Configuration Options (Configuratieopties beheer) selecteert u een van de volgende opties:

Om Desktop Firewall te verbergen voor gebruikers, selecteert u het selectievakje Hide Tray Icon from Users (Pictogram op systeemwerkbalk verbergen).

Om Desktop Firewall aan de gebruikers te laten zien, deselecteert u het selectievakje Hide Tray Icon from Users (Pictogram op systeemwerkbalk verbergen). 7

Klik op de knop Apply (Toepassen) bovenaan op het tabblad Administrative Configuration (Configuratie beheer).

Delen van de Desktop Firewall-interface vergrendelen en ontgrendelen 1


2


3


Producthandleiding

147


4


5


6

Selecteer het selectievakje Allow Client Users to Configure the Following Options (Clientgebruiker mag volgende opties configureren).

7

Selecteer in de lijst onder dit selectievakje de Desktop Firewall-functie die u wilt configureren: Firewall Configuration (Configuratie firewall), Application Configuratie (Configuratie toepassingen) of Intrusion Configuration (Configuratie inbraak). Het gebied Options (Opties) verandert om een lijst met interfaceonderdelen weer te geven die u kunt vergrendelen of ontgrendelen.

8

Schakel de beschikbare opties in of uit om te configureren welke interfaceonderdelen toegankelijk zijn voor de gebruikers.

Om een interfaceonderdeel te vergrendelen, deselecteert u het selectievakje naast de betreffende naam.

Om een interfaceonderdeel te ontgrendelen, selecteert u het selectievakje naast de betreffende naam. 9


De optie Export Policy (Exporteerbeleid) in- en uitschakelen Deze procedure activeert of deactiveert de optie Export Policy (Exporteerbeleid) in het menu Desktop Firewall Task (Taak). 1


2


3


4


148


De software configureren bij het importeren van een beleidsbestand

5


6


Om gebruikers toe te staan hun beleidsinstellingen van Desktop Firewall te exporteren, selecteert u het selectievakje Enable Rulelist Exporting (Exporteren regellijst toestaan).

Om te voorkomen dat gebruikers hun beleidsinstellingen van Desktop Firewall exporteren, deselecteert u het selectievakje Enable Rulelist Exporting (Exporteren regellijst toestaan). 7


De software configureren bij het importeren van een beleidsbestand Het configureren van Desktop Firewall kost tijd. Als u reeds een geconfigureerde versie van de software hebt, kunt u tijd besparen door de beleidsinstellingen in ePolicy Orchestrator te importeren. Om een beleid te importeren, moet u eerst een beleidsbestand maken. Om dit bestand te maken, exporteert u de instellingen van Desktop Firewall die u wilt gebruiken uit een geconfigureerde versie van de software. Raadpleeg Een beleidsbestand exporteren op pagina 84 voor meer informatie.

Een beleidsbestand importeren in ePolicy Orchestrator 1


2


3


4


5


Producthandleiding

149


6

Klik op de knop Import Policy From File (Beleid uit bestand importeren).

7

Ga naar de map waarin u het beleidsbestand hebt opgeslagen dat u wilt gebruiken en selecteer de bestandsnaam.

8

Klik op Open (Openen). ePolicy Orchestrator importeert de regels en instellingen van Desktop Firewall en gebruikt deze om de informatie op de tabbladen Firewall Configuration (Configuratie firewall), Application Configuration (Configuratie toepassingen) en Intrusion Configuration (Configuratie inbraak) te vervangen.

9

Klik op de knop Apply (Toepassen) bovenaan op het tabblad Administrative Configuration (Configuratie beheer). OPMERKING

Bij het importeren van een beleidsbestand, worden automatisch de selectievakjes gedeselecteerd die u in het gebied Allow Client Users to Configure the Following Options (Clientgebruiker mag volgende opties configureren) van het tabblad Administrative Configuration (Configuratie beheer) hebt geselecteerd. U moet deze instellingen wellicht opnieuw configureren voordat u Desktop Firewall installeert, of voordat u een beleidsupdate verstuurt.

De functie ePO-rapporten instellen Desktop Firewall kan de gebeurtenisgegevens regelmatig terugsturen naar ePolicy Orchestrator. Gebeurtenisgegevens bevatten informatie over de Desktop Firewall-activiteiten. U kunt deze informatie vergelijken met de gegevens van het Activiteitenlogboek in de standalone versie van de software. ePolicy Orchestrator gebruikt de gebeurtenisgegevens van Desktop Firewall voor het maken van rapporten. De optie voor het maken van rapporten is standaard ingeschakeld. Als u echter een specifieke gebruiker of groep wilt uitsluiten van uw rapporten, kunt u de optie ePO Reporting (ePO-rapporten) deactiveren.

De optie ePO reporting (ePO-rapporten) in- en uitschakelen

150

1

In de consolestructuur van ePolicy Orchestrator vouwt u het pictogram Directory (Map) uit en gaat u naar de computer of groep die u wilt configureren.

2



Het verplicht maken van het beleid van Desktop Firewall controleren

3


4


5

Klik op Administrative Configuration (Configuratie beheer) om het betreffende tabblad weer te geven.

6


Om Desktop Firewall de gebeurtenisgegevens te laten versturen naar ePO, selecteert u het selectievakje Enable ePO Reporting (ePO-rapporten activeren).

Om te voorkomen dat Desktop Firewall gebeurtenisgegevens naar ePO stuurt, deselecteert u het selectievakje. 7


Het verplicht maken van het beleid van Desktop Firewall controleren Policies (Beleid) omvat de regels en configuratie-instellingen die u met behulp van ePolicy Orchestrator distribueert naar geïnstalleerde Desktop Firewalls. Geïnstalleerde Desktop Firewalls krijgen gewoonlijk automatisch de bijgewerkte regels en instellingen via hun ePO-agenten. Deze ePO-agenten distribueren de updates met regelmatige intervallen (die u kunt instellen). Desktop Firewall dwingt het nieuwe beleid vervolgens af zodra dit van een ePO-agent wordt ontvangen. U kunt ePolicy Orchestrator en Desktop Firewall laten stoppen met het verplicht toepassen van een nieuw beleid. Gebruik daartoe de volgende procedure.

Producthandleiding

151


Beleid verplicht maken 1

In de consolestructuur van ePolicy Orchestrator vouwt u het pictogram Directory (Map) uit en gaat u naar de locatie, groep, of computer die u wilt configureren.

2


3

In het bovenste gegevensvenster selecteert u McAfee Desktop Firewall 8.0. ePolicy Orchestrator geeft de Desktop Firewall-opties weer in het onderste gegevensvenster.

152

4

Schakel Inherit (Overnemen) uit.

5

Voer een van de volgende handelingen uit: Indien

Dan

U geen Desktop Firewall-beleid verplicht wilt maken

Deselecteert u het selectievakje Enforce policies for Desktop Firewall 8.0 (Beleid afdwingen voor Desktop Firewall 8.0).

U een beleid verplicht wilt maken

Selecteert u het selectievakje Enforce policies for Desktop Firewall 8.0 (Beleid afdwingen voor Desktop Firewall 8.0).


De Firewall met ePO instellen

9

In deze paragraaf worden firewall-functies geïntroduceerd die alleen via ePolicy Orchestrator beschikbaar zijn. De volgende onderwerpen komen aan bod:

Met firewallregels in ePO werken.

Quarantaines instellen.

Voor informatie over de firewall die gelijk is voor de zelfstandige versie en de ePolicy Orchestrator-versie van de software, kunt u De firewall instellen op pagina 65 raadplegen. Het betreft met name de volgende onderwerpen:

De Leermodus van de firewall in- en uitschakelen op pagina 72

Beveiligingsniveaus en beleidsarchieven gebruiken op pagina 72

Vertrouwde netwerken instellen op pagina 76

Firewallregels bewerken op pagina 79

Let er bij het gebruik van deze procedures op, dat het tabblad Firewallbeleid in ePolicy Orchestrator Firewall configuration (Configuratie firewall) wordt genoemd.

Met firewallregels in ePO werken Het maken en bewerken van firewallregels in ePolicy Orchestrator werkt op precies dezelfde manier als in de zelfstandige versie van Desktop Firewall. De ePO-versie beschikt echter over een aantal extra functies:

U kunt iedere firewallregel bekijken die een gebruiker aan zijn geïnstalleerde Desktop Firewall heeft toegevoegd. U kunt iedere bekende firewallregel van Desktop Firewall aan uw lijst met beheerregels toevoegen.

U kunt de Firewall Audit Learn Mode (Leermodus firewallcontrole) gebruiken om automatisch nieuwe regels op de computer van een gebruiker te maken.

Producthandleiding

153


Een regel van een gebruiker bekijken Het tabblad Firewall Configuration (Configuratie firewall) in ePolicy Orchestrator bestaat uit twee onderdelen:

De lijst Administrative Rules (De lijst met beheerregels). (Het bovenste deel van

de lijst met regels.) Deze lijst bevat de beheerregels die u hebt ingesteld en geïnstalleerd met ePolicy Orchestrator.

De lijst Client Rules (De lijst Clientregels). (Het onderste deel van de lijst met

regels.) Deze lijst toont de aangepaste regels die de geselecteerde gebruiker heeft toegevoegd. Om de lijst met Client Rules (Clientregels) samen te stellen, moet ePolicy Orchestrator de Full properties (Volledige eigenschappen) verzamelen wanneer het met de ePO-agent van een gebruiker communiceert. Als u geen gebruikersregels op het tabblad Firewall Configuration (Configuratie firewall) ziet, moet u de configuratie van de ePolicy Orchestrator-agent van de gebruiker controleren. Zorg dat de optie Full properties (Volledige eigenschappen) is ingeschakeld. (Raadpleeg de Producthandleiding van ePolicy Orchestrator voor meer informatie.) U kunt de aangepaste regels van een gebruiker niet wijzigen of verwijderen, maar wel kopiëren. U kunt ook aangeven of de aangepaste regels van een gebruiker al dan niet bewaard moeten worden wanneer u met behulp van ePolicy Orchestrator beleidupdates verstuurt. (Beleidupdates bevatten nieuwe Desktop Firewall-regels of -instellingen.)

Een regel van een gebruiker kopiëren 1

Vouw het Directory (Map)-pictogram in de consolestructuur van ePolicy Orchestrator uit en ga naar de computer die u wilt configureren. U kunt geen gebruikersregels voor locaties en groepen van ePolicy Orchestrator bekijken.

2


3

Zoek McAfee Desktop Firewall 8.0 in de lijst met toepassingen in het bovenste gegevensvenster en dubbelklik hierop. Administrative Options (Beheeropties) verschijnt in de lijst onder McAfee Desktop Firewall 8.0.

4

Selecteer Administrative Options (Beheeropties). ePolicy Orchestrator geeft de pagina Administrative Options (Beheeropties) in het onderste gegevensvenster weer.

154


Met firewallregels in ePO werken

5

Klik in het onderste gegevensvenster op Firewall Configuration (Configuratie firewall) om het betreffende tabblad weer te geven. De firewallregels die u hebt ingesteld, verschijnen in de lijst met Administrative Rules (Beheerregels). Als de gebruiker aanvullende firewallregels heeft gemaakt, verschijnen deze in de lijst met Client Rules (Clientregels).

6

Selecteer de regels die u wilt kopiëren in de lijst met Client Rules.

7

Sleep deze regels naar de lijst met Administrative Rules (Beheerregels).

8

Klik op de knop Apply (Toepassen) boven het tabblad Firewall Configuration (Configuratie firewall).

Gebruikersregels bewaren of overschrijven 1


2


3


4


5

Klik in het onderste gegevensvenster op Firewall Configuration (Configuratie firewall) om het betreffende tabblad weer te geven. De firewallregels die u hebt ingesteld, verschijnen in de lijst met Administrative Rules (Beheerregels). Als de gebruiker aanvullende firewallregels heeft gemaakt, verschijnen deze in de lijst met Client Rules (Clientregels).

6


Om de aangepaste regels van de gebruiker te bewaren wanneer u beleidupdates verstuurt, selecteert u het selectievakje Merge these rules with users rules (Deze regels samenvoegen met gebruikersregels).

Om de aangepaste regels van de gebruiker te overschrijven wanneer u beleidupdates verstuurt, deselecteert u dit selectievakje. 7

Klik op de knop Apply (Toepassen) boven het tabblad Firewall Configuration (Configuratie firewall).

Producthandleiding

155


Bekende regels gebruiken Op het tabblad Firewall Configuration (Configuratie firewall) kunt u een lijst met firewallregels aanleggen door nieuwe firewallregels en groepen toe te voegen. U kunt ook een lijst met bekende regels van Desktop Firewall openen en bewerken. Bekende regels zijn standaardfirewallregels voor verschillende toepassingen. U kunt elke bekende regel aan uw lijst met Administrative Rules (Beheerregels) toevoegen.

Bekende regels aan uw lijst met firewallregels toevoegen 1

Vouw het Directory (Map)-pictogram in de consolestructuur van ePolicy Orchestrator uit en ga naar de computer of groep waarvoor u Desktop Firewall wilt configureren.

2


3


4


5

Klik in het onderste gegevensvenster op Firewall Configuration (Configuratie firewall) om het betreffende tabblad weer te geven.

6

Klik op Add (Toevoegen).

7

Selecteer Predefined Rules (Voorgedefinieerde regels). Het dialoogvenster Select Predefined Rules (Voorgedefinieerde regels selecteren) wordt weergegeven.

8

Selecteer de regels die u aan uw lijst met firewallregels wilt toevoegen.

9

Klik op OK. Desktop Firewall voegt uw selectie toe aan de lijst met Administrative Rules (Beheerregels) op het tabblad Firewall Configuration (Configuratie firewall).

10 Klik op de knop Apply (Toepassen) boven het tabblad Firewall Configuration

(Configuratie firewall).

156


Met firewallregels in ePO werken

Regels maken met de Audit Learn Mode (Leermodus controle) De optie Audit Learn Mode (Leermodus controle) is zowel beschikbaar voor de controle van de firewall als van de toepassingen. Als u de Firewall Audit Learn Mode (Leermodus firewallcontrole) inschakelt, controleert Desktop Firewall het netwerkverkeer dat gebruikers genereren. Zodra er verkeer wordt geïdentificeerd waarvoor geen regel bestaat, maakt Desktop Firewall automatisch een nieuwe regel die het verkeer toestaat. Firewall Audit Learn Mode (Leermodus firewallcontrole) is vergelijkbaar met de gewone Leermodus van de zelfstandige en geïnstalleerde versies van Desktop Firewall. Het belangrijkste verschil is dat gebruikers bij de gewone Leermodus steeds moeten reageren wanneer Desktop Firewall verkeer detecteert dat niet wordt herkend. In de Firewall Audit Learn Mode (Leermodus firewallcontrole) hoeven gebruikers niet te reageren omdat Desktop Firewall al het verkeer automatisch toestaat.

De Firewall Audit Learn Mode (Leermodus firewallcontrole) biedt u de mogelijkheid om automatisch firewallregels te genereren die u later kunt bekijken. Dit is handig wanneer u Desktop Firewall bij een testgroep installeert om een serie basisregels te maken, zoals beschreven in de Installatiehandleiding van Desktop Firewall.

Firewall Audit Learn Mode in- en uitschakelen 1


2


3


4


5

Klik in het onderste gegevensvenster op Administrative Configuration (Configuratie beheer) om het betreffende tabblad weer te geven.

6


Om de Audit Learn Mode (Leermodus controle) in te schakelen, selecteert u het selectievakje Enable Firewall Audit Learn Mode (Leermodus firewallcontrole activeren).

Om de Audit Learn Mode uit te schakelen, deselecteert u het selectievakje.

Producthandleiding

157


7

Klik op de knop Apply (Toepassen) boven het tabblad Administrative Configuration (Configuratie beheer).

Quarantaines instellen Met de Quarantine Mode (Quarantainemodus) kunt u de mogelijkheden van gebruikers om met het netwerk te communiceren beperken als ePolicy Orchestrator ontdekt dat zij niet over het nieuwste beleid, software-updates, DAT-bestanden, enz. beschikken. OPMERKING

Desktop Firewall dwingt de Quarantine Mode (Quarantainemodus) af voor alle door ePO beheerde toepassingen. Dit betekent dat als u ePolicy Orchestrator gebruikt om VirusScan op de computer van een gebruiker te installeren, Desktop Firewall de gebruiker in quarantaine zal plaatsen als deze niet over de nieuwste DAT-bestanden van VirusScan beschikt. In Quarantine Mode (Quarantainemodus) controleren ePolicy Orchestrator en Desktop Firewall de status van alle ePO-toepassingen. Deze functie beschermt uw netwerk. Verouderd beleid en verouderde bestanden kunnen beveiligingslekken veroorzaken en gebruikers kwetsbaar voor aanvallen maken. Door gebruikers in quarantaine te plaatsen totdat ze door ePolicy Orchestrator worden bijgewerkt, voorkomt u onnodige veiligheidsrisico's. De Quarantine Mode (Quarantainemodus) is bijvoorbeeld handig voor laptopgebruikers waarvan het beleid en de bestanden regelmatig verouderen wanneer zij een aantal dagen geen gebruik maken van het bedrijfsnetwerk. Als u de Quarantine Mode (Quarantainemodus) activeert, hebben ePolicy Orchestrator en Desktop Firewall ieder een eigen aandeel hierin. ePolicy Orchestrator detecteert of een gebruiker over de nieuwste versies van de benodigde gegevens beschikt. Desktop Firewall dwingt de quarantaine af als de gebruiker niet over het benodigd(e) beleid en bestanden beschikt.

158


Quarantaines instellen

Als Desktop Firewall een gebruiker in quarantaine plaatst, wordt er een speciale reeks quarantaine-firewallregels afgedwongen. Als u deze regels maakt, specificeert u met wie de gebruiker wel en niet kan communiceren wanneer hij in quarantaine is geplaatst. OPMERKING

Als u quarantaineregels maakt, moet u de in quarantaine geplaatste gebruikers altijd toestaan om met uw ePO-server te communiceren. Doet u dit niet, dan kunnen zij geen beleidupdates ontvangen en daardoor voor onbepaalde tijd in quarantaine blijven. Als uw gebruiker VPN-software gebruikt om verbinding te maken met het netwerk, moet u er bovendien voor zorgen dat uw quarantaineregels elk verkeer toestaan dat nodig is voor het verbinden en verifiëren via de VPN.

Werking van de Quarantine Mode Als u de Quarantine Mode (Quarantainemodus) voor een gebruiker (of een groep) configureert, specificeert u een lijst met in quarantaine geplaatste IP-adressen en subnetten. Als het netwerk één van deze adressen toekent aan de gebruiker, plaatst Desktop Firewall deze onmiddellijk in quarantaine. Nadat de gebruiker in Quarantine Mode (Quarantainemodus) is geplaatst, gebruikt Desktop Firewall de ePO-agent om uit te zoeken of de gebruiker over de nieuwste versies van het benodigd(e) beleid en bestanden beschikt. Als de ePO-agent vaststelt dat de gebruiker is bijgewerkt, heft Desktop Firewall de quarantaine van de gebruiker onmiddellijk op. Als de ePO-agent echter een ander antwoord geeft, heft Desktop Firewall de quarantaine niet automatisch op:

Als ePolicy Orchestrator antwoordt dat de gebruiker niet is bijgewerkt of dat de gebruiker op dit moment wordt bijgewerkt, dan gaat Desktop Firewall door met het afdwingen van de Quarantine Mode (Quarantainemodus) totdat deze status is veranderd. De ePO-agent controleert de status van de gebruiker telkens wanneer hij contact opneemt met ePolicy Orchestrator voor updates. Gebruikers kunnen enkele minuten in Quarantine Mode (Quarantainemodus) blijven terwijl de ePO-agent hun beleid en bestanden bijwerkt.

Als de ePO-agent om de één of andere reden niet kan vaststellen of een gebruiker is bijgewerkt (bijvoorbeeld omdat er geen contact kan worden gemaakt met de ePolicy Orchestrator-server), kan Desktop Firewall de Quarantine Mode (Quarantainemodus) voortzetten of de quarantaine van de gebruiker opheffen. U bepaalt welke actie Desktop Firewall moet ondernemen wanneer u de Quarantine Mode (Quarantainemodus) configureert (zie De foutoptie van Quarantine Mode instellen op pagina 163). Als u Desktop Firewall zodanig configureert dat deze doorgaat met het afdwingen van de quarantaine, kunnen gebruikers gedurende langere tijd in quarantaine blijven.

Producthandleiding

159


Wanneer de Quarantine Mode (Quarantainemodus) actief is, dwingt Desktop Firewall een strikte reeks firewallregels af (de Quarantine Firewall Rule Set (Reeks quarantaine-firewallregels)). U kunt bepalen met wie in quarantaine geplaatste gebruikers wel of niet kunnen communiceren door regels aan deze reeks toe te voegen. Zorg ervoor dat in quarantaine geplaatste gebruikers met uw ePO-server kunnen communiceren. Doet u dit niet, dan kunnen zij geen beleidupdates ontvangen en daardoor voor onbepaalde tijd in quarantaine blijven. Als uw gebruiker VPN-software gebruikt om verbinding te maken met het netwerk, moet u er bovendien voor zorgen dat uw quarantaineregels elk verkeer toestaan, dat nodig is voor het verbinden en verifiëren via de VPN.

Quarantine Mode instellen Ga als volgt te werk om de Quarantine Mode (Quarantainemodus) in te stellen: 1

Activeer de functie voor een specifieke computer of groep in ePolicy Orchestrator. Raadpleeg De Quarantine Mode activeren en deactiveren op pagina 161.

2

Definieer de subnetten en IP-adressen die de Quarantine Mode (Quarantainemodus) activeren. Raadpleeg In quarantaine geplaatste netwerken definiëren op pagina 162.

3

Configureer hoe Desktop Firewall moet reageren als deze geen respons van ePolicy Orchestrator krijgt terwijl de Quarantine Mode (Quarantainemodus) wordt afgedwongen. Raadpleeg De foutoptie van Quarantine Mode instellen op pagina 163.

4

Stel, indien gewenst, een waarschuwingsbericht voor in quarantaine geplaatste gebruikers in. Raadpleeg Een quarantaine-waarschuwingsbericht instellen op pagina 163.

5

Maak een speciale lijst met firewallregels voor in quarantaine geplaatste gebruikers. Raadpleeg De lijst met regels voor de Quarantine Mode bekijken en bewerken op pagina 164.

160



Het dialoogvenster Quarantine Mode openen 1

Vouw het Directory (Map)-pictogram in de consolestructuur van ePolicy Orchestrator uit en ga naar de computer of groep waarvoor u de Quarantine Mode (Quarantainemodus) wilt activeren.

2


3


4


5

Klik op Administrative Configuration (Configuratie beheer) om het betreffende tabblad weer te geven.

6

Klik op de knop Configure Quarantine Mode (Quarantainemodus configureren). Het dialoogvenster Define Quarantined Networks (In quarantaine geplaatste netwerken definiëren) wordt weergegeven.

De Quarantine Mode activeren en deactiveren 1

Open het dialoogvenster Define Quarantined Networks (In quarantaine geplaatste netwerken definiëren). Raadpleeg Het dialoogvenster Quarantine Mode openen op pagina 161.

2

Voer een van de volgende handelingen uit op het tabblad General Quarantine Options (Algemene opties quarantaine):

Om de Quarantine Mode (Quarantainemodus) in te schakelen, selecteert u het selectievakje Yes...(Ja).

Om de Quarantine Mode (Quarantainemodus) uit te schakelen, deselecteert u het selectievakje. 3

Als u de Quarantine Mode (Quarantainemodus) nog niet hebt geconfigureerd, gaat u als volgt te werk om de functie in te stellen:

In quarantaine geplaatste netwerken definiëren op pagina 162. De foutoptie van Quarantine Mode instellen op pagina 163. Een quarantaine-waarschuwingsbericht instellen op pagina 163. De lijst met regels voor de Quarantine Mode bekijken en bewerken op pagina 164. Producthandleiding

161


4

Klik op OK om het dialoogvenster te sluiten.

5


In quarantaine geplaatste netwerken definiëren 1


2

Klik op ePO Quarantine Options (ePO-opties quarantaine) om het betreffende tabblad weer te geven.

3

Klik op Add (Toevoegen) in het gebied met Quarantined Networks (In quarantaine geplaatste netwerken). Het dialoogvenster Quarantined Network (In quarantaine geplaatste netwerken) wordt weergegeven. Gebruik dit dialoogvenster om de IP-adressen en subnetten te definiëren waarop Desktop Firewall en ePolicy Orchestrator moeten letten. Als de gebruiker een van deze adressen krijgt, zal Desktop Firewall deze in Quarantine Mode (Quarantainemodus) plaatsen.

162

4

Selecteer een methode voor het definiëren van uw in quarantaine geplaatst netwerk in het gebied Type: IP address (IP-adres), IP Address Range (IP-adresreeks) of Subnet.

5

Vul de betreffende adresvelden in en klik vervolgens op OK.

6


7




De foutoptie van Quarantine Mode instellen 1


2


3

Bepaal in het gebied Action Configuration (Actieconfiguratie) wat Desktop Firewall moet doen als deze geen statusupdate van uw ePolicy Orchestrator-server ontvangt:

Als u wilt dat de computer of de groep in Quarantine Mode (Quarantainemodus) blijft, selecteert u Continue Quarantine and use Quarantine rule set (Quarantaine voortzetten en quarantaineregels toepassen).

Als u wilt dat de computer of de groep uit de Quarantine Mode (Quarantainemodus) wordt gehaald, selecteert u Remove Quarantine and use normal firewall rule set (Quarantaine opheffen en normale firewallregels toepassen). 4


5


Een quarantaine-waarschuwingsbericht instellen Desktop Firewall toont dit bericht aan gebruikers wanneer de Quarantine Mode (Quarantainemodus) wordt afgedwongen, zodat ze begrijpen waarom de firewall hun netwerkcommunicatie beperkt. 1


2


3

Selecteer het selectievakje Enable Client Notification Message (Waarschuwing voor cliënt activeren). Het Quarantine Mode-bericht kan nu worden bewerkt.

4

Bewerk indien nodig het bericht.

5


Producthandleiding

163


6

Klik op de knop Apply (Toepassen) boven het tabblad Administrative Configuration (Configuratie beheer). Desktop Firewall toont dit bericht aan gebruikers wanneer de Quarantine Mode (Quarantainemodus) wordt afgedwongen.

De lijst met regels voor de Quarantine Mode bekijken en bewerken De reeks Quarantine Firewall Rule (Quarantaine-firewallregels) is een speciale reeks firewallregels die Desktop Firewall tijdens de Quarantine Mode (Quarantainemodus) afdwingt. Deze lijst met regels heeft hetzelfde formaat als de normale lijst met firewallregels op het tabblad Firewallbeleid. (Raadpleeg Het tabblad Firewallbeleid op pagina 47 voor details.) OPMERKING

Als uw gebruikers VPN-software gebruiken om verbinding te maken met het netwerk, moet u er voor zorgen dat uw quarantaineregels elk verkeer toestaan dat nodig is voor het verbinden en verifiëren via de VPN. U kunt de gewone firewallfunctie gebruiken om te bepalen welke met VPN samenhangende regels u nodig hebt voor de Quarantine Mode (Quarantainemodus). Schakel de Learn Mode (Leermodus) of de Audit Learn Mode (Leermodus controle) van de firewall in en maak vervolgens verbinding met behulp van uw VPN-software. Desktop Firewall zal nu automatisch specifieke VPN-regels maken, die u vervolgens in uw quarantaineregels kunt opnemen. 1


2

Klik op Quarantine Firewall Rule Set (Reeks quarantaine-firewallregels) om het betreffende tabblad weer te geven. Desktop Firewall toont de regels die tijdens de Quarantine Mode (Quarantainemodus) worden toegepast.

164



3

Om wijzigingen in deze reeks regels aan te brengen, kunt u:

Bestaande regels bewerken met de knop Properties (Eigenschappen). Nieuwe regels toevoegen met de knop Add (Toevoegen). Naar een van de voorgedefinieerde regelreeksen van Desktop Firewall overschakelen met behulp van de lijst Policy Template (Beleidssjabloon). Het dialoogvenster Quarantine Firewall Rule Set (Reeks quarantaine-firewallregels) komt overeen met het tabblad Firewallbeleid in de zelfstandige versie. Raadpleeg Het tabblad Firewallbeleid op pagina 47 voor meer informatie. 4

Als u klaar bent met het bewerken van de lijst met regels voor de Quarantine Mode (Quarantainemodus) klikt u op OK om het dialoogvenster te sluiten.

5


Producthandleiding

165


166


10

Het Inbraakdetectiesysteem met ePO instellen

In deze paragraaf worden de verschillen tussen de zelfstandige versie en de ePolicy Orchestrator-versie van deze functie behandeld. Bovendien worden IDS-functies beschreven die alleen via ePolicy Orchestrator beschikbaar zijn. De volgende onderwerpen komen aan bod:

Info over de IDS-functie en ePO.

De IDS-functie in ePO instellen.

Info over de IDS-functie en ePO De interface van ePolicy Orchestrator voor Desktop Firewall is wat betreft de IDS-functie niet gelijk aan de interface van de zelfstandige versie. In de zelfstandige versie van de software bevat het tabblad Inbraakbeleid de lijst met geblokkeerde adressen. Dit is een configureerbare lijst met adressen waarnaar en waarvan Desktop Firewall de communicatie blokkeert. Om de IDS-functie zelf te configureren, openen gebruikers het dialoogvenster McAfee Desktop Firewall Opties vanuit het menu Bewerken. In ePolicy Orchestrator configureert u de IDS-functie met het tabblad Intrusion Configuration (Configuratie inbraak). Dit tabblad biedt dezelfde opties als het dialoogvenster McAfee Desktop Firewall Opties. Er is geen lijst met geblokkeerde adressen.

De IDS-functie in ePO instellen Om de IDS-functie in ePolicy Orchestrator te configureren, gebruikt u dezelfde procedures die u in de zelfstandige versie van het product zou gebruiken, maar nu op het tabblad Intrusion Configuration (Configuratie inbraak):

Inbraakwaarschuwingen in- en uitschakelen op pagina 90.

De standaard reactie van de software op inbraken configureren op pagina 90.

Opties voor het instellen van waarschuwingsberichten op pagina 92.

Nadat u deze opties hebt ingesteld, selecteert u de aanvallen waarop Desktop Firewall moet scannen. Als gevolg van de verschillende interfaces wijkt deze procedure in ePO af van de procedure in de zelfstandige versie. Raadpleeg De aanvallen waarop u wilt scannen selecteren in ePO.

Producthandleiding

167


De ePolicy Orchestrator-versie van de software biedt u tot slot een ePO-specifieke optie die u kunt instellen. Indien nodig, kunt u de software zodanig configureren dat de inhoud van de lijst met geblokkeerde adressen van een gebruiker regelmatig wordt gewist. Dit gebeurt telkens wanneer de geïnstalleerde Desktop Firewall nieuwe regels of instellingen vanePolicy Orchestrator ontvangt. Raadpleeg De lijst met geblokkeerde adressen van een gebruiker automatisch wissen.

De aanvallen waarop u wilt scannen selecteren in ePO 1


2

In het detailvenster selecteert u het tabblad Policies (Beleid).

3

Zoek McAfee Desktop Firewall 8.0 in de lijst met toepassingen in het bovenste detailvenster en dubbelklik hierop. Administrative Options (Beheeropties) verschijnt onder McAfee Desktop Firewall 8.0 in de lijst.

4

Selecteer Administrative Options (Beheeropties). ePolicy Orchestrator geeft de pagina Administrative Options (Beheeropties) in het onderste detailvenster weer.

5

Klik in het onderste detailvenster op Intrusion Configuration (Configuratie inbraak) om het betreffende tabblad weer te geven.

6

Klik op Signature Exclusions (Uitgesloten handtekeningen). Het dialoogvenster Intrusion Detection Signatures (Handtekeningen inbraakdetectie) wordt weergegeven. In dit dialoogvenster worden alle aanvallen weergegeven waarop de IDS-functie kan scannen.

7

De lijst bewerken:

Om op een bepaald type aanval te scannen, selecteert u het selectievakje naast de betreffende naam.

Om een bepaald type aanval te negeren, deselecteert u het selectievakje naast de betreffende naam.

168

8


9

Klik op de knop Apply (Toepassen) boven het tabblad Intrusion Configuration (Configuratie inbraak).


De IDS-functie in ePO instellen

De lijst met geblokkeerde adressen van een gebruiker automatisch wissen 1


2


3


4


5

Klik in het onderste detailvenster op Intrusion Configuration (Configuratie inbraak) om het betreffende tabblad weer te geven.

6

Selecteer het selectievakje Clear Intruder List on ePO Policy Update (Lijst van indringers verwijderen bij ePO-update).

7


8

Klik op de knop Apply (Toepassen) boven het tabblad Intrusion Configuration (Configuratie inbraak).

Producthandleiding

169


170


11

Toepassingen-monitor met ePO instellen In deze paragraaf worden de functies van de toepassingen-monitor geïntroduceerd die alleen via ePolicy Orchestrator beschikbaar zijn. De volgende onderwerpen komen aan bod:

Met toepassingsregels in ePO werken.

Voor informatie over de toepassingen-monitor die gelijk is voor de zelfstandige versie en de ePolicy Orchestrator-versie van de software, kunt u Toepassingen-monitor instellen op pagina 107 raadplegen. Het betreft met name de volgende onderwerpen:

De Leermodus voor toepassingen activeren en deactiveren op pagina 109.

Met toepassingsregels werken op pagina 111.

Let er bij het gebruik van deze procedures op, dat het tabblad Toepassingenbeleid in ePolicy Orchestrator Application configuration (Configuratie toepassingen) wordt genoemd.

Met toepassingsregels in ePO werken Het maken en bewerken van toepassingsregels in ePolicy Orchestrator werkt op precies dezelfde manier als in de zelfstandige versie van Desktop Firewall. De ePO-versie beschikt echter over twee extra functies:

U kunt iedere toepassingsregel bekijken die een gebruiker aan zijn geïnstalleerde Desktop Firewall heeft toegevoegd.

U kunt de Application Audit Learn Mode (Leermodus voor het controleren van toepassingen) en de Application Hooking Audit Learn Mode (Leermodus voor het koppelen van toepassingen) gebruiken om automatisch nieuwe regels op de computer van een gebruiker te maken.

Producthandleiding

171

Toepassingen-monitor met ePO instellen

Een regel van een gebruiker bekijken Het tabblad Application Configuration (Configuratie toepassingen) in ePolicy Orchestrator bestaat uit twee onderdelen:

De lijst met beheerregels. (Het bovenste deel van de lijst met regels.) Deze lijst

bevat de regels die u hebt ingesteld en geïnstalleerd met ePolicy Orchestrator.

De lijst met clientregels. (Het onderste deel van de lijst met regels.) Deze lijst

toont de regels die de geselecteerde gebruiker heeft toegevoegd. Om de Client Rules list (lijst met clientsregels) samen te stellen, moet ePolicy Orchestrator de Full properties (Volledige eigenschappen) verzamelen wanneer het met de ePO agent van een gebruiker communiceert. Als u geen gebruikersregels op het tabblad Application Configuration (Configuratie toepassingen) ziet, moet u de configuratie van de ePolicy Orchestrator agent van de gebruiker controleren. Zorg dat de optie Full properties (Volledige eigenschappen) is ingeschakeld. (Raadpleeg de Producthandleiding van ePolicy Orchestrator voor meer informatie.) U kunt de aangepaste regels van een gebruiker niet bewerken of verwijderen, maar u kunt deze regels wel kopiëren. U kunt ook kiezen of u de aangepaste regels van een gebruiker wel of niet wilt bewaren wanneer u beleidsupdates met ePolicy Orchestrator verstuurt. (Beleidsupdates bevatten nieuwe Desktop Firewall-regels of -instellingen.)

Een regel van een gebruiker kopiëren 1


2


3


4


5

172

Klik in het onderste detailvenster op Application Configuration (Configuratie toepassingen) om het betreffende tabblad weer te geven.


Met toepassingsregels in ePO werken

De toepassingsregels die u hebt ingesteld, verschijnen in de Administrative Rules list (lijst met beheerregels). Als de gebruiker aanvullende toepassingsregels heeft gemaakt, verschijnen deze in de Client Rules list (lijst met clientregels). 6

Selecteer de regels die u wilt kopiëren in de Client Rules list.

7

Sleep deze regels naar de Administrative Rules list.

8

Klik op de knop Apply (Toepassen) boven het tabblad Application Configuration (Configuratie toepassingen).

Gebruikersregels bewaren of overschrijven 1


2


3


4


5

Klik in het onderste detailvenster op Application Configuration (Configuratie toepassingen) om het betreffende tabblad weer te geven. De toepassingsregels die u hebt ingesteld, verschijnen in de Administrative Rules list (lijst met beheerregels). Als de gebruiker aanvullende toepassingsregels heeft gemaakt, verschijnen deze in de Client Rules list (lijst met clientregels).

6


Om de aangepaste regels van de gebruiker te bewaren wanneer u beleidsupdates verstuurt, selecteert u het selectievakje Merge these rules with users rules (Deze regels met de gebruikersregels samenvoegen).

Om de aangepaste regels van de gebruiker te overschrijven wanneer u beleidsupdates verstuurt, deselecteert u dit selectievakje. 7

Klik op de knop Apply (Toepassen) boven het tabblad Application Configuration (Configuratie toepassingen).

Producthandleiding

173


Regels maken met de Audit Learn Mode (Leermodus controle) De optie Audit Learn Mode (Leermodus controle) is zowel beschikbaar voor de controle van toepassingen als van de firewall. Desktop Firewall biedt twee typen Audit Learn Mode (Leermodus controle) voor de controle van toepassingen: Application Audit Learn Mode (Leermodus voor het controleren van toepassingen) en Application Hooking Audit Learn Mode (Leermodus voor het koppelen van toepassingen).

Application Audit Learn Mode controleert het maken van toepassingen (programma's die door de gebruikers worden uitgevoerd).

Application Hooking Audit Learn Mode controleert het koppelen van toepassingen (programma's die zichzelf met andere toepassingen proberen te verbinden).

Wanneer u een of beide Audit Learn Modes activeert, controleert Desktop Firewall de toepassingen van de gebruikers. Zodra er een toepassing wordt geïdentificeerd waarvoor geen regel bestaat, maakt Desktop Firewall automatisch een nieuwe regel die deze toepassing toestaat. De Audit Learn Modes voor toepassingen zijn vergelijkbaar met de gewone Leermodus van de zelfstandige en geïnstalleerde versies van Desktop Firewall. Het belangrijkste verschil is dat gebruikers bij de gewone Leermodus steeds moeten reageren wanneer Desktop Firewall een toepassing detecteert die niet wordt herkend. In de Audit Learn Modes hoeven gebruikers niet te reageren omdat Desktop Firewall elke nieuwe toepassing automatisch toestaat. De Audit Learn Modes bieden u de mogelijkheid om automatisch toepassingsregels te genereren die u later kunt bekijken. Dit is handig wanneer u Desktop Firewall bij een testgroep installeert om een serie basisregels te maken, zoals beschreven in de Installatiehandleiding van Desktop Firewall.

Audit Learn Modes in- en uitschakelen 1


2


3


4


174


Met toepassingsregels in ePO werken

5

Klik in het onderste detailvenster op Administrative Configuration (Configuratie beheer) om het betreffende tabblad weer te geven.

6

Voer een van de volgende handelingen uit om de Audit Learn Mode voor het maken van toepassingen in of uit te schakelen:

Selecteer het selectievakje Enable Application Audit Learn Mode (Leermodus voor het controleren van toepassingen activeren) om de modus in te schakelen.

Deselecteer het selectievakje om deze modus uit te schakelen. 7

Voer een van de volgende handelingen uit om de Audit Learn Mode voor het koppelen van toepassingen in of uit te schakelen:

Selecteer het selectievakje Enable Application Hooking Audit Learn Mode (Leermodus voor het koppelen van toepassingen activeren) om de modus in te schakelen.

Deselecteer het selectievakje om deze modus uit te schakelen. 8


Producthandleiding

175


176


12

Rapporten maken met ePO

In deze paragraaf worden Desktop Firewall-rapporten geïntroduceerd. Verder wordt uitgelegd hoe u deze met ePolicy Orchestrator kunt genereren. De volgende onderwerpen komen aan bod:

Info over Desktop Firewall-rapporten.

Desktop Firewall-rapporten maken.

Info over Desktop Firewall-rapporten Rapportage is een functie van ePolicy Orchestrator die door Desktop Firewall kan worden gebruikt. Met deze functie kunt u verschillende met de firewall of IDS samenhangende rapporten genereren. U kunt rapporten maken die gebaseerd zijn op al uw geïnstalleerde Desktop Firewalls of u kunt uw resultaten tot een bepaald aantal Desktop Firewall-gebruikers beperken. Voordat u Desktop Firewall-rapporten in ePO kunt maken, moet u:

De software bij een of meer gebruikers installeren.

Alle functies activeren waarover u rapporten wilt maken. (Als u bijvoorbeeld Intrusion Summary-rapporten (Inbraakoverzichten) wilt maken, moet u de IDS-functie voor uw geïnstalleerde Desktop Firewalls activeren.)

De geïnstalleerde software zodanig configureren dat deze gebeurtenisgegevens van Desktop Firewall naar ePO stuurt.

Nadat u dit hebt gedaan, kunt u ePolicy Orchestrator gebruiken om gebeurtenisgegevens van Desktop Firewall te verzamelen en rapporten te maken. Nadat er een rapport is gegenereerd, kunt u:

Het rapport in verschillende formaten opslaan, waaronder HTML, RTF en XLS (Microsoft Excel).

Het rapport afdrukken.

Het rapport vernieuwen.

In het rapport zoeken.

Raadpleeg de documentatie van ePolicy Orchestrator voor meer informatie over deze acties.

Producthandleiding

177


Gebeurtenisgegevens en ePolicy Orchestrator U kunt geen Desktop Firewall-rapporten maken, tenzij u over gegevens beschikt waarop u ze kunt baseren. Om deze gegevens te krijgen, configureert u de geïnstalleerde software zodanig dat deze gebeurtenisgegevens naar ePolicy Orchestrator stuurt. De gebeurtenisgegevens bestaan uit dezelfde informatie die de zelfstandige en geïnstalleerde versies van Desktop Firewall op het tabblad Activiteitenlogboek weergeven. Om gebeurtenisgegevens naar ePolicy Orchestrator te sturen, gebruikt Desktop Firewall ePO-agenten. EPO-agenten fungeren als tussenschakel voor de twee producten. Ze staan op dezelfde computer als Desktop Firewall en nemen regelmatig contact op met de ePO-server om de software en het beleid bij te werken. Als u de rapportage instelt, stuurt de agent tijdens deze updates ook gebeurtenisgegevens van Desktop Firewall naar ePO. Raadpleeg De optie ePO reporting (ePO-rapporten) in- en uitschakelen op pagina 150 voor meer informatie. Omdat ePO-agenten alleen op bepaalde tijdsintervallen contact opnemen met de ePolicy Orchestrator, ontstaat er een verschil tussen het moment waarop een Desktop Firewall-gebeurtenis plaatsvindt en het moment waarop ePO hiervan op de hoogte wordt gebracht. Als u de gebeurtenisgegevens van Desktop Firewall onmiddellijk moet verzamelen, kunt u de agent een weksignaal geven. Raadpleeg De agent een weksignaal geven op pagina 178 voor meer informatie.

De agent een weksignaal geven 1

Klik met de rechtermuisknop op de naam van de lokatie, groep of computer die u wilt bijwerken in de Directory (Map) van ePolicy Orchestrator.

2

Selecteer Agent Wakeup Call (Weksignaal agent). Het dialoogvenster Agent Wakeup Call (Weksignaal agent) verschijnt.

3

Selecteer Send Agent wakeup call (Weksignaal naar agent versturen) onder Type.

4

Zet het Agent randomization interval (Willekeurigheidsinterval agent) op 0. ePolicy Orchestrator zal de agent(en) nu onmiddellijk bijwerken.

178

5

Selecteer Get full product properties (Volledige producteigenschappen ophalen).

6

Klik op OK om het weksignaal naar de agent versturen.


Info over Desktop Firewall-rapporten

De Desktop Firewall-rapporten Wanneer u de ePolicy Orchestrator-versie van Desktop Firewall installeert, kunt u ook verschillende rapportagesjablonen installeren. Om een Desktop Firewall-rapport in ePO te genereren, kiest u lokaties, groepen of gebruikers waarover u informatie wilt ontvangen en selecteert u vervolgens een van deze rapportagesjablonen. Met deze rapporten kunt u IDS, de controle van toepassingen en firewall-gebeurtenissen analyseren. De meeste rapporten bieden u de mogelijkheid om gegevens waarin u niet geïnteresseerd bent te filteren. Rapportnaam

Type

Beschrijving

Filters

All Blocked Applications (Alle geblokkeerde toepassingen)

Toepassing

Dit rapport toont alle toepassingen waarvan Desktop Firewalls de uitvoering van of de verbinding met andere programma's hebben voorkomen.

Hostnaam

Beschrijving toepassing

Tijd blokkering

Blocked Application Summary (Overzicht geblokkeerde toepassingen)

Toepassing

Dit rapport toont alle toepassingen die door Desktop Firewalls zijn geblokkeerd en het totaal aantal clients waarvoor ze werden geblokkeerd.

Beschrijving toepassing

Failed Quarantine Updates (Mislukte quarantaineupdates)

Firewall

Dit rapport toont alle Desktop Firewall-gebruikers die in de quarantainemodus zijn geplaatst en die vervolgens hun ePolicy Orchestrator-beleid niet konden bijwerken. (Deze gebruikers kunnen zich nog steeds in quarantaine bevinden.)

Hostnaam

IP-adres host

Tijd gebeurtenis

Deployment Details (Gebruiksdetails)

Algemeen

Dit rapport toont welke versie en taal van Desktop Firewall er op iedere computer is geïnstalleerd en geeft informatie over het besturingssysteem van die computer.

Versie

Taal

Computernaam

Type OS

IP-adres host

IP-adres aanvaller

Tijd gebeurtenis

All Intrusions (Alle inbraken)

Inbraak

Dit rapport toont de gebruikers die het doel van een indringer waren, het IP-adres dat door de indringer werd gebruikt, het type aanval dat werd gebruikt en de tijd waarop de aanval plaatsvond.

Producthandleiding

179


Rapportnaam

Type

Beschrijving

Filters

Intruder Activity Details (Details activiteit indringer)

Inbraak

Dit rapport toont de details van de activiteiten van iedere indringer die een van uw Desktop Firewall-computers heeft aangevallen.

IP-adres aanvaller

Laatst aangevallen host

Favoriet type aanval

Tijd eerste aanval

Tijd laatste aanval

IP-adres host

Tijd eerste aanval

Tijd laatste aanval

Meest voorkomende inbraak

Meest actieve indringer

Laatste indringer

Dit rapport geeft per type aanval gegroepeerde details over indringers. Het toont het IP-adres van de aanvaller, het aantal aanvallen dat door Desktop Firewall werd gedetecteerd en het type aanval.

IP-adres aanvaller

Type aanval

Intrusion Details (Inbraakdetails)

Het toont het IP-adres van iedere indringer, de datum en tijd van de eerste aanval en de datum en tijd van de laatste aanval. Het toont ook het totaal aantal inbraken van iedere indringer dat door Desktop Firewall is gedetecteerd, het aantal computers dat zij hebben aangevallen, de meest voorkomende aanval, het meest frequente doel en het laatst aangevallen adres. Inbraak

Dit rapport toont het doel van de aanval van de indringer, de datum en tijd van de eerste aanval, de datum en tijd van de laatste aanval, het aantal aanvallen dat door Desktop Firewall werd gedetecteerd, het aantal gedetecteerde indringers, de meest voorkomende aanval en het IP-adres van zowel de laatste indringer als de actiefste indringer.

Intrusion Source Details (Details bron inbraak)

Inbraak

Intrusion Summary by Type (Inbraakoverzicht per type)

Inbraak

(Taartdiagram) Dit rapport toont het percentage van het totale aantal aanvallen dat tot een specifiek type aanval behoorde.

Type aanval

Intrusion Summary Current Month (Inbraakoverzicht voor deze maand)

Inbraak

(Staafdiagram) Dit rapport toont alle verschillende aanvallen die Desktop Firewall gedurende deze maand heeft gedetecteerd en toont het totale aantal voor ieder type aanval.

Hostnaam

Type aanval

180


Desktop Firewall-rapporten maken

Rapportnaam

Type

Beschrijving

Filters

Intrusion Summary Current Week (Inbraakoverzicht voor deze week)

Inbraak

(Staafdiagram) Dit rapport toont alle verschillende aanvallen die Desktop Firewall gedurende deze week heeft gedetecteerd en toont het totale aantal voor ieder type aanval.

Hostnaam

Type aanval

Intrusion Summary Current Year (Inbraakoverzicht voor dit jaar)

Inbraak

(Staafdiagram) Dit rapport toont alle verschillende aanvallen die Desktop Firewall gedurende dit jaar heeft gedetecteerd en toont het totale aantal voor ieder type aanval.

Type aanval

Intrusion Target Details (Details doel inbraak)

Inbraak

Dit rapport geeft op type aanval gegroepeerde details over de aangevallen computers. Het toont het IP-adres van het aanvalsdoel, het aantal gedetecteerde aanvallen en het type aanval.

IP-adres host

Type aanval

Top 10 Attack Targets (Tien belangrijkste aanvalsdoelen)

Inbraak

(Staafdiagram) Dit rapport toont de meest aangevallen IP-adressen en de aanvallen die erop werden gericht.

—

Top 10 Intruders (Tien belangrijkste indringers)

Inbraak

(Staafdiagram) Dit rapport toont de IP-adressen die verantwoordelijk zijn voor de meeste aanvallen op uw Desktop Firewall-gebruikers en geeft een overzicht van de aanvallen die zij gebruikten.

—

Desktop Firewall-rapporten maken Om een rapport in ePolicy Orchestrator te maken, moet u:

De functie Reports (Rapporten) in ePO openen.

De groepen selecteren die in uw rapport moeten worden opgenomen.

Een rapport genereren.

De rapportagefunctie van ePO openen 1

ePolicy Orchestrator starten en bij uw server aanmelden.

2

Vouw Reporting (Rapporten) uit in de consolestructuur.

3

Vouw ePO Databases uit. De naam van uw ePO-server moet nu onder dit item zichtbaar zijn.

4

Selecteer de naam van uw server.

Producthandleiding

181


Het dialoogvenster ePO Database Login (Aanmelding ePO-database) verschijnt. 5

Voer uw serverreferenties (gebruikersnaam en wachtwoord) in en klik op OK. U kunt nu Desktop Firewall-rapporten genereren met de gebeurtenisgegevens die op deze ePO-server zijn opgeslagen.

Groepen voor de rapportage selecteren 1

Vouw eerst Reporting (Rapporten) en vervolgens ePO Databases uit in de consolestructuur van ePolicy Orchestrator.

2

Klik met de rechtermuisknop op de naam van uw ePO-server.

3

Selecteer Set Directory Filter (Mapfilter instellen). Het dialoogvenster Directory Filtering (Mappen filteren) verschijnt.

4

Selecteer de groepen die in uw Desktop Firewall-rapporten moeten worden opgenomen.

5

Klik op OK.

Een rapport genereren 1

Vouw eerst Reporting (Rapporten) en vervolgens ePO Databases uit in de consolestructuur van ePolicy Orchestrator.

2

Dubbelklik op de naam van uw ePO-server om deze uit te vouwen. Reports (Rapporten), Queries (Zoekopdrachten) en Events (Gebeurtenissen)

verschijnen nu onder de naam van de server. 3

Vouw eerst Reports en dan McAfee Desktop Firewall 8.0 uit. ePolicy Orchestrator toont een lijst van alle met Desktop Firewall samenhangende rapporten.

4

Selecteer het rapport dat u wilt uitvoeren. Als u een Top 10-rapport hebt geselecteerd, zal ePO dit uitvoeren en de resultaten in het detailvenster tonen. Sla de rest van deze procedure over. Als u een ander type rapport hebt geselecteerd, vraagt ePolicy Orchestrator of u filters op de rapportgegevens wilt toepassen.

182


Desktop Firewall-rapporten maken

5

Voer een van de volgende handelingen uit: Als

Dan

U een rapport zonder filters wilt uitvoeren

Klikt u op No (Nee). ePolicy Orchestrator voert het rapport uit en toont de resultaten in het detailvenster. Sla de rest van deze procedure over.

U de uiteindelijke rapportgegevens wilt beperken door ongewenste informatie te filteren

Klikt u op Yes (Ja).

Het dialoogvenster Report Data Filter (Filter rapportgegevens) verschijnt. Dit dialoogvenster bevat, afhankelijk van het rapport dat u hebt geselecteerd, één of meer tabbladen. Ieder tabblad staat voor een rapportkolom waarop u kunt filteren. Als u met deze tabbladen meerdere filters instelt, toont Desktop Firewall in het uiteindelijke rapport alleen die gegevens die aan al uw criteria voldoen. 6

Stel uw rapportfilters in en een klik vervolgens op OK. Raadpleeg de documentatie van ePolicy Orchestrator voor meer informatie over het instellen van filters in het dialoogvenster Report Data Filter (Filter rapportregevens). ePO vraagt u te bevestigen dat u de rapportgegevens wilt filteren.

7

Klik op Ja. ePolicy Orchestrator genereert het rapport en toont de resultaten in het detailvenster.

Producthandleiding

183


184


DEEL

3

Bijlagen, verklarende woordenlijst en index

Foutenrapportage Verklarende woordenlijst Index

A

Foutenrapportage

Desktop Firewall beschikt over een foutenrapportage-hulpprogramma, dat speciaal werd ontworpen om fouten in de Network Associates-software op uw systeem op te sporen en te registreren. De verkregen informatie kan worden gebruikt bij het analyseren van problemen. Deze foutenrapportage-software controleert de Network Associates-toepassingen op uw systeem en waarschuwt de gebruiker wanneer er een probleem wordt ontdekt. Er worden alleen gegevens verzameld van de computer waarop het programma is geïnstalleerd. Het programma wordt vanaf deze computer bestuurd. U kunt de verzamelde gegevens naar de technische ondersteuning van Network Associates sturen om een ondersteuningscase te openen. Als de computer waarop de fout zich heeft voorgedaan op een netwerk is aangesloten waarop Alert Manager is geïnstalleerd, zal Alert Manager de netwerkbeheerder laten weten dat er een probleem is ontdekt. De netwerkbeheerder kan de gebruiker indien nodig begeleiden bij de te ondernemen actie. OPMERKING

Om de foutenrapportage-software te kunnen gebruiken, moet u over een webbrowser beschikken waarin Java Script is ingeschakeld. Voorbeelden hiervan zijn Netscape 3.0 en hoger of Internet Explorer 4.0 en hoger.

Het foutenrapportage-hulpprogramma gebruiken Onder normale omstandigheden werkt dit hulpprogramma geruisloos op de achtergrond, waarbij het de Network Associates-toepassingen controleert op elke computer waarop het is geïnstalleerd. Als er een fout optreedt, zijn er, afhankelijk van de eisen van uw organisatie en uw netwerkconfiguratie, verschillende manieren waarop de foutendetectiesoftware kan worden gebruikt. De gebruiker wordt gewaarschuwd en heeft de mogelijkheid om de gegevens naar de website voor technische ondersteuning van Network Associates door te sturen. Hier kunnen deze, indien nodig, worden gebruikt voor het openen van een ondersteuningscase. De gebruiker kan er echter ook voor kiezen om de logboekbestanden te negeren. In dat geval worden zij niet naar de website van Network Associates verstuurd. De verzamelde gegevens worden vóór verzending gecomprimeerd.

Producthandleiding

187

Foutenrapportage

Fouten die optreden wanneer de foutenrapportagesoftware niet actief is, bijvoorbeeld wanneer u zich hebt afgemeld, worden verwerkt zodra u zich opnieuw aanmeldt. De fouten die onder deze omstandigheden optreden, bestaan bijvoorbeeld uit fouten in programma's die als service actief zijn.

Het foutenrapportage-hulpprogramma uitvoeren met Desktop Firewall (zelfstandige versie) 1


2


3

In het gebied Algemene opties selecteert u het selectievakje Foutenrapportage.

4

Klik op OK.

Het foutenrapportage-hulpprogramma uitvoeren met Desktop Firewall (ePolicy Orchestrator-versie) 1

Vouw het Directory (Map)-pictogram in de consolestructuur van ePolicy Orchestrator uit en ga naar de computer of groep waarvoor u de foutenrapportage wilt activeren.

2


3


4


188

5

Klik in het onderste gegevensvenster op Administrative Configuration (Configuratie beheer) om het betreffende tabblad weer te geven.

6

In het gebied Administrative Configuration Options (Configuratieopties beheer) selecteert u het selectievakje Enable Error Reporting (Foutenrapportage inschakelen).

7



Het foutenrapportage-hulpprogramma gebruiken

Het foutenrapportage-hulpprogramma gebruiken 1

2

Wanneer er een fout van de Network Associates-software op de computer van een gebruiker wordt ontdekt, wordt er een dialoogvenster weergegeven. Kies de gewenste optie:

Submit Data (Gegevens verzenden) brengt een verbinding met de website voor technische ondersteuning van Network Associates tot stand en verstuurt de gegevens. Als u deze optie selecteert, gaat u verder met stap 2 van deze procedure.

Ignore Error (Fout negeren) er wordt geen verbinding met de website voor technische ondersteuning van Network Associates tot stand gebracht. Er hoeft geen verdere actie te worden ondernomen.

De website voor technische ondersteuning van Network Associates wordt geopend. Er wordt mogelijk naar aanvullende informatie gevraagd; volg alle aanwijzingen op. De door u beschikbaar gestelde gegevens kunnen worden gebruikt om, indien nodig, een ondersteuningscase te openen.

3

Als de oorzaak van het probleem bekend is, krijgt u de mogelijkheid om een webpagina te openen die informatie biedt over het probleem en over de manier waarop u hiermee kunt omgaan.

Producthandleiding

189

Foutenrapportage

190


Verklarende woordenlijst Back Orifice

Een backdoor programma voor Windows 95 en Windows 98 dat is geschreven door een groep die zich de Cult of the Dead Cow noemt. Deze backdoor staat na installatie externe toegang tot de computer toe. Het installatieprogramma kan opdrachten uitvoeren, screenshots maken, het register wijzigen en andere bewerkingen uitvoeren. firewall

Een hardware- of softwareproduct dat het netwerkverkeer filtert dat afkomstig is van of gericht is aan een bepaald netwerk of computer. Door bepaald verkeer te filteren, kunnen firewalls tegen een aantal aanvallen beschermen en een bepaalde mate van beveiliging bieden. HTTP (HyperText Transfer Protocol)

Een gebruikelijk protocol voor de overdracht van documenten tussen twee servers of van een server naar een client. IP spoofing (vals IP-adres opgeven)

Een vals afzender-IP-adres in een internetoverdracht gebruiken om zo ongeoorloofde toegang tot een computersysteem te verkrijgen. IPsec

Een versleutelingsschema voor TCP/IP dat door de IETF (Internet Engineering Task Force) wordt overwogen. TCP session hijacking (kapen van een TCP-sessie)

Een aanval waarbij een hacker de TCP-verbinding tussen twee computers overneemt. Aangezien verificatie meestal alleen aan het begin van een TCP-sessie plaatsvindt, kan de hacker op deze manier toegang tot een computer krijgen. timestamping (tijdvermelding)

Het tijdstip van een gebeurtenis vastleggen. weigering van service-aanval

Een, meestal geplande, inbraak die de server de mogelijkheid ontneemt om op legitieme verbindingsaanvragen te reageren. Een weigering van service-aanval bedelft de server onder valse verbindingsaanvragen. De server heeft het dan zo druk met het beantwoorden van de aanval, dat legitieme verbindingsaanvragen worden genegeerd.

Producthandleiding

191

Verklarende woordenlijst

192


Index A aangepaste firewallregels, 67 activeren AutoUpdate, 98 firewallfunctie, 62 functie toepassingen-monitor, 108 functie vastlegging, 117 IDS-functie, 89 Quarantine Mode (Quarantainemodus), 161 Activiteitenlogboek filteren, 118 IDS-gebeurtenissen, 116 informatie over, 115 opslaan, 119 sorteren, 118 starten, 64 stoppen, 64 systeemgebeurtenissen, 117 tabblad, 59 wissen, 119 Administrative Configuration-tabblad, ePO, 134 Administrative Options, ePO, 127 adressen blokkeren, 94 blokkering ongedaan maken, 96 in quarantaine plaatsen, 162 traceren, 96 afspraken die in deze handleiding worden gebruikt, 14 agenten, ePO, 124, 141 weksignalen, 178 Alle geblokkeerde toepassingen-rapport, 179 Alle inbraken-rapport, 179 Application Configuration-tabblad, ePO, 131 Audit Learn Mode (Leermodus controle), toepassing activeren, 174 beschrijving, 174

deactiveren, 174 Audit Learn Mode, firewall activeren, 157 beschrijving, 157 deactiveren, 157 AutoUpdate activeren, 98 info, 97 plannen, 99 bij aanmelden, 104 bij opstarten, 104 dagelijks, 99 eenmalig, 103 geavanceerde opties, 106 indien niet-actief, 105 maandelijks, 101 onmiddellijk, 105 via inbellen, 105 wekelijks, 100 AVERT Anti-Virus Emergency Research Team, contactgegevens, 16

B Back Orifice definitie, 191 Beeld-menu, 45 bekende regels, 36, 156 beleid exporteren, 148 importeren, 149 verplicht maken, 151 beleid bijwerken, 141 beleid overnemen, ePO, 142 beleidsarchieven, 30 bewerken, 75 gebruiken, 73 maken, 73 versus beveiligingsniveaus,

67

Producthandleiding

193

Index

beleidsbestanden, 84 tot 85 beperkende rapporten, 182 bestanden, beleid, 84 tot 85 bètaprogramma, contactgegevens, 16 beveiligingsniveaus, firewall, 67 Client gemiddeld, 69 Client hoog, 69 gebruiken, 73 Leerstarter, 68 Minimaal, 68 Server gemiddeld, 69 standaard, 68 Bewerken-menu, 45 bijwerken IDS-handtekeningen, 97 zelf, 97 blokkeren inbraken, 90

ontgrendelen, 147 tot 148 pictogram systeemwerkbalk, 40 rapporten, 177 tot 179, 181 tot 182 snelmenu, 41 stand-alone versie, 21 starten, 61 tot 62 status, 40 stoppen, 61 tot 62 verbergen, 147 vergrendelen, 147 tot 148 weergeven, 147 Details activiteit indringer-rapport, 179 Details bron inbraak-rapport, 179 details doel inbraak-rapport, 179 documentatie voor het product, 15, 39 domein ondersteuning, 27 downloadwebsite, 16

C E

Client gemiddeld beveiligingsniveau, 69 Client hoog beveiligingsniveau, 69 console, hoofd-, 43 consolestructuur, ePO, 126 contactgegevens McAfee Security, 16

D dagelijkse AutoUpdates, 99 deactiveren Desktop Firewall, 62 firewallfunctie, 62 functie toepassingen-monitor, 62 IDS-functie, 63 logboekfunctie, 64 Quarantine Mode (Quarantainemodus), definities van termen, 191 Desktop Firewall ePO-versie, 21, 124 functies, 17 hoofdconsole, 43 instellingen, bewerken, 75 instellingen, exporteren, 73, 84 instellingen, gebruiken, 73 instellingen, importeren, 85 menu’s, 43

194

161


een voorbeeldvirus verzenden, 16 eenmalige AutoUpdates, 103 ePO Administrative Configuration-tabblad, 134 Administrative Options, 127 Application Configuration-tabblad, 131 beleid, verplicht maken, 151 beschrijving, 123 consolestructuur, 126 en Desktop Firewall, 124 externe regels controleren, 34 Firewall Configuration-tabblad, 129 gegevensvenster, 126 IDS Configuration-tabblad, 133 interface, 125 tot 127, 129, 131, 133 tot 134, 138 tot 139 overnemen, 142 Policies-tabblad, 127 Properties-tabblad, 138 Quarantine Mode (Quarantainemodus), 32 rapporten, 31, 177 tot 179, 181 tot 182 systeem, 124 Tasks-tabblad, 139 vergrendelen en ontgrendelen Desktop Firewall, 147 tot 148

Index

ePO-agenten, 141 weksignalen, 178 exporteren Desktop Firewall-instellingen,

84

F Firewall Configuration-tabblad, ePO, 129 firewall regelgroepen, maken, 84 firewall, definitie, 191 Firewallbeleid tabblad, 47 firewall-functie bekende regels, 156 beschrijving, 18 ePO-specifieke functies, 153 gebruikersregels bekijken, 154 tot 155 firewallfunctie beveiligingsniveaus, gebruiken, 73 ePO-interface, 129 info, 65 inschakelen in ePO, 143 Leermodus, 50, 70, 72 prioriteit, 66 regels, 66 regels, maken, 50 starten, 71 stoppen, 62, 71 tabblad, 47 uitschakelen in ePO, 143 Vertrouwde netwerken, 76 tot 77 Firewallregel dialoogvenster, 50 firewallregels bekende, 36, 156 beleidsarchieven, 67 beveiligingsniveaus, 67 tot 68 Client gemiddeld, 69 Client hoog, 69 Leerstarter, 68 Minimaal, 68 Server gemiddeld, 69 bewerken, 83 controleren met ePO, 154 tot 155 deactiveren, 83 info, 79 kopiëren, 82

maken, 50, 79 maken groepen, 84 prioriteit, 66 Quarantine Mode (Quarantainemodus), 164 verwijderen, 83 foutenrapportage, 187 op waarschuwingen reageren, 189 overzicht, 187 uitvoeren, 188 functie firewall starten, 62 functie IDS aanvallen waarop wordt gescand, 168 ePO interface, 167 gebeurtenissen vastleggen, 116 in ePO configureren, 167 lijst met geblokkeerde adressen wissen, 169 functies, nieuw, 22

G geavanceerde AutoUpdate-opties, 106 gebeurtenisgegevens in het Activiteitenlogboek, 116 gebeurtenisgegevens in rapporten, 178 gebeurtenissen, 115 filteren, 118 IDS, 116 opslaan, 119 sorteren, 118 systeem, 117 wissen, 119 geblokkeerde adressen info, 94 lijst automatisch wissen, 169 toevoegen, 94 traceren, 96 verwijderen, 96 Geblokkeerde host dialoogvenster, 55 gebruikersregels bekijken, 154, 172 kopiëren, 154, 172 overschrijven, 155, 173 samenvoegen, 155, 173

Producthandleiding

195

Index

Gebruiksdetails-rapport, 179 gegevensvenster, ePO, 126 groepen, firewall, 84

H handleidingen, 15 handtekeningen, 20, 29 automatisch updaten, 97 tot 101, 103 tot 106 bijwerken, 97 selecteren, 93 zelf bijwerken, 97 Help-menu, 46 hoofdconsole, Desktop Firewall, 43 HTTP (HyperText Transfer Protocol) definitie, 191

I IDS automatisch updaten, 97 tot 101, 103 tot 106 IDS Configuration-tabblad (Configuratie IDS-tabblad), ePO, 133 IDS-functie beschrijving, 20 ePO-interface, 133 geblokkeerde adressen info, 94 toevoegen, 94 verwijderen, 96 handtekeningen, 29, 93, 97 automatisch updaten, 97 tot 101, 103 tot 106 zelf bijwerken, 97 info, 87 inschakelen in ePO, 146 opties, configureren, 90, 92 tot 93 starten, 63, 89 stoppen, 63, 89 tabblad, 54 uitschakelen in ePO, 146 waarschuwingen, 56, 88, 90 importeren Desktop Firewall-instellingen, 85 inbellen, AutoUpdate via, 105 Inbraakbeleid tabblad, 54 Inbraakdetails-rapport, 179 inbraakdetectiesysteem

196


beschrijving, 20 handtekeningen, 29 tabblad, 54 inbraakoverzicht-rapport per type, 179 voor deze maand, 179 voor deze week, 179 voor dit jaar, 179 inbraakwaarschuwingen activeren, 90 beschrijving, 56 deactiveren, 90 inbraken, 20 blokkeren, 90 configureren reactie op, 90 configureren waarschuwingsbericht, 92 controle op aanvallen configureren, 93 reageren op waarschuwingen, 93 toestaan, 91 informatie verkrijgen, 15 inschakelen firewallfunctie (ePO), 143 functie toepassingen-monitor (ePO), 144 IDS-functie (ePO), 146 IP spoofing definitie, 191 IPsec definitie, 191

K klantenservice, contactgegevens, koppelen, toepassing, 19

16

L Leermodus, firewall, 23, 50, 70 Audit Learn Mode (Leermodus controle), reageren op waarschuwingen, 78 starten, 72 stoppen, 72 Leermodus, toepassing, 53, 108 Audit Learn Mode (Leermodus controle), op waarschuwingen reageren, 110 starten, 109

157

174

Index

stoppen, 109 Leerstarter beveiligingsniveau, 68 limiterende rapporten, 182 logboek filteren, 118 informatie over, 115 opslaan, 119 sorteren, 118 starten, 64, 117 stoppen, 64, 117 systeemgebeurtenissen, 117 tabblad, 59 wissen, 119

M maandelijkse AutoUpdates, 101 maken, toepassing, 19 McAfee Security University, contactgegevens, menu’s, Desktop Firewall, 43 Beeld, 45 Bewerken, 45 Help, 46 Taak, 44 Minimaal beveiligingsniveau, 68 Mislukte quarantaine-updates-rapport, 179

16

Q Quarantine Mode (Quarantainemodus), 32 activeren, 161 beschrijving, 158 deactiveren, 161 foutoptie, 163 gebruikers op de hoogte brengen, 163 instellen, 160 lijst met firewallregels, 164 netwerken definiëren, 162 openen, 161 proces, 159

N netwerken, in quarantaine plaatsen, nieuwe functies, 22

162

O ondersteuning van 802.11, 26 ondersteuning van draadloos verkeer, 26 online help, toegang, 39 onmiddellijke AutoUpdates, 105 ontgrendelen Desktop Firewall, 147 tot 148 overnemen, beleid, 142 Overzicht geblokkeerde toepassingen-rapport,

plannen AutoUpdate, 99 bij aanmelden, 104 bij opstarten, 104 dagelijks, 99 eenmalig, 103 geavanceerde opties, 106 indien niet-actief, 105 maandelijks, 101 onmiddellijk, 105 via inbellen, 105 wekelijks, 100 Policies-tabblad, ePO, 127 PrimeSupport, 16 prioriteit, regel, 66 probleemoplossing, 187 tot 189 problemen rapporteren, 187 tot 189 problemen, rapportage, 187 tot 189 productdocumentatie, 15 productoverzicht, 17, 124 producttraining, contactgegevens, 16 Properties-tabblad, ePO, 138 protocol ondersteuning, 25

179

P pictogram op systeemwerkbalk verbergen, 147 pictogram op systeemwerkbalk weergeven, 147 pictogram systeemwerkbalk, 40

R rapporten filteren, 182 rapporten genereren, 182 rapporten maken overzicht, 181 rapporten openen, 181

Producthandleiding

197

Index

rapporten uitvoeren, 182 overzicht, 181 rapporten, ePO, 31 beschrijvingen, 179 filteren, 182 functies, 177 gebeurtenisgegevens verzamelen, 178 inschakelen rapporten, 150 maken, 181 openen in ePO, 181 tot geselecteerde gebruikers beperken, 182 uitschakelen rapporten, 150 uitvoeren, 182 vereisten, 177 verzenden gebeurtenisgegevens, 150 regelgroepen, firewall, 84 regels, extern controleren, 34 regels, firewall, 18 bewerken, 83 controleren op afstand, 154 tot 155 deactiveren, 83 info, 79 kopiëren, 82 maken, 50, 79 Quarantine Mode (Quarantainemodus), 164 tijdbeperkingen, 28 verwijderen, 83 regels, toepassing, 19 bewerken, 112 controleren op afstand, 172 tot 173 informatie over, 111 maken, 52, 111 uitschakelen, 113 verwijderen, 112

S Server gemiddeld beveiligingsniveau, 69 serviceportal, PrimeSupport, 16 snelmenu, Desktop Firewall, 41 starten Desktop Firewall, 61 tot 62 firewallfunctie, 62, 71 functie toepassingen-monitor, 62, 108

198


functie vastlegging, 117 IDS-functie, 63, 89 logboekfunctie, 64 status, Desktop Firewall, 40 stoppen Desktop Firewall, 61 tot 62 firewallfunctie, 62, 71 functie toepassingen-monitor, 62, 108 functie vastlegging, 117 IDS-functie, 63, 89 logboekfunctie, 64 systeemgebeurtenissen, 117 systeemwerkbalk pictogram weergeven en verbergen, 147

T Taak-menu, 44 tabbladen, Desktop Firewall, 43 Activiteitenlogboek, 59 Firewallbeleid, 47 Inbraakbeleid, 54 Toepassingenbeleid, 51 tabbladen, ePO Administrative Configuration, 134 Application Configuration (Configuratie toepassingen), 131 Firewallconfiguratie, 129 Intrusion Configuration (Configuratie inbraak), 133 Policies, 127 Properties, 138 Tasks, 139 taken, ePO, 124 Tasks-tabblad, ePO, 139 TCP session hijacking definitie, 191 technische ondersteuning, 16 tijdbeperkingen firewallregels, 28 timestamping definitie, 191 Toepassingenbeleid tabblad, 51 toepassingen-monitor beschrijving, 19, 24

Index

ePO-interface, 131 ePO-specifieke functies, 171 gebruikersregels bekijken, 172 tot 173 informatie over, 107 inschakelen in ePO, 144 Leermodus, 53, 108 tot 109 regels, maken, 52 starten, 62, 108 stoppen, 62, 108 tabblad, 51 uitschakelen in ePO, 144 Toepassingsregel dialoogvenster, 52 toepassingsregels bewerken, 112 controleren met ePO, 172 tot 173 informatie over, 111 maken, 111 uitschakelen, 113 verwijderen, 112 toestaan inbraken, 91 top 10-rapport aanvalsdoelen, 179 indringers, 179 traceren adressen, 96 training website, 16

vergrendelen Desktop Firewall, 147 tot 148 verklarende woordenlijst, 191 Vertrouwde netwerken, 76 beschrijving, 71 bewerken, 77 definiëren, 77 dialoogvenster, 49 opties, 76 virus, een voorbeeldvirus verzenden, 16 Virusinformatiebibliotheek, 16 voor wie is deze handleiding bestemd, 13 voorgedefinieerde beveiligingsniveaus firewall overzicht, 67

U

Z

uitschakelen Desktop Firewall, 61 firewallfunctie (ePO), 143 functie toepassingen-monitor (ePO), 144 IDS-functie (ePO), 146 Updates van DAT-bestanden, website, 16 upgrade website, 16

Zoeken in de KnowledgeBase,

W waarschuwingen Detectie vals IP-adres, 58 firewall, 50, 70 IDS, 56, 88, 90, 93 Leermodus, 78, 110 toepassing, 53, 108 weigering van service-aanval definitie, 191 wekelijkse AutoUpdates, 100 weksignaal, ePO-agent, 178

16

V vals IP-adres waarschuwingen, 58 Vals IP-adres waarschuwingen, 58 vastgelegde gebeurtenissen filteren, 118 vastgelegde gebeurtenissen opslaan, 119 vastgelegde gebeurtenissen sorteren, 118 vastgelegde gebeurtenissen wissen, 119

Producthandleiding

199

Index

200


McAfee Desktop Firewall

Recommend Documents