Philips SNA6500/00 ユーザーズマニュアル
DK
22
Regel for planlægning
Du kan filtrere Internetadgang for lokale klienter på basis af regler. Hver
adgangskontrol kan aktiveres på et planlagt tidspunkt. Definér tidsplanen på denne
side, og anvend reglen på siden Access Control (Adgangskontrol).
Du kan filtrere Internetadgang for lokale klienter på basis af regler. Hver
adgangskontrol kan aktiveres på et planlagt tidspunkt. Definér tidsplanen på denne
side, og anvend reglen på siden Access Control (Adgangskontrol).
Registrering af indtrængen
Funktionen Intrusion Detection (Registrering af indtrængen)
SPI- (Stateful Packet Inspection) og Anti-DoS firewall-beskyttelse
(Standard: Aktiveret) - Funktionen Intrusion Detection (Registrering af indtrængen) i
ADSL Wireless Base Station begrænser adgangen for indgående trafik på WAN-
porten. Når SPI-funktionen er aktiveret, blokeres alle indgående pakker, bortset fra
de typer, der er markeret i sektionen Stateful Packet Inspection.
SPI- (Stateful Packet Inspection) og Anti-DoS firewall-beskyttelse
(Standard: Aktiveret) - Funktionen Intrusion Detection (Registrering af indtrængen) i
ADSL Wireless Base Station begrænser adgangen for indgående trafik på WAN-
porten. Når SPI-funktionen er aktiveret, blokeres alle indgående pakker, bortset fra
de typer, der er markeret i sektionen Stateful Packet Inspection.
RIP Defect (Standard: Deaktiveret) - Hvis en RIP-anmodningspakke ikke godkendes af
routeren, bliver den i inputkøen og frigives ikke. Akkumulerede pakker kan fylde
inputkøen op, så alle protokoller får store problemer. Aktivering af denne funktion
forhindrer pakkerne i at akkumuleres.
routeren, bliver den i inputkøen og frigives ikke. Akkumulerede pakker kan fylde
inputkøen op, så alle protokoller får store problemer. Aktivering af denne funktion
forhindrer pakkerne i at akkumuleres.
Discard Ping to WAN (Standard: Deaktiveret) - Forhindrer, at en ping til ADSL
Wireless Base Station’s WAN-port dirigeres til netværket.
Wireless Base Station’s WAN-port dirigeres til netværket.
Rul ned for at få vist flere oplysninger.
Stateful Packet Inspection
Det kaldes for en ‘Stateful (tilstand)’ Packet Inspection, fordi funktionen undersøger
indholdet af pakken for at bestemme kommunikationstilstanden. Den sikrer f.eks., at
den angivne destinationscomputer tidligere har anmodet om den aktuelle
kommunikation. Dette er en måde, hvorpå man kan sikre, at al kommunikation er
startet af modtagercomputeren og kun foregår med kilder, der er kendte, og som der
er tillid til fra tidligere interaktioner. Ud over at foretage en strengere undersøgelse af
pakker lukker Stateful Inspection firewalls også porte, indtil der anmodes om
tilslutning til den bestemte port.
Det kaldes for en ‘Stateful (tilstand)’ Packet Inspection, fordi funktionen undersøger
indholdet af pakken for at bestemme kommunikationstilstanden. Den sikrer f.eks., at
den angivne destinationscomputer tidligere har anmodet om den aktuelle
kommunikation. Dette er en måde, hvorpå man kan sikre, at al kommunikation er
startet af modtagercomputeren og kun foregår med kilder, der er kendte, og som der
er tillid til fra tidligere interaktioner. Ud over at foretage en strengere undersøgelse af
pakker lukker Stateful Inspection firewalls også porte, indtil der anmodes om
tilslutning til den bestemte port.
Når bestemte typer trafik kontrolleres, tillades kun, at den bestemte type trafik
aktiveres fra det interne LAN. Hvis brugeren f.eks. kun kontrollerer ‘FTP Service’ i
sektionen Stateful Packet Inspection, blokeres al indgående trafik, bortset fra
FTP-tilslutninger, der aktiveres fra det lokale LAN.
aktiveres fra det interne LAN. Hvis brugeren f.eks. kun kontrollerer ‘FTP Service’ i
sektionen Stateful Packet Inspection, blokeres al indgående trafik, bortset fra
FTP-tilslutninger, der aktiveres fra det lokale LAN.
Stateful Packet Inspection gør det muligt at vælge forskellige programtyper, som
anvender dynamiske portnumre. Ønsker du at bruge SPI (Stateful Packet Inspection)
til at blokere pakker, klikker du på alternativknappen Ja i feltet ‘Enable SPI and
Anti-DoS firewall protection (Aktiver SPI og Anti DoS firewall-beskyttelse)’ og
markerer den type undersøgelse, du har brug for, f.eks. Packet Fragmentation
(Pakkefragmentering), TCP Connection (TCP-forbindelse), UDP Session, FTP Service,
H.323 Service eller TFTP Service.
anvender dynamiske portnumre. Ønsker du at bruge SPI (Stateful Packet Inspection)
til at blokere pakker, klikker du på alternativknappen Ja i feltet ‘Enable SPI and
Anti-DoS firewall protection (Aktiver SPI og Anti DoS firewall-beskyttelse)’ og
markerer den type undersøgelse, du har brug for, f.eks. Packet Fragmentation
(Pakkefragmentering), TCP Connection (TCP-forbindelse), UDP Session, FTP Service,
H.323 Service eller TFTP Service.
Når hackere forsøger at trænge ind i dit netværk, sender SNA6500 dig en
advarsel via e-mail
advarsel via e-mail
Hvis mailserveren skal godkende din identifikation, før du sender nogen e-mail, skal
du angive de relevante oplysninger i felterne til POP3-server, brugernavn og
adgangskode. I modsat fald skal de tre felter være tomme.
du angive de relevante oplysninger i felterne til POP3-server, brugernavn og
adgangskode. I modsat fald skal de tre felter være tomme.
Tilslutningspolitik
Angiv de relevante værdier for TCP/UDP-sessioner som beskrevet i den følgende
tabel.
Angiv de relevante værdier for TCP/UDP-sessioner som beskrevet i den følgende
tabel.
Bemærk: Firewall’en påvirker ikke systemets ydelse væsentligt, så det anbefales at aktivere
beskyttelsesfunktionerne for at beskytte dit netværk.
DMZ
Hvis du har en klient-pc, som ikke kan køre et Internetprogram korrekt bag
firewall’en, kan du åbne klienten til ubegrænset tovejs Internetadgang. Angiv IP-
adressen på en DMZ-vært (Demilitarized Zone) på dette skærmbillede. Tilføjelse af en
klient til DMZ kan udsætte dit lokale netværk for forskellige sikkerhedsrisici, så denne
mulighed bør kun bruges som en sidste udvej.
Hvis du har en klient-pc, som ikke kan køre et Internetprogram korrekt bag
firewall’en, kan du åbne klienten til ubegrænset tovejs Internetadgang. Angiv IP-
adressen på en DMZ-vært (Demilitarized Zone) på dette skærmbillede. Tilføjelse af en
klient til DMZ kan udsætte dit lokale netværk for forskellige sikkerhedsrisici, så denne
mulighed bør kun bruges som en sidste udvej.