Übersicht

Die Firewall-Funktion verwendet Firewall-Regeln, die festlegen, wie mit dem Netzwerkdatenverkehr umzugehen ist. Eine Regel besteht aus einem Satz von Bedingungen, die der Datenverkehr erfüllen muss. Jeder Regel ist eine Aktion zugewiesen – Datenverkehr entweder zulassen oder blockieren. Wenn die Host Intrusion Prevention Datenverkehr findet, der einer Regelbedingung entspricht, dann wird eine bestimmte Aktion durchgeführt.

Die Host Intrusion Prevention wendet Regeln nach Vorrang an: Die am Anfang der Firewall-Regelliste stehenden Regeln werden zuerst angewendet.

 

Bei domänenbasierten Regeln behandelt die Host Intrusion Prevention den Vorrang anders. Wenn die Liste Domänenregeln enthält, dann werden diese zuerst angewendet.

Wenn der Datenverkehr die Bedingung der ersten Regel erfüllt, lässt die Host Intrusion Prevention diesen Datenverkehr zu oder blockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln geprüft.

Wenn der Datenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft die Host Intrusion Prevention die nächste in der Liste enthaltene Regel. So arbeitet das Programm die Firewall-Regelliste weiter ab, bis eine Regel gefunden wird, die der Datenverkehr erfüllt. Wenn keine Regel erfüllt ist, blockiert die Firewall den Datenverkehr automatisch. Wenn der Lernmodus aktiviert ist, wird eine Eingabeaufforderung bezüglich der einzuleitenden Aktion angezeigt. Wenn der adaptive Modus aktiviert ist, wird für den Datenverkehr eine Zulassungsregel erstellt.

Es kann vorkommen, dass der abgefangene Datenverkehr mehr als eine Regel erfüllt. In diesem Fall sorgt die Vorrangfunktion dafür, dass die Host Intrusion Prevention nur die erste in der Liste erfüllte Regel anwendet.

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.