Mnogi korisnici Trend Micro klijentskih rješenja poput Officescana zaključuju da je klijentski firewall ugrađen u AV proizvod zapravo nepotreban. Naime, većina korisnika već ima Windows firewall na klijentima, pa smatraju da je jos jedan firewall suvišan.
Ipak, kod Officescan-a i ostalih klijentskih Trend Micro rješenja (PC-cillin), naziv "firewall" navodi na krivi zaključak, jer primarna funkcija Officescan firewalla NIJE blokiranje mrežnog prometa, već provjera IP paketa na mrežne viruse.

Upravo ova funkcija je ključna kada se u mreži pojavi crv koji iskorištava neki od Microsoft sigurnosnih propusta na mrežnom sloju.

Ovakvi crvi, zbog specifičnog načina širenja na mrežnom sloju, u stanju su vrlo brzo prometom zagušiti Windows Network mrežu, srušiti veći broj računala te na kraju izravno utjecati na poslovanje tvrtke.
Sigurnosni propust upravo takve vrste je bio otkriven u 10. mjesecu 2008. godine. Microsoft je ubrzo izdao izvanredni patch (MS08-067), s obzirom da se radilo o iznimno ozbiljnom propustu. No istovremno pojavio se i crv koji iskorištava navedeni propust, a dobio je naziv Downad / Conficker (ime varira ovisno o AV proizvođaču).
Osnovni problem kod širenja ovog crva je zapravo sporost distribucije Windows zakrpi na sva računala: dovoljno je da nekoliko računala nije primijenilo sigurnosnu zakrpu MS08-067 i čitava mreža je ugrožena.

Zaraza Downad / Conficker crvom pokazala je važnost klijentskog antivirusnog firewalla u kontroli i sprečavanju širenja u mreži.

Tako npr., sa Officescan firewallom, problem je automatski riješen, s obzirom da AV firewall detektira na IP sloju sve pakete u kojima pronađe pokušaj iskorištavanja Microsoft propusta. Takve IP pakete Officescan će odbiti odnosno zanemariti, a u Officescan firewall logovima upisuje se detekcija:
Net Virus -- MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT

Interpretacija Officescan firewall logova

Jednom kada ste pronašli navedene detekcije u logovima, vrlo je važno ispravno interpretirati što logovi kažu. U tom smislu, služite se sljedećim pravilima:

Ako je stupac Direction: Receive
Tada je IP adresa navedena u stupcu Local Host cilj napada (žrtva), a IP adresa u stupcu Remote Host je napadač odnosno crvom zaraženo računalo. Pronađite navedeno računalo u mreži (najčešće se radi o računalu koje nema ažurnu AV zaštitu ili nema novije zakrpe).

Ako je stupac Direction: Send
Tada je IP adresa navedena u stupcu Local Host napadač odnosno crvom zaraženo računalo, a IP adresa u stupcu Remote Host je cilj napada.

Slika niže prikazuje kako u praksi izgleda Conficker odnosno Downad detekcija.

Slika 1 (klikni za povećati): Officescan firewall log zapis ukazuje na računalo zaraženo Downad crvom i blokira ga u pokušaju širenja zaraze

Pored blokiranja pokušaja širenja, firewall log zapisi ukazuju na računala zaražena mrežnim crvom (najčešće su to računala nepokrivena AV zaštitom), što bitno poboljšava vidljivost aktivnosti crva u lokalnoj mreži. Tako je npr. iz gornje slike jasno vidljivo da pokušaj širenja dolazi sa određene IP adrese. Ovakva informacija vrlo je važna i od velike pomoći kod uklanjanja zaraze.

Kod propusta MS08-067 koji iskorištava Downad crv, bitno je naglasiti da je firewall detekcija bila dostupna praktički odmah po njegovom otkrivanju (10. mjesec), što znači da su korisnici sa uključenim AV firewallom trenutačno bili zaštićeni, čak i prije pojave samog Downad crva. Također, to znači da su zaštićeni i od svih sadašnjih, ali i budućih programa koji bi iskorištavali navedeni propust u pokušaju širenja po mreži.

Dodatno, valja reći da je klijentski antivirusni firewall ugrađen u Trend Micro proizvode kompatibilan sa Windows firewallom, te se funkcije Officescan i Windows firewalla zapravo nadopunjuju.

Iz navedenog primjera Downad / Conficker crva još jednom se pokazala važnost korištenja klijentskog antivirusnog firewalla. Stoga svakako uključite firewall funkcionalnost na Trend Micro klijentima, bez obzira koristite li Officescan, Worry Free ili Pc-cillin rješenja.