Выбираем брандмауэр

Сетевой экран - один из важнейших рубежей обороны при работе в Интернете и локальных сетях. CHIP расскажет об основных функциях такой защиты и предложит бесплатные и коммерческие пакеты.

Типовая схема использования брандмауэра в домашней сети из различных устройств с подключением к Интернету Одним из самых критичных инструментов защиты компьютера является сетевой экран, который также называют брандмауэром. Это своего рода привратник, осуществляющий строгий контроль входящих и исходящих пакетов данных и имеющий набор правил для допуска в сеть и из сети программ и служб. Как это ни удивительно, но до сих пор на многих компьютерах сетевые экраны не установлены или не настроены должным образом. Между тем пользователь, ПК которого подключен к Интернету и при этом не защищен брандмауэром, подвергает большому риску как работоспособность своей машины, так и сохранность информации. Еще хуже, когда установленный инструмент настроен неправильно или на ПК одновременно действует несколько сетевых экранов, вследствие чего могут возникнуть как простые ошибки в работе программ и установке соединений, так и критические ошибки в работе ОС. Некоторые пользователи плохо относятся к брандмауэрам лишь по той причине, что при включенном режиме обучения, на начальных этапах работы, эти средства защиты выводят много запросов на разрешение прохождения трафика приложений, пытающихся передать или получить данные из Сети. Если на такой запрос программы ответить отказом, впоследствии она просто не будет соединяться с Интернетом. С другой стороны, разрешить незнакомой утилите соединение - значит подвергнуть ПК риску заражения или утечки данных. Даже при минимальных познаниях в настройке сетевого экрана такие проблемы решаются за несколько секунд. Тем не менее миф о сложности отладки брандмауэра по-прежнему живуч.CHIP расскажет об основных принципах работы и настройки межсетевых экранов и познакомит с наиболее популярными пакетами программ.

Как работают сетевые экраны

В английском названии «firewall» и немецком «Brandmauer» скрыта суть действия сетевых экранов. В буквальном переводе они состоят из двух слов: «стена» и «огонь». Изначально термин использовался пожарными для обозначения специальных конструкций, с помощью которых можно защитить смежные строения от распространения огня. Если представить, что различные сетевые атаки - это пожар, а ПК и домашняя или офисная сеть - наш дом, то назначение подобных программ становится очевидным. В случае с компьютером брандмауэр берет на себя роль пограничного блокпоста, который пропускает сетевой трафик и в соответствии со списком правил отбрасывает запрещенную к прохождению информацию, а также, в зависимости от настроек, заносит в протокол попытки атак извне и несанкционированного доступа к Cети. При этом пользователь может установить правила работы своего «пограничного пункта». При создании подобных правил, в зависимости от используемого сетевого экрана, могут быть указаны такие параметры, как протокол, адрес, номер порта, имя программы, время работы правила, действия в случае попытки установить соединение и многие другие настройки.

Какими они бывают

Современные брандмауэры можно разделить на несколько типов, каждый из которых имеет плюсы и минусы.

ПРОГРАММНЫЕ - специальные приложения, которые выполняют роль сетевого экрана и, как правило, смежные функции безопасности. Такие средства сравнительно легко установить и настроить, однако они подвержены вирусным атакам. Например, при редком обновлении системы, антивируса и его баз программные брандмауэры могут быть отключены или частично повреждены вредоносными утилитами. К сожалению, за работу программных средств приходится платить нагрузкой на процессор и оперативную память, что может быть очень заметно на маломощном компьютере.

АППАРАТНЫЕ - профессиональные, довольно сложные в настройке и дорогие устройства, которые избавляют от нагрузки ПК и почти не поддаются вирусным атакам. К тому же работа аппаратных брандмауэров может быть незаметной для пользователя и ПО, а их производительность значительно выше. Такие устройства, как правило, предназначены для фильтрации трафика и защиты всей сети, а не отдельных ПК. Они позволяют проверять трафик на наличие вредоносного и запрещенного содержимого и могут оснащаться защитными дополнениями.

ГИБРИДНЫЕ - это брандмауэры, встроенные в различные программные и аппаратные продукты. Они используются в качестве дополнения к антивирусам, прокси-серверам, модемам, роутерам, точкам доступа и т. п. Обычно такие аппаратные средства позволяют произвести самые необходимые настройки и создать несколько правил фильтрации трафика, которых, впрочем, может быть вполне достаточно для домашней сети.

Брандмауэр Windows: начальный уровень Сайт : microsoft.ru; Цена : бесплатно В этом брандмауэре поддерживается одновременная работа нескольких сетевых профилей: доменный - доменная сеть в организации; общественный - публичные (общедоступные и беспроводные) сети; домашний - домашние или рабочие закрытые сети. Таким образом, соответствующий уровень безопасности обеспечивается для каждого случая - например, внутренней и виртуальной сетей и доступа в Интернет. В «семерке» пользовательский интерфейс сетевого экрана в Панели управления стал более информативным. Для каждого активного профиля отображаются дополнительные сведения о текущих настройках. В левой части Панели управления брандмауэром появились две ссылки, где можно изменить параметры уведомлений о блокировке программ и включить или отключить сетевой экран. Удобно, что для каждого из профилей доступна функция блокировки всех входящих подключений. Кроме того, вы можете добавить программу в исключения брандмауэра - эта функция выведена в левой части диалогового окна. Если потребуется настроить разрешения для конкретной утилиты, кликните по ссылке «Разрешить запуск программы или компонента…». Для добавления в список того или иного приложения необходимо нажать на «Разрешить другую программу».

Outpost firewall PRO: комплексная оборона

Сайт : agnitum.ru; Цена : от 899 руб.

Данный продукт выделяется продуманностью интерфейса с полной поддержкой русского языка и обширным набором инструментов защиты при работе в сетях. При этом из-за большого количества параметров новичкам его освоить будет сложнее. Имеется возможность подключить дополнительные модули и тонко настроить саму программу, а также до ступ в Сеть приложений: добавить и удалить основные программы, установить общие правила и изменить политики утилиты. Работа пакета построена так, что все основные операции брандмауэра, такие как блокирование рекламы, фильтрация контента, электронной почты, а также детектор атак, возложены на плагины. Главный модуль при этом следит за сетевой активностью и поведением приложений, доступных в системе, и выполняет настройку всех своих компонентов. Программа может работать в автоматическом режиме либо режиме обучения. Это удобно при отлове троянов и шпионов. В пакет также входит плагин для блокирования интернет-рекламы. При этом программа по умолчанию использует режим «невидимость», что затрудняет обнаружение пользовательского ПК. и атаки на него. Утилита снабжена и механизмом самозащиты: при удалении процесса outpost.exe происходит блокировка обмена с Сетью.

Comodo firewall: дружественная опека

Сайт : personalfirewall.comodo.com; Цена : бесплатно
Пожалуй, наиболее дружелюбная и простая утилита, которая при этом предлагает широкие возможности и гибкость в настройке. Помимо основных функций этот брандмауэр позволяет просматривать запущенные процессы, оснащен модулем проактивной защиты и может запускать приложения в режиме «песочницы». Например, программы, которые не опознаны как доверенные, будут автоматически запускаться только изолированно. Также Comodo предлагает удобную систему правил доступа для интернет-приложений и гибкий контроль деятельности компонентов ПО. Программа автоматически настраивается на работу с DLL-библиотеками, которые зачастую используются клавиатурными шпионами, троянами и spyware для внедрения в доверенные процессы. Анализатор поведения приложений отслеживает их изменения сторонними процессами и другую подозрительную активность. Comodo Firewall постоянно контролирует свои конфигурационные файлы и блокирует изменения. Вместе с тем защита паролем настроек не предусмотрена. В моменты пиковой активности Comodo сильно нагружает систему. Он также излишне прямолинеен: например, после блокировки разрешенного приложения, под маской которого хотел пролезть троян, снова пользоваться программой можно только после перезагрузки.

Kerio WinRoute Firewall: профессионально, дорого

Сайт : winroute.ru; Цена : ок. 10 000 руб. (на 5 ПК)
Этот пакет на самом деле является не столько брандмауэром, сколько сочетанием этого инструмента с проксисервером. При такой направленности и функциональности данная программа необходима далеко не для каждой домашней и даже офисной сети, и тем более не очень выгодно использовать это средство для защиты и контроля трафика только одного ПК. Разобраться в настройках этого комплекса неподготовленному пользователю сразу будет сложно, но, потратив на изучение утилиты некоторое время, вы сможете многократно усилить безопасность и контроль всей сети. Kerio WinRoute Firewall позволяет подключать антивирусные модули для проверки всей пропускаемой информации; настраивать права доступа в Интернет для разных пользователей и ПК (в том числе по времени и потреблению трафика); регулировать скорость подключения к Сети для каждой группы или пользователей отдельно; просматривать логи с историей посещения пользователями контролируемой локальной сети разных ресурсов.

Программа требует для своей работы довольно ощутимое количество ресурсов, особенно при ее использовании в большой нагруженной сети. Лучше всего выделить под работу Kerio WinRoute Firewall отдельный ПК и создать так называемый шлюз.

Kaspersky Internet Security: все включено

Сайт : kaspersky.ru; Цена : 1600 руб.

Это комплексный антивирусный пакет, в который входит весьма мощный и функциональный брандмауэр. Сразу после установки он готов к работе и не требует особых настроек и обучения. Разработчики позаботились о нервах пользователя и заранее составили правила для работы в Сети стандартных служб Windows и типовых приложений. Также приложение по умолчанию уже держит закрытыми все критические порты, через которые возможны атаки из Интернета. При их обнаружении модуль блокирует атакующий хост на заданное время, которое можно настроить. Имеется и режим обучения, в котором можно детально описать разрешенную сетевую активность каждой программы. Если тщательной настройки не требуется, то предусмотрен встроенный набор типовых правил, которые могут быть отредактированы. Профессионалам придется по душе избирательная блокировка Java-апплетов, Java- и VBS-скриптов, ActiveX-элементов, уязвимости в которых часто используют злоумышленники. Антивирусный пакет при запуске приложений автоматически проверяет их целостность и блокирует при обнаружении модификаций. Для неопытных пользователей у KIS имеются наглядные индикаторы, которые отображают открытые порты, график сетевой активности приложений и осуществляют подсчет трафика.

Слово эксперта. Антивирус плюс брандмауэр

Вартан Минасян, руководитель группы развития продуктов «Лаборатории Касперского» Без сетевого экрана эффективность всех остальных методов защиты будет, безусловно, снижена. Типичный случай, когда применение брандмауэра обязательно, - работа ПК в публичной сети, например в кафе. Также он крайне полезен при использовании в больших сетях, так как позволяет отфильтровать ненужные данные и обращения и таким образом повысить производительность. Современные пакеты безопасности используют многоуровневый подход к защите операций и данных пользователя. Все компоненты, такие как брандмауэр, антивирус, контроль приложений, защита от эксплоитов, защита банковских операций и т. д., постоянно обмениваются между собой информацией о принимаемых решениях и происходящих на компьютере процессах. Поэтому важно использовать антивирус и сетевой экран от одного и того же производителя, так как, работая вместе, они обеспечат лучший уровень защиты, чем компоненты от разных фирм. Получить первоначальные знания о возможностях современного брандмауэра (например, входящего в состав Kaspersky Internet Security) новички могут в разделе «Поддержка» на сайте производителя: support.kaspersky.ru/8051.

Как проверить сетевой экран

Установив и настроив брандмауэр, следует проверить эффективность его работы. В противном случае деятельность межсетевого экрана может идти не на пользу, а во вред. В решении этой задачи может помочь использование специальных сайтов - таких, например, как 2ip.ru/checkport, portscan.ru, pcflank.com/test.htm, tools-on.net/privacy.shtml?2. Помимо этого CHIP рекомендует задействовать тестовые программы (Leak test): AWFT, PCFlank Leak test,2ip Firewall tester или другие аналогичные. Вы также можете применять сканеры уязвимостей, такие как XSpider, eEye Retina Network Security Scanner, Nmap, или запустить один из них на каком-то из компьютеров в своей сети и просканировать внутренний диапазон IP-адресов защищаемой вами локальной сети.