Поговорим о брандмауэрах

Максим Остроухов

Общее описание брандмауэров

   Пакетный уровень

   Прикладной уровень

   Уровень соединения

Функции брандмауэров

Недостатки брандмауэров

   Разрозненность систем защиты

   Отсутствие защиты для нестандартных или новых сетевых сервисов

   Снижение производительности

Общие принципы настройки firewall

   Proxy-сервер

   Система выявления атак

   Система контроля целостности ПО и конфигурации

   Система мониторинга и оповещения о неисправностях

   Система удаленного администрирования

Тестирование firewall

   Tiny Personal Firewall

   Norton Internet Security

   BlackICE PC Protection

   AtGuard

   ZoneAlarm Pro

   Agnitum Outpost Firewall Pro

   Sygate Personal Firewall

   Kerio Personal Firewall

   Internet Connection Firewall

   Look n stop personal firewall 2.05

   Kaspersky AntiHacker 1.5

   McAfee Personal Firewall Plus 6.0 Build 6014

Общие выводы

 

Интернет является источником полезной и интересной информации. Но Всемирная паутина может быть довольно опасной: мы постоянно слышим о взломах корпоративных сетей и о краже банковских счетов. Неплохой преградой на пути хакеров являются брандмауэры — программы, которые блокируют несанкционированную передачу информации по Сети и препятствуют запуску вредоносных программ.

Мало кто сегодня не слышал об угрозах, существующих в виртуальном пространстве. Пока еще остается непреложным тот факт, что компьютер, подсоединенный к сети Интернет, может подвергнуться реальным атакам. К сожалению, нередко встречаются неадекватные или незаконопослушные люди (часто в одном лице), патологически не способные существовать без того, чтобы не портить жизнь другим. Тех из них, которые разбираются в компьютерах и знают, как получить удаленный доступ к файлам, называют хакерами. Чтобы защититься от них, нам прежде всего нужен хороший брандмауэр.

Перечислим основные опасности, существующие в Сети:

  1. Приложения-нарушители могут поселиться и запускаться на вашем компьютере незаметно для вас (например, ActiveX или Java-аплеты, внедренные в web-страницу, которую вы просматриваете). Эти приложения могут выполнить любую операцию на вашем компьютере, в том числе переслать файлы с вашей частной информацией другим компьютерам или вообще удалить данные из вашей системы.
  2. При неправильной настройке системы другие компьютеры могут получить доступ к вашим файлам напрямую, без загрузки специального программного обеспечения.
  3. Некоторые виды информации (cookies или referrers) могут быть размещены на вашем компьютере таким образом, что заинтересованные лица могут следить за вашими действиями в Сети и будут знать о ваших интересах.
  4. Троянские кони также представляют угрозу компьютеру. Троянцы — это программы, используемые хакерами, которые раскрывают вашу частную информацию (пароли, реквизиты, номера кредитных карт). Одно из главных различий между троянцем и вирусом — это то, что вирус действует на компьютере автономно, а троянский конь напрямую управляется взломщиком из Сети.
  5. Интернет-черви обычно проникают в компьютер вместе с почтой, в виде вложений. Некоторые почтовые программы открывают вложения самостоятельно. Неопытные пользователи, не осознавая угрозы, открывают вложения сами. Если открыть такое послание хотя бы один раз, то выполняющийся червь начнет стремительно поражать систему.
  6. Масса ненужного трафика в виде баннеров и сообщений снижает пропускную способность компьютера. Хотя эти объекты не могут нанести прямой вред данным, они значительно замедляют скорость соединения, особенно осуществленного посредством телефонной линии.
  7. Шпионские программы во многом похожи на троянцев. Они собирают сведения о ваших интересах (посещаемые сайты, установленное программное обеспечение и т.д.) без вашего ведома и согласия.

В настоящее время большинство локальных вычислительных сетей (ЛВС) подключено к сети Интернет. Однако отсутствие эффективных средств защиты информации в существующих сетевых протоколах приводит к различным нарушениям целостности передаваемых данных. Поэтому расширение спектра и повышение требований к уровню конфиденциальности сетевых приложений обусловливает необходимость использования специальных технических средств для разграничения доступа к информационным ресурсам и контроля обмена данными между различными компьютерными сетями.

В качестве таких средств защиты широко применяются межсетевые экраны, называемые в англоязычной литературе firewall. 

Общее описание брандмауэров

Б рандмауэр (межсетевой экран) — это система, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения информации из одной части в другую. Брандмауэры представляют собой целый класс систем, порой сопоставимых по сложности с операционной системой. Классифицировать их можно по исполнению: программные, аппаратные и смешанного типа (аппаратно-программного); по компонентной модели: локальные (работающие на одном хосте) и распределенные (distributed firewall). Однако самой полезной для пользователя является классификация по уровню, на котором функционируют брандмауэры: пакетный, прикладной, уровень соединения.

Разбивка на уровни является условной, что подразумевает возможность работы отдельно взятого брандмауэра более чем на одном уровне одновременно. Можно сказать, что практически все современные брандмауэры функционируют сразу на нескольких уровнях, стремясь расширить свою функциональность и максимально использовать преимущества работы по той или иной схеме. Такая технология получила название Stateful Inspection, а брандмауэры, работающие по смешанной схеме, называются Stateful Inspection Firewall.

Пакетный уровень

Работа на пакетном уровне заключается в фильтрации пакетов. Решение о том, пропускать данный пакет или нет, принимается на основе следующей информации: IP-адреса, номера портов отправителя и получателя, флаги. По сути, задача администратора сводится к составлению простенькой таблицы, на основании которой осуществляется фильтрация.

Преимущества пакетного уровня:

• низкая стоимость;

• высокая производительность.

Недостатки:

• сложность конфигурирования и поддержки;

• отсутствие дополнительных возможностей;

• рухнувшая сеть остается открытой, то есть незащищенной;

• не защищены от фальсификации IP- и DNS-адреса.

Прикладной уровень

Фильтрация на уровне пакетов, конечно, очень проста, но часто ее бывает недостаточно. Информации сетевого и транспортного уровня модели OSI иногда не хватает для эффективной работы, что обусловливает существование систем, работающих на самом верхнем уровне — прикладном. Фактически брандмауэры данного уровня предоставляют собой несколько отдельных подсистем (так называемых application gateways — серверов прикладного уровня), по числу обслуживаемых сервисов. Между пользовательским процессом и нужным сервисом возникает посредник, пропускающий через себя весь трафик и принимающий в рамках установленной политики безопасности решение о его легитимности.

Как правило, современные брандмауэры поддерживают практически весь спектр существующих сервисов: HTTP, FTP, SMTP, POP3, IMAP, Telnet, Gopher, Wais, Finger, News, позволяя либо полностью заблокировать тот или иной сервис, либо ввести некоторые ограничения.

Такая схема работы обеспечивает ряд дополнительных возможностей в области безопасности: во-первых, маскируется структура защищаемой сети; во-вторых, появляется возможность более гибко управлять доступом, например через предоставление разных прав отдельным категориям пользователей и т.д.

Преимущества прикладного уровня:

• маскировка защищаемой сети;

• широкие возможности (строгая аутентификация, детальное протоколирование);

• рухнувшая сеть остается заблокированной, то есть защищенной.

Недостатки:

• высокая стоимость;

• низкая производительность.

Уровень соединения

Шлюз на уровне соединения представляет собой систему, транслирующую соединения вовне. При установлении доступа пользовательский процесс соединяется с брандмауэром, который, в свою очередь, самостоятельно устанавливает соединение с внешним узлом. Во время работы брандмауэр просто копирует входящую/исходящую информацию. По большому счету, данный шлюз надо рассматривать не как самостоятельный и самодостаточный механизм, а лишь как специфическое решение некоторых задач, например, для работы с нестандартными протоколами, если необходимо создать систему сбора статистики для какого-то необычного сервиса, предоставить доступ только к определенным внешним адресам, осуществить базовый мониторинг и т. д.

К сожалению (или к счастью), уже существуют системы, специально предназначенные для обхода такого рода ограничений. Примером может служить программный комплекс AntiFirewall от iNetPrivacy Software. Он позволяет общаться посредством ICQ или IRC, использовать FTP и Usenet, забирать почту с внешних серверов POP3 и IMAP (возможность отправки не предоставляется). Способ обхода незатейлив: трафик туннелируется в протокол HTTP (который, как правило, не блокируется), а конвертация происходит на внешних прокси-серверах, которые устанавливают соединения с необходимыми службами по соответствующим протоколам. Такая схема дополнительно предоставляет следующую возможность: IP-адрес пользователя маскируется, обеспечивая определенную анонимность.

В начало В начало

Функции брандмауэров

Идеальный персональный брандмауэр должен выполнять шесть функций:

1. Блокировка внешних атак.

В идеале брандмауэр должен блокировать все известные типы атак, включая сканирование портов, IP-спуффинг, DoS и DDoS, подбор паролей и пр.

2. Блокировка утечки информации.

Даже если вредоносный код проник в компьютер (не обязательно через сеть, а, например, в виде вируса на купленном пиратском CD), брандмауэр должен предотвратить утечку информации, заблокировав вирусу выход в сеть.

3. Контроль приложений.

Неизбежное наличие открытых дверей (то есть открытых портов) является одним из самых узких мест в блокировке утечки информации, а один из самых надежных способов воспрепятствовать проникновению вирусов через эти двери — контроль приложений, запрашивающих разрешение на доступ. Кроме банальной проверки по имени файла, весьма желательна проверка аутентичности приложения.

4. Поддержка зональной защиты.

Работа в локальной сети часто подразумевает практически полное доверие к локальному контенту, что открывает уникальные возможности по использованию новейших (как правило, потенциально опасных) технологий. В то же время уровень доверия к Интернет-контенту значительно ниже, а значит, необходим дифференцированный подход к анализу опасности того или иного содержания.

5. Протоколирование и предупреждение.

Брандмауэр должен собирать лишь необходимый объем информации — избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя весьма приветствуются.

6. Максимально прозрачная работа.

Эффективность и применяемость системы часто обратно пропорциональны сложности ее настройки, администрирования и сопровождения. Несмотря на традиционный скепсис в отношении мастеров (wizards) по настройке и прочих «буржуйских штучек», даже опытные администраторы не пренебрегают ими просто в целях экономии времени.

В начало В начало

Недостатки брандмауэров

Нельзя забывать и об обратной стороне медали — о недостатках брандмауэров, причем не отдельных решений, а всей технологии в целом.

Разрозненность систем защиты

Это одна из самых важных проблем, решить которую пытаются немало поставщиков, но пока без особого успеха. Во многих брандмауэрах отсутствует защита от саботажа со стороны авторизованных пользователей. Этот вопрос можно рассматривать с этической, социальной или любой другой точки зрения, но сути дела это не меняет: брандмауэры не способны запретить авторизованному пользователю украсть (передать, уничтожить, модифицировать) важную информацию. И хотя уже давно существуют другие решения (например, разграничение доступа и пр.), проблема заключается в разрозненности всех подобных систем, которые, по сути, должны выполнять одну и ту же функцию. Пока антивирусные программы, системы обнаружения вторжений, разграничения доступа и др. не получат единого центра управления, эффективность каждой из них можно смело делить на два.

Отсутствие защиты для нестандартных или новых сетевых сервисов

Решением здесь в какой-то мере могут служить шлюзы на уровне соединения или пакетные фильтры, но, как уже говорилось, им недостает гибкости. Конечно, существуют определенные возможности по туннелированию нестандартного трафика, например в HTTP, но этот вариант нельзя назвать удобным сразу по нескольким причинам. Есть множество унаследованных систем, код которых переписать невозможно, однако оставлять их беззащитными тоже нельзя.

Снижение производительности

К счастью, подобные вопросы возникают все реже и реже, особенно у индивидуальных пользователей, стремящихся защитить свой ПК или небольшую локальную сеть. В то же время крупные локальные сети по-прежнему генерируют столь емкий трафик, что обычными программными (дешевыми или бесплатными) решениями сеть не прикроешь. Аппаратные решения демонстрируют отличную производительность и масштабируемость, но вот цена (порой исчисляемая десятками тысяч долларов) переводит вопросы их применения в совершенно иную плоскость, так что порой максимум возможного — это выделение специального сервера, заточенного исключительно под обслуживание брандмауэра. Естественно, подобное универсальное решение автоматически сказывается на уменьшении скорости доступа.

В начало В начало

Общие принципы настройки firewall

Конфигурация firewall — предмет достаточно сложный, и обычно все сетевые экраны имеют индивидуальную конфигурацию, отражающую специфику работы конкретной информационной системы. Однако здесь следует придерживаться некоторых общих принципов:

  • следует пропускать сквозь систему только те сервисы, которые необходимы для обеспечения требуемой функциональности информационной системы;
  • все, что явным образом не разрешено, должно быть запрещено. Это означает, что все службы, не упомянутые при конфигурации firewall, должны быть запрещены;
  • при конфигурации сетевых экранов следует вести подробную документацию.

Proxy-сервер

Proxy-сервер регулирует доступ сотрудников компании к ресурсам Интернета. Он имеет гибкие настройки, позволяющие ограничить доступ пользователей к определенным сайтам, контролировать объем выкачиваемой пользователем из Интернета информации и настраивать возможность доступа в Интернет тех или иных пользователей в зависимости от дня недели и времени суток. Кроме того, proxy-сервер позволяет пользователю не выходить в Интернет со своего адреса, а заменяет при запросах адрес пользователя на свой собственный и посылает запрос уже не от имени реального пользователя, а от своего собственного. Это не только помогает скрыть в целях безопасности внутреннюю структуру своей сети, но и позволяет не арендовать дополнительное количество адресов для всех своих сотрудников, а обойтись одним общим адресом для прокси-сервера.

Система выявления атак

IDS (Intrusion Detection System) — комплекс программного обеспечения, который обычно устанавливается на firewall и предназначен для анализа различных событий, происходящих как на самом компьютере с IDS (host-based IDS), так и в сети вокруг него (network IDS). Принцип работы host-based IDS основан на анализе журналов событий системы. В основе работы network IDS лежит анализ сетевого трафика, проходящего через систему. При выявлении события, квалифицируемого IDS как попытка проникновения, ответственному за безопасность системы посылается сообщение об атаке. Одновременно производится запись в журнале атак. Подобное поведение характерно для пассивных IDS. Если же при определенных типах атак система способна производить ряд действий, направленных на отражение атаки, то она относится к активным IDS .

Система контроля целостности ПО и конфигурации

Для более жесткого контроля за попытками проникновения в систему используется многоуровневая защита. Одним из таких дополнительных уровней является система контроля целостности программного обеспечения, которая контролирует все программное обеспечение на брандмауэре и присылает отчеты обо всех удаленных, вновь появившихся и изменившихся файлах. Таким образом, при малейшем изменении конфигурации шлюза ответственный за его работу получит подробный отчет о том, что и когда было изменено.

Система мониторинга и оповещения о неисправностях

Для максимально быстрого обнаружения неисправностей в компьютерных системах часто применяются системы раннего оповещения о возникающих неисправностях, которые периодически контролируют работоспособность различных сервисов и при любых отклонениях автоматически связываются с обслуживающим систему инженером.

Система удаленного администрирования

Системы удаленного администрирования серверов применяются для устранения неисправностей, конфигурирования систем и выполнения различных рутинных задач в локальной сети (или сети Интернет) без необходимости физического доступа к серверу.

В начало В начало

Тестирование firewall

Далее будет представлена собранная автором из различных источников информация о наиболее распространенных брандмауэрах, а также некоторые результаты их тестирования на предмет эффективности их работы.

При необходимости оценить качество защиты своего компьютера можно при помощи специальных тестов. Чтобы выяснить, насколько эффективен ваш firewall при отражении атак снаружи, полезно прогуляться по указанным ниже ссылкам, после чего будет проведена проверка и выдан отчет. Некоторые тесты повторяются, какие-то требуют регистрации, а есть и такие, что, кроме браузера MSIE, ничего другого не воспринимают. В общем, выбор за вами:

Для тестирования на защиту изнутри следует зайти на http://www.firewallleaktester.com/tests.htm.

Можно так же легко понаблюдать за тем, как будут «ломиться» наружу программы, имеющие доступ в Интернет. Для этого в firewall должна быть включена соответствующая опция оповещения.

Итак, приступаем.

Tiny Personal Firewall

Данный брандмауэр выполняет сразу две задачи: следит за атаками из Сети и за активностью программ на ПК. Последняя функция реализована в Tiny Personal Firewall (TPF) очень удачно. Брандмауэр создает перечень программ, которые можно запускать, и в результате любые попытки стартовать приложение без ведома пользователя приводят к выводу окна с предостерегающим сообщением. Приложению присваивается статус Restricted Applications, и тем самым запрещается доступ к нему.

Списки разрешенных и запрещенных приложений редактируются также в главном модуле брандмауэра, называемом Admin Tool. В нем тоже выводятся ярлыки — в простом режиме (easy) их всего два: Sandbox и Firewall. Первый режим, помимо блокирования запуска программ, запрещает запись в реестр, исполнение макросов VBA и COM-объектов. В расширенном режиме (Advanced) кроме того появляется функция MD5 Repository, которая следит за исполняемыми приложениями при помощи цифровой подписи.

 

Tiny Personal Firewall

Функции брандмауэра (ярлык Firewall) практически стандартны. В списке задаются настройки для браузеров (поддерживаются Netscape Communicator и Internet Explorer), а также для почтовых клиентов (Microsoft Outlook, Outlook Express, Lotus Notes). Для каждого приложения создаются профили — наборы правил (указываются IP-адреса, типы действий и способ мониторинга) с целью ограничения активности в Сети. Из сервисных функций Tiny Personal Firewall можно отметить резервирование и восстановление служебной базы данных.

TPF — одна из самых простых и компактных программ. Нельзя сказать, что она является широкопрофильным продуктом, ибо ее главный козырь — защита от троянских коней. Именно для их отлова предназначена функция аутентификации приложений в соответствии с протоколом MD5, в какой-то мере защищающая от банальной подмены имен исполняемых файлов. Так что если вредоносная программа носит имя MSIMN.EXE (Outlook Express) или IEXPLORE.EXE (Internet Explorer), TPF не выпустит ее в Сеть.

В главном окне TPF имеется переключатель для трех уровней безопасности. На уровне Don’t bother me программа не задает никаких вопросов и разрешает любой не запрещенный правилами трафик. На обычном уровне Ask me first применяются все правила фильтрации, а при попытке получить доступ программы, отсутствующей в списке авторизованных, пользователю предоставляется выбор. На уровне Cut me off доступ в сеть полностью блокируется.

Окно Advanced Firewall Configuration предоставляет доступ ко всем правилам, а также возможность создавать собственные. Закладка Microsoft Networking позволяет разрешить (или запретить) совместное использование принтеров и файлов.

Есть функции фильтрации веб-трафика и электронной почты, ведения отчетов; входящий трафик контролируется на предмет наличия вирусов (используется движок McAfee Virus Scan), а кроме того, реализована поддержка виртуальных частных сетей (VPN) Cisco и Alcatel.

Плюсы

  1. При установке можно выбрать компоненты, то есть отказаться от установки ненужного компонента.
  2. Информативное окно системы обучения. В режиме обучения существует возможность однократной блокировки запрошенного действия, создания правил.
  3. Достаточно мощный firewall системных операций: имеется возможность отслеживать и блокировать нежелательную активность приложений по отношению к реестру, файлам, запуску приложений, установке сервисов, причем все это настраивается. Для приложений ведется контроль цифровой подписи в формате MD5, что позволяет поймать заражение программы вирусом или обнаружить подмену программы. В режиме обучения, таким образом, программа информирует о системной и сетевой активности приложений. Есть возможность аудита системных операций.
  4. Очень неплохая IDS — все ее правила можно просматривать и редактировать. В базе IDS уже имеется большое количество правил для разных троянов/backdoor и для разнообразных видов атак. Все правила сгруппированы по категориям и могут активироваться индивидуально (или активируются/выключаются все правила группы). В правиле могут фигурировать не только порты и адреса, но содержимое пакета, включая поля заголовка пакета.
  5. Содержит встроенный набор типовых правил, которые могут быть удалены или отредактированы. По умолчанию правила позволяют слишком много — стоит заняться их анализом и ужесточением.
  6. Правила можно создавать на уровне конкретных пользователей, что позволяет индивидуально настроить Firewall многопользовательской среды.
  7. Управление и мониторинг событий выполнены в виде двух отдельных приложений — их можно выгрузить и загружать по необходимости, тем самым экономя память.
  8. Firewall имеет встроенный NAT и ICS, а также поддержку VPN.

Минусы

  1. Очень много настроек. В принципе, это не может считаться недостатком, но начинающему пользователю придется нелегко.
  2. При настройке по умолчанию IDS вяло реагирует на явные атаки, а секция web-атак и backdoor вообще отключена.
  3. Процессы firewall видны в памяти и могут быть удалены.
  4. Не удалось создать правила по MAC-адресам.

Общая оценка

Хороший firewall, содержит качественную настраиваемую IDS и отличные средства мониторинга операционной системы, то есть, по сути, это даже не firewall, а целый антихакерский комплекс. Собственно firewall’ная часть предоставляет типовые для современного брандмауэра функции. Перед эксплуатацией рекомендуется провести тщательную настройку правил firewall и IDS.

Norton Internet Security

NIS — одна из лучших программ подобного рода (в ее состав входят Norton Personal Firewall, Norton AntiVirus, модуль Parental Control для блокировки доступа к запрещенным веб-узлам и модуль защиты конфиденциальности Privacy Control), которую, безусловно, можно отнести к лидерам. Как и многие другие продукты Symantec, NIS обладает всем набором дополнительных удобств — приятным интерфейсом, продуманными программами установки и удаления, единым центром управления. Данный брандмауэр довольно интеллектуален — по крайней мере способен распознать наиболее распространенные программы и автоматически сконфигурировать правила доступа для них. Еще одно его достоинство — развитые функции защиты от зловредных Java- и ActiveX-приложений, а также возможность обеспечить анонимный веб-серфинг путем блокировки cookies и http-ref.

В состав Norton Internet Security входит антивирусный пакет Norton Antivirus — так что перед нами по-настоящему комплексный инструмент для защиты от так называемой Интернет-угрозы. Как и положено, данный брандмауэр внимательно следит за сетевой активностью программ и выводит на экран предупреждение о передаче или приеме пакетов информации. Из главного окна программы можно заблокировать весь входящий и исходящий трафик, загрузить обновления (режим LiveUpdate), настроить параметры брандмауэра и открыть справочник.

В левой части окна брандмауэра расположены ярлыки, позволяющие переключаться между режимами работы. Так, в главном разделе Norton Internet Security находятся ключевые настройки — отсюда включается или отключается режим блокирования рекламы или предупреждения о спаме, а также настраивается уровень безопасности (по умолчанию выбран низкий уровень) и просматривается основная и подробная статистика. В соседней группе Web Tools представлены дополнительные утилиты, активизирующие режим автоматического обновления брандмауэра и удаления на диске ненужных файлов.

 

Norton Internet Security

В программе представлены неплохие средства для мониторинга приложений, слежения за портами и блокирования доступа к определенным ресурсам. Кстати, список хакерских сайтов уже включен в программу, и для каждого указывается, какого рода информацию допускается загружать с сайта (основной контент, скрипты, Flash-модули, анимированные изображения и т.д.). Большой плюс данного продукта — встроенный антивирусный пакет Norton Antivirus 2003, который неплохо ловит макровирусы и вложенные в почту файлы, а также следит за троянами — главной проблемой современного компьютера, подключенного к Сети. Кроме того, в Norton Internet Security есть возможность создавать аккаунты пользователей и для каждого из них подбирать свои собственные параметры безопасности.

Перед первым запуском можно воспользоваться утилитой проверки системы, которая составит список всех программ, обращающихся в сеть, после чего права доступа можно будет задать индивидуально или принять по умолчанию. Для каждого модуля (антивируса, брандмауэра, модуля защиты конфиденциальности и родительского контроля) можно выбрать один из четырех режимов: Automatic, Permit all, Block all и Custom.

К немногочисленным недостаткам этой программы можно отнести ее высокую цену, большой размер дистрибутива и немалые системные требования.

Плюсы

  1. Интегрированное решение: антивирус + firewall + IDS + блокиратор рекламы.
  2. В настройках IDS есть опция блокирования компьютера всех пакетов с хоста, производящего атаку, в течение заданного времени (по умолчанию на 30 минут).
  3. Содержит дополнительные надстройки, в частности антиспам — систему, встраивающуюся в Outlook Express.
  4. При уничтожении процессов NIS продолжал блокировать доступ с атакующих хостов.

Минусы

  1. Очень «тяжеловесное» решение — в памяти находится несколько процессов, потребляющих значительные ресурсы, что при ограниченных ресурсах может вызвать дискомфорт.
  2. IDS можно легко обмануть и заблокировать работу с полезными ПК.
  3. Слишком тесная интеграция с системой — не все согласятся с тем, что это минус, но автору не по душе такие программы, которые внедряются в систему и прописываются там по максимуму.

Общая оценка

Отличный firewall. Интересное решение с интеграцией антивирус + firewall + IDS + блокиратор рекламы. Но одновременно в этом его минус, так как требуется очень много ресурсов. В плане функциональности претензий нет — обеспечивает неплохую защиту системы. К тому же существует система обновления через Интернет.

BlackICE PC Protection

Этот мощный и солидный продукт (прежнее имя BlackICE Defender) характеризуется, пожалуй, самой продолжительной процедурой установки. После копирования на винчестер файлов программа добавляет контрольные суммы всех доступных в системе приложений. Разумеется, этот процесс занимает не пару минуту, но чего не сделаешь ради собственной безопасности?

Интерфейсные изыски в BlackICE PC Protection сведены к минимуму — в Tray-области панели задач появляется значок с небольшим контекстным меню. Из него можно запускать или останавливать контроль за загружаемыми приложениями, а также настраивать программу с помощью довольно громоздкого диалогового окна, где задаются способы оповещения об атаках, перечисляются потенциально опасные IP-адреса, откуда следует ждать угрозу, и уровень защиты (от самого низкого — Trusting до максимального — Paranoid). Можно настраивать правила для приложений и соединений, запрещать доступ к Интернету и блокировать рекламу и сookies. Пожалуй, данный продукт слишком подозрителен ко многим программам и видит трояна чуть ли ни в каждом втором загружаемом приложении. Данный брандмауэр порой не восприимчив к работе сетевых DOS-утилит в Windows 98/Me.

 

BlackICE PC Protection

BlackICE PC Protection можно было бы назвать обычным брандмауэром, если б не два «но». Во-первых, он необычен тем, что пытается получить максимум информации о взломщике (технология Back Trace). Во-вторых, его отличают некие зачатки системы обнаружения вторжений (IDS): анализ трафика на предмет нахождения шаблонов, характерных для взлома (более 700 видов операций), в том числе троянских коней и попыток сканирования портов. Разработчик утверждает, что данная методика позволяет обнаруживать атаки, которых другие системы не заметят.

Брандмауэр не контролирует доступ прикладных программ к сети, что является неоднозначным решением, поскольку может привести к прорыву защиты изнутри, особенно в отсутствие аутентификации приложений.

Впрочем, у этого брандмауэра есть функции динамического блокирования доступа со стороны обнаруженного взломщика, а также блокирования общего сетевого трафика в соответствии с заданным уровнем безопасности (их четыре: Paranoid, Nervous, Cautions и Trusting). На уровне Paranoid брандмауэр превращается в прямом смысле в огненную стену: весь входящий TCP- и UDP-трафик блокируется без соответствующего запроса. На уровне Nervous разрешен поступающий к приложениям UDP-трафик (TCP по-прежнему блокируется). На уровне Cautious, кроме того, допускается входящий трафик TCP, а на уровне Trusting разрешены все четыре типа трафика. Если есть желание, можно настроить параметры в разделе Advanced Firewall Settings, чтобы разрешить или запретить трафик для определенных IP-адресов, протоколов и портов.

Плюсы

  1. Содержит систему AP — некий firewall для процессов, что позволяет отслеживать появления новых программ и блокировать их запуск с возможностью обучения. Это полезно для борьбы с червями и троянскими программами.
  2. Может производить захват пакетов для их последующего анализа.
  3. В информации по атакующему показывает его MAC и данные Netbios.

Минусы

  1. Может быть удален как процесс; защита при этом пропадает.
  2. Слишком строгий, но при этом не очень информативный интерфейс.

Общая оценка

Достаточно функциональный firewall, который ничем особенным не выделяется из общего ряда.

AtGuard

Одна из самых старых программ, название которой стало уже нарицательным. AtGuard — персональный брандмауэр, контролирующий все установленные соединения, входящий и исходящий трафики и позволяющий избирательно блокировать потенциально опасные скрипты и аплеты на страницах.

Программа также удаляет ненужную информацию: рекламные баннеры и кнопки, всплывающие рекламные окна на загружаемых веб-страничках. Кроме того, AtGuard поможет пользователю сохранить инкогнито в сети, блокируя попытки серверов получить сведения о его браузере, операционной системе, почтовом ящике и т.п.

AtGuard был куплен компанией Symantec и теперь выпускается в составе ее продуктов. Дистрибутив AtGuard можно найти на FTP-серверах или на сайтах с коллекциями софта.

К сожалению, как брандмауэр AtGuard уступает многим конкурентам, поскольку ограничивается мониторингом трафика и блокировкой некоторой неавторизованной активности. У него отсутствуют такие важные возможности, как аутентификация приложений, определение сканирования портов и собственно атаки.

В то же время причинами массовой популярности к AtGuard можно считать универсальность, гибкую настройку правил (в том числе с помощью специального мастера), а также широкий набор приятных функций, хотя не имеющих прямого отношения к вопросам безопасности, но заслуживающих упоминания.

Во-первых, блокировка рекламы. Реализована эта возможность довольно просто: AtGuard просматривает входящий http-трафик и вырезает все баннеры на веб-странице еще до того, как ее откроет браузер, — именно такая схема позволяет повысить скорость веб-серфинга. Конечно, ни о каком искусственном интеллекте здесь речи не идет, а распознавание рекламы основано на анализе html-кода на предмет нахождения заранее известных участков, хранящихся в базе данных программы. Естественно, какая-то часть рекламы сумеет прорваться через фильтр, и именно для нее предназначено удобное окошко Dashboard — корзинка, в которую можно перетащить надоедливый баннер. После перетаскивания код баннера будет добавлен в базу.

Во-вторых, раздел Privacy позволяет настроить режимы работы с cookies, http-заголовком Referer, полем User-agent и информацией о e-mail пользователя.

В-третьих, в разделе Active Content можно настроить поведение активных элементов веб-страниц. Названия опций говорят сами за себя:

• Block all Java — блокировка всех Java-скриптов (не путать с Java-аплетами);

• Block only popup window — блокировка всплывающих окон;

• Block Java applets и Block ActiveX controls — блокировка всех Java-аплетов и ActiveX-компонентов.

Плюсы

  1. Небольшой по размеру firewall.
  2. Интересное решение в плане интерфейса — он выполнен в виде панели, размещающейся вверху экрана.

Минусы

  1. Уязвим в режиме обучения, так как с момента вывода запроса на создание правила до самого его создания пропускает пакеты в обоих направлениях.

Общая оценка

Простой firewall, однако вполне функциональный. Отсутствуют такие важные возможности, как аутентификация приложений, определение сканирования портов и собственно атаки. Но при этом брандмауэр универсален, имеет гибкую настройку правил и широкий набор полезных функций, не имеющих прямого отношения к вопросам безопасности (блокировка рекламы, настройка режимов работы с cookies, http-заголовком Referer, полем User-agent и e-mail, настройка поведения активных элементов веб-страниц).

ZoneAlarm Pro

Программа ZoneAlarm (ZAP) отслеживает все попытки проникнуть в компьютер извне, а также все попытки программ, установленных на компьютере, передать какую-либо информацию через Интернет.

Имеется возможность разрешить или запретить той или иной программе доступ в сеть. При работе в сети, если какая-либо программа пытается установить соединение, пользователь немедленно получаете информацию об этом. После этого необходимо подтвердить разрешение на доступ или заблокировать соединение.

Это одна из немногих программ, которая подходит и новичкам, и профессионалам среднего уровня, стремящимся защитить свою небольшую локальную сеть. Прежде всего подкупает очень простой интерфейс, а все всплывающие оповещения о сетевой активности понятны даже неопытным пользователям. ZAP предлагает, по сути, всего два варианта — допустить соединение или отказаться от него (при этом есть возможность запомнить выбор на будущее). Каждая зарегистрированная программа при последующем доступе в сеть проходит авторизацию. Возможна индивидуальная настройка, например с указанием разрешенных IP-адресов и портов.

 

ZoneAlarm Pro

Одна из весьма полезных функций программы — защита почты (E-mail Protection), предотвращающая запуск потенциально опасных скриптов, полученных по электронной почте, что (по крайней мере теоретически) может защитить от новых неизвестных вирусов и зловредных скриптов.

В ZAP существуют контроль за cookies, возможность фильтрации http-трафика, блокировка вредоносных скриптов.

В принципе, данный брандмауэр имеет практически все вообразимые в идеале функции, а к недостаткам могут быть отнесены не более чем мелкие неудобства вроде отсутствия автоматического распознавания распространенных приложений и запрета доступа к нежелательным узлам, а также невозможности фильтрации активного контента в почтовом трафике.

Плюсы

В отличие от большинства брандмауэров, по умолчанию здесь практически ничего не разрешено.

Минусы

Firewall виден в списке задач и не препятствует своему удалению — после удаления защита отключается.

Общая оценка

Персональный Firewall среднего класса, вполне соответствующий современным требованиям.

Agnitum Outpost Firewall Pro

OFP — относительно новая, но уже успевшая хорошо зарекомендовать себя программа. Интерфейс строг и в меру информативен: слева список всех модулей, активных сессий, справа — информационная панель выбранного модуля.

Имеется возможность тонкой настройки как самой программы (автозапуск брандмауэра, защита настроек паролем, включение/отключение дополнительных модулей), так и приложений (добавить/удалить основные приложения, установка общих правил, модификация политики программы).

Помимо функций полноценного брандмауэра, этот firewall располагает рядом очень удобных дополнительных сервисов, включая кэширование DNS, которое позволяет повысить скорость работы путем сохранения результатов обращения к серверам доменных имен на стороне клиента.

Хотя данный продукт, бесспорно, очень хорош, свои недостатки есть и у него. Во-первых, имеет место некоторая неустойчивость. Во-вторых, OFP свойственны все изъяны «одиноких» брандмауэров, которые отсутствуют у таких систем безопасности, как Norton Internet Security.

Дистрибутив включает сразу два модуля: freeware-версию с ограниченными возможностями и профессиональную версию, работающую в течение 30 дней. После установки требуется перезагрузить ПК. В дальнейшем при каждом старте системы в Tray-области панели задач появляется значок программы, за которым скрывается не только брандмауэр, но и локальный HTTP-сервер.

 

Agnitum Outpost Firewall Pro

Программа поддерживает несколько языков, а интерфейс ее главного окна оформлен в виде веб-странички: вместо кнопок используются текстовые гиперссылки. Все основные операции Outpost Firewall (блокирование рекламы, фильтрация контента, электронной почты, а также детектор атак) возложены на плагины, тогда как главный модуль следит за сетевой активностью и за поведением приложений, доступных в системе, а также выполняет настройку всех своих компонентов. При обнаружении соединения в списке All Connections главного окна незамедлительно появляется новая запись с информацией о том, что программа обратилась по такому-то адресу и передала или получила столько-то байтов. Очень удобно! Agnitum Outpost Firewall позволяет настраивать правила для соединений и приложений. Еще одна функция этой программы — возможность блокирования приложений: часто используемые программы можно добавить в список Trusted applications или, наоборот, навсегда закрыть доступ к ним, включив их в Blocked applications.

Несмотря на обилие модулей (а каждый плагин, как правило, имеет свои собственные опции), программу очень легко настраивать. Вам даже не потребуется ничего менять — стандартные параметры обеспечивают качественную защиту от хакерских атак. Но если такая необходимость все же возникнет, можно будет создать отдельный конфигурационный файл.

Outpost предоставляет следующую функциональность для защиты системы от угроз:

• безопасность:

   - обнаруживает и блокирует атаки хакеров;

   - предотвращает несанкционированный доступ к данным;

   - скрывает присутствие пользователя системы в сети, делая ее невидимой для взломщиков;

   - отфильтровывает письма, содержащие черви и вирусы;

• управление:

   - отслеживает всю сетевую активность системы;

   - ограждает детей от посещения нелегальных и непристойных веб-страниц;

   - ведет подробный журнал всей сетевой активности системы и позволяет ее анализировать;

• защита частной информации:

   - предотвращает утечку частной информации с компьютера;

   - защищает частную информацию от атак через Интернет;

   - сохраняет в тайне перемещения пользователя и навигацию по Интернет;

• простота использования:

   - функционирует в любой (98/98SE/Me/NT4/2000/XP и 2003 Server) среде Windows с любым Интернет-соединением, взаимодействуя с любыми приложениями (следует помнить, что Outpost не совместим с любым другим персональным брандмауэром. Одновременное использование Outpost и стороннего брандмауэра в системе приведет к сбоям в работе и к снижению уровня безопасности);

   - автоматически настраивается на оптимальный уровень защиты при установке;

   - автоматически обновляется с помощью встроенной утилиты, постоянно поддерживая защиту пользователя на высоком уровне.

Плюсы

  1. Русифицированный дружественный к пользователю интерфейс достаточно хорошо продуман — все понятно с первого взгляда.
  2. Встроенный детектор атак обнаруживает простые атаки типа сканирования портов.
  3. Показывает список приложений, прослушивающих порты TCP и UDP с указанием списка портов по каждому приложению и информации о моменте начала прослушивания (полезно для отлова троянов и шпионского ПО).
  4. Режим обучения удобен для обнаружения троянских программ и визуальной настройки правил, поскольку реализован типовым образом и основан на запросе допустимости операции, осуществляемой приложением. Кроме того, в описании заявлено, что имеется защита от внедрения постороннего кода в доверенный процесс.
  5. В комплекте имеется ряд плагинов: IDS, средства борьбы с рекламой и т.п.
  6. Имеется режим «невидимость», включенный по умолчанию.
  7. Существует автопоиск подсетей, который, как минимум, уверенно находит домашняя подсеть.
  8. Настройки объединяются в конфигурации, которые можно сохранять на диске, — это позволяет сделать несколько разных конфигураций и загружать их по мере необходимости.
  9. В правилах можно указывать не только имя программы, но и ее параметры, что в ряде случаев бывает полезно.
  10. При удалении процесса outpost.exe происходит блокировка обмена с сетью.
  11. Есть опция слежения за библиотеками процесса, к примеру при появлении нового BHO в IE выводится сообщение о том, что у процесса IE изменился состав используемых им библиотек.
  12. Продуманный просмотрщик протоколов работает в реальном времени; данные весьма логично сгруппированы.
  13. Имеются особые настройки для RAW Socket — можно указать, какие приложения их могут использовать.

Минусы

  1. По умолчанию открыты порты 139 и 445 (XP), поэтому после установки нужно в обязательном порядке создавать правила для блокирования этих портов.
  2. По умолчанию типичным приложениям разрешено очень многое, — поэтому стоит пройтись по настройкам и внимательно их проверить.
  3. Firewall виден в списке задач и не препятствует своему удалению, правда при удалении процесса происходит блокирование обмена с сетью.
  4. Большое потребление ресурсов — 33 Мбайт ОЗУ + 31 Мбайт виртуальной памяти, что, конечно, многовато.
  5. Отлично ловит сканирование портов, но остальные атаки практически не обнаруживает.
  6. У автора он периодически вылетает при загрузке компьютера, хотя на его функциональности это не отражается — после ручного запуска брандмауэр продолжает работу.

Общая оценка

По сочетанию функциональности и удобства работы (и вдобавок с учетом русскоязычного интерфейса) — это один из лучших продуктов на момент тестирования, а также самый распространенный и в этом одновременно, как его достоинство, так и недостаток: с одной стороны, его выбирают как наиболее приемлемый, но, с другой стороны, именно поэтому существует больше всего эксплоитов, способных преодолеть его защиту.

Sygate Personal Firewall

Главное окно Sygate Personal Firewall довольно информативно: в нем выводятся все загруженные приложения, диаграмма сетевой активности (соответственно входящий и исходящий), а также история атак в графическом виде. При работе окно Sygate Personal Firewall открывается двойным щелчком по его значку, расположенному в Tray-области панели задач.

 

Sygate Personal Firewall

Функции данного брандмауэра весьма разнообразны: можно запретить или приостановить работу любого загруженного приложения (в их списке есть даже «Системный модуль ядра NT»), протестировать компьютер на предмет трафикогенерирующих программ и просмотреть различные логи (журнал безопасности, объемы переданных и полученных пакетов, системные события и т.д.). Редактор правил брандмауэра позволяет обезопасить компьютер при подключении к определенным IP-адресам и портам. Sygate Personal Firewall фиксирует момент обращения программ в Сеть и предлагает либо остановить их работу, либо продолжить ее.

Плюсы

  1. В окне информации о сетевом событии (в режиме обучения) выводится детальная информация о программе (версия, описание, полный путь, ID-процесса, параметры подключения (адреса и порты), данные о пакете (MAC-адреса, заголовок и фрагмент пакета).
  2. Можно создавать правила фильтрации по MAC-адресу.
  3. Правила могут действовать по расписанию.
  4. Встроенная IDS (блокировка атакующего осуществляется в течение 10 минут). Уверенно опознаются атаки типа сканирования портов, «пинг-смерти», различные виды флуда порта.
  5. Имеется система оповещения по e-mail.
  6. Достаточно удобный просмотрщик протоколов.
  7. Процесс имеет защиту от завершения, то есть стандартными средствами остановить его невозможно.
  8. Есть режим полного блокирования трафика на время работы экранной заставки
  9. Имеется режим полного захвата пакетов, что, по сути, аналогично снифферу и полезно для анализа пакетов.

Минусы

Существенных недостатков не замечено.

Общая оценка

Хороший firewall в плане функциональности. стоит обратить внимание на его возможности использовать правила фильтрации трафика по MAC-адресам и производить захват пакетов для их последующего анализа, а также на хорошо работающую IDS.

Kerio Personal Firewall

Брандмауэр от Kerio Tecnologies существует в двух вариантах: полнофункциональном (Full) и ограниченном (Free). Основными различиями является отсутствие в KPF Free фильтрации веб-трафика и блокировки рекламы. Также недоступны функции удаленного администрирования; отправки сообщений на syslog-сервер; фильтрации транзитного трафика (то есть данный брандмауэр не сможет работать на шлюзе) и защиты конфигурации паролем. Базового набора функций фильтрации сетевого трафика и контроля приложений изменения не касаются.

Следует отметить имеющийся модуль Intrusion — это интегрированная система обнаружения вторжений. В отличие от многих брандмауэров, KPF анализирует не только адресную информацию сетевых пакетов, но и их содержимое. Таким образом, вычисляется момент начала сетевой атаки, скрытой в разрешенном трафике. В результате можно избирательно блокировать атакующего, не прерывая доступа к открытому сервису остальным пользователям. Наличие подобной возможности существенно увеличивает защищенность подключенного к Интернету компьютера.

Модуль Intrusion Kerio PF построен на базе системы обнаружения вторжений для небольших и средних сетей Snort IDS и унаследовал от нее набор правил для анализа трафика.

Плюсы

  1. Антитроянские механизмы — может обнаруживать и блокировать запуск одной программы из другой (можно настроить правила), запуск новой программы (разрешить, запретить, спросить).
  2. Показывает, какие из запущенных приложений прослушивают порты.
  3. Имеет механизмы обучения.
  4. Может настраиваться вручную.
  5. Имеет IDS, которая определяет типовые атаки, в частности сканирование портов.
  6. Может блокировать подозрительные cookies.

Минусы

  1. Разрешения по умолчанию позволяют работать по 135 порту.
  2. В условиях большой нагрузки периодически подтормаживает, что, однако, совершенно не критично при работе по модему.
  3. Firewall виден в списке задач и не препятствует своему удалению, а после удаления защита отключается.

Общая оценка

Хороший firewall, который можно поставить на одну ступень с Outpost. При правильной настройке обеспечивает практически непробиваемую защиту.

Internet Connection Firewall

ICF — встроенный брандмауэр Windows XP — является штатным средством XP. Включение производится в настройках сетевого адаптера. По умолчанию ICF работает в режиме максимальной безопасности. Принцип его работы следующий: запросы приложений выпускаются наружу, а снаружи принимаются только пакеты, пришедшие в ответ на запросы (соответствие «запрос-ответ» отслеживается в открытой форме в виде динамической таблицы). Таким образом, при сканировании портов на компьютере с включенным ICF не остается ни одного открытого порта. Аналогичным образом обстоит дело и с различного рода «нюками», основанными на отправке нестандартных пакетов.

Плюсы

  1. Это встроенное средство в XP, естественно, не требует установки, а к тому же практически не требует настройки.
  2. Обеспечивает надежную защиту от внешнего вторжения даже при отсутствии настроек: ПК не отвечает на пинги, сканирование портов показывает, что все порты недоступны.
  3. Не виден как процесс и, как следствие, не может быть остановлен вирусом или трояном.
  4. Возможность индивидуальной настройки для приложений — приложению можно прописать, по каким портам и с какими ПК оно может работать. Правила для приложений можно включать и выключать. Еще один полезный момент — запрет индивидуальных исключений-настроек одним чекбоксом в основном окне, что позволяет быстро перейти в режим максимальной безопасности.
  5. Возможен прием входящих пакетов и их переадресация на другой ПК и порт-маппинг (перенаправление порта на порт).
  6. Блокирует работу троянских и backdoor-программ, которые прослушивают некий порт и ожидают подключения по нему хакера, — по умолчанию все запросы на входящие подключения блокируются.

Минусы

  1. Полное отсутствие визуализации происходящих процессов. Единственным способом контроля за работой ICF является текстовый протокол, который пишется в указанный файл на диске (протоколирование по умолчанию отключено, и его рекомендуется включить).
  2. Отсутствуют возможности обучения и настройки правил для отдельных приложений, настройки правил для разрешения/запрета работы с определенными хостами по определенным портам. Впрочем, этот недостаток отчасти компенсируется наличием фильтра пакетов в настройках протокола TCP/IP.
  3. Хорош для защиты домашнего ПК при доступе в Интернет, но создает проблемы при использовании в ЛВС.
  4. Прекрасно преодолевается троянскими программам, которые вместо прослушивания порта организуют отправку данных по e-mail или устанавливают соединение с удаленным сервером по своей инициативе — ICF пропустит исходящий запрос и позволит пройти ответу.
  5. Из-за драйвера, на котором основан Firewall, он имеет привычку самопроизвольно отключаться, а после перезагрузки его необходимо включать вручную. Это опасно, поскольку после такой аварийной загрузки ПК не защищен и часто зависает.
  6. По умолчанию в исключениях разрешен доступ по портам 135, 137, 138, 445 для подсети класса C компьютера, то есть при выходе в Интернет можно заполучить вирус от соседей.
  7. Выводимое окно сообщения крайне неинформативно — отсутствует информация об имени exe-файла и его местоположении; нет данных о том, по какому порту и к какому хосту идет попытка обращения или какие порты программа пытается прослушивать. Вместо этого выдается потрясающее сообщение «... брандмауер заблокировал некоторые возможности программы». Узнать подробности невозможно.
  8. При разрешении активности программы в окне запроса программе разрешаются прослушивание любого порта и обмен с любым ПК в Интернете по любому порту.
  9. Наблюдались случаи, когда открывался порт и разрешалась программа, но при этом один модуль программы работал без проблем, а другой брандмауэром не пропускался.

Общая оценка

ICF — средство для защиты ПК в Интернете начального уровня; это, скорее, не firewall, а NAT. Уровень защиты от сканирования и атаки извне при использовании настроек по умолчанию очень высоко. Достоинством ICF является то, что его не нужно инсталлировать и что он практически не потребляет ресурсов. По сравнению с другими firewall, он, конечно, не выдерживает никакой критики. Возможности ICF, к сожалению, не производят большого впечатления, но как начальный этап — он вполне неплох.

Look n stop personal firewall 2.05

В этом брандмауэре уже установлен набор общих правил, описывающих наиболее типичную активность системных и пользовательских программ. Если приложению разрешить сетевую активность, то к нему автоматически будет применен этот набор, но не будет создаваться индивидуальное правило. Следует помнить, что правила применяются одновременно для всех программ, то есть для одного приложения они избыточны. Если некая допущенная до сети программа начнет вести себя нетипично (например, браузер станет отсылать письма), то ее деятельность в рамках общих правил, одновременно применяемых к браузеру, почтовику и десятку других программ, не будет выглядеть подозрительной. Этот момент создает благоприятную среду для размножения троянских коней.

 

Look n stop personal firewall 2.05

Создавать новые правила необходимо вручную, причем данная операция требует детального знакомства со спецификой активности описываемой программы.

Отметим, что этот брандмауэр умеет работать только с одним сетевым интерфейсом, чего при одновременной работе в разных сетях явно недостаточно. Переключение защиты между интерфейсами осуществляется автоматически.

Плюсы

  1. Поддержка ICS (Microsoft Internet Connection Sharing) — данная функция необходима брандмауэру, установленному на компьютере-шлюзе, для фильтрации транзитного трафика между локальной сетью и Интернетом.
  2. Многопрофильная конфигурация — индивидуальная настройка и персональный набор правил брандмауэра для каждого пользователя компьютера.
  3. Ограничение доступа к веб-ресурсам, или Parent control — выборочная блокировка загрузки Интернет-документов устанавливается как по имени ресурса, так и по наличию определенных слов в содержимом документа.
  4. Блокировка рекламы — брандмауэр вырезает из Интернет-документов ссылки на рекламные объекты (баннеры, всплывающие окна), предотвращая их загрузку.
  5. Правила могут строится с учетом MAC-адреса, есть возможность привязки правила к процессу.
  6. Брандмауэр виден как процесс, удаление которого не приводит к выключению защиты.

Минусы

  1. В окне запроса (в режиме обучения) — абсолютный минимум информации и полностью отсутствует информация непосредственно о факте сетевой активности. Это большой минус, так как исходя из сообщения «Программа желает соединиться с Интернет» довольно трудно принимать решения о разрешении/блокировании действия.
  2. Удаленное администрирование — возможность изменения конфигурации брандмауэра с удаленного компьютера.
  3. Очень большое потребление ресурсов во время отражения атаки — на слабом ПК в этом случае вполне возможна ситуация DoS.
  4. Передача логов на удаленный сервер, что означает возможность передачи информации о сетевой активности на удаленный сервер (syslog).
  5. Протокол непрерывно обновляется в ответ на каждое событие, поэтому во время флуда портов или сканирования портов работать с ним невозможно.

Общая оценка

Простой firewall, который проигрывает другим по интерфейсу и функциональности и к тому же сильно нагружает процессор в моменты атаки.

Kaspersky AntiHacker 1.5

Интерфейс программы логичен и прост — даже новичку не составит труда разобраться в нем. В брандмауэр входит система обнаружения вторжений (детектор атак), которая определяет 10 наиболее распространенных сетевых нападений. К сожалению, нельзя добавлять или изменять описания нападений. Предустановлены правила для системного/пользовательского программного обеспечения, что значительно экономит время и усилия.

 

Kaspersky AntiHacker 1.5

Огорчительно, что при работе брандмауэра в среднем режиме безопасности тестовая система была подбита вирусом Sasser. До того как автору ответили на запрос брандмауэра о разрешении или блокировке удаленного соединения с 445-м портом своего тестового компьютера, появилось системное сообщение, известившее о неожиданном завершении работы системного сервиса lsass.exe и о последующей перезагрузке.

Следует отметить еще один факт. В сопроводительной информации указывалось, что «Режим невидимости», обеспечиваемый брандмауэром для защищаемой сетевой системы, подтвержден тестами PC Flank. Трудно согласиться с этим утверждением. Stealth-тест PC Flank при UDP сканировании определяет наличие сетевой системы, закрытой KAVPF.

Плюсы и особенности

  1. Хорошо действующая бортовая IDS: уверенно распознаются типовые атаки, атакующий хост блокируется на заданное время. Особенностью данной IDS является возможность просмотра обнаруживаемых типов атак (с кратким пояснением, в чем состоит тот или иной тип атаки) и настройки параметров (причем для каждой разновидности атаки есть специфические параметры).
  2. Имеется информативное окно системы обучения.
  3. Есть режим невидимости (включается независимо от других настроек) и регулировка уровня безопасности.
  4. Ограничительная структура правил доступа, позволяет детально описать разрешенную сетевую активность программы. В противном случае предоставляется глобальный доступ в сеть, что способствует активизации троянов.
  5. Предусмотрена возможность просмотра прослушиваемых портов и установленных соединений с привязкой к процессу.
  6. Содержится встроенный набор типовых правил (которые могут быть удалены или отредактированы).
  7. Фильтрация Web/e-mail-трафика. Избирательная блокировка Java-аплетов, Java/VBS-скриптов, ActiveX-элементов — потенциальных способов проникновения злоумышленников на персональный компьютер через уязвимые места браузера/почтовой программы. Блокировка сookies. Пресечение возможности отследить перемещение по веб-ресурсам.
  8. Обработка вложенных в e-mail файлов. Блокировка запуска вложенных в электронное письмо исполнительных файлов exe, com, bat, pif, scr и т.п.
  9. AntiHacker виден в списке процессов, но имеет защиту от удаления
  10. Низкое потребление ресурсов во время работы и в моменты отражения атаки.
  11. Проверка целостности приложений. Блокировка активности программы при ее модификации. Потенциальные причины: обновление, заражение вирусом, подмена программы.

Минусы

  1. Отсутствие возможности построения правил фильтрации трафика по MAC-адресу.
  2. Брандмауэр уязвим во время обучения. Существует возможность пробить защиту по нескольким портам в момент создания правила. После настройки правил пробить firewall сложнее.
  3. Блокировка и разблокировка атакующих проходит автоматически с занесением отметки в протокол, однако автору не удалось найти возможности просмотра списка заблокированных хостов с возможностью ручной разблокировки и настройки исключений.

Общая оценка

Хороший firewall, с отличной IDS. Предоставляет типовые для современного firewall функции. Хотя был признан провальным продуктом.

McAfee Personal Firewall Plus 6.0 Build 6014

Сравнительно простая программа Personal Firewall представляет собой эффективный классический брандмауэр, который будет удобен для пользователей высокоскоростных каналов связи и для всех, кто уже отдал предпочтение какой-нибудь антивирусной программе. Продукт достаточно успешно работает в качестве брандмауэра, но ему недостает антивирусных функций, а также функций защиты конфиденциальных данных, имеющихся в других продуктах.

Элементы пользовательского интерфейса Personal Firewall просты. По умолчанию программа фильтрует все потоки данных и блокирует большинство каналов связи. Можно разрешить или запретить передачу всех данных.

При запуске прикладных программ Personal Firewall запрашивает у пользователя, следует ли предоставлять ему возможность связи с Интернетом. Если разрешение дано, то программе присваивается статус доверяемого, в противном случае — блокируемого приложения. Допускается перенос приложений из одного списка в другой. Проблема здесь в том, что в запросе Personal Firewall программа представлена именем файла без маршрута, например «Разрешить связь Iexplore.exe?». Имена некоторых программ не столь узнаваемы, и это может вызвать у пользователей затруднения.

Для управления брандмауэром на нижнем портовом уровне предусмотрено диалоговое окно System Settings Properties. Разрешается изменять параметры многочисленных разнообразных сервисных средств — таких, как протокол туннелирования между узлами и протокол динамического конфигурирования хост-машин.

Personal Firewall не загружается автоматически в ходе начальной инсталляции. Для запуска программы из панели задач необходимо произвести ряд манипуляций. Сделать это довольно просто, но вызывает удивление, что режим автоматического запуска программы при начальной загрузке не реализован по умолчанию, а ведь именно в этом случае она работает наилучшим образом.

Плюсы

  1. Небольшой размер. Наличие мастера, позволяющего начинающему пользователю настроить firewall.
  2. Есть визуальный индикатор трафика и карта, на которой отображается предполагаемое местоположение атакующего.
  3. Удаление процессов firewall не приводит к исчезновению защиты.

Минусы

  1. В настройке по умолчанию оказались открыты многие опасные порты: автор пробовал выбирать разные профили, но результат мало изменился).
  2. Окно сообщения о попытке доступа приложения в сеть неинформативно: нет данных о том, с каким IP идет попытка соединения и по каким портам, нет полного пути к программе и дополнительных данных по нему.
  3. Не удалось найти возможность ручного создания правил фильтрации пакетов. Правила для приложений есть, но крайне примитивные — разрешить приложению все, запретить все.
  4. Блокирование прослушивания порта, по мнению автора, сделано очень некорректно — все исследованные firewall позволяли программе открыть порт на прослушивание, а при запрете в правилах firewall обмена с сетью программа просто не получала по этому порту пакеты. В данном же случае блокируется открытие порта, что приводит к ошибкам в ряде программ.
  5. Практически отсутствует IDS.

Общая оценка

Personal Firewall станет разумным выбором для пользователей, нуждающихся в простом и доступном брандмауэре. Однако нужно помнить, что в программе отсутствуют дополнительные возможности, реализованные в других пакетах. Это весьма примитивный firewall, ориентированный на уровень начинающего пользователя. Очень бедные возможности; IDS не определяет явные атаки.

В начало В начало

Общие выводы

Пришло время подвести некоторые итоги. Автор не намерен ни высказывать свое мнение по поводу того, какой брандмауэр лучше, а какой хуже, ни советовать, что и где использовать. Этот вопрос каждый должен решить для себя сам, четко определив, какие цели он преследует и какими навыками обладает. Поэтому ниже приводятся лишь общие выводы по брандмауэрам.

  1. Firewall нужно настраивать. Все тестируемые firewall неплохо работали, но только после настройки, обучения, создания настроек вручную. Эксплуатация ненастроенного firewall может принести больше вреда, чем пользы: он пропустит опасные пакеты или, наоборот, будет мешать полезным программам.
  2. После настройки firewall и IDS необходимо тестировать — это тоже достаточно очевидный вывод, но от этого не менее важный.
  3. Персональный firewall уязвим перед вредоносными программами, работающими из контекста полезных. Следовательно, как минимум необходимо уничтожить разные левые панели и прочие BHO из браузера и электронной почты. Перед установкой любого плагина, панели, утилиты расширения и т.п. нужно как следует подумать об их необходимости, так как они не являются отдельными процессами операционной системы и работают из контекста родительской программы.
  4. Многие персональные firewall видны как процессы операционной системы и могут быть остановлены вирусом. Поэтому за работой firewall нужно следить, а его внезапное завершение может служить сигналом о проникновении на ПК вируса.
  5. Некоторые firewall (например, Kerio) допускают дистанционное управление — эту функцию необходимо или отключить, или запаролить.

КомпьютерПресс 2'2005


Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует