Другое название межсетевых экранов (МСЭ) - файрволы, или же брандмауэры. Последние два термина были заимствованы из лексикона пожарных, которые так называли огнеупорные стены, предотвращающие распространение огня. Главное предназначение этих программ (или аппаратно-программных комплексов) - осуществлять фильтрацию информации, которую Ваш компьютер передаёт в локальную сеть (ЛВС), глобальную сеть (Интернет) и принимает из них. Слово "информация" здесь следует трактовать максимально широко - от полей веб-форм до выполняемого программного кода.

1. Преамбула
2. Базовые понятия
3. Какой файрвол выбрать?
4. Взаимодействие файрволов
5. Обзор файрволов
6. Защита LAN
7. Список наиболее известных файрволов

Преамбула

Давно известна шутка о том, что самый защищённый компьютер - не подключённый к сетям, а ещё лучше - выключенный. Однако пользы от такого ПК не больше чем от тумбочки. Каждый раз входя в сеть пользователь рискует. Информация находящаяся на носителях его компьютера может стать доступной кому угодно. Более того, многие программы без вашего согласия и ведома отсылают различную информацию о вас своим разработчикам. Списки посещённых сайтов, установленное ПО и характеристику аппаратной части ПК, регистрационные данные etc. Может быть, вам абсолютно нечего скрывать, но зачем платить за лишний трафик? Как уберечь себя от наглых посягательств на приватность и отучить программы от дурных манер, мы кратко расскажем вам на этой странице.

Базовые понятия

Антивирусные системы необходимы, но недостаточны для обеспечения безопасности подключённого к сети компьютера.Они лишь спасут вас от троянцев, вирусов в аттачах писем и полученных из Сети программах. Основаная заслуга в обеспечении сетевой безопасности принадлежит межсетевым экранам. Как же они работают?

Любое соединение с удалённым хостом (сервером, рабочей станцией, ПК, ноутбуком, КПК, веб-планшетом и прочими устройствами, подключёнными к Сети) инициируется какой-либо программой. Каждая программа использует для работы свой порт, идентифицируемый номером (он, кроме всего прочего, позволяет программам принимать лишь те данные, которые адресованы только им). Передача данных происходит по какому-либо протоколу (HyperText Transfer Protocol [HTTP]; Post Office Protocol [POP]; Interactive Mail Access Protocol [IMAP]; File Transfer Protocol [FTP]; User Data Protocol [UDP] и т.д.). Файрволл позволяет вам контролировать использование портов и протоколов, "прятать" неиспользуемые порты для исключения атаки через них. "When You're invisible, You can't be attacked!" (С) ZoneLabs. Запрещать/разрешать доступ конкретным приложениям к конкретным Сетевым адресам. Разрешать/запрещать использование cookies, ActiveX control, Java applets... в общем контролировать всё, что может стать орудием хакера и недобросовестных фирм/сайтов. Разумеется, полный набор выше перечисленных возможностей может отсутствовать у конкретного файрвола. Следует понимать, что несмотря на внешнюю схожесть механизмы работы у брандмауэров отличаются, а следовательно, различна и степень создаваемой ими защиты.

Все файрволы условно можно разделить на два больших класса:

1. ориентированные на противостояние преимущественно внешним вторжениям;
2. созданные для предотвращения в первую очередь несанкционированного соединения со стороны самого атакуемого ПК (атаки 'изнутри').

Считается, что большая часть взломов происходит "изнутри" и путём внедрения троянских программ. Обычно происходит так, что по мере выхода новых версий файрвола в нём появляется всё больше нововведений и с какого-то момента уже трудно сказать, к какому типу он принадлежит. В конечном счёте в каждом современном брандмауэре появились настройки, позволяющие сконфигурировать его для защиты как от внешних, так и от внутренних вторжений.

Какой файрвол выбрать?

Встроенный в ОС WinXP файрвол называется так по недоразумению. Это шутка индийских программистов, нарисованная ими за миску риса по заказу Microsoft после попойки в бараке поздно ночью. Он (она? оно?) традиционно проваливает 9 тестов проникновения из 9 (три теста в трёх группах). Единственный заметный результат его активности - прикрытые (недозакрытые?) порты и всплывающие окошки с заявлениями о блокировке легитимных программ (браузера, почтовика)... Впрочем, любой ICQ клиент продолжает спокойно работать, попросто не замечая потуг этого "брандмауэра". Одна из статьей про виндового стража доступна здесь.

ZoneAlarm

На мой взгляд одним из наиболее надёжных и проверенных временем программных файрволов является ZoneAlarm Pro (разработчик: Zone Labs Inc.; адрес: 1060 Howard Street, San Francisco, CA, 94103). Бесплатная версия ZoneAlarm по сравнению с "Pro" обладает меньшей гибкостью настроек и функциональностью. Как результат, при прочих равных его уровень защиты будет ниже того, который может обеспечить профессиональная версия. Тем не менее, он вполне подойдёт неискушённому пользователю в качестве базового варианта.

Ведение журнала событий, настройка правил для работы с Интернет и ЛВС, причём не просто на уровне приложений, но и для каждой программной компоненты; управление cookies, возможность блокировать скрипты, встроенные объекты (Java, ActiveX, MIME), всплывающие окна (pop-up/pop-under); вырезать баннеры и "замораживать" анимированные GIF файлы, а также наличие автоматической проверки обновлений, различное оформление - вот перечень основных возможностей ZoneAlarm Pro.

Есть версии, представляющие собой базовую с различными дополнениями. Например, ZoneAlarm Antivirus и ZoneAlarm with Antispyware. Что в них добавлено - видно из названия. Полным набором дополнений обладает ZoneAlarm Security Suite. Для любителей Wi-Fi разработана версия ZoneAlarm Wireless Security.

Outpost

Другой файрвол, пользующийся большой популярностью и уважением, - брандмауэр от фирмы Agnitum - Outpost. Он также доступен в двух вариантах: бесплатном базовом и платном "Pro". Будучи модульным по структуре, файрвол содержит в себе детектор атак (IDS) с трёхуровневой настройкой оповещений и множество дополнений, позволяющих эффективно охранять свою приватность. Данный брандмауэр, пожалуй, самый тонко конфигурируемый.

Outpost - первый межсетевой экран для ОС Windows, разработанный в соответствии с принципом открытой архитектуры (Open Source) . Поэтому можно сказать, что в его создании помимо программистов Agnitum приняли участие тысячи людей. Поддержка плагинов дала возможность легко совершенствовать брандмауэр и приспосабливать его под конкретные нужды.

Для написания плагинов вам потребуются примеры и документация отсюда, а посоветоваться Вы сможете на форуме. Среди языков интерфейса файрвола есть русский. Как и Zone Labs Inc., Agnitum Ltd. придаёт большое значение поддержке пользователей, за что им обеим большое спасибо. Полное руководство по использованию Outpost'а на русском языке вы можете скачать здесь: Outpost User Guide. Оно представляет собой файл в формате PDF размером 1 Мб. На 110-ти страницах дано исчерпывающее описание не только самого файрвола, но и основные сведения по структуре сети Интернет, протоколам, организации политики безопасности. Эта информация необходима для понимания сущности настроек любого брандмауэра.

Взаимодействие файрволов

Одноуровневая система защиты ненадёжна по определению. На первый взгляд решение очевидно - поставить второй, третий... энный файрвол. Однако так делать нельзя, так же как и в случае с программами антивирусного мониторинга реального времени. Межсетевой экран - не простое приложение. Оно тонко взаимодействует с ОС, перехватывает запросы на соединение, задаёт ограничения etc. При одновременном использовании нескольких брандмауэров они в большинстве случаев конфликтуют друг с другом. Это может привести к тому, что реально все соединения будут разрешены и толку от всех файрволов будет ноль. Либо наоборот - всё будет запрещено и вы просто не сможете работать с Сетью. Плюс общие ошибки - от непредсказуемого поведения ПК до невозможности его загрузки вообще. Помните, что при простом выключении файрвола или отключении его автозапуска, драйверы и сервисы файрвола по прежнему загружаются в память.

Следует выбрать один брандмауэр, а остальные - полностью деинсталлировать.

Единственная связка, которая работала у меня многие годы назад в паре не мешая друг другу - ZoneAlarm Pro и AtGuard. Они действительно оба осуществляли фильтрацию согласно настройкам и благополучно справлялись с этой задачей. Однако я не советую использовать такой вариант. С тех пор прошло время, ZoneAlarm Pro заметно изменился, а ОС Windows вообще стала другой. Как поведут себя файрволы вместе на Вашем ПК - заранее никто не скажет.

Обзор файрволов

Известный ресурс FireWall Leak Tester давно занимается сравнительным тестированием брандмауэров. Посетив его, Вы всегда сможете узнать самую свежую расстановку сил среди обилия межсетевых экранов.

Agnitum была так любезна, что предоставила весьма подробный сравнительный обзор файрволов здесь. Пусть Вас не беспокоит мысль о предвзятости оценки. Они приводят лишь объективные данные. Однако учтите, что многие из упомянутых в сводной таблице продуктов уже шагнули на несколько версий вперёд, избавившись от части недостатков.

Защита LAN

[подраздел находится на стадии обновления]

Список файрволов

Бесплатные:

1. Agnitum Outpost Firewall
2. eSafe Desktop (комплексная защита, файрвол в комплекте)
3. Look’n’Stop Lite
4. Sygate Personal Firewall
5. Tiny Personal Firewall
6. Wyvern Personal Firewall
7. Zone Alarm

Платные:

1. Agnitum Outpost PRO Firewall
2. Conseal PC Firewall
3. McAfee Personal Firewall
4. Norton (Symantec) Personal Firewall
5. NeoWatch Personal Firewall
6. Privacyware Privatefirewall
7. Sphinx PC Firewall
8. ViPNet DESK Personal Firewall
9. VirusMD Personal Firewall
10. Zone Alarm Pro и другие версии с добавлениями.

Статус программ постоянно меняется. Бесплатные обрастают дополнительными возможностями и становятся платными. Одна фирма покупает другую (вместе со всеми её разработками) и меняет название продукта. Вчерашние IDS и анти-трояны в новом релизе становятся к тому же и полноценными файрволами. За всем уследить трудно, поэтому: если Вы найдёте несоответствие в этом списке, пожалуйста, уведомите меня. Проверю, исправлю.