Межсетевые экраны для домашних компьютеров

Одними из самых мощных по функциональным возможностям среди персональных брандмауэров обладают описанные ниже продукты, которые служат барьером между ПК и Интернетом, обеспечивая защиту от взлома, от злонамеренных почтовых вложений разных типов и от попыток некоторых программ скрыто переслать личную информацию в Сеть.

Kaspersky Anti-Hacker

Программа Kaspersky Anti-Hacker представляет собой персональный межсетевой экран, обеспечивающий полномасштабную защиту компьютера, работающего под управлением операционной системы Windows, от несанкционированного доступа к данным, а также от сетевых хакерских атак из локальной сети или Интернета.

Благодаря контролю всех сетевых операций на компьютере (отслеживание активности приложений, имеющих доступ в интернет; пакетная фильтрация входящих и исходящих данных и пр.) Kaspersky Anti-Hacker также обеспечивает конфиденциальность всех хранящихся на ПК данных.

Kaspersky Anti-Hacker обеспечивает контроль над деятельностью вашего компьютера на основе двухуровневого анализа сетевой активности системы:

• операции на уровне приложений (высокоуровневые операции). Комплексный анализ активности таких интернет-приложений, как Web-браузеры, почтовые приложения, приложения передачи данных и т.п.;

• операции на уровне пакетов данных (низкоуровневые операции). На этом уровне Kaspersky Anti-Hacker анализирует непосредственно пакеты данных, передаваемые или получаемые компьютером.

В соответствии с задачами программа позволяет создавать или изменять любой набор правил - как для отслеживания деятельности приложений, так и для пакетной фильтрации.

При настройке правил для приложений Kaspersky Anti-Hacker позволяет установить правила безопасности, разрешающие или запрещающие сетевую активность приложения в зависимости от его категории - почтовый клиент, интернет-пейджер, Web-браузер и т. д. Или определить специфические виды активности для каждого конкретного приложения. Устанавливая правила фильтрации для пакетов данных, можно разрешить или запретить передачу определенных пакетов данных. Решение о дальнейших действиях принимается на основе анализа информации, хранимой в заголовке пакета: IP-адреса отправителя или получателя сообщения, используемого протокола передачи данных и т. д. Кроме того, теперь программа способна обнаруживать новые типы сетевых атак (SmbDie и Helkern/Slammer) и поддерживает работу с ADSL-модемами.

Kaspersky Anti-Hacker 1.5 позволяет выбрать один из пяти заданных в программе уровней безопасности, начиная от отключения защиты компьютера вплоть до блокировки доступа к сети.

Детектор атак Kaspersky Anti-Hacker 1.5 обеспечивает надежную защиту от таких известных типов атак хакеров, как сканирование портов, DoS-атаки и т. п. Часть функций осуществляется Kaspersky Anti-Hacker в автоматическом режиме. В Kaspersky Anti-Hacker 1.5 предусмотрена возможность расширения списка правил безопасности для интернет-приложений с использованием функции самообучения. Данный режим позволяет "настроить" межсетевой экран на условия работы конкретного пользователя и конкретного компьютера.

Благодаря технологии SmartStealth™ значительно затрудняется обнаружение компьютера извне. В этом режиме Kaspersky Anti-Hacker 1.5 запрещает любую сетевую активность компьютера за исключением разрешенной правилами или осуществленной самим пользователем. Данная технология позволяет успешно предотвратить любые типы хакерских атак, включая DoS (Denial of Service), в то же время не оказывая никакого влияния на работу пользователя в интернет.

Kaspersky Anti-Hacker 1.5 обеспечивает защиту приложений от подмены оригинальных исполняемых файлов. Проверка целостности исполняемых файлов базируется на подсчете их контрольных сумм (CRC -сумм) при создании файла и периодической проверке их значений.

Agnitum Outpost Firewall 1.0.1817

После установки данного пакета программа работает в режиме обучения, и никакие правила для нее не предусмотрены, но относительно каждого входящего и исходящего соединения программа выдаст окно диалога с предложением создать правило для него или совершить единичное действие: пропустить или заблокировать. Правила, которые создаются в этом режиме, немедленно применяются для фильтрации входящего и исходящего трафика. Также в программе предусмотрено несколько режимов работы:

• режим блокировки — система блокирует все соединения, для которых явным образом не были определены правила, то есть система работает по принципу «что не разрешено, то запрещено»;

• режим полной блокировки — в этом режиме отсекаются все соединения независимо от того, разрешены они или запрещены. Подобный режим очень полезен, когда получаешь от кого-нибудь угрозу немедленной атаки;

• режим отключения — программа висит в системном трее и ничего не делает;

• разрешающий режим — разрешены все соединения и весь трафик, которые не были явным образом запрещены в правилах.

Режимы могут легко и быстро изменяться пользователем, и в случае необходимости система немедленно начинает действовать в соответствии с новыми правилами работы защиты.

Кроме того, в этой программе реализованы и дополнительные функции. Брандмауэр поддерживает демилитаризованную зону (то есть имеется возможность создавать IP-лист на весь трафик), и только с этих IP брандмауэр будет пропускать входящие пакеты. Против сканирования портов предусмотрен режим невидимки (Stealth), когда система не отвечает на пинги и не выдает никаких ICMP-сообщений при запросах; в окне настроек имеются варианты поведения при такого рода запросах, которые могут варьироваться. Для удобства и быстроты в систему встроено большое количество стандартных правил, но можно создать и собственные правила. Поддерживаются и дополнительные модули, некоторые из которых поставляются с программой и являются стандартными. Модуль «Реклама» позволяет «резать» баннеры и всё, что на них похоже. Подобная резка происходит по размеру баннера либо по ссылке, причем в программе изначально предусмотрены самые распространенные размеры и ссылки, но можно добавить и свои. Фильтр активного содержимого срезает запрещенные активные элементы на страничках, полезен для «убивания» всплывающих окон и т.д. Осуществляется и контроль за содержимым страничек: если вы не хотите видеть на страницах какое-нибудь нехорошее слово, внесите его сюда и вы больше никогда с ним не встретитесь. Здесь же предусмотрена блокировка доступа на внесенные в список сайты, но адресована она скорее родителям, которые обеспокоены моральным обликом своих детей. Кэширование DNS помогает быстрее перемещаться по Интернету. Детектор атак определяет сканирование, блокирует атаку и анализирует подозрительные действия, а также позволяет установить IP-адрес атакующего. К достоинствам следует отнести также наличие русскоязычного интерфейса, что облегчает настройку.

Брандмауэр обладает следующими основными свойствами:

• возможность использования программы сразу же после установки без предварительной настройки;

• возможность легко и быстро создать безопасную конфигурацию при работе в Сети, используя приглашающие сообщения системы и настройки по умолчанию;

• простой пользовательский интерфейс, позволяющий формировать даже самые сложные настройки одним или несколькими нажатиями кнопок;

• большое количество настроек для ограничения доступа из Сети и выхода в Сеть работающих приложений и настроек работы служебных протоколов (для опытных пользователей или в случае особых требований к безопасности);

• использование невидимого режима работы, при котором другие компьютеры в Сети не в состоянии обнаружить ваш компьютер;

• использование невидимого режима работы, при котором другие компьютеры в Сети не в состоянии обнаружить ваш компьютер;

• совместимость со всеми версиями системы Windows 95/98/2000/Mе/NT/XP и низкие системные требования.

Для успешного применения брандмауэра Outpost Firewall пользователю не обязательно уметь применять все возможности системы, так как она способна эффективно работать и с настройками, установленными по умолчанию. Многие дополнительные возможности, например такие, как ограничение поступления или отправки ICMP-сообщений определенных типов, предназначены лишь для немногих (опытных) пользователей системы.

Новым подходом при разработке персональных брандмауэров, реализованным при разработке системы Outpost Firewall, является модульный принцип организации. Это означает, что значительная часть возможностей по защите компьютера реализована в виде подключаемых модулей, представляющих собой файлы с расширением *.dll. Такие модули никак не связаны друг с другом. Создав новые модули, можно без проблем добавить их в уже установленную систему.

При использовании системы Outpost Firewall возможно:

• ограничивать список приложений, получающих доступ в Сеть; при этом для каждого из этих приложений можно указать список допустимых протоколов, портов, направлений обращения;

• запрещать или ограничивать поступление на локальный компьютер незатребованной информации, в частности:

• баннерной рекламы,

• всплывающих окон в Web-страницах,

• данных с определенных Web-страниц;

• ограничивать или запрещать использование программных компонентов, встроенных в Web-страницы, таких как Java-аплеты и программы на языке JavaScript, ActiveX и т.д.;

• ограничивать или запрещать использование cookie;

• определять зону дружественных IP-адресов (например, адресов локальной сети, в которой установлен данный компьютер). В этой зоне Outpost Firewall не осуществляет контроль и не ограничивает сетевой обмен;

• осуществлять проверку поступающих по электронной почте присоединенных файлов;

• получать от программы предупреждения при попытке атаковать ваш компьютер из Сети и предотвращать такие попытки.

Сегодня данный ПМЭ является одним из самых популярных в нашей стране и странах СНГ, что, скорее всего, связано с очень большой его функциональностью и его свободным распространением. Кроме того, существует и версия Pro (платная) с несколько более расширенными возможностями.

ZoneAlarm 3.1.395

Этот продукт от Zone Labs предназначен для демонстрации возможностей технологии TrueVector, которая, в принципе, может встраиваться в любые продукты, в том числе и сторонних разработчиков.

Новая версия ZoneAlarm по сравнению с предыдущей сколько-нибудь серьезного развития не получила, тем не менее в «глубине» ее интерфейса найдется немало интересных возможностей. Брандмауэр по-прежнему работает на уровне приложений, однако теперь можно избирательно разрешать или запрещать доступ к конкретным портам или их группам (например, типичным для работы с Web, FTP и т.д.). Впрочем, такую настройку нужно проводить дополнительно, а по умолчанию разрешаются (естественно, с согласия пользователя) все виды доступа.

ZoneAlarm позволяет блокировать активность любых программ, обращающихся к Windows из Интернета или пытающихся самостоятельно выйти в Сеть с ПК, достаточно проста в управлении, допускает настройку работы приложений в локальной сети или Интернете (на уровне «разрешить», «запретить», «спросить») и их функционирование в качестве серверов.

Загружается ZoneAlarm как обычное Windows-приложение, и хотя теоретически оно не обеспечивает уровня безопасности, подобного Tiny Personal Firewall (см. ниже), но подавляющему большинству пользователей такой уровень и не требуется. При более-менее подозрительной активности программа выдает на экран красивое окошко — либо с информацией о попытке подключения к компьютеру, сообщая IP-адрес удаленной машины и предлагая на своей Web-странице определить провайдера (владельца этого IP-адреса), либо с вопросом: разрешить или запретить определенному приложению работу в Сети. При постоянной работе с персональным компьютером подобный подход со всплывающим окном более удобен и нагляден, нежели протоколирование всего трафика, с которым рядовой пользователь разбираться не станет.

ZoneAlarm распознает выполняемые программы и ограничивает их возможности, в частности контролирует пересылку данных из компьютера в Интернет.

Существует две зоны ZoneAlarm — локальная и Интернет-зона. В локальной зоне находятся компьютер пользователя и другие объединенные в сеть компьютеры; все остальные машины относятся к зоне Интернета. Каждой зоне можно назначить низкий (Low), средний (Medium) и высокий (High) уровни защиты. По умолчанию локальной зоне назначается средний уровень защиты, что позволяет достаточно свободно обмениваться информацией, в том числе совместно работать с файлами в среде Windows. В зоне Интернета действует высокий уровень защиты: запрещено совместное использование файлов, все порты скрыты от внешнего мира и действуют все привилегии, назначенные прикладным программам. На низком уровне действуют только назначенные привилегии.

Для полного блокирования соединений достаточно щелкнуть на пиктограмме в виде висячего замка в верхней части интерфейса ZoneAlarm. Затем, выбрав окно Pass Lock в разделе Programs, можно разрешить обмен данными для определенных программ. При обнаружении попытки любой прикладной программы установить соединение с внешним миром в этом режиме, ZoneAlarm направляет запрос пользователю, блокируя таким образом любые соединения, за исключением специально разрешенных.

ZoneAlarm позиционируется как средство защиты для небольших офисных сетей. Программа умеет корректно работать с компонентом Internet Connection Sharing, входящим в Windows 98SE/Me/2000/XP, чем не могут пока похвастать конкуренты. Для этого программу достаточно установить и соответственно настроить на сетевом шлюзе, хотя разработчики рекомендуют проделать это и на каждой рабочей станции. Кроме того, предупреждения можно получать как на шлюзе, так и на клиентских ПК, а настройки программы можно защитить паролем.

Norton Internet Security 2003

Norton Internet Security 2003 обеспечивает защиту от угроз смешанного типа наподобие Nimda и Code Red, которые используют разнообразные методы нападения и способны в короткие сроки нанести значительный ущерб.

Основные функциональные возможности, добавленные в Norton Internet Security 2003, включают модуль Norton Intrusion Detection, усовершенствованные средства контроля за сохранением конфиденциальности информации, функцию Norton Spam Alert и более удобный в использовании интерфейс. Norton Intrusion Detection обеспечивает пользователям дополнительный уровень защиты благодаря автоматическому блокированию опасных атак, быстро распространяющихся с Интернет-трафиком. Norton Privacy Control содержит новые средства защиты частной информации, такие, например, как поиск конфиденциальных данных в исходящих электронных письмах и во вложенных файлах, а также в мгновенных сообщениях.

К числу усовершенствований, внесенных в программу для удобства пользователей, относятся более простой в работе интерфейс, автономная защита, система оповещения о вхождении в сеть, возможность блокировать обмен информацией одним нажатием клавиши и наглядно отображать состояние системы безопасности на мониторе.

В то время как отдельные элементы брандмауэра, входящие в состав пакета Norton Internet Security 2003, защищают входящий и исходящий потоки информации и предохраняют компьютер от хакеров, делая его невидимым. Дополнительный модуль Norton Intrusion Detection добавляет еще один уровень безопасности — благодаря его способности автоматически фиксировать и останавливать такие опасные программные коды, как Nimda и Code Red. Когда система регистрирует попытку вторжения, она автоматически блокирует атаку и прекращает всякое дальнейшее сообщение с компьютером взломщика.

Norton Internet Security 2003 имеет еще целый ряд новых функций для сохранения частных сведений пользователя в неприкосновенности: Norton Privacy Control теперь позволяет предотвратить утечку конфиденциальных данных через стандартную электронную почту, использующую протокол POP3, а также через мгновенные сообщения пользователей систем AOL Messenger и Windows/MSN Messenger.

Norton Internet Security 2003 позволяет отфильтровывать спам, охраняя почтовый ящик от заполнения раздражающими письмами из коллективных рассылок и всякой бесполезной информацией. Norton Spam Alert выявляет подобные сообщения и помечает их как спам в поле «Тема:» обработанного письма, после чего пользователь может сам решить, удалять ли это письмо, а кроме того, может назначить определенное правило, согласно которому система будет автоматически перемещать подобные сообщения в указанную папку. В отличие от остальных решений, предлагаемых для фильтрации спама и требующих использования специального отдельного средства просмотра писем, Norton Spam Alert позволяет по-прежнему пользоваться привычным почтовым клиентом, работающим по протоколу POP3, например программой Microsoft Outlook. Благодаря внесенным в эту функцию изменениям, пользователь имеет возможность еще более эффективно блокировать баннеры на посещаемых страницах, всплывающие и автоматически открывающиеся окна и прочие отвлекающие внимание сообщения рекламного характера. Таким образом, пользователь, имеющий доступ в Интернет через удаленное модемное соединение, существенно увеличивает пропускную способность соединеня.

Полная версия программы Norton AntiVirus 2003, входящая в состав пакета Norton Internet Security 2003, обеспечивает пользователям всестороннюю антивирусную защиту. Эта программа автоматически удаляет вирусы, защищает электронные письма и файлы, пересылаемые с мгновенными сообщениями, а также постоянно поддерживает антивирусные базы в обновленном состоянии, не требуя вмешательства со стороны пользователя.

eSafe Desktop 3.1

eSafe Desktop — один из немногих функционально исчерпывающих комплексов, располагающих полноценным брандмауэром, антивирусной программой, функциями фильтрации поступающей информации и возможностью отражать нападения других типов, в частности совершаемые с применением сценариев JavaScript и элементов управления ActiveX. Комплекс eSafe Desktop проверяет все входящие файлы, Java- и ActiveX-аплеты, скрипты и присоединенные файлы электронной почты на наличие вредоносной активности, а также защищает конфиденциальные данные от случайного или преднамеренного копирования и от отправки через Интернет. В программе eSafe Desktop предусмотрены фильтры информации для отсеивания нежелательных слов и выражений. Кроме того, eSafe Desktop блокирует троянские программы и порты, обычно используемые хакерами. Данный инструмент поставляется уже настроенным на отражение многочисленных типичных попыток вторжения, таких, к примеру, как Trojan NetBus.

Пользователь может дополнительно заблокировать конкретные порты для обмена данными с конкретными адресами. Такая возможность настройки конфигурации на основе правил обеспечивает значительную гибкость, однако отсюда вытекает и серьезный недостаток: ни одно из этих правил не введено в конфигурацию по умолчанию. Кроме того, в исходной конфигурации eSafe Desktop даже не предусмотрено запрета на использование NetBIOS для совместной работы с файлами через Интернет.

Интересная уникальная особенность eSafe Desktop — функция Sandbox (песочница), с помощью которой можно определить, где и как прикладная программа может выполнять манипуляции с файловой системой. Например, пользователь может запретить новой программе записывать данные в любой файл вне ее собственного каталога. В режиме обучения Sandbox устанавливает правила поведения, отслеживая действия прикладной программы.

С помощью экрана Administrator можно налагать определенные ограничения на операции, которые разрешается выполнять разным пользователям компьютера.

Продуманный подход к назначению прав доступа позволяет администратору задавать различные уровни ограничений для индивидуальных пользователей среды Windows, в зависимости от их потребностей в доступе к документам и программам и от степени доверия к ним. В принятой по умолчанию конфигурации брандмауэра привилегии, как и правила, не действуют, поэтому, прежде чем пользоваться ими, необходимо их назначить. С помощью eSafe Desktop администратор может ограничить доступ на Web-сайты или к новостным группам, базируясь на ключевых словах или категориях, обеспечить надежную фильтрацию зараженных пакетов, предотвратить использование определенных слов во многих Интернет-приложениях, защитить от случайной потери персональную информацию и ограничить использование Интернета.

Воспользовавшись настройками eSafe Desktop, администратор может также блокировать доступ к той или иной группе Web-сайтов, запрещенных для просмотра, руководствуясь при этом ключевыми словами или IP-адресами. В случае необходимости администратор может создавать списки разрешенных к просмотру сайтов, в пределах которых пользователи могут работать в Интернете. При этом eSafe Desktop контролирует любые изменения в файловой системе компьютера.

eSafe Desktop распространяется бесплатно. Также стоит отметить наличие русского интерфейса, что поможет лучше разобраться в функциях данного брандмауэра.

Основные особенности eSafe Desktop:

• защита от враждебных Java-, ActiveX- и других вредоносных модулей;

• управление доступом к файлам, портам и ресурсам Интернета;

• наличие антивирусного механизма, полностью сертифицированного Международной организацией по защите информации (ICSA);

• блокировка нежелательного содержимого на основе ключевых слов;

• ограничение времени доступа в Интернет;

• ограничение доступа к нежелательным Web/FTP-сайтам;

• ограничение доступа к локальным или сетевым дискам;

• предотвращение неправомочных изменений конфигурации;

• предотвращение неправомочных установок программного обеспечения, а также его использования;

• автоматическое удаление cookies и кэшируемой информации;

• работа со всеми Интернет-приложениями и всеми типами подключений.

Tiny Personal Firewall 4.5

Оригинальное в технологическом плане решение Tiny Personal Firewall активизируется еще до загрузки Windows, размещаясь между адаптером сетевого интерфейса и ОС, что гарантирует защиту компьютера на низком уровне и на самых ранних стадиях работы — ни один сетевой сервис в принципе не может активизироваться до начала функционирования этого брандмауэра.

Для установки не требуется специальных знаний. После инсталляции брандмауэр запускается автоматически, и в дальнейшем при первом обращении любого приложения с локального компьютера к Интернету пользователю будет задан вопрос, следует ли разрешить или запретить доступ к Сети. Браузерам и почтовым клиентам, очевидно, имеет смысл дать постоянное разрешение, чтобы не отвечать на одни и те же вопросы при каждом подключении к Интернету; другие программы можно настроить более тонко. Tiny Personal Firewall обладает гибкими средствами такой настройки, позволяя указать для каждого Интернет-приложения набор правил его работы в Интернете: сетевой протокол (TCP, UDP, ICMP), направление передачи данных (в ПК из Сети, из ПК в Сеть), допустимый диапазон используемых портов и IP-адресов удаленного приложения (например, если FTP-клиент всегда обращается к определенному FTP-серверу, то лучше настроить его на конкретный IP-адрес этого сервера), а также способы протоколирования по каждому правилу. Чтобы под видом стандартного приложения в компьютер не закралась вредоносная программа, контролируемое Tiny Personal Firewall приложение снабжается сигнатурой по профилю сообщения 5 (MD5).

Функционирование брандмауэра управляется правилами, которые могут привязываться к конкретным приложениям, IP-адресам, номерам портов и даже к промежуткам времени. Интерфейс программы предельно прост и настолько понятен, что в комплекте даже нет справочной системы. Отдельно можно загрузить руководство пользователя в формате PDF, которое вместо подробного описания назначения каждой кнопки посвящено рекомендациям по настройке безопасности в различных ситуациях. Tiny Personal Firewall обеспечивает три уровня защиты: минимальный (разрешены все типы соединений, пока их не запретили соответствующими правилами), максимальный (полная противоположность минимальному) и средний (такой же, как максимальный, но с предопределенным набором правил, разрешающих типовые службы: DNS, Ping и некоторые другие). Впрочем, как уже говорилось, создание таких правил не вызывает ни малейших затруднений. В Tiny Personal Firewall предусмотрена даже возможность дистанционного конфигурирования и просмотра журнала.

Sygate Personal Firewall 5.0

Sygate Personal Firewall поддерживает три режима работы:

• Block All (запретить все соединения);

• Normal (нормальный);

• Allow All (разрешить все соединения).

По умолчанию после установки программы включен нормальный режим работы, что позволяет не особенно вникать в настройки программы. Все приложения определяются на лету и устанавливаются в режиме Ask (спросить). Для приложений предусмотрено тоже три режима; помимо режима Ask, существует еще два: Allow (разрешить) и Block (заблокировать). Приложения также можно настроить вручную, причем предусмотрен режим для более тонкой настройки данного приложения — Advanced Application Configuration. Ведется довольно удобный журнал, который разбит на отдельные группы: Security Log (охранный журнал), System Log (системный журнал), Traffic Log (журнал входящего/исходящего трафика) и Packet Log (журнал пакетной передачи). Для каждого из журналов существуют дополнительные фильтры, позволяющие сократить или увеличить выводимую информацию в данных журналах. Предусмотрены следующие фильтры: 1 Days Logs (выводить информацию за один день), 3 Days Logs (за три дня), 1 Week Logs (за неделю), 1 Month Logs (за месяц) и, наконец, Show All Logs (выводить всю существующую информацию). Брандмауэр, так же как и Outpost Firewall, по умолчанию не выдает никаких IMCP-сообщений, что позволяет оставаться незаметным для хулигана, посылающего пинги в Сеть.

Sygate Personal Firewall также блокирует работу троянских программ, если все же они у вас оказались. Имеется довольно хорошо конфигурируемая настройка правил, есть опция настройки глобальных переменных, включая определение доверенных адресов, и удобная динамическая система помощи. Плюс к этому — настройка глобальных переменных и настраиваемые правила защиты, новая система помощи, контроль входящих и исходящих ICMP-пакетов по их типу, а также консоль сообщений.