Подписаться  на наше издание быстро и дешевле чем где-либо Вы можете прямо сейчас! Подписаться! 

 

 

Антивирус ликвидирует вредоносный код, уже попавший в компьютер. Для того чтобы он туда не попал, и чтобы пришлый "троянец" не передал с компьютера важную информацию, используются брандмауэры.

ДО ПОЯВЛЕНИЯ КОМПЬЮТЕРОВ и компьютерных вирусов "брандмауэром" называли высокую стену из огнеупорного кирпича, предотвращающую распространение пожара в тесных городских кварталах. Сейчас нет необходимости возводить подобные стены в городах, а вот в виртуальном мире подчас бывает тесно, и вирусные эпидемии мгновенно переносятся из одной сети в другую. Поэтому сегодня "брандмауэрами" (по-английски firewall, произносится как "файруол"), или "защитными экранами", называют программы и устройства, которые предотвращают попадание вирусов и других вредоносных программ из интернета в компьютер пользователя или в его локальную сеть.

 

КАК РАБОТАЕТ БРАНДМАУЭР

 

Основная задача брандмауэра – фильтровать информацию, приходящую через интернет-соединение на компьютер или в частную компьютерную систему, и, желательно, в обратном направлении. Для контроля входящего и исходящего трафика (потока информации) в брандмауэрах используются следующие методы.

 

Фильтрация пакетов. Все данные передаются по компьютерной сети (в том числе через интернет-соединение) пакетами. При прохождении через брандмауэр каждый пакет анализируется набором фильтров – программно задаваемых условий, которым должны удовлетворять "легальные" данные и которым не удовлетворяют данные, генерируемые вирусами, "троянскими" и другими вредоносными программами.


Прокси-сервис. В режиме прокси брандмауэр играет роль посредника между компьютером внутренней сети, делающим запрос информации из интернета, и ее внешним источником, а также в обратном направлении. Не зная адреса реального компьютера, запросившего данные, внешний источник не может передать на него вредоносный код, минуя брандмауэр, а с внутреннего компьютера по той же причине можно передать наружу только разрешенную информацию.


Инспекция по состоянию (stateful inspection). Это сравнительно новый метод, в котором вместо достаточно длительного анализа содержимого пакетов по базе данных проверяются только определенные его части.

 

ПРИЗНАКИ "ОТСЕВА"

 

Для того чтобы брандмауэр работал эффективно, его необходимо настроить. Настройка брандмауэра заключается в описании признаков фильтрации пакетов. Вот некоторые из таких признаков.


IP-адреса. IP-адрес представляет собой 32-разрядный идентификационный номер компьютера, уникальный для данной сети. Если какой-либо внешний IP-адрес вызывает подозрения – например, пытается скопировать слишком много файлов, – брандмауэр может заблокировать весь трафик (как входящий, так и исходящий) между сетью и этим адресом.


Доменные имена. С помощью брандмауэра можно блокировать доступ к некоторым доменным именам или, наоборот, разрешить доступ только к определенным именам доменов.


Протоколы. "Протоколом" называется заранее определенный способ обмена данными между службами, в частности, клиентскими и серверными. Обычно этот способ определяется компьютерной программой, например, вэб-браузером. Префикс http, с которого начинаются вэб-адреса, соответствует именно такому протоколу для обмена данными через вэб. Этот и некоторые другие протоколы можно включить в фильтр брандмауэра.


Порты. Любой интернет-сервер предоставляет свои услуги через порты, по одному для каждой службы. Каждый порт имеет номер. Например, если компьютер играет роль вэб-сервера (протокол HTTP) и FTP-сервера, то вэб-сервер обычно работает через порт 80, a FTP-сервер – через порт 21. Иногда порт 21 блокируют для внешних соединений и оставляют доступным только для компьютеров внутренней сети.


Специфические слова и фразы. Брандмауэр просматривает каждый пакет и проверяет, есть ли там фрагмент текста, указанный в фильтре. Например, можно настроить брандмауэр на блокировку всех пакетов со словом "Viagra". Правда, это не помешает пройти тексту со словом "V1аgra", но зато ключевых слов и фраз в фильтре может быть множество, так что можно учесть если не все, то хотя бы наиболее распространенные варианты.

 

АППАРАТНЫЙ ИЛИ ПРОГРАММНЫЙ?

 

Брандмауэры бывают двух типов: программные и аппаратные. Аппаратные брандмауэры представляют собой устройства, подключаемые к компьютеру и играющие роль шлюза между ним и интернетом. Основное достоинство аппаратных бфрандмауэров – то, что многие из них одновременно выполняют функцию маршрутизатора. Другими словами, в них встраивается сетевая карта, и к ним можно подключить сразу несколько компьютеров, а также кабельный или DSL-модем. Второе достоинство аппаратного брандмауэра – собственный IP-адрес, так что потенциальный хакер "видит" только его, но не другие компьютеры сети. Настраиваются эти брандмауэры через вэб-интерфейс. Правда, такая настройка может оказаться сложной, особенно для начинающих, но аппаратные брандмауэры часто хорошо работают и без нее. Более серьезным недостатком брандмауэров этого типа является то, что их алгоритмы обычно рассматривают весь исходящий трафик как безопасный, в то время как в исходящих пакетах могут содержаться вирусы, спам и конфиденциальная информация. Поэтому рекомендуется одновременно с аппаратным брандмауэром использовать и программный.

 

Аппаратные брандмауэры способны защитить не только отдельный компьютер,
но и всю сеть


Программные брандмауэры – это программное обеспечение, которое устанавливается на компьютере, подключенном к интернету. Они являются одним из лучших средств защиты от вирусов, интернет-червей, троянских программ и других вредоносных кодов. Основными недостатками программных брандмауэров можно считать то, что они, во-первых, защищают только тот компьютер, на котором установлены. Во-вторых, программный брандмауэр существенно нагружает систему и замедляет ее работу, особенно на старых моделях компьютеров. В-третьих, программный брандмауэр не в состоянии полностью скрыть от внешнего мира истинный IP-адрес компьютера – он только проверяет трафик, проходящий через открытые порты, и закрывает неиспользуемые. Зато программный брандмауэр проверяет и входящий, и исходящий трафик.


Если компьютер используется главным образом для переписки по электронной почте и иногда для посещения вэб-сайтов, то программного брандмауэра, скорее всего, будет вполне достаточно. Однако если на компьютере хранится и обрабатывается важная, например, бухгалтерская, информация, лучше установить дополнительно аппаратный брандмауэр.


Иногда брандмауэры встраиваются в операционную систему. Например, брандмауэр Windows XP называется Windows Firewall. Если в системе установлен Service Pack 2, он включен по умолчанию. Windows Firewall хорошо блокирует входящие атаки, но не проверяет исходящий трафик. Таким образом, полагаться на Windows Firewall можно только в том случае, если вы абсолютно уверены в изначальной "чистоте" компьютера – например, если операционная система была только что установлена на отформатированный компьютер, и до активации брандмауэра вы не успели выйти в интернет или установить с диска сомнительное ПО.

 

ПОПУЛЯРНЫЕ ПРОГРАММНЫЕ БРАНДМАУЭРЫ

 

Из всех брандмауэров, выполненных в виде самостоятельного программного обеспечения, особенной популярностью пользуется ZoneLab ZoneAlarm (www.zonelabs.com). Базовая версия этого брандмауэра бесплатна.

 

Правда, для эффективной работы она нуждается в настройке: первое время после инсталляции ZoneAlarm буквально забрасывает пользователя сообщениями о попытках того или иного приложения связаться с интернетом. Но после формирования списка проверенных программ таких сообщений становится гораздо меньше. Брандмауэр ZoneAlarm особенно эффективен для операционных систем Windows "старого поколения" – 9x и Me. Главное отличие бесплатной версии ZoneAlarm от платной ZoneAlarm Pro (около $40) заключается в том, что ZoneAlarm Pro защищается паролем и блокирует тесты проницаемости – попытки проверить, насколько брандмауэр способен предотвратить несанкционированную передачу информации из защищаемой сети. Кроме того, ZoneAlarm Pro легко настраивается благодаря разветвленному интерфейсу, а также автоматическому распознаванию установленного на компьютере программного обеспечения, нуждающегося в соединении с интернетом. Наконец, ZoneAlarm Pro блокирует всплывающие окна браузера, следит за безопасностью электронной почты и пресекает попытки кражи идентификационных данных. Для защиты беспроводных сетей ZoneLab выпускает дополнительный продукт – ZoneAlarm Wireless Security (около $30).


В Windows XP/2000 можно установить более мощный и тоже бесплатный вариант – Kerio Personal Firewall (www.kerio.com). Kerio Personal Firewall, в отличие от ZoneAlarm, блокирует тесты проницаемости. Kerio Personal имеет достаточно удобный и гибкий интерфейс. Многие операции по настройке автоматизированы, хотя при желании пользователь может произвести настройку собственноручно. По умолчанию Kerio блокирует весь входящий и пропускает весь исходящий трафик, что делает возможным тест проницаемости и утечку внутренней информации. Но если включить блокировку исходящих пакетов, этот вид атак перестает представлять угрозу.


Еще один бесплатный брандмауэр, Outpost Firewall Free (www.agnitum.com), отличается открытой архитектурой, позволяющей подключать различные внешние модули сторонних разработчиков (плагины). Однако, как отмечают эксперты, некоторые вредоносные коды способны отключить эту программу; кроме того, она не защищает сеть от тестов проницаемости. Ее платная версия, Outpost Firewall Pro (около $40), более эффективна. Кроме того, она автоматически обновляется и блокирует банерную и флэш-рекламу. Также в Outpost Pro предусмотрено несколько готовых конфигураций для одного компьютера, между которыми легко переключаться, – "Дети", "Работа", "Игры" и т.п.

 

 

ГЛАВНОЕ – НЕ ПЕРЕБОРЩИТЬ

 

После установки брандмауэра его следует проверить. Для такой проверки есть специальные сайты – например, www.grc.com или www.securityspace.com. Обычно ответ о надежности защиты дается немедленно.


Если этот ответ вас не удовлетворит, деинсталлируйте брандмауэр и попробуйте другой. Не устанавливайте на компьютере сразу несколько брандмауэров – конфликт между ними может привести к системному сбою. Некоторые брандмауэры пытаются при установке проверить, не занято ли уже их место. Например, при установке в Windows XP ZoneAlarm автоматически отключает Windows Firewall. Однако в других случаях автоматика может не сработать. Поэтому выберите одно лучшее из доступных средств, защищающих внутреннюю сеть от "дикого" интернета.

2006.08.09
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".