Как обеспечить надёжный уровень безопасности ПК от вирусных атак и несанкционированного использования? Очень просто - нужно установить checkpoint межсетевой экран. Он обеспечивает фильтрацию и контроль входящих пакетных данных из сети на компьютер при выходе в интернет. Что это и насколько важна его роль в организации безопасного выхода во всемирную паутину - поговорим ниже.

Основная информация

Межсетевой экран, ещё его называют «брандмауэр» или «фаервол» представляет защитный барьер между ПК и сетью. Дело в том, что как только пользователь выходит в интернет со своего ПК, то он становится отличной мишенью для разных вредоносных утилит, тех же вирусов или троянов. Видимость компьютера для вредоносных элементов обеспечивает активность пользователя. Отслеживается этот статус очень просто - для совершения той или иной функции, связи с разными приложениями используется виртуальная ресурс - порт. В зависимости от команды он имеет разный номер, по которому легко идентифицировать активность пользователя:

• 80 - для загрузки интернет-страниц;
• 110 - используется при загрузке файлов с электронной почтой;
• 25 - свидетельствует об отправки информации через емейл.

Таких портов - тысячи и каждый из них несёт потенциальную опасность для безопасности ПК. Другими словами, чем больше мы выполняем разных операций в сети, тем больший риск поражения или несанкционированного доступа к компьютеру. И чтобы закрыть ненужные порты, а, следовательно, сократить риск проникновения ненужных файлов на компьютер нужно как раз закрыть лишние порты. Это и делает межсетевой экран.

Потребность в брандмауэре

У пользователей также может возникнуть вопрос, а что будет, если не установить фаервол? Ну посудите сами - если на вашем ПК нет межсетевого экрана или он неактивный, то готовьтесь к вирусной атаке. А это произойдёт очень быстро, буквально уже через несколько минут, после того, как вы вышли в интернет.

Открытые порты являются отличным пропускником для троянов, шпионских программ и вирусов. Но не стоит путать межсетевой экран с антивирусом. Это две принципиально разных программы. Цель антивируса - вылечить поражённые файлы, очистить ПК он вредоносного компонента. А брандмауэр просто не допускает проникновение этих элементов к пакетным данным компьютера.

Поэтому, если вы активный пользователь интернета, то позаботьтесь и установите фаервол. Так вы продлите жизнь своему ПК и избежите различных проблем с ремонтами или лечением системы после вирусных атак.

Сетевой экран (Firewall , брандмауэр)

Достаточно ли для защиты от плохишей и вредителей антивирусного программного обеспечения? Нет. Существует второй рубеж обороны – сетевой экран. Основной его смысл – ограничение сетевой активности Вашего компьютера, контроль за устанавливаемыми сетевыми соединениями.

Немного теории.

Ваш компьютер имеет как минимум один сетевой адаптер , через который Вы подключаетесь к сети (интернет, локальная сеть). Его мы будем называть сетевым интерфейсом . На одном компьютере может быть несколько сетевых интерфейсов, причем не только физических, но и виртуальных. Например, при установке VPN соединения активизируется адаптер виртуальной частной сети.

Чтобы компьютер мог общаться с миром, необходимо определить способ этого общения – протокол , в настоящее время в сети интернет принят TCP / IP версии 4 , на подходе версия 6. В версии 4 адрес компьютера задаётся двенадцатью цифрами, которые обычно располагаются группами по три (10.8.3.21 = 010.008.003.021). Каждому сетевому интерфейсу соответствует один сетевой адрес (и неограниченное количество псевдонимов/алиасов). На одном физическом устройстве можно организовать более одного сетевого интерфейса.

Использовать сеть пытаются многие программы и службы, причем одновременно. Чтобы уменьшить количество конфликтов и коллизий, на сетевом интерфейсе для каждой из них организуется виртуальное устройство – порт , через который и происходит общение данной программы с другими сетевыми партнёрами. Порты бывают известные, зарегистрированные и динамические . Известные – первая тысяча (1023) – стандартные, каждый из них по международному соглашению закреплен за определенной службой. Следующие 48 тысяч (до 49151) также регулируются международными соглашениями, но назначаются для частных целей. Все порты с большими номерами могут быть использованы любыми программами и службами. Вообще, все порты с номером большим 1024 можно считать динамическими, так как особо никто не следит за их использованием.

Также существует два подвида IP протоколов – UDP и TCP . По протоколу UDP не производится контроль корректности передачи данных, используется чаще в работе служб.

Что происходит, когда Вы пытаетесь посетить страничку google .ru ? Ваш браузер открывает динамический порт и с него отправляет сетевой пакет с запросом на установку соединения. В заголовке пакета находятся сетевой адрес гугла и стандартный порт веб-сервера - 209.85.229.104:80. Веб-сервер гугла держит открытым порт 80 и прослушивает его. Ваш браузер подключается, и дальнейший обмен сетевыми пакетами будет происходить между вашим динамическим и гугловским 80 портами.

Все очень просто и надежно. В этом примере мы увидели, что сервис (веб-сервер) может открывать и прослушивать порты. При получении пакета он начинает действовать. Если это сервис злоумышленника (например, бэкдор/backdoor ), некто может получить доступ к Вашему компьютеру. Если это нормальный, штатный сервис, имеющий уязвимости, то с помощью специально сконфигурированного запроса можно нарушить его работу или даже получить контроль над Вашим компьютером. Также мы увидели, что программа может открыть динамический порт (или много динамических портов) и установить соединение с каким-то сервером/компьютером, что тоже может быть спровоцировано неизвестным плохишом. Налицо необходимость контролировать порты и обращение программ к сетевым интерфейсам. Для этого и служат сетевые экраны.

Сетевые экраны в общем случае имеют таблицу разрешенных портов и маршрутов, например:

Сетевой адрес (интерфейс)	порт	Удаленный IP/ маска	Удаленный порт	Описание
10.8.3.21	80	0.0.0.0/0	*	На порт 80 (веб-сервер) можно подключиться с любого порта и адреса
10.8.3.21	21	10.8.3.0/24	*	На порт 21 (ftp ) можно подключиться только из локальной сети
10.8.3.21	*	10.8.3.29	22	Можно подключиться к порту 22 (ssh ) на компьютере с адресом 10.8.3.29

Это упрощённый пример, обычно еще надо указать протокол (udp /tcp ). Кроме этого, хороший сетевой экран имеет проактивный фильтр, контролирующий обращение программ на открытие динамических портов. В нем можно указать, например, что opera может подключаться к чему угодно.

Каждая строчка в таблице является правилом работы экрана, вся работа сетевого экрана описывается такими правилами. Вручную все правила написать довольно сложно, для этого надо обладать большим терпением и солидным багажом знаний, поэтому большинство сетевых экранов имеют функцию обучения. При попытке программы установить соединение сетевой экран спрашивает у пользователя разрешить ли такой-то программе/службе подключиться к такому-то адресу на таком-то порту. Пользователь решает разрешить или запретить, а также может свой ответ сохранить как правило, чтоб таких вопросов больше не возникало.

Хватит теории, перейдем к практике. Начнем со штатного Windows Firewall (Брандмауэр Windows ). Многие, вернее все матёрые гуру сетей презрительно скривились, услышав это словосочетание. Их скепсис имеет под собой достаточно оснований. Злоумышленник, строя козни, предполагает, что против него будет выступать как минимум встроенный брандмауэр, предусматривая при этом способы его обхода. Также функциональность его не шире, а в некоторых случаях хуже бесплатных аналогов. Однако, лучше он, чем совсем ничего. Поэтому приступим. Пуск-Панель управления-Брандмауэр Windows .

Нажимаем кнопку «Изменить параметры»

У меня он уже включен, если у Вас – нет, включите. Если паранойя прогрессирует, можно поставить галку «Блокировать все входящие подключения. Это не помешает Вам посещать веб-странички. Перейдем на вторую вкладку «Исключения».

На картинке Вы видите список программ и портов, которым разрешено работать через брандмауэр. Проблема в том, что мы не увидим, разрешены входящие или исходящие подключения. Только при открытии порта мы можем быть уверены в том, что он открыт для входящих соединений. Что разрешается для программ – сиё тайна великая есть. По меньшей мере – исходящие соединения. Этот список доступен для редактирования администратору, можно совсем удалить запись из списка исключений, можно временно отключить, убрав галочку из чек-бокса. Для каждого исключения можно отредактировать область действия, то есть удаленные IP адреса.

Но для обычной работы в сети добавлять исключений не надо. Если установлена галочка «Уведомлять, когда брандмауэр блокирует программу», Вы будете получать сообщения о попытках программ выйти в интернет и сможете принять решение – пускать или нет, если в ответе вы укажете «Запомнить правило» - оно автоматически добавится в этот список. Некоторые программы при установке добавляют себя в исключения. Поэтому настоящий параноик обращается к этому списку только за тем, чтобы убирать галочки с подозрительных записей.

Перейдем на вкладку «Дополнительно».

Здесь мы можем отметить галками те интерфейсы, которые надо защитить. По умолчанию брандмауэр накрывает все интерфейсы.

Итак, встроенный брандмауэр Windows обладает достаточной функциональностью, однако неочевидным интерфейсом (в Windows 7 есть расширенный режим брандмауэра, в котором появляется возможность более детально настраивать правила), что заставляет нас использовать другие продукты. Естественно, к рассмотрению принимаются только бесплатные решения. Наиболее распространённым и характерным представителем этой серии продуктов является ComodoFirewall .

Качаем, устанавливаем. Ставить ли его вместе с антивирусом – решайте сами.

После установки убедимся, что брандмауэр Windows выключен.

При первом запуске возникнет вопрос – доверяем ли мы компьютерам в локальной сети или нет. Это означает, что компьютер будет виден в сетевом окружении у других компьютеров в локальной сети (зона, определяемая сетевым адресом и маской) и сможет предоставлять свои папки и другие ресурсы в общий доступ. Если Вы не знаете, что это означает, галочку не ставьте. Вторую галку не ставим в любом случае.

Также мы видим вопросы Comodo Firewall по активности сервисов. Для надежных ставим галочку «Запомнить мой ответ» и жмем кнопку разрешить. Со временем таких вопросов будет все меньше и меньше.

Зайдем в настройки. Для этого щелкнем пиктограмму в трее, либо через меню Пуск-программы.

Первые три пункта вопросов не вызывают. Разберем на примере добавления приложения Far в доверенные для выхода в интернет. Жмем добавить доверенное приложение, через обзор находим Far manager , нажимаем «Применить» - готово.

Четвертый пункт – мастер скрытых портов.

Первый пункт позволяет определить доверенную зону, то есть подсеть, сетевой обмен с которой беспрепятственно проходит сквозь сетевой экран. Назначение второго и третьего пунктов ясно из картинки.

Следующий интересный пункт основного меню – «Мои наборы портов».

Эти наборы портов можно использовать в правилах сетевого экрана, чтобы не создавать несколько одинаковых строк для различных портов.

Такое же назначение имеет пункт «Мои сетевые зоны». Другими словами, это группы адресов, к которым применимы одинаковые правила.

Назначение последнего пункта ясно из его подписи.

Теперь ткнем слева (Задачи файервола) в пункт «Расширенные».

Вот оно – сердце Комода: правила для приложений и глобальные правила, то есть правила для всех. Щёлкнем в любое правило для приложений. Если Вы назначили Far manager , как в моём примере, то увидите следующую картинку:

Мы видим, что разрешили все входящие и исходящие для ip протокола с любого адреса отправления на любой адрес назначения любые типы пакетов. Оставим ему только исходящие и нажмем «Применить». На закладке глобальных правил выбор побогаче. Нажмем кнопку «Добавить» и запишем правило для приема входящих подключений программой uTorrent на порту 51280.

Адрес отправления – любой компьютер из интернета, порт отправления – любой, мы же не знаем с какого порта он подключаться будет. А вот адрес назначения – наш IP адрес на том интерфейсе, который смотрит в интернет (выбираем единичный IP и вводим наш адрес), номер порта – 51280 (его мы взяли из настроек программы uTorrent ). Жмем применить.

Внимательнее посмотрим на некоторые пункты. При назначении IP адреса мы можем выбрать не только определенный диапазон, но и зоны, которые мы описали в «Мои сетевые зоны», а при назначении портов – «Мои наборы портов» (см. выше).

Следующий пункт меню – Предопределенные политики. Здесь можно указать наборы политик, которые потом можно будет применять к однотипным приложениям. Например, там уже указаны наборы политик для веб-браузеров, что позволит при смене браузера изменить только одну строчку в правилах.

Остальные настройки не так часто используются, да и те, кто ими заинтересуется – разберутся без меня.

Вывод: Comodo Firewall позволяет выполнить все настройки фильтрации, которые нас интересуют, причем для этого не надо каких-то специальных знаний. А также на его примере мы разобрали основные способы настройки сетевых экранов. Теперь Вы сможете закрыть свои сетевые интерфейсы, обезопасив себя от внешних атак.

Помните, даже если у Вас ничего нет, найдутся люди, которые этого не знают.

Работая или играя в игры, необходимо понимать, что пользователь оказывается во Всемирной паутине, где присутствуют свои злодеи. Таких людей называют хакерами. Они живут тем, что стараются проникнуть в чужой ПК и похитить из него информацию. Делать это возможно при помощи разнообразных вирусов или вредоносных программ, а также некоторых других уязвимых мест операционной системы. Если для защиты от вирусов уже давно был придуман антивирус, то для охраны ПК и локальной или интернет-сети существует сетевой экран. Что это такое?

Сетевой экран

Многие неопытные пользователи считают, что антивирусная программа способна защитить их от всех напастей. Однако это не так. Для полной защиты ПК необходим еще и сетевой экран. Что это такое и как он работает?

Обнаружить сетевой экран и его настройки можно в центре защиты. Для обеспечения максимальной защищенности ПК эта программа руководствуется определенными правилами. Имеются в виду действия, которые будет производить межсетевой экран при обнаружении попытки соединения с другим источником. Эти правила могут быть как разрешающего характера, так и запрещающего. Также важно понимать, что эта программа оберегает ПК на двух уровнях. Первый - сетевой, а второй - прикладной. То есть если отвечать на вопросы о том, сетевой экран, что это такое и как он работает, то можно сформулировать такой ответ. Это встроенное программное обеспечение, которое призвано защищать персональный компьютер от попыток соединения извне.

Сетевая защита

Как было отмечено ранее, межсетевой экран обладает двумя ступенями защиты. Первая ступень - это сетевая охрана ПК. Осуществление защиты происходит на основе глобальных правил, которые задаются сетевому экрану, и кои он использует при обнаружении соединения. В зависимости от нескольких параметров, программа либо заблокирует соединение, либо разрешит:

• Направление сетевого пакета.
• Протокол передачи сетевого пакета.
• Порт назначения или выход пакета.

Для того чтобы более широко ответить на вопрос о том, сетевой экран, что это такое, необходимо выяснить, чем является сетевой пакет, с которым работает экран. В принципе, все достаточно просто. Сетевой пакет - это информация, которая передается внутри сети в виде блока. Экран воспринимает такой пакет как блок, разбитый на три части. Первая часть считается заголовком и несет информацию о дате создания, названии, размере блока и т. д. Вторая же часть будет выступать непосредственным содержанием, а третья называется концовкой и несет в себе информацию, которая подтверждает, что во время передачи блок не подвергался изменениям со стороны.

Прикладная защита

Если первый тип защиты применяется к информации, которая поступает на персональный компьютер извне, то второй тип работает с тем, что уже установлено на ПК. К такому обеспечению применяются другие правила. Однако стоит отметить, что анализ, по которому экран будет принимать решение, остается таким же, как и в случае с сетевой защитой.

Но некоторое отличие все же имеется. Заключается оно в том, что, помимо сканирования самого блока с информацией, сетевой экран будет проверять и то обеспечение, которое должно получить информацию либо отправить ее. Такое количество проверок и правил, которыми руководствуется защитная программа, дает возможность опытному пользователю настроить охрану своего ПК на самом высоком уровне.

Сетевой экран и Zona

В интернете существует множество программ для быстрого скачивания контента. Одна из них называется Zona. Это ПО дает возможность скачивать множество фильмов, игр или программ с высокой скоростью, однако некоторые пользователи жаловались на то, что при включении сетевого экрана программа переставала работать, ссылаясь на существующую ошибку доступа к серверу. Этот сбой - результат функционирования охранной системы.

Для того чтобы не отключать экран, но и заставить работать трекер, необходимо кое-что изменить. Сразу после включения защиты она посчитает, что вредоносная программа - это зона. Настройка сетевого экрана обладает расширением, которое называется "Исключения". Для того чтобы наладить работу трекера и избавиться от ошибки, необходимо внести его в эти самые исключения. Расположение настроек может меняться в зависимости от версии экрана и того факта, является ли он встроенным ПО или посторонним.

Функции экрана

Межсетевой экран устанавливается для того, чтобы решать несколько очень важных задач. Какую функцию выполняют сетевые экраны после своей установки?

• Первой такой задачей является защита внутренней малой сети, допустим, компании от любых внешних проникновений. Стоит отметить, что обеспечение не делает разницы между внешними пользователями или внутренними. Проверять он будет одинаково как сотрудников компании, ее партнеров, так и хакеров, пытающихся проникнуть в Сеть.
• Вторая функция - это регулирование доступа внутренних пользователей к внешним ресурсам. Другими словами, можно настроить межсетевой экран так, чтобы он блокировал доступ из подконтрольных ему ПК к ресурсам, которые не требуются для выполнения работы.

Стоит также отметить, что в настоящее время отсутствует общая классификация таких программ и устройств.

Брандмауэр в Windows – это программа защиты компьютера, которая проверяет и контролирует исходящие и входящие данные (трафик) между компьютером и сетью. Сеть может быть как локальная, так и сеть Интернет, что более распространено. Без включенного брандмауэра весь сетевой трафик бесконтрольно проходит через PC, в то время когда работающий брандмауэр, в зависимости от его настроек блокирует или пропускает данные. Включенный брандмауэр совместно с становится настоящей стеной от вредоносных программ и сетевых атак. Кстати, второе название такого типа программ – Firewall, что в переводе с английского и означает «огненная стена». Также можно встретить название сетевой экран.

Как включить брандмауэр Windows

В ОС Windows есть встроенный брандмауэр и он не всегда включен изначально. Проверить работает ли сетевой экран нужно открыть компьютером Пуск > Панель управления , переключите вид окна в показ «Крупные значки » или «Мелкие значки » (для удобства поиска) вверху справа и найдите иконку «Брандмауэр Windows ».

Откройте окно брандмауэра левой кнопки мыши. При включенном сетевом экране будет изображение зеленого щита напротив подключения. В противном случае вы увидите красный щит.

Если брандмауэр выключен, то его нужно включить следующим образом:

Настройки брандмауэра Windows

Чтобы настроить сетевой экран откройте в панели управления окно брандмауэра, как описано выше в пункте №1 и кликните в левой панели по пункту меню «».

Здесь можно просмотреть и установить правила для подключений к сети различных программ и служб. Для встроенных в операционную систему программ и служб правила подключений к сети уже установлены автоматически.

Для сторонних программ, после их установки, при первом выходе в сеть, сетевой экран запрашивает у пользователя разрешение или запрет доступа в сеть данной программы. Разрешая или запрещая доступ, вы даете команду сетевому экрану создать правило для этого приложения и запомнить его, чтобы в следующий раз брандмауэр вас не спрашивал. Таким образом, без вашего ведома ни одна программа не получит соединение с интернетом.

Для включения, отключения и изменения существующего правила для программы, найдите ее в списке правил в дополнительных параметров брандмауэра и дважды щелкните по ней для создания нового правила.

Чтобы разрешить доступ в сеть ранее установленную программе, щелкните в левой колонке на пункте меню «».

В открывшемся окне щелкнуть на кнопку «Изменить параметры », после чего щелчком по кнопке «Разрешить другую программу » открыть окно выбора установленных приложений, найти нужное и дать ему разрешение на соединение установкой отметки напротив названия.

Теперь брандмауэр Windows включен, настроен и готов отражать сетевые атаки.

Поделиться.
Сетевые экраны – важный компонент защитного программного обеспечения, и производители вечно пытаются навязать пользователям свои новые разработки. Однако в Windows еще со времен XP SP2 есть свой собственный вполне приличный сетевой экран, и его в большинстве случаев более чем достаточно для защиты.

Да и комплексное защитное решение на самом деле устанавливать не требуется. В Windows 7 вообще необходим только антивирус (а в Windows 8 даже он уже встроен).

Зачем нужен сетевой экран

Главное назначение сетевого экрана – блокировать непрошеные входящие соединения. При этом сетевые экраны умеют различать типы подключений и обрабатывать их по-разному. Например, доступ к сетевым ресурсам и прочим сервисам на ноутбуке может быть разрешен в домашней сети, но запрещен при подключении к публичной точке доступа Wi-Fi в кафе.

Сетевой экран помогает блокировать подключения к потенциально уязвимым службам и контролирует доступ к сетевым сервисам, особенно к сетевым папкам, которые должны быть открыты для подключения только в доверенных сетях.

До того, как в Windows XP SP2 обновили Брандмауэр Windows (Windows Firewall) и сделали его активным по умолчанию, компьютеры с Windows XP, подключенные к Интернету напрямую, заражались в среднем через четыре минуты пребывания в сети. Черви типа Blaster пытались подключиться напрямую к любому доступному компьютеру, и Windows их пропускала, потому что не имела защиты в виде сетевого экрана.

Сетевой экран мог бы защитить систему от таких атак даже при наличии уязвимостей в Windows. Сегодня, даже когда Windows уязвима перед подобным вредоносом, тому очень сложно проникнуть на компьютер, потому что Брандмауэр Windows блокирует все входящие соединения такого рода.

Почему Брандмауэра Windows вполне достаточно

Брандмауэр Windows точно так же блокирует входящие соединения, как любой сторонний сетевой экран. Сторонние (вроде того, что входит в состав Norton), пожалуй, чаще напоминают о себе и требуют внимания пользователя, а Брандмауэр Windows постоянно делает свою неблагодарную работу в фоновом режиме.

Он включен по умолчанию, и если его не отключали или не устанавливали сторонний сетевой экран, Брандмауэр Windows наверняка продолжает работать и на вашем компьютере. Настройки можно найти в одноименном разделе Панели управления (Control Panel).

Когда программа нуждается в приеме входящих соединений, Брандмауэр Windows создает новое правило или спрашивает разрешения у пользователя.

Когда может понадобиться сторонний сетевой экран

По умолчанию Брандмауэр Windows выполняет только самую важную задачу: блокирует входящие соединения. Есть у него и более продвинутые функции, но они скрыты в более сложном интерфейсе.

Например, большинство сторонних экранов позволяют легко контролировать, каким приложениям доступ в Интернет разрешен, а каким запрещен. Когда приложение впервые пытается подключиться к Интернету, сетевой экран выводит диалоговое окно с просьбой о разрешении. Это дает возможность заблокировать доступ к сети для определенных программ.

Опытным пользователям такая функциональность придется по душе, но для среднестатистического человека это лишняя ответственность. Ему придется самостоятельно решать, каким приложениям разрешено подключаться к Интернету, и он может невольно заблокировать работу фоновых процессов обновления, что помешает программному обеспечению регулярно получать исправления для уязвимостей. К тому же это дополнительная трата времени: приходится иметь дело с диалоговыми окнами сетевого экрана всякий раз при установке нового приложения. Если вы не доверяете программе настолько, что не хотите разрешать ей подключение к сети, – возможно, эту программу и вовсе не нужно устанавливать.

Тем не менее, если вы хотите управлять исходящими подключениями, вам, скорее всего, нужен сторонний сетевой экран. Тем более что в нем чаще всего можно посмотреть подробную статистику, журнал блокировки и прочие подобные сведения.

Но все же большинству пользователей сторонний сетевой экран только усложнит жизнь.

Расширенные возможности Брандмауэра Windows

Брандмауэр Windows на самом деле гораздо функциональнее, чем кажется, хотя пользоваться дополнительными возможностями неудобно.

В Windows есть интерфейс для расширенной настройки Брандмауэра, позволяющий создавать сложные правила. Можно запретить отдельным приложениям доступ к Интернету или разрешить соединение только с определенными адресами.

Кроме того, можно использовать стороннюю утилиту для того, чтобы Брандмауэр Windows спрашивал разрешения при попытке каждой новой программы подключиться к Интернету.