В помощь беззащитным пользователям компьютеров было изобретено множество программных и аппаратных защитников. Всем известные антивирусы – теперь почти домашние животные, которых иногда нужно подкармливать новыми базами и лицензиями. Но заметим, что антивирус, конечно, спасет информацию от искажения или удаления, но не всякий из них ограничит доступ к информации извне – то есть из сети. И тут ликующе появляется файрволл или по-русски – межсетевой экран.

Межсетевой экран – комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Проще говоря, это некий невидимый вышибала, стоящий на входе в Ваш компьютер и осуществляющий там «дресс код» транспортируемых данных.

Межсетевой экран может устанавливаться на отдельном компьютере, на границе корпоративной сети или внутри нее, отделяя от общего доступа конфиденциальные данные. Также с его помощью может выполняться регистрация событий, связанных с процессами разграничения доступа. В частности, фиксирование всех "незаконных" попыток доступа к информации и оповещение о ситуациях, требующих немедленной реакции.

Но важнейшим достоинством файрволла является защита от уязвимостей отдельных служб. Если учесть, что уязвимостей предостаточно, а многие службы в лидирующей пока Windows XP имеют полномочия учетной записи system и поэтому обладают достаточными правами доступа к хранимым в памяти компьютера данным, то сомнений в полезности этой функции не возникает.

Копнем поглубже

На сегодняшний день существует множество видов брандмауэров (еще одна вариация названия, заимствованная из немецкого языка) – само собой их классификаций тоже предостаточно. Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
– обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
– происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI (OSI - абстрактная модель для сетевых коммуникаций и разработки сетевых протоколов. Представляет уровневый подход к сети. Каждый уровень обслуживает свою часть процесса взаимодействия. Благодаря такой структуре совместная работа сетевого оборудования и программного обеспечения становится гораздо проще и понятнее);
отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

1) традиционный сетевой (или межсетевой) экран — программа на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

2) персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Также существует так называемый вырожденный случай, когда традиционный сетевой экран используется сервером для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на уровнях:
– канальном и физическом;
– сетевом;
– сеансовом;
– прикладном;
– экспертном.
На канальном и физическом уровне в роли сетевых экранов выступают коммутаторы – устройства логической сегментации сети. Они привязывают адреса компьютеров к своим портам, пропуская на определенном порту лишь пакеты, имеющие соответствующий адрес.

На сетевом уровне файрволлом может быть как коммутатор, так и надлежащее ПО, которое фильтрует пакеты на основе IP адресов отправителя и получателя. «Продвинутые» экраны сетевого уровня имеют возможность получать информацию транспортного уровня и на ее основе создавать таблицы условия прохождения пакетов.

Брандмауэры сеансового уровня выступают в роли посредника между сервером и клиентом, проверяя, удовлетворяет ли запрос на соединение базовым условиям фильтрации. Со стороны клиента в пакете с запросом устанавливается флажок SYN с некоторым числом, в ответ сервер должен выслать ответ ACK с флажком подтверждения и числом, на единицу большим. Аналогично происходит проверка и со стороны сервера. Если данная процедура выполняется, то сеанс считается допустимым, и происходит процесс соединения. Кроме того, файрволл сеансового уровня является защитником от DOS-атак. Не подумайте, что DOS-атаки проходят в среде MS-DOS, как можно предположить по их названию. DOS-атаки – это атаки, подразумевающие посылку множества пакетов SYN от имени несуществующего или неработающего IP адреса на компьютер с целью получения доступа к его ресурсам. В некоторых случаях на сеансовом уровне возможно использование proxy-сервера.

Прикладной уровень предполагает контроль пакетов на уровне приложений, которые исключают процесс соединения клиент-сервер напрямую, используя, как и сетевые экраны сеансового уровня, в качестве посредника proxy-сервер.

Межсетевые экраны экспертного уровня включают в себя многие функции файрволлов, рассмотренных выше. Создаются различные шаблоны и алгоритмы распознавания и обработки данных. На этом уровне происходит увеличение скорости обработки пакетов, но уменьшение качества.

Какой и за сколько?

Если Вы не администратор виртуальной частной сети, то можно забыть о приобретении традиционного межсетевого экрана – он Вам не пригодится. Ваша задача – выбор персонального файрволла. Их условно можно разделить на профессиональные и пользовательские. Отличие заключается в настройках. Пользовательские предполагают уже вбитые общие правила фильтрации. Они удобнее в использовании, потому что не требуют изучения вычурных установок программы, но в то же время – каждый пользователь индивидуален и ему необходимы индивидуальные настройки для комплексной и эффективной защиты, которую пользовательский экран может и не обеспечить. Профессиональные экраны содержат множество непонятных опций, полное изучение которых предоставляет пользователю гибкую и функциональную защиту собственных данных, и оттого их использование становится предпочтительным. Особенно, если у Вас есть, что защищать!

Выбранный брандмауэр, скорее всего, будет работать на прикладном уровне, или сочетать в себе функции прикладного и, например, сетевого уровней.

Некоторые системы безопасности, в частности Kaspersky Internet Security или Norton Internet Security, уже содержат в себе как антивирусы, так и сетевые экраны. Среди автономных файрволлов лидирующие позиции занимают ZoneAlarm и Outpost Firewall. Средняя цена лицензии для одного компьютера составляет 700 рублей. Но существуют и бесплатные копии этих продуктов с добавкой Free в названии. Их отличие от платной версии в том, что бесплатные не могут обновлять свои базы, используя встроенный механизм обновления, и имеют чуть меньшую функциональность. Но для пробы, поверьте, в самый раз! Если Вам понравится - смело берете платную версию и работаете в Интернете, не задумываясь о том, что Ваши пароли, фото, документы или базы данных вдруг кто-то сможет получить.

И напоследок!

Сетевой экран является не основным, но важным дополнительным средством защиты, которое может помочь в борьбе с вредоносными программами, еще не добавленными в антивирусные базы.

В современных ОС есть встроенные файрволлы, но все же лучше использовать сторонние продукты специализированных компаний – Kaspersky, Norton, ZoneAlarm или Outpost.

Значение файрволлов растет с каждым днем, и вот-вот они станут еще одним «домашним животным» наряду с антивирусами. На входе Вашего компьютера всего лишь нужно будет повесить знакомую табличку – «Осторожно, злая собака!»

Есть секреты - нанимайте охрану!

Подпишитесь на рассылку анонсов статей.
Для этого укажите Ваш адрес электронной почты:

Читайте также

Электронная почта: все крайне просто, не правда ли? Коммуникабельность сегодня - это не просто общительность, но и сама возможность общаться. К счастью для этого необходимо иметь всего пару спец-программ, выход в Интернет и учетную запись на соответствующем сервере. А серверов, сервисов и программ для общения великое множество, первое почетное место среди которых занимает «бабуля» - электронная почта. Далее...

Держи свой почтовый ящик чистым: как нам победить спам? О спаме, как и о вирусах, знают даже самые непродвинутые юзеры, правда, для этого они должны хоть иногда пользоваться электронной почтой или мессенджером сообщений. Если вирусов преимущественно боятся, то спам преимущественно ненавидят. И есть, за что! Но давайте отставим эмоции и спокойно разберемся, чем так плох спам, какие виды его нас атакуют и как же результативно бороться со спамом. Далее...

ИНТЕРНЕТ: Безлимитные тарифы Каждый из нас сегодня не представляет свою жизнь без Интернета. Поболтать в аське, заглянуть на «Одноклассники», почта, игрушки, фильмы и многое другое. Как много соблазнов во всемирной паутине! Однако когда нам приходят счета за оплату Интернета, мы испытываем неприятные чувства. Каждый, так или иначе, пытается найти ту заветную золотую середину между своими желаниями и материальными возможностями. И хорошо, что в Уфе уже более года существуют безлимитные тарифы. Далее...

Персональный компьютер: меняем жизнь к лучшему. Часть 2. Многие из нас, работая за компьютером, выполняют стандартные операции с файлами, программами, пользуются стандартными приложениями, да что там говорить, даже выключают компьютер, предварительно щелкнув на мышку минимум три раза! У многих юзеров стоит стандартная ось – Windows XP и соответствующее ей оформление рабочего стола. Стандартное, классическое, как у всех… Кого-то может и устраивает такое положение, но не меня, да и не всех вас, думаю. Ниже будут описаны программы, с помощью которых вы избавите себя от лишней работы, сохраните несколько десятков нервных клеток, да и просто сделаете ваш “рабочий стол” уникальным. Далее...