Как обеспечить надёжный уровень безопасности ПК от вирусных атак и несанкционированного использования? Очень просто - нужно установить checkpoint межсетевой экран. Он обеспечивает фильтрацию и контроль входящих пакетных данных из сети на компьютер при выходе в интернет. Что это и насколько важна его роль в организации безопасного выхода во всемирную паутину - поговорим ниже.
Основная информация
Межсетевой экран, ещё его называют «брандмауэр» или «фаервол» представляет защитный барьер между ПК и сетью. Дело в том, что как только пользователь выходит в интернет со своего ПК, то он становится отличной мишенью для разных вредоносных утилит, тех же вирусов или троянов. Видимость компьютера для вредоносных элементов обеспечивает активность пользователя. Отслеживается этот статус очень просто - для совершения той или иной функции, связи с разными приложениями используется виртуальная ресурс - порт. В зависимости от команды он имеет разный номер, по которому легко идентифицировать активность пользователя:
- 80 - для загрузки интернет-страниц;
- 110 - используется при загрузке файлов с электронной почтой;
- 25 - свидетельствует об отправки информации через емейл.
Таких портов - тысячи и каждый из них несёт потенциальную опасность для безопасности ПК. Другими словами, чем больше мы выполняем разных операций в сети, тем больший риск поражения или несанкционированного доступа к компьютеру. И чтобы закрыть ненужные порты, а, следовательно, сократить риск проникновения ненужных файлов на компьютер нужно как раз закрыть лишние порты. Это и делает межсетевой экран.
Потребность в брандмауэре
У пользователей также может возникнуть вопрос, а что будет, если не установить фаервол? Ну посудите сами - если на вашем ПК нет межсетевого экрана или он неактивный, то готовьтесь к вирусной атаке. А это произойдёт очень быстро, буквально уже через несколько минут, после того, как вы вышли в интернет.
Открытые порты являются отличным пропускником для троянов, шпионских программ и вирусов. Но не стоит путать межсетевой экран с антивирусом. Это две принципиально разных программы. Цель антивируса - вылечить поражённые файлы, очистить ПК он вредоносного компонента. А брандмауэр просто не допускает проникновение этих элементов к пакетным данным компьютера.
Поэтому, если вы активный пользователь интернета, то позаботьтесь и установите фаервол. Так вы продлите жизнь своему ПК и избежите различных проблем с ремонтами или лечением системы после вирусных атак.
Защита вашего компьютера Яремчук Сергей Акимович
Настройки параметров работы сетевого экрана
Для активизации сетевого экрана достаточно нажать ссылку Включить на соответствующей вкладке. Окно настройки параметров можно вызвать нажатием кнопки Настройка внизу окна и выбором соответствующего пункта или из соответствующего пункта меню Защита . Нажав ссылку Просмотреть текущую сетевую активность , вы отобразите количество активных приложений, использующих сеть, а также количество открытых соединений и портов.
В окне настроек модуля доступны несколько областей, в каждой из которых, установив соответствующий флажок, можно включить/отключить Сетевой экран полностью либо один из его компонентов – систему фильтрации, систему обнаружения вторжений, Анти-Рекламу или Анти-Баннер (рис. 5.2). В области настройки брандмауэра имеется ползунок, используя который, можно выставить один из пяти уровней защиты:
Разрешать все – разрешена любая сетевая активность без ограничений, соответствует отключению брандмауэра;
Минимальная защита – разрешены все сетевые соединения, кроме запрещенных правилами;
Обучающий режим – пользователь самостоятельно решает, какую сетевую активность разрешать или запрещать; при попытке получить доступ к сети приложения, для которого не создано правило, у пользователя запрашивается подтверждение и на основе ответа создается новое правило;
Максимальная защита – все неразрешенные соединения блокируются;
Блокировать все – все соединения блокируются, запрещен доступ к локальной сети и Интернету; необходимо использовать в случае обнаружения сетевых атак либо при работе в опасной сети.
Рис. 5.2. Настройки модуля Сетевой экран
Во время установки создаются правила для всех приложений, однако они не всегда оптимальны для конкретной системы, поэтому рекомендуется изменить уровень защиты с минимального, который установлен по умолчанию, на обучающий. К режиму максимальной защиты следует переходить только если вы уверены, что созданы все разрешающие правила. Однако после установки нового программного обеспечения следует снова вернуться в обучающий режим защиты. При работе системы в обучающем режиме пользователю выводится уведомление (рис. 5.3).
Рис. 5.3. Уведомление о сетевой активности
Оно содержит описание активности и информацию, необходимую для принятия решения: вид соединения (входящее, исходящее), протокол, приложение, удаленный IP-адрес и порт, локальный порт. На основании полученных данных можно выбрать нужное действие, нажав соответствующую кнопку – Разрешить или Запретить . Выбор варианта Отключить режим обучения отключит этот режим работы модуля.
Если установлен флажок Создать правило , то на основании выбранного ответа формируется новое правило, и во время последующей сетевой активности этого приложения при совпадении параметров запроса программа не будет беспокоить пользователя. В раскрывающемся списке необходимо выбрать тип активности, к которому применимо выбранное действие. Доступно несколько вариантов:
Любая активность – любая сетевая активность этого приложения;
Выборочно – конкретная активность, которую следует указать в окне создания правила;
Этот адрес – активность приложения, удаленный адрес сетевого соединения которого совпадает с указанным; может быть полезна, если вы хотите ограничить работу в сети для выбранного приложения указанными адресами.
Можно также выбрать одну из предустановок, описывающих характер приложения: Почтовая программа , Браузер , Менеджер загрузки , FTP-клиент , Telnet-клиент или Синхронизатор часов .
Модуль обнаружения вторжения компонента Сетевой экран реагирует на активность, характерную для сетевых атак. При обнаружении попытки атаковать компьютер на экране появится соответствующее уведомление с указанием информации об атакующем компьютере: вид атаки, IP-адрес атакующего, протокол и сервис, который подвергся атаке, дата и время. При этом система блокирует IP-адрес атакующего компьютера на один час. Изменить время блокировки можно в области Система обнаружения вторжений в поле возле флажка Добавить атакующий компьютер в список блокирования на .
Из книги Бизнес путь: Yahoo! Секреты самой популярной в мире интернет-компании автора Вламис Энтони Из книги Компьютер на 100. Начинаем с Windows Vista автора Зозуля ЮрийНастройки параметров страницы Перед тем как напечатать документ, следует установить для него оптимальные параметры страницы. Для настройки этих параметров используются группы команд Параметрыстраницы и Фон страницы на вкладке Разметка страницы (рис. 5.55).В группе
Из книги Adobe InDesign CS3 автора Завгородний ВладимирНастройки работы с файлами Раздел File Handling (Работа с файлами) (рис. 7.16) содержит некоторые настройки сохранения файлов и использования буфера обмена при работе с несколькими программами одновременно. Рис. 7.16. Настройки работы с файлами InDesignОбласть Document Recovery Data (Информация
Из книги AutoCAD 2009 для студента. Самоучитель автора Соколова Татьяна ЮрьевнаНастройки работы с буфером обмена Раздел Clipboard Handling (Операции с буфером обмена) (рис. 7.17) позволяет установить настройки работы с буфером обмена Windows; в зависимости от этих настроек программа Adobe InDesign будет лучше взаимодействовать с другими программами Adobe (при упоре на
Из книги Настройка Windows 7 своими руками. Как сделать, чтобы работать было легко и удобно автора Гладкий Алексей Анатольевич Из книги Самоучитель работы на Macintosh автора Скрылина СофьяНастройка параметров экрана С помощью ссылки Оптимизация изображения на экране (см. рис. 2.47) осуществляется переход в режим дополнительной настройки параметров экрана для людей с ограниченными физическими возможностями (рис. 2.49). Рис. 2.49. Настройка дополнительных
Из книги Linux: Полное руководство автора Колисниченко Денис Николаевич3.3. Как изменить настройки экрана? Для изменения разрешения, яркости, количества цветов, выбора профиля и калибровки монитора используется диалоговое окно Цветной ЖК-дисплей (Color LCD), которое вызывается щелчком мыши по значку миниутилиты Мониторы (Displays), расположенному в
Из книги Linux автора Стахнов Алексей Александрович6.2.4. Проверка работы сетевого интерфейса Если вы не подняли (активировали) интерфейс в процессе графического конфигурирования, сделайте это сейчас. Перейдите на текстовую консоль или откройте окно терминала и выполните команду ifup eth0 (деактивировать интерфейс можно
Из книги AutoCAD 2009. Учебный курс автора Соколова Татьяна Юрьевна19.3.3. Просмотр параметров сетевого устройства Команду ip link show лучше всего рассматривать на примерах. Для получения информации о состоянии устройства eth0 введите команду:# ip link ls dev eth0eth0: mtu 1500 qdisc cbq qlen 100link/ether 00:44:67:91:31:1d brd ff:ff:ff:ff:ff:ffПолучить статистику устройства eth0 можно
Из книги AutoCAD 2008 для студента: популярный самоучитель автора Соколова Татьяна ЮрьевнаПриложение 4 Дерево параметров настройки ядра
В этом приложении приведено дерево настроек ядра Linux с настройками, используемыми по умолчанию в дистрибутиве Red Hat Linux 7.2. Используемые соглашения: [*] – вкомпилировано в ядро; – не компилируется;
Настройка параметров рабочего экрана На вкладке Display диалогового окна Options, показанной на рис. 3.2, можно осуществлять настройку параметров рабочего экрана AutoCAD. Рис. 3.2. Диалоговое окно настройки параметров рабочего экрана В области элементов окна Window Elements настраиваются
Из книги Недокументированные и малоизвестные возможности Windows XP автора Клименко Роман АлександровичНастройка параметров рабочего экрана На вкладке Display диалогового окна Options, показанной на рис. 3.2, можно осуществлять настройку параметров рабочего экрана AutoCAD. Рис. 3.2. Диалоговое окно настройки параметров рабочего экрана В области элементов окна Window Elements
Из книги Linux глазами хакера автора Флёнов Михаил ЕвгеньевичБезопасность сетевого соединения Множество сообщений между клиентом и сервером несет информацию, которая может быть довольно легко получена кем-то, подслушивающим сетевые сообщения. Например, зашифрованный пароль может быть получен и использован для
Из книги автораХранение параметров настройки консоли Стоит еще сказать о хранении настроек консоли. Если вы думаете, что настройки консоли хранятся в реестре, то это не так. На самом деле все настройки консолей содержатся в самих файлах консолей. Это легко понять на примере консоли,
Из книги автора3.6.3. Изменение параметров сетевого подключения С помощью ifconfig можно не только просматривать параметры сетевых подключений, но и изменять их. Для этого нужно указать два параметра:? сетевой интерфейс, параметры которого нужно изменить;? параметры.Общий вид команды
Из книги автора4.13.2. Обход сетевого экрана Сетевой экран не может обеспечить абсолютной безопасности, потому что алгоритм его работы несовершенен. В нашем мире нет ничего безупречного, стопроцентно надежного, иначе жизнь была бы скучной и неинтересной.Как Firewall защищает ваш компьютер
Как удалить сетевой экран и нужно ли это делать
Сетевой экран - нужная программа, обеспечивающая безопасность компьютера, и он должен быть: а) установлен, б) включен. Но сетевой экран может конфликтовать с некоторыми приложениями, обычно антивирусами, особенно с собственным встроенным файрволом, и при попытке установки антивируса появляется требование удалить сетевой экран. А пользователь не всегда понимает, как удалить сетевой экран, и что это такое.
Сетевой экран - то же, что брандмауэр или файрвол, операционная система Windows имеет собственный штатный, то есть встроенный файрвол, и удалить его не удастся никак, только отключить, что как раз очень просто, это первая возможность, представляющаяся при открытии окна файрвола. Вообще, все сетевые экраны могут быть отключены, так что их удаление - достаточно радикальная мера.
Если же действительно необходимо удалить сетевой экран, являющийся отдельной программой, это делается через службу Установка и удаление программ. Если сетевой экран является компонентом антивируса, то удаляется вместе с ним, аналогичным способом. Иногда приходится применять специальные программы бесследного удаления антивирусов.
Сетевой экран (Firewall , брандмауэр)
Достаточно ли для защиты от плохишей и вредителей антивирусного программного обеспечения? Нет. Существует второй рубеж обороны – сетевой экран. Основной его смысл – ограничение сетевой активности Вашего компьютера, контроль за устанавливаемыми сетевыми соединениями.
Немного теории.
Ваш компьютер имеет как минимум один сетевой адаптер , через который Вы подключаетесь к сети (интернет, локальная сеть). Его мы будем называть сетевым интерфейсом . На одном компьютере может быть несколько сетевых интерфейсов, причем не только физических, но и виртуальных. Например, при установке VPN соединения активизируется адаптер виртуальной частной сети.
Чтобы компьютер мог общаться с миром, необходимо определить способ этого общения – протокол , в настоящее время в сети интернет принят TCP / IP версии 4 , на подходе версия 6. В версии 4 адрес компьютера задаётся двенадцатью цифрами, которые обычно располагаются группами по три (10.8.3.21 = 010.008.003.021). Каждому сетевому интерфейсу соответствует один сетевой адрес (и неограниченное количество псевдонимов/алиасов). На одном физическом устройстве можно организовать более одного сетевого интерфейса.
Использовать сеть пытаются многие программы и службы, причем одновременно. Чтобы уменьшить количество конфликтов и коллизий, на сетевом интерфейсе для каждой из них организуется виртуальное устройство – порт , через который и происходит общение данной программы с другими сетевыми партнёрами. Порты бывают известные, зарегистрированные и динамические . Известные – первая тысяча (1023) – стандартные, каждый из них по международному соглашению закреплен за определенной службой. Следующие 48 тысяч (до 49151) также регулируются международными соглашениями, но назначаются для частных целей. Все порты с большими номерами могут быть использованы любыми программами и службами. Вообще, все порты с номером большим 1024 можно считать динамическими, так как особо никто не следит за их использованием.
Также существует два подвида IP протоколов – UDP и TCP . По протоколу UDP не производится контроль корректности передачи данных, используется чаще в работе служб.
Что происходит, когда Вы пытаетесь посетить страничку google .ru ? Ваш браузер открывает динамический порт и с него отправляет сетевой пакет с запросом на установку соединения. В заголовке пакета находятся сетевой адрес гугла и стандартный порт веб-сервера - 209.85.229.104:80. Веб-сервер гугла держит открытым порт 80 и прослушивает его. Ваш браузер подключается, и дальнейший обмен сетевыми пакетами будет происходить между вашим динамическим и гугловским 80 портами.
Все очень просто и надежно. В этом примере мы увидели, что сервис (веб-сервер) может открывать и прослушивать порты. При получении пакета он начинает действовать. Если это сервис злоумышленника (например, бэкдор/backdoor ), некто может получить доступ к Вашему компьютеру. Если это нормальный, штатный сервис, имеющий уязвимости, то с помощью специально сконфигурированного запроса можно нарушить его работу или даже получить контроль над Вашим компьютером. Также мы увидели, что программа может открыть динамический порт (или много динамических портов) и установить соединение с каким-то сервером/компьютером, что тоже может быть спровоцировано неизвестным плохишом. Налицо необходимость контролировать порты и обращение программ к сетевым интерфейсам. Для этого и служат сетевые экраны.
Сетевые экраны в общем случае имеют таблицу разрешенных портов и маршрутов, например:
| Сетевой адрес (интерфейс) | порт | Удаленный IP/ маска | Удаленный порт | Описание |
| 10.8.3.21 | 80 | 0.0.0.0/0 | * | На порт 80 (веб-сервер) можно подключиться с любого порта и адреса |
| 10.8.3.21 | 21 | 10.8.3.0/24 | * | На порт 21 (ftp ) можно подключиться только из локальной сети |
| 10.8.3.21 | * | 10.8.3.29 | 22 | Можно подключиться к порту 22 (ssh ) на компьютере с адресом 10.8.3.29 |
Это упрощённый пример, обычно еще надо указать протокол (udp /tcp ). Кроме этого, хороший сетевой экран имеет проактивный фильтр, контролирующий обращение программ на открытие динамических портов. В нем можно указать, например, что opera может подключаться к чему угодно.
Каждая строчка в таблице является правилом работы экрана, вся работа сетевого экрана описывается такими правилами. Вручную все правила написать довольно сложно, для этого надо обладать большим терпением и солидным багажом знаний, поэтому большинство сетевых экранов имеют функцию обучения. При попытке программы установить соединение сетевой экран спрашивает у пользователя разрешить ли такой-то программе/службе подключиться к такому-то адресу на таком-то порту. Пользователь решает разрешить или запретить, а также может свой ответ сохранить как правило, чтоб таких вопросов больше не возникало.
Хватит теории, перейдем к практике. Начнем со штатного Windows Firewall (Брандмауэр Windows ). Многие, вернее все матёрые гуру сетей презрительно скривились, услышав это словосочетание. Их скепсис имеет под собой достаточно оснований. Злоумышленник, строя козни, предполагает, что против него будет выступать как минимум встроенный брандмауэр, предусматривая при этом способы его обхода. Также функциональность его не шире, а в некоторых случаях хуже бесплатных аналогов. Однако, лучше он, чем совсем ничего. Поэтому приступим. Пуск-Панель управления-Брандмауэр Windows .
Нажимаем кнопку «Изменить параметры»
У меня он уже включен, если у Вас – нет, включите. Если паранойя прогрессирует, можно поставить галку «Блокировать все входящие подключения. Это не помешает Вам посещать веб-странички. Перейдем на вторую вкладку «Исключения».
На картинке Вы видите список программ и портов, которым разрешено работать через брандмауэр. Проблема в том, что мы не увидим, разрешены входящие или исходящие подключения. Только при открытии порта мы можем быть уверены в том, что он открыт для входящих соединений. Что разрешается для программ – сиё тайна великая есть. По меньшей мере – исходящие соединения. Этот список доступен для редактирования администратору, можно совсем удалить запись из списка исключений, можно временно отключить, убрав галочку из чек-бокса. Для каждого исключения можно отредактировать область действия, то есть удаленные IP адреса.
Но для обычной работы в сети добавлять исключений не надо. Если установлена галочка «Уведомлять, когда брандмауэр блокирует программу», Вы будете получать сообщения о попытках программ выйти в интернет и сможете принять решение – пускать или нет, если в ответе вы укажете «Запомнить правило» - оно автоматически добавится в этот список. Некоторые программы при установке добавляют себя в исключения. Поэтому настоящий параноик обращается к этому списку только за тем, чтобы убирать галочки с подозрительных записей.
Перейдем на вкладку «Дополнительно».
Здесь мы можем отметить галками те интерфейсы, которые надо защитить. По умолчанию брандмауэр накрывает все интерфейсы.
Итак, встроенный брандмауэр Windows обладает достаточной функциональностью, однако неочевидным интерфейсом (в Windows 7 есть расширенный режим брандмауэра, в котором появляется возможность более детально настраивать правила), что заставляет нас использовать другие продукты. Естественно, к рассмотрению принимаются только бесплатные решения. Наиболее распространённым и характерным представителем этой серии продуктов является ComodoFirewall .
Качаем, устанавливаем. Ставить ли его вместе с антивирусом – решайте сами.
После установки убедимся, что брандмауэр Windows выключен.
При первом запуске возникнет вопрос – доверяем ли мы компьютерам в локальной сети или нет. Это означает, что компьютер будет виден в сетевом окружении у других компьютеров в локальной сети (зона, определяемая сетевым адресом и маской) и сможет предоставлять свои папки и другие ресурсы в общий доступ. Если Вы не знаете, что это означает, галочку не ставьте. Вторую галку не ставим в любом случае.
Также мы видим вопросы Comodo Firewall по активности сервисов. Для надежных ставим галочку «Запомнить мой ответ» и жмем кнопку разрешить. Со временем таких вопросов будет все меньше и меньше.
Зайдем в настройки. Для этого щелкнем пиктограмму в трее, либо через меню Пуск-программы.
Первые три пункта вопросов не вызывают. Разберем на примере добавления приложения Far в доверенные для выхода в интернет. Жмем добавить доверенное приложение, через обзор находим Far manager , нажимаем «Применить» - готово.
Четвертый пункт – мастер скрытых портов.
Первый пункт позволяет определить доверенную зону, то есть подсеть, сетевой обмен с которой беспрепятственно проходит сквозь сетевой экран. Назначение второго и третьего пунктов ясно из картинки.
Следующий интересный пункт основного меню – «Мои наборы портов».
Эти наборы портов можно использовать в правилах сетевого экрана, чтобы не создавать несколько одинаковых строк для различных портов.
Такое же назначение имеет пункт «Мои сетевые зоны». Другими словами, это группы адресов, к которым применимы одинаковые правила.
Назначение последнего пункта ясно из его подписи.
Теперь ткнем слева (Задачи файервола) в пункт «Расширенные».
Вот оно – сердце Комода: правила для приложений и глобальные правила, то есть правила для всех. Щёлкнем в любое правило для приложений. Если Вы назначили Far manager , как в моём примере, то увидите следующую картинку:
Мы видим, что разрешили все входящие и исходящие для ip протокола с любого адреса отправления на любой адрес назначения любые типы пакетов. Оставим ему только исходящие и нажмем «Применить». На закладке глобальных правил выбор побогаче. Нажмем кнопку «Добавить» и запишем правило для приема входящих подключений программой uTorrent на порту 51280.
Адрес отправления – любой компьютер из интернета, порт отправления – любой, мы же не знаем с какого порта он подключаться будет. А вот адрес назначения – наш IP адрес на том интерфейсе, который смотрит в интернет (выбираем единичный IP и вводим наш адрес), номер порта – 51280 (его мы взяли из настроек программы uTorrent ). Жмем применить.
Внимательнее посмотрим на некоторые пункты. При назначении IP адреса мы можем выбрать не только определенный диапазон, но и зоны, которые мы описали в «Мои сетевые зоны», а при назначении портов – «Мои наборы портов» (см. выше).
Следующий пункт меню – Предопределенные политики. Здесь можно указать наборы политик, которые потом можно будет применять к однотипным приложениям. Например, там уже указаны наборы политик для веб-браузеров, что позволит при смене браузера изменить только одну строчку в правилах.
Остальные настройки не так часто используются, да и те, кто ими заинтересуется – разберутся без меня.
Вывод: Comodo Firewall позволяет выполнить все настройки фильтрации, которые нас интересуют, причем для этого не надо каких-то специальных знаний. А также на его примере мы разобрали основные способы настройки сетевых экранов. Теперь Вы сможете закрыть свои сетевые интерфейсы, обезопасив себя от внешних атак.
Помните, даже если у Вас ничего нет, найдутся люди, которые этого не знают.
Как открыть сетевой экран и что делать дальше
Прежде чем настраивать сетевой экран, в него нужно зайти, открыть его. В Windows это осуществляется через Панель управления, куда можно попасть через меню Пуск, брандмауэр легко можно найти по значку земного шара за кирпичной стеной. В антивирусе Касперского к параметрам сетевого экрана можно добраться по такому пути: Настройка (внизу экрана, чуть правее центра) - Центр защиты (слева) - Сетевой экран (справа). Если брандмауэр представляет собой самостоятельную программу, он и открывается двойным щелчком, как все программы. Так что, как открыть сетевой экран, зависит от того, является он отдельной программой или компонентом более сложной системы.
Когда окно сетевого экрана открыто, его можно включить-отключить, настроить. Если файрвол, он же сетевой экран, отключен, вопрос настроек снимается. Но отключать его стоит исключительно в случае, если установлен и используется более мощный файрвол, довольно часто так поступают со штатным брандмауэром Windows, чтоб избежать конфликта с другим сетевым экраном. Если же сетевой экран включен, можно переходить к настройкам, различающимся у разных программ.