Встроенный брандмауэр windows 7

Брандмауэр Windows 7 препятствует несанкционированному доступу вредоносных программ из Интернета и локальной сети. В частности, встроенный брандмауэр успешно защищал предыдущие ОС Windows от проникновения червей MSBlast и Sasser, известных своим эпидемическим распространением.

Встроенный брандмауэр windows 7

Рисунок 1 – Панель управления брандмауэром Windows

В брандмауэре Windows 7 произошел ряд изменений, в первую очередь функциональных.

Основным нововведением брандмауэра Windows 7 является одновременная работа нескольких сетевых профилей:

  • общий – публичные (общедоступные) сети, например, в кафе или аэропорту;
  • частный – домашние или рабочие сети;
  • доменный – доменная сеть в организации, определяемая автоматически.

В Windows Vista только один профиль мог быть активен в любой момент времени. Если было включено несколько профилей, наиболее безопасный из них становился активным. Например, при одновременном подключении к публичной и домашней сетям, активным становился общедоступный профиль, обеспечивающий более высокую безопасность. В Windows 7 все три профиля могут быть активны одновременно, обеспечивая соответствующий уровень безопасности для каждой сети.

Пользовательский интерфейс брандмауэра (рисунок 2) в панели управления стал более информативным.

Встроенный брандмауэр windows 7

Рисунок 2 – Интерфейс брандмауэра

1 – четко обозначается профиль и его состояние

2 – приводится описание профиля

В левой панели присутствуют две ссылки (рисунок 3):

  • изменение параметров уведомления;
  • включение и отключение брандмауэра Windows.

Обе ссылки открывают окно настройки параметров.

Встроенный брандмауэр windows 7

Рисунок 3 – Настройка параметров

Для каждого профиля можно задать собственный набор параметров. Если брандмауэр включен, логично также включить уведомления о блокировке новой программы, чтобы ее поведение не вызывало сложностей в случае блокировки. В диалоговом окне блокировки также имеется возможность разрешить или заблокировать программу для каждого профиля.

В брандмауэре Windows 7 произошло много изменений по сравнению с Windows Vista. Например, для каждого профиля фильтрация трафика возможна на основе:

  • пользователей и групп службы каталогов Active Directory;
  • исходным и целевым IP-адресам;
  • IP-портам;
  • параметрам IPsec;
  • типам сетевых интерфейсов;
  • служб и т. д.

AGAVA FireWall

AGAVA Firewall — обладатель сертификата BEST SOFT 2005. Вручил его непосредственно сам главный редактор российского издания PC Magazine Рубен Герр на прошедшем в октябре Международном Форуме независимых разработчиков программного обеспечения ISDEF 2005. По мнению экспертов PC Magazine: существенное преимущество этого пакета — надежность и простота использования.

Персональный файрвол Agava Firewall (рисунок 4) предназначен для защиты компьютера от злоумышленников и обеспечения удобства работы при подключении к Интернету, а также внутри локальной сети. Agava Firewall предоставляет полный контроль над всей сетевой активностью и автоматически предотвращает известные типы атак.

Встроенный брандмауэр windows 7

Рисунок 4 – Интерфейс программы

По заверениям разработчиков программа начинает работать сразу после инсталляции, защищая компьютер от сетевых угроз. Однако этого не рекомендуется делать — ни один файрвол не в состоянии работать сразу же после инсталляции, не выдавая ошибок в своей работе. Тем более что перезагрузка не занимает много времени. А вот после перезагрузки Agava Firewall начинает работать достаточно четко.

Как и любой другой файрвол, Agava Firewall помещает в трей операционной системы свой значок, кликом на который можно вызвать панель быстрых команд программы (рисунок 5). В этой панели можно:

  • быстро сменить режим работы программы;
  • вызвать основное окно программы;
  • быстро отключить работу файрвола;
  • быстро блокировать работу всех сетевых приложений.

Встроенный брандмауэр windows 7

Рисунок 5 – Панель быстрых команд Agava Firewall

Основной и довольно важной причиной выбора этой программы для персонального неискушенного пользователя является интуитивно понятный и простой интерфейс программы. Во всех окнах программы выводится окно с контекстной справкой, с помощью которой можно быстро получить информацию о возможностях того или иного инструмента Agava Firewall. Правда, функция контекстной справки довольно урезана. Из кратких сообщений обычному пользователю трудно разобраться в том, как работает данная функция, приходится отдельно вызывать файл справки. Логично вызов справки реализовать с гиперссылки контекстной справки, но, увы, по этим ссылкам открывается окно настроек функции. Это тем более странно, что кнопки вызова настроек предусмотрены в панели команд каждого окна. Происходит ненужное дублирование.

Agava Firewall обеспечивает:

  • низкоуровневую защиту TCP-стека;
  • слежение за изменениями модулей приложений и наличием сертификатов;
  • систему защиты от вторжений (детектор атак);
  • фильтрацию всех IP-протоколов;
  • защиту от ARP-атак;
  • защиту от почтовых вирусов;
  • другие функции.

Подробное описание основных возможностей фаервола:

  • начинает работать сразу после инсталляции, защищая компьютер от сетевых угроз. Встроенный Мастер конфигурации поможет правильно настроить сетевую защиту даже неопытному пользователю;
  • показывает список всех установленных сетевых соединений;
  • позволяет настраивать права доступа к сети для приложений и системы;
  • права доступа можно настраивать как вручную, так и при помощи специального Режима обучения, отвечая на вопросы файрвола по факту возникновения определенных сетевых событий;
  • можно сделать компьютер невидимым через интернет;
  • все сетевые события записываются в журнал;
  • инспектор приложений отслеживает изменения модулей и позволяет отключать доступ к сети для зараженных вирусами приложений автоматически;
  • определяются приложения, подписанные неверными сертификатами;
  • профили настроек позволяют создать несколько различных вариантов настроек для разных пользователей или режимов работы;
  • есть возможность защитить доступ к настройкам файрвола паролем;
  • при возникновении опасных ситуаций, например, атаки или замеченной вирусной активности, можно выключить сеть нажатием одной кнопки;
  • ведется статистика сетевой активности, которая отображается, в частности, в графическом виде;
  • — Детектор атак позволяет автоматически предотвращать попытки взлома системы и проникновения вирусов. Так же определяются и пресекаются случаи сканирования портов, DOS атак, подмены записей ARP таблицы. Дополнительно осуществляется stateful фильтрация, защищающая TCP стек;
  • Фильтр WWW дает возможность фильтровать содержимое страниц, скачиваемых через интернет. При помощи этой подсистемы экономится трафик и ускоряется открытие страниц в браузере. Фильтр рекламных изображений (баннеров) позволяет удалять со страниц нежелательную графическую рекламу по URL и размеру изображения. Можно отключать скачивание Flash-роликов, блокировать всплывающие окна, блокировать выполнение скриптов на страницах полностью и отдельно по закрытию страницы;
  • Фильтр e-mail предотвращает возможность нечаянного заражения компьютера после открытия в почтовом клиенте опасного вложения. Вложенные файлы, принадлежащие к списку опасных типов (например исполняемые, предоставляющие возможность исполнения скриптов и т.п.), переименовываются. Таким образом их нельзя запустить, не переименовав обратно, и исключается возможность нечаянного запуска;
  • Кэш DNS хранит список DNS записей для определенного количества доменов и позволяет сократить время, необходимое для установления сетевых соединений.

То есть Agava Firewall может выполнять все типовые функции данного класса программ, плюс некоторые дополнительные возможности.

К сожалению, детектор атак не всегда верно распознает поступающие запросы, в частности, по почтовым протоколам.

Что-то не совсем доработано в программе в плане нагрузки на движок программы. Даже при наличии разделения службы и оболочки вызов пользовательского интерфейса Agava FireWall (при нескольких открытых сеансах пользователей) происходит довольно медленно. Создается впечатление, что межсетевой экран просто не запускается. Хотя это не так — стоит подождать некоторое время (примерно 15-30 секунд), и станет видно окно программы.

Есть проблемы у Agava FireWall с некоторыми типами WiFi-адаптеров. Поэтому применение программы на ноутбуках несколько ограничено, пользователю необходимо убедиться в работоспособности программы именно на его устройстве.

Программа поддерживает русский язык, имеет интуитивно-понятный интерфейс. Она условно бесплатна, лицензионная версия стоит 455 рублей.

2.3 Comodo FireWall

Comodo Firewall (рисунок 6) — бесплатный персональный файервол компании Comodo для Microsoft Windows XP, Vista, Windows 7 и Windows 8. Comodo Firewall входит в состав Comodo Internet Security [1].

Встроенный брандмауэр windows 7

Рисунок 6 – Интерфейс Comodo Firewall

Возможности программы:

  • проактивная защита;
  • защита от интернет-атак;
  • защита от переполнения буфера;
  • защита от несанкционированного доступа;
  • защита важных системных файлов и записей реестра от внутренних атак;
  • обнаружение переполнения буфера, которое происходит в HEAP памяти;
  • обнаружение нападений ret2libc;
  • обнаружение разрушенных/плохих SEH цепочек.

Comodo Firewall позволяет просматривать активные сетевые подключения, например можно просматривать IP адреса, узнать номер порта подключения, тоже самое относится к протоколам, можно контролировать весь трафик соединения. Программа ведет журнал событий, в нем всегда можно просмотреть были ли совершены атаки на систему или нет, с какого адреса атаковали и так далее. Имеется возможность создавать свои правила для каждого приложения, доверительным можно дать доступ ко всем сетям и протоколам, если есть подозрительные, то их можно блокировать.

Есть в Comodo Firewall параметр Политика сетевой безопасности, там можно создавать и фильтровать пакеты для того, чтобы добиться от программы максимальной отдачи. С помощью мастера скрытых портов, можно создавать глобальные правила и скрывать полностью свой компьютер в сети. Comodo Firewall можно детально настраивать, для этого надо выбрать соответствующий параметр, но в большинстве случаев пользователей удовлетворяют стандартные параметры.

Основные компоненты Comodo Firewall:

  • персональный фаервол ;
  • управление сетями;
  • поведенческий анализ;
  • система HIPS;
  • система Viruscope;
  • контент-фильтр;
  • автоматическая песочница;
  • виртуальный рабочий стол;
  • Comodo Secure DNS;
  • диск аварийной очистки;
  • Comodo Cleaning Essentials;
  • менеджер процессов;
  • веб-браузер Comodo Dragon;
  • плагин PrivDog.

Далее будут рассмотрены некоторые компоненты программы.

Инструментом, служащим для поведенческого анализа является новая система Viruscope (рисунок 7). Viruscope следит за всеми операциями запущенных процессов и пытается обнаружить потенциально вредоносные действия. При обнаружении угрозы, компонент может отменить вредоносные изменения. Viruscope не является полноценным антивирусом, это просто дополнительный инструмент для обнаружения угроз.

Встроенный брандмауэр windows 7

Рисунок 7 – Компонент Viruscope

При испытании Viruscope использовалось более 30 неновых образцов вирусных программ. Компонент вступил в действие лишь однажды: он полностью отменил все изменения, сделанные вирусом, пропустив 7 недействующих и малозначимых ключей реестра.

Еще 5 образцов были обнаружены с помощью GeekBuddy и CloudScanner. Два из них были заблокированы полностью, две угрозы смогли установить выполняемые файлы в систему. Нужно иметь в виду, этот продукт не является антивирусом. Данные технологии обнаружения просто пытаются детектировать вирусы, которые антивирус может пропустить.

Важным составляющим Comodo Firewall является компонент Sandbox (рисунок 8). Когда программа запускается внутри изолированной среды Comodo, она не может вносить постоянные изменения в реестр или файловую систему. Если изолированная программа выполняет зловредные действия, можно просто перезагрузить Sandbox, и все изменения будут отменены. Изолированную программу можно распознать по зеленой рамке.

Встроенный брандмауэр windows 7

Рисунок 8 – Компонент Sandbox

Пользователь может запускать отдельные программы только в изолированной среде. Виджет рабочего стола Comodo включает иконки для запуска любого установленного браузера в изолированной среде. После перезагрузки песочницы, все данные сессии будут удалены. Принцип работы очень схож со стандартным режимами приватного просмотра, которыми оснащены все современные браузеры.

В любой момент можно запустить рейтинговое сканирование файлов (рисунок 9), чтобы Comodo провел мониторинг всех активных файлов на компьютере. В частности, фаервол анализирует запущенные процессы и процессы в автозагрузке.

Встроенный брандмауэр windows 7

Рисунок 9 – Рейтинговое сканирование

На странице задач в описании функции указано, что будет проведено сканирование на предмет вирусов и шпионских программ. На самом деле это не совсем так. Данное сканирование привлекает для своей работы Cloud Scanner. Поэтому, если в системе присутствуют активные вредоносные программы, они будут обнаружены. Однако, неактивные вредоносные образцы компонент не сможет найти. Кроме того, по завершению проверки пользователь получит список программ, установленных в системе с атрибутами рейтинга доверия, возраста и нахождения в автозапуске.

Comodo Firewall не только справляется с базовыми задачами брандмауэра, но и включает богатую коллекцию дополнительных инструментов защиты. Компоненты поведенческого анализа могут обнаружить вредоносные программы. С новыми функциями, как например Viruscope, Comоdо постепенно уходит от традиционных методов поведенческого обнаружения.

Функция изолированной среды позволяет безопасно запускать сомнительные программы, функция Do Not Track, виртуальный рабочий стол – лишь некоторые встроенные инструменты. Опытным пользователям будет очень полезная утилита Killswitch.

Достоинства Comodo Firewall

  • блокировка хакерских атак;
  • контроль доступа в Интернет программами;
  • успешное обнаружение всех ликтестов;
  • эффективное противостояние прямым таргетированным атакам;
  • инструмент Cloud Scanner и система Viruscope позволяют обнаруживать вредоносные программы;
  • функция Авто-sandbox
  • виртуальный рабочий стол;
  • защищенный браузер;
  • режим работы Do Not Track;
  • полнофункциональный монитор процессов;
  • встроенный менеджер автозагрузки.

Недостатки Comodo Firewall:

  • компонент поведенческий анализ (Behavior Blocker) часто подозревает во вредоносных действиях безопасные программы;
  • контент-фильтр не справился с тестом на защиту от фишинга

3. Leak-тесты сетевой

Leak-тест – это инструмент или набор процедур для выявления способности решения по безопасности противостоять попыткам незаконной отправки личной информации в Сеть. Он показывает готовность системы блокировать случайную или преднамеренную утечку данных.

Leak-тесты берут свое начало с момента появления первых персональных сетевых экранов (брандмауэров) в конце 90-х годов. Первоочередной задачей брандмауэров тех времен был контроль над сетевыми действиями приложений и предотвращение попыток «дозвониться домой» ( «отправить похищенные данные») недозволенным приложениям. За последнее время Leak-тесты сильно видоизменились и приросли новыми возможностями, такими, как отключение защитной функции брандмауэра, использование новых видов межпрограммного взаимодействия, эксплуатация уязвимых служб – это все те приемы, которые используют хакеры в своих «трудах», и их можно смело отнести к отдельной категории тестовых программ.

Если какой-то продукт успешно справился с Leak-тестом, это означает, что он способен защитить от атаки, в основе которой лежит определенная техника кражи данных. На данный момент существует много приемов, которые активно эксплуатируются хакерами, и серьезная защитная программа должна знать и уметь отражать все из них. Кибер-преступники не стоят на месте, и с каждым днем создают новые изощренные методы хищения информации с компьютеров пользователей, и по этой причине создателям программ для безопасности нужно постоянно быть начеку и создавать новые методики для защиты своих клиентов.

К моменту выхода Windows XP в 2001, на просторах Интернета существовали зловредные программы типа троянцев и шпионского ПО, которые беспрепятственно могли похитить важные данные и передать эту информацию неавторизованным лицам по сети. Для недопущения подобных событий компании, специализирующиеся в области безопасности, вышли на рынок с решениями класса «персональный брандмауэр», которые были призваны блокировать действия, инициированные недозволенными приложениями, путем блокирования их доступа в Сеть. Чтобы проверить, насколько эффективно работали такие защитные программы, эксперты и технические специалисты разработали специальные средства для симуляции возможных атак – тестовые программы проверяли способность брандмауэра контролировать их действия и предупреждали пользователя о том, что на компьютере обнаружена попытка выхода в Сеть. Эти тестовые средства и получили названия «Leak-тесты», они были сравнительно простые, но в тоже время им удалось выявить серьезные огрехи в защитных инструментах тех времен.

Первые Leak-тесты использовали простые методы проверки защищенности, такие, как подмена имени доверенных программ и запуск доверенных программ с измененными параметрами, которые давали команду на отправку определенного текстового содержания на удаленный ресурс с помощью нормального приложения. Такими действиями Leak-тесты пытались обмануть брандмауэр, рассчитывая, что тот подумает, что с Сетью пытается соединиться легальное приложение, и, как следствие, разрешить такое действие. Одним из первых хорошо известных Leak-тестов стал продукт Стива Гибсона из GRC под простым названием “Leak Test”. Эта программа эмулировала атаку, в которой зловредное приложение переименует себя в Internet Explorer, попытается зайти в Сеть и выявит, заметит ли установленный брандмауэр такую подмену.

С тех пор многое изменилось, и сегодняшние Leak-тесты намного мощнее и сложнее по сравнению со своими прародителями; они используют куда более изощренные техники проверки действия программ. Эти техники, к сожалению, также используются авторами вредоносных программ, таких, как клавиатурные шпионы, для захвата целевых пользовательских данных.

Leak-тесты проверяют способности превентивной защиты, тестируя, как решения безопасности реагируют на определенную технику вторжения, иногда называемую «вектором атаки». Этим они отличаются от тестов на отлов вирусов, где под тестами понимается способность антивирусных решений идентифицировать определенную сигнатуру кода.

Ликтесты слишком разнообразны, чтобы дать им единую классификацию согласно их действиям; они используют различные техники для тестирования способностей защитных программ. Их действия постоянно расширяются и совершенствуются, и, как правило, чем больше ликтестов существуют, тем лучше – более полно будут протестированы решения безопасности.

Обобщая, следует отметить, что Leak-тесты построены на одном или нескольких приемах тестирования, приведенных ниже:

  • попытки подделки имени доверенного приложения, находящегося на компьютере. Они также могут использовать его разрешения на доступ в сеть для отсылки информации в Интернет («спуфинг» имени, запуск законного приложения с дополнительными параметрами);
  • взаимодействие с легальным приложением с использованием встроенных в Windows средств (например, OLE Automation или DDE запросы);
  • изменение работающих приложений в памяти, введение вредоносных компонентов в состав нормальных приложений. Примером таких действий являются вставка компонента, прямой патчинг памяти, создание вредоносных трэдов подпроцессов;
  • использование сетевых служб и протоколов нестандартным образом для отсылки данных. В этом случае действие нацелено на то, что сетевой экран не заметит не характерную для зловредного кода сетевую активность, такую, как отправка поддельных DNS запросов, эксплуатация службы BITS, недостаточная фильтрация ICMP трафика;
  • установка в систему драйвера дополнительного сетевого интерфейса, через который Leak-тест будет отправлять исходящие данные;
  • подавление защитных функций установленной программы. Примерами могут быть несанкционированное отключение защити, попытки провести изменение активного сетевого экрана;
  • инициация завершения работы Windows. Так проверяется, контролирует ли брандмауэр работу активных программ вплоть до отключения компьютера;
  • перехват клавиатурных нажатий.

Большинство Leak-тестов создавалось под Windows XP, которая, в отличие от Windows Vista, не проверяет «права» одной программы на взаимодействие с другой программой или на действия, приведенные выше, при условии, что их запуск осуществляется с учетной записи с привилегиями «администратора». Такая ситуация создала многочисленные прецеденты, когда одна программа могла беспрепятственно использовать «права» другой, доверенной программы как механизм для осуществления целевых атак. Прошло то время, когда зловредное ПО напрямую, от своего имени, пыталось получить и отослать похищенные данные в Сеть,- теперь это делается от имени доверенной программы, которая занесена брандмауэром в белый список. Решения по безопасности должны не только контролировать сетевую активность самих зловредных программ, но также контролировать целостность и неприкосновенность доверенных программ и использование сетевых ресурсов для предотвращения незаконных операций и недопущения незаконных взаимодействий с целью кражи данных.

Настройка брандмауэра Виндовс — Защита компьютера


Похожие статьи.

Понравилась статья? Поделиться с друзьями: