Неискушенному читателю это может показаться странным, но многие специалисты по компьютерной безопасности называют брандмауэры не иначе, как «огненная вода».

Во-первых, это связано с самим назначением и условиями работы брандмауэров. С одной стороны, они должны обеспечивать полный контроль всех входящих/исходящих информационных потоков. С другой — защита должна быть абсолютно прозрачна для рядового пользователя. Всяческие ложные срабатывания, многократные подтверждения доступа и запросы паролей приводят к тому, что надоедливую защиту просто-напросто отключают. Получается, что брандмауэр должен сочетать в себе несовместимое — фактически воду и пламя.

Ассоциация огненной воды с любимым русским спиртным напитком тоже имеет под собой некоторые основания: современные брандмауэры в большинстве случаев «опьяняют» своих владельцев, даруя им необоснованное спокойствие, тогда как реальная ситуация далека от идеальной.

Если не вдаваться в теоретические изыски, то идеальный персональный брандмауэр должен выполнять шесть функций.

1 Блокировка внешних атак

В идеале брандмауэр должен блокировать все известные типы атак, включая сканирование портов, IP-спуффинг, DoS и DDoS, подбор паролей и пр.

2 Блокировка утечки информации

Даже если вредоносный код проник в компьютер (не обязательно через сеть, а, например, в виде вируса на купленном пиратском CD), брандмауэр должен предотвратить утечку информации, заблокировав вирусу выход в сеть.

3 Контроль приложений

Неизбежное наличие открытых дверей (то бишь открытых портов) является одним из самых скользких мест в блокировке утечки информации, а одним из самых надежных способов воспрепятствовать проникновению вирусов через эти двери является контроль приложений, запрашивающих разрешение на доступ. Кроме банальной проверки по имени файла весьма желательна проверка аутентичности приложения.

4 Поддержка зональной защиты

Работа в локальной сети часто подразумевает практически полное доверие к локальному контенту. Это открывает уникальные возможности по использованию новейших (и, как правило, потенциально опасных) технологий. С другой стороны, уровень доверия к Интернет-контенту значительно ниже, а значит, необходим дифференцируемый подход к анализу опасности того или иного содержания.

5 Протоколирование и предупреждение

Брандмауэр должен собирать именно необходимый объем информации. Избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя приветствуются.

6 Максимально прозрачная работа

Эффективность и применяемость системы часто обратно пропорциональна сложности ее настройки, администрирования и сопровождения. Несмотря на скепсис в отношении «мастеров» (wizards) по настройке и прочих буржуйских штучек, даже опытные администраторы не пренебрегают ими просто в целях экономии времени.

Tiny Personal Firewall (TPF)

Одна из самых простых и компактных программ (рис. 1). Нельзя сказать, что TPF является широкопрофильным продуктом: ее главный козырь — защита от троянских коней. Именно для их отлова предназначена функция аутентификации приложений в соответствии с протоколом MD5, защищающая в какой-то мере от банальной подмены имен исполняемых файлов. Так что даже если вредоносная программа носит имя MSIMN.EXE (Outlook Express) или IEXPLORE.EXE (Internet Explorer), TPF не выпустит ее в Сеть.

В главном окне TPF присутствует переключатель для трех уровней безопасности. На уровне Don’t bother me программа не задает никаких вопросов и разрешает любой не запрещенный правилами трафик. На обычном уровне Ask me first применяются все правила фильтрации, а при попытке программы, отсутствующей в списке авторизованных, получить доступ — пользователю предоставляется выбор. На уровне Cut me off доступ в сеть блокируется напрочь.

Окно Advanced Firewall Configuration предоставляет доступ ко всем правилам, а также возможность создавать собственные. Закладка Microsoft Networking позволяет разрешить (или запретить) совместное использование принтеров и файлов.

В последних версиях есть функции фильтрации веб-трафика и электронной почты, ведения отчетов, входящий трафик контролируется на предмет наличия вирусов (используется движок McAfee Virus Scan), а также реализована поддержка виртуальных частных сетей (VPN) Cisco и Alcatel

Norton Internet Security (NIS)

Одна из лучших программ подобного рода, и если ее младший брат — Norton Personal Firewall — по некоторым параметрам уступает конкурентам, то NIS (в состав которого входят Norton Personal Firewall, Norton AntiVirus, модуль Parental Control для блокировки доступа к запрещенным веб-узлам и модуль защиты конфиденциальности Privacy Control), безусловно, один из лидеров. Как и многие другие продукты Symantec, NIS обладает всем набором дополнительных удобств — приятным интерфейсом, продуманными программами установки и удаления, единым центром управления (рис. 2). Этот брандмауэр довольно «интеллектуален» — по крайней мере, способен распознать наиболее распространенные программы и автоматически сконфигурировать правила доступа для них. Еще одно достоинство — развитые функции защиты от зловредных Java- и ActiveX-приложений; к тому же NIS позволяет обеспечить анонимный веб-серфинг путем блокировки cookies и http-ref.

Перед первым запуском можно воспользоваться утилитой проверки системы, которая составит список всех программ, обращающихся в сеть, после чего права доступа можно задать индивидуально или принять по умолчанию. Для каждого модуля (антивируса, брандмауэра, модуля защиты конфиденциальности и родительского контроля) можно выбрать один из четырех режимов: Automatic, Permit all, Block all и Custom.

К немногочисленным недостаткам программы можно отнести лишь ее высокую цену, большой размер дистрибутива и изрядные системные требования.