Шлюзы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, поскольку взаимодействие с внешним миром реализуется через небольшое число прикладных полномочных программ-посредников, полностью контролирующих весь входящий и выходящий трафик.

Шлюзы прикладного уровня имеют ряд преимуществ по сравнению с обычным режимом, при котором прикладной трафик пропускается непосредственно к внутренним хост-компьютерам. Перечислю эти преимущества.

Невидимость структуры защищаемой сети из глобальной сети Internet. Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хост-компьютером, имя которого должно быть известно внешним системам.

Надежная аутентификация и регистрация. Прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренних хост-компьютеров, и может быть зарегистрирован более эффективно, чем с помощью стандартной .регистрации.

Оптимальное соотношение между ценой и эффективностью. Дополнительные или аппаратные средства для аутентификации или регистрации нужно устанавливать только на шлюзе прикладного уровня.

Простые правила фильтрации. Правила на фильтрующем маршрутизаторе оказываются менее сложными, чем они были бы, если бы маршрутизатор сам фильтровал прикладной трафик и отправлял его большому числу внутренних систем. Mapшрутизатор должен пропускать прикладной трафик, предназначенный только для шлюза прикладного уровня, и блокировать весь остальной трафик.

Возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием "дыр" в программном обеспечении.

К недостаткам шлюзов прикладного уровня относятся:

более низкая производительность по сравнению с фильтрующими маршрутизаторами; в частности, при использовании клиент-серверных протоколов, таких как TELNET, требуется двухшаговая процедура для входных и выходных соединений;

Более высокая стоимость по сравнению с фильтрующим маршрутизатором Помимо TELNET и FTP шлюзы прикладного уровня обычно используются для электронной почты, Х Windows и некоторых других служб.

2.7 Усиленная аутентификация

Одним из важных компонентов концепции межсетевых экранов является аутентификация (проверка подлинности пользователя). Прежде чем пользователю будет предоставлено право воспользоваться, тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого себя выдает.

Одним из способов аутентификации является использование стандартных UNIX-паролей. Однако эта схема наиболее уязвимо с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Многие инциденты в сети Internet произошли отчасти из-за уязвимости традиционных паролей. Злоумышленники могут наблюдать за каналами в сети Internet и перехватывать передающиеся в них открытым текстом пароли, поэтому схему аутентификации с традиционными паролями следует признать устаревшей.

Для преодоления этого недостатка разработан ряд средств усиленной аутентификации; смарт-карты, персональные жетоны, биометрические механизмы и т.п. Хотя в них задействованы разные механизмы аутентификации, общим для них является то, что пароли, генерируемые этими устройствами, не могут быть повторно использованы нарушителем, наблюдающим за установлением связи. Поскольку проблема с паролями в сети Internet является постоянной, межсетевой экран для соединения с Internet, не располагающий средствами усиленной аутентификации или не использующий их, теряет всякий смысл .

Ряд наиболее популярных средств усиленной аутентификации, применяемых в настоящее время, называются системами с одноразовыми паролями.

Например, смарт-карты или жетоны аутентификации генерируют информацию, которую хост-компьютер использует вместо традиционного пароля. Результатом является одноразовый пароль, который, даже если он будет перехвачен, не может быть использован злоумышленником под видом пользователя для установления сеанса с хост- компьютером.

Так как межсетевые экраны могут централизовать управление доступом в сети, они являются подходящим местом для установки программ или устройств усиленной аутентификации. Хотя средства усиленной аутентификации могут использоваться на каждом хост-компьютере, более практично их размещение на межсетевом экране. На рис. показано, что в сети без межсетевого экрана, использующего меры усиленной аутентификации, неаутентифицированный трафик таких приложений, как TELNET или FTP, может напрямую проходить к системам в сети. Если хост-компьютеры не применяют мер усиленной аутентификации, злоумышленник может попытаться взломать пароли или перехватить сетевой трафик с целью найти в нем сеансы, в ходе которых передаются пароли.

В этом случае сеансы TELNET или FTP, устанавливаемые со стороны сети Internet с системами сети, должны проходить проверку с помощью средств усиленной аутентификации, прежде чем они будут разрешены, Системы сети могут запрашивать для разрешения доступа и статические пароли, но эти пароли, даже если они будут перехвачены злоумышленником, нельзя будет использовать, так как средства усиленной аутентификации и другие компоненты межсетевого экрана предотвращают проникновение злоумышленника или обход ими межсетевого экрана.

2.8 Основные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

· защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети;

· скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети,

· разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Необходимость работы с удаленными пользователями требует установки жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом часто возникает потребность в организации в составе корпорационной сети нескольких сегментов с разными уровнями защищенности:

· свободно доступные сегменты (например, рекламный WWW-сервер),

· сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов),

· закрытые сегменты (например, локальная финансовая сеть организации) .

Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:

· межсетевой экран - фильтрующий маршрутизатор;

· межсетевой экран на основе двупортового шлюза;

· межсетевой экран на основе экранированного шлюза;

· межсетевой экран - экранированная подсеть.

2.8.1 Межсетевой экран - фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из фильтрующего маршрутизатора, расположенного между защищаемой сетью и сетью Internet (рис. 8.6). Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet, в то время как большая часть доступа к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows, NIS и NFS. В принципе фильтрующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики "запрещено все, что не разрешено в явной форме" может быть затруднена.

Межсетевые экраны, основанные на фильтрации пакетов, имеют такие же недостатка, что и фильтрующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесточении требований к безопасности защищаемой сети.

Отметим некоторые из них:

· сложность правил фильтрации, в некоторых случаях совокупность этих правил может стать неуправляемой;

· невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от не протестированных атак;

· в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;

· каждый хост-компьютер, связанный с сетью Internet, нуждается в своих средствах усиленной аутентификации.

2.8.2 Межсетевой экран на базе двупортового шлюза

Межсетевой экран на базе двупортового прикладного шлюза включает двудомный хост-компьютер с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рисунок). В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Эту подсеть можно использовать для размещения доступных извне информационных серверов.

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором прикладной шлюз полностью блокирует трафик IР между сетью internet и защищаемой сетью. Только полномочные сервера - посредники, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе "запрещено все, что не разрешено в явной форме", при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, только маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации межсетевого экрана является довольно простой и достаточно эффективной.Следует отметить, что безопасность двудомного хост-компьютера, используемого в качестве прикладного шлюза, должна поддерживаться на высоком уровне. Любая брешь в его защите может серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у злоумышленника появится возможность проникнуть в защищаемую сеть.Этот межсетевой экран может требовать от пользователей применение средств усиленной аутентификации, а также регистрации доступа, попыток зондирования и атак системы нарушителем.

Для некоторых сетей может оказаться неприемлемой недостаточная гибкость схемы межсетевого экрана с прикладным шлюзом.

2.8.3 Межсетевой экран на основе экранированного шлюза

Межсетевой экран на основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, разрешаемый со стороны внутренней сети. Прикладной шлюз реализуется на хост - компьютере и имеет только один сетевой интерфейс.

В этой схеме первичная безопасность обеспечивается фильтрующим маршрутизатором. Пакетная фильтрация в фильтрующем маршрутизаторе может быть реализована одним из следующих способов:

· позволять внутренним хост - компьютерам открывать соединения с хост - компьютерами в сети Internet для определения сервисов

· запрещать все соединения от внутренних хост-компьютеров (заставляя их использовать полномочные серверы-посредники на прикладном шлюзе).

Эти подходы можно комбинировать для различных сервисов, разрешая некоторым сервисам соединение непосредственно через пакетную фильтрацию, в то время как другим только непрямое соединение через полномочные серверы-посредники. Все зависит от конкретной политики безопасности, принятой во внутренней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои полномочные серверы-посредники, обеспечивал для систем защищаемой сети такие сервисы, как TELNET, FTP, SMTP.

Межсетевой экран выполненный по данной схеме, получается более глубоким, но менее безопасным по сравнению с межсетевым экраном с прикладным шлюзом на базе двудомного хост - компьютера . Это обусловлено тем, что в схеме межсетевого экрана с экранированным шлюзом существует потенциальная возможность передачи трафика в обход прикладного шлюза непосредственно к системе локальной сети .

Основной недостаток схемы межсетевого экрана с экранированным шлюзом заключается в том, что если атакующий нарушитель сумеет проникнуть в хост-компьютер, то перед ним окажутся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю.

По этим причинам в настоящее время все более популярной становится схема межсетевого экрана с экранированной подсетью.



2.8.4 Межсетевой экран - экранированная подсеть

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора (рисунок). Внешний маршрутизатор располагается между сетью internet и экранируемой подсетью, а внутренний - между экранируемой подсетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet.

Внешний маршрутизатор защищает от сети internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам:

· разрешается трафик от объектов internet к прикладному шлюзу;

· разрешается трафик от прикладного шлюза к internet;

· разрешается трафик электронной почты от internet к серверу электронной почты;

· разрешается трафик электронной почты от сервера электронной почты к internet;

· разрешается трафик FTP, Gopher и т.д. от internet к информационному серверу;

· запрещается остальной трафик.

Внешний маршрутизатор запрещает доступ из internet к системам внутренней сети и блокирует весь трафик к internet, идущий от систем, которые не должны являться инициаторами соединений (в частности, информационный сервер и др.). Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.

Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранированной подсети. Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:

· разрешается трафик от прикладного шлюза к системам сети;

· разрешается прикладной трафик от систем сети к прикладному шлюзу;

· разрешает трафик электронной почты от сервера электронной почты к системам сети;

· разрешается трафик электронной почты от систем сети к серверу электронной почты;

· разрешается трафик FTP, Gopher и т.д. от систем сети к информационному серверу;

· запрещает остальной трафик;

Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в хост-компьютер прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршрутизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из Internet, и наоборот. Кроме того, четкое разделение функций между маршрутизаторами и прикладным шлюзом позволяет достигнуть более высокой пропускной способности.

2.9 Применение межсетевых экранов для организации виртуальных корпоративных сетей

Некоторые межсетевые экраны позволяют организовать виртуальные корпоративные сети. Несколько локальных сетей, подключенных к глобальной сети, объединяются в одну виртуальную корпоративную сеть. Передача данных между этими локальными сетями производиться прозрачным образом для пользователей локальных сетей. Конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использование цифровых подписей. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка.

2.10 Программные методы защиты

К программным методам защиты в сети Internet могут быть отнесены защищенные криптопротоколы, которые позволяют надежно защищать соединения. В процессе развития Internet были созданы различные защищенные сетевые протоколы, использующие как симметричную криптографию с закрытым ключом, так и асимметричную криптографию с открытым ключом. К основным на сегодняшний день подходам и протоколам, обеспечивающим защиту соединений, относятся SKIP-технология и протокол защиты соединения SSL.

SKIP (SecureKeyInternetРгоtосоl) -технологией называется стандарт защиты трафика IP-пакетов, позволяющий на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных.

Возможны два способа реализации SKIP-защиты трафика IP-пакетов:

· шифрование блока данных IP- ракета;

· инкапсуляция IP-пакета в SKIP-пакет.

Шифрование блока данных IP-пакета иллюстрируется . В этом случае шифруются методом симметричной криптографии только данные IP-пакета, а его заголовок, содержащий помимо прочего адреса отправителя и получателя, остается открытым, и пакет маршрутизируется в соответствии с истинными адресами. Закрытый ключ K(i,j), разделяемый парой узлов сети i и j, вычисляется по схеме Диффи-Хеллмана. SKIP-пакет внешне похож на обычный IP-пакет.

В поле данных SKIP-пакета полностью размещается в зашифрованном виде исходный IP-пакет.В этом случае в новом заголовке вместо истинных адресов могут быть помещены некоторые другие адреса. Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хост-компьютеру в сети Internet, при этом межсетевая адресация осуществляется по обычному IP-заголовку в SKIP - пакете. Конечный получатель SKIP - пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP - или UDP -пакет , который и передает соответствующему модулю (TCP или UDP) ядра операционной системы. Универсальный протокол защиты соединения SSL (SecureSocketLayer) функционирует на сеансовом уровне эталонной модели OSI. Протокол SSL, разработанный компанией Netscape, использует криптографию с открытым ключом. Этот протокол является действительно универсальным средством, позволяющим динамически защищать соединение при использовании любого прикладного протокола (FTP, TELNET, SMTP, DNS и т.д.). Протокол SSL поддерживаюттакиеведущиекомпании, как IBM, Digital Equipment Corporation, Microsoft Corporation, Motorola, Novell Inc., Sun Microsystems, MasterCard International Inc. идр.

Следует отметить также функционально законченный отечественный криптографический комплекс "Шифратор IP потоков".разработанный московским отделением Пензенского научно-исследовательского электротехнического института. Криптографический комплекс "Шифратор IP потоков" представляет собой распределенную систему криптографических шифраторов, средств управления криптографическими шифраторами, средств хранения, распространения и передачи криптографической информации, а также средств оперативного мониторинга и регистрации происходящих событий. Криптографический комплекс "Шифратор IP потоков" предназначен для выполнения следующих функций:

· создания защищенных подсетей передачи конфиденциальной информации;

· объединения локальных сетей в единую защищенную сеть;

· организации единого центра управления защищенной подсетью.

· Комплекс обеспечивает:

· контроль целостности передаваемой информации;

· аутентификацию абонентов (узлов сети);

· передачу контрольной информации в Центр управления ключевой системой защищенной IP сети;

· поддержку протоколов маршрутизации PIP II, OSPF, BGP;

· поддержку инкапсуляции IPX в IP (в соответствии с RFC-1234);

· поддержку инкапсуляции IP вХ.25 и FrameRelay;

Криптографический комплекс "Шифратор IP потоков" имеет модульную структуру и состоит из распределенной сети шифраторов IP потоков и единого центра управления ключевой системой.

Шифратор IP протоколов (ШИП) состоит из:

· криптографического модуля, непосредственно встроенного в ядро операционной системы

· модуля поддержки клиентской части ключевой системы;

· модуля проверки целостности системы при загрузки.

· модуля записи протоколов работы криптографической системы;

ШИП содержит также плату с интерфейсом ISA, используемую для защиты от НСД при загрузке системы и для получения от сертифицированного физического датчика случайных чисел, необходимых для реализации процедуры шифрования.

Центр управления ключевой системой (ЦУКС) состоит из:

· автоматизированного рабочего места управления ключевой системой, работающей в среде XWindows;

· модуля серверной части ключевой системы;

· сервисной программы просмотра протоколов работы криптографического комплекса "Шифратор IP потоков".

Управление ключами выполняется при помощи ЦУКС и заключается в следующем:

· Периодическая смена парных ключей шифрования зарегистрированных узлов защищенной сети;

· формирование и рассылка по сети справочников соответствия, определяющих возможность абонентов работать друг с другом;

· сбор и хранение в базе данных информации о всех критичных событиях в сети, возникающих как при аутентификации абонентов, так и при передаче между ними зашифрованной информации.

В случае возникновения нештатных ситуаций, создающих угрозу нарушения защиты информации, администратор ЦУКС предпринимает действия , направленные на восстановление целостности системы защиты информации.

Схема организации виртуальной корпоративной сети с применением криптографического комплекса “Шифратор IP потоков” показана на рисунке. При организации виртуальной корпоративной сети небольшого размера без жёстких требований к времени оповещения абонентов о компрометации какого-либо абонента и без жёстких требований к полноте собираемых протоколов об ошибках доступа возможно использование одного ЦУКС. При организации виртуальной корпоративной сети среднего размера или с жёсткими требованиями к времени оповещения абонентов компрометации какого-либо абонента и к полноте собираемых протоколов об ошибках доступа следует использовать несколько ЦУКС. При этом желательно, чтобы ЦУКС имели независимые друг от друга каналы подключения к глобальной сети.



3 Результаты тестирования современных программ сетевой защиты

Таблица 1 Результаты тестирования

Продукт	Результат	Оценка
	ComodoInternetSecurity 3.12.111745.560	100%	Отлично - 100%
	PC ToolsFirewallPlus 6.0.0.86	100%	Отлично - 100%
	OnlineArmorPremium 4.0.0.15	99%	Отлично
	KasperskyInternetSecurity 2010 9.0.0.459	96%	Отлично
	OutpostFirewallFree 2009 6.5.2724.381.0687.328	93%	Отлично
	OutpostSecuritySuitePro 2009 6.5.4.2525.381.0687	92%	Отлично
	Online Armor Personal Firewall 3.5.0.14 Free	92%	Отлично
	JeticoPersonalFirewall 2.0.2.8.2327	89%	Очень хорошо
	MalwareDefender 2.2.2	89%	Очень хорошо
	Privatefirewall 6.0.20.14	88%	Очень хорошо
	Netchina S3 2008 3.5.5.1	88%	Очень хорошо
	ZoneAlarmPro 8.0.059.000	72%	Хорошо
	NortonInternetSecurity 2010 17.0.0.136	67%	Хорошо
	LavasoftPersonalFirewall 3.0.2293.8822	67%	Хорошо
	WebrootDesktopFirewall 5.8.0.25	54%	Удовлетворительно
	Trend Micro Internet Security Pro 17.1.1250	29%	Не удовлетворительно
	BitDefenderInternetSecurity 2009 12.0.12.0	12%	Не удовлетворительно
	ZoneAlarmFreeFirewall 8.0.298.000	11%	Не удовлетворительно
	AviraPremiumSecuritySuite 9.0.0.367	10%	Не удовлетворительно
	F-SecureInternetSecurity 2010 10.00.246	8%	Не удовлетворительно
	CA Internet Security Suite Plus 2009 5.0.0.581	5%	Не удовлетворительно
	KingsoftInternetSecurity 9 Plus 2009.07.17.10	5%	Не удовлетворительно
	RisingInternetSecurity 2009 21.41.21	5%	Не удовлетворительно
	SunbeltPersonalFirewall 4.6.1861.0	5%	Не удовлетворительно
	ThreatFireFree 4.1.0.25	5%	Не удовлетворительно
	eConcealProforWindows 2.0.019.1	4%	Не удовлетворительно
	ESET SmartSecurity 4.0.417.0	4%	Не удовлетворительно
	FortiClientEndPointSecurity 4.0.2.57	4%	Не удовлетворительно
	G DATA InternetSecurity 2010 20.1.0.50	4%	Не удовлетворительно
	PandaInternetSecurity 2010 15.00.00	4%	Не удовлетворительно
	TrustPort PC Security 2.0.0.1285	4%	Не удовлетворительно
	WindowsLiveOneCare 2.5.2900.24	4%	Не удовлетворительно
	AVG InternetSecurity 9.0.697	2%	Не удовлетворительно
	Mamutu 1.7.0.23	2%	Не удовлетворительно
	NormanSecuritySuite 7.10	2%	Не удовлетворительно

3.1 Краткий обзор лидирующих программ

В 2010 году производители файрволлов значительно улучшили свои продукты.

В категорию "отличных" попали 5 файрволлов, и 2 из них (Outpost и Касперский) - российских разработчиков. В то же время ряд других известных файрволлов, таких как ZoneAlarm или NortonInternetSecurity оказались за пределами списка файрволлов, рекомендуемых к использованию.Среди лидеров есть и бесплатные файрволлы, однако нужно иметь в виду, что они, несмотря на то, что хорошо исполняют роль файрволла, обладают меньшимнабором функций, чем платные аналоги.

ComodoInternetSecurity - бесплатныйфайрволл, разработанный американской компанией. Это комплексное решение, включающее наряду с файрволлом защиту от троянов и вирусов и другие функции. Программа включает огромное число разнообразных настроек. Платная версия имеет дополнительные функции по защите, оптимизации и настройке ПК и шифровке данных, передаваемых по беспроводным соединениям. Русская версия присутствует.

Сайт разработчика: http://personalfirewall.comodo.com/

PC ToolsFirewallPlus достаточно популярныйфайрволл, полностью бесплатен и проще в настройках и использовании, чем файрволлComodo. Есть русская версия. Интегрированного вируса не содержит, но разработчики рекомендуют использование в комплекте со своим собственным антивирусом. Есть также платный продукт PC ToolsInternetSecurity, в который интегрированы файрволл, антивирус и антишпионские функции.

Сайтразработчика: http://www.pctools.com/ru/firewall/

OnlineArmorPersonalFirewallразработан австралийской компанией. Эта программа умеет детектировать попытки вторжения в компьютер извне, контролировать запускаемые пользователем приложения, блокировать вредоносные скрипты и подозрительные расширения для браузера InternetExplorer, а также отслеживать список автоматически запускаемых программ. Кроме этого OnlineArmorPersonalFirewall анализирует входящий/исходящий трафик, измеряет скорость соединения программ с Интернетом и на основе собранной информации способен строить различные графики. Одно из существенных преимуществ - наличие большого числа предустановленных правил для популярных программ, благодаря чему пользователю не придётся отвлекаться. Собственного антивируса нет (существует версия этой программы с антивирусом Касперского). Бесплатная версия несколько уступает коммерческой, но и она заняла вполне достойное место и рекомендуется организаторами теста к использованию. К сожалению, русская версия программы пока отсутствует.

Сайтразработчика: http://www.online-armor.com/

KasperskyInternetSecurity 2011 - решение для комплексной защиты компьютера от лидера в области разработки антивирусного ПО - Лаборатории Касперского. Согласно тестам и отзывам пользователей обеспечивает надёжную защиту по многим параметрам (один из лучших как в рейтинге файрволлов, так и в рейтинге антивирусов, по результатам последних тестов, проведённых VirusBulletin), при этом прост в использовании и настройке по сравнению с большинством аналогов.

Сайтразработчиков http://www.kaspersky.ru/kaspersky_internet_security

OutpostFirewallPro 2001 российской компании Agnitum - один из наиболее известныхфайрволлов (долгое время занимал первое место в рейтинге). OutpostFirewallPro 2009 - комплексное решение, включающее защиту от вирусов, троянов, шпионских программ, контроль приложений, защиту от спама, блокирование нежелательной рекламы, защиту от посещения нежелательных сайтов и т. п. Одно из самых лучших и надёжных решений.

Сайтразработчика: http://www.agnitum.ru/

JeticoPersonalFirewall является одним из перспективных файрволлов, он разработан финской компанией. Файрволл обеспечивает хорошую защиту, но достаточно сложен для непродвинутого пользователя. Собственного антивируса нет. Есть русская версия программы. Сайт разработчика: http://www.jetico.com/firewall-jetico-personal-firewall/



4 Обзор COMODO Internet Security 4

Далее мы подробно рассмотрим COMODO InternetSecurity 4. Именно этот фаерволл установлен и работает на моем персональном компьютере. Данное ПО было выбрано мной из-за множества хороших отзывов и оценок о нём в интернете. Ниже будут рассмотрены все новшества и изменения последней версии продукта.

4.1 Основные возможности

После установке, при первом же запуске, COMODO Firewall будет обнаруживать частные сети, к которым подключён Ваш компьютер, а Вам остаться переименовать сеть, указать, если ПК должен быть доступным для других компьютеров этой сети, а также, разрешать или запретить фаерволу автоматически определять новые сети:

Рисунок3 Автоматическое определение новых локальных сетей



После того как закончили настройку сетевых параметров, настоятельно рекомендуется обновить сигнатурные базы антивируса. А сделать это, можно с простым нажатием на ссылку «UpdateNow»:

Рис. 4 Обновление сигнатурных баз

После успешного завершения обновления, COMODO InternetSecurity требует выполнить полное сканирование компьютера на наличие вредоносных программ. Начать сканирование, можно нажимая на ссылку «Doitnow». Во время сканирования, можно сделать паузу, чтобы возобновить процесс позднее или полностью остановить процесс. Также, Вы можете увидеть состояние сканирования, какое количество файлов было проверено, сколько найдено угроз и длительность процесса.

Если во время сканирования были найдены вредоносные программы, то после завершения проверки, нажимая на кнопку «Results» можно анализировать список вредоносных файлов или сохранить его в текстовом файле, удалить, отправить в карантин, лечить зараженные объекты или игнорировать их.



Рисунок5 Сканирование компьютера

Примечание:

Если Вы хотите лечить зараженный объект, но он не подлежит лечению, то файл будет удалён.

Стоит ещё добавить, что в новой версии существует возможность сканировать файлы и папки в безопасном режиме Windows. Для этого, достаточно найти файл cavscan.exe в папке программы, запускать его, выбрать файлы/папки и нажать на «Scan».



Рисунок 6 Окно cavscan.exe

Теперь, когда все жизненно важные действия выполнены, можем ознакомиться со всеми функциями и возможностями программы. Итак, как можно заметить, главный интерфейс программы состоит из 5 разделов:

1. Summary

2. Antivirus

3. Firewall

4. Defense+

5. More

В первом разделе, Summary, пользователь может узнать:

· состояние системы;

· какие действия нужно предпринимать;

· состояние антивируса;

· какой профиль использует сканер реального времени;

· когда последний раз были обновлены антивирусные базы;

· сколько вредоносных угроз обнаружено;

· количество входящих и исходящих соединении;

· уровень безопасности фаервола;

· количество заблокированных атак;

Рисунок7 Вкладка раздела Summary

Во втором разделе, Antivirus, пользователь может:

· сканировать ПК на наличие вредоносных программ;

· обновить антивирусную базу;

· манипулировать файлами, отправленными на карантин;

· анализировать журнал событий антивируса;

· отправить подозрительные файлы на анализ;

· манипулировать запланированные сканирования;

· настроить антивирусного сканера;

Рисунок8 Вкладка раздела Antivirus

Третий раздел, Firewall, содержит два подраздела:

В первом подразделе, CommonTasks, пользователь может:

· просмотреть событья и оповещения фаервола;

· добавить доверенные приложения и процессы;

· добавить заблокированные приложения и процессы;

· создать набор правил, влияющих на видимость компьютера в сети;

· увидеть приложения, подключенные к сети;

· манипулировать заблокированные сетевые зоны;

Рисунок9 Вкладка раздела Firewall

Во втором подразделе, Advanced, пользователь может:

· создать, изменить или удалить правила фильтрации сетевых пакетов;

· создать, изменить или удалить предопределенных правил фаервола;

· настроить различные опции фаервола;



Рисунок 10 Вкладка раздела Advanced

Четвёртый раздел, Defense+, содержит три подраздела:

В первом подразделе, CommonTasks, пользователь может:

· просмотреть журнал проактивной защиты;

· защитить определенные файлы и папки от несанкционированных изменений;

· заблокировать доступ к определенным файлам и папкам;

· манипулировать нераспознанные файлы, ожидающие административного просмотра;

· создать список безопасных файлов;

· анализировать список всех активных процессов;

· определить доверенных поставщиков программного обеспечения;

· защитить конкретные ключи реестра от несанкционированных изменений;

· защитить определенные интерфейсы COM от несанкционированных изменений;



Рисунок 11 Вкладка раздела Defence+

Во втором подразделе, Sandbox, пользователь может:

· создать, изменить или удалить программы и процессы в песочнице;

· изменить настройки песочницы;

· запустить определенный процесс или программу в песочнице;

Рисунок 12 Вкладка подраздела Sandbox

В третьем подразделе, Advanced, пользователь может:

· управлять правилами Проактивной Защиты;

· создать набор правил Проактивной Защиты;

· изменить настройки контроля исполнения файлов;

· изменить настройки Проактивной Защиты;

Рисунок 13 Вкладка подраздела Advanced

В пятом разделе, More, пользователь может:

· изменить общие настройки программы

· импортировать, экспортировать или удалять настройки

· проверить наличие последних обновлений

· получить подробную справку о COMODO InternetSecurity

· посмотреть информацию об авторских правах и версии программы



Рисунок 14 Вкладка раздела More

Для тех, кто не знаком с COMODO InternetSecurity, хочу заметить, что этот программный продукт "частично" русифицирован, и, думаю, что большинство русскоязычных пользователей предпочитают использовать именно русский язык.

Для того чтобы изменить настройки языка: открываем COMODO InternetSecurity, идём в More -->Settings --> Language, выбираем Русский By COMODO и нажимаем OK. Но, чтобы изменения вступили в силу, нужно перезагрузить программу: сделаем правый клик по иконке программы в трее, выбираем «Exit» и снова запускаем COMODO InternetSecurity.



Рисунок 15 Окно русификации

И вот так выглядят русифицированный COMODO InternetSecurity 4.0:

Рисунок 16 Русифицированный COMODO Internet Security 4.0

И в заключение:

Системные требования

32-bit (32-разрядная версия):

Операционная система: Windows 7 / Vista / XP SP2

Оперативная память: 64 MB RAM

Свободное пространство на жестком диске: 150 MB

64-bit (64-разрядная версия):

Операционная система: Windows 7 / Vista / XP SP2

Оперативная память: 64 MB RAM

Свободное пространство на жестком диске: 175 MB

4.1.1 Новая технология «Sandbox»

В новой версии COMODO InternetSecurity, для обеспечения более высокого уровня защиты, реализованы новые функции, улучшены старые, а также удалены ненужные, и, самое важное, добавлена новая технология -- «Sandbox» (песочница), которая "умеет" виртуализировать файловую систему и реестр.Чтобы настроить песочницу, нужно открыть программу, перейти в раздел:Defense+ --> Sandbox --> SandboxSettings.

Здесь можно отключить или включить:

1. технология Sandbox;

2. виртуализация файловой системы;

3. виртуализация реестра;

4. автоматически запускать в песочнице неизвестные приложения;

5. автоматически обнаружить инсталляторы и не запускать их в песочнице;

6. автоматически отправить/получить данные о неизвестных приложениях;

7. автоматически доверять файлам доверенных инсталляторов;



Рисунок 17 Главные настройки

Чтобы лучше понять, как эта функция работает, привожу маленький пример:

Итак, идем в Пуск (Start) -> Выполнить (Run) в появившемся окне набираем cmd и жмем OK, а в появившемся черном окне набираем:

echo #192.168.1.1 normal_run>>C:\windows\system32\drivers\etc\hosts и нажимаем ENTER.

Рисунок 18 Командная строка



Теперь, в Notepad'е открываем файл C:\windows\system32\drivers\etc\hosts, и видим, что была добавлена строка: #192.168.1.1 normal_run.

Таким образом, как Вы поняли, системный файл был изменён, а это небезопасно...Но, попробуем запустить этот же процесс в песочнице:

1. открываем COMODO Internet Security

2. идёмвраздел Defense+ --> Sandbox --> Run a Program in the Sandbox

3. в появившемся окне набираем cmd, нажимаем на RunAs и выбираем Untrusted

Рисунок 19 Строка пути программы к «Sandbox»

А в появившемся окне набираем:

echo #192.168.1.1 sandbox_run>>C:\windows\system32\drivers\etc\host и нажимаем ENTER.



Рисунок20 Появившаяся в ходе действий командная строка

Но, в отличие от первого теста, на этот раз получаем сообщение "Отказано в доступе", таким образом, системный файл hosts остался неизменным.

Другой способ, открыть программу в «Sandbox», это найти файл (в нашем случае:C:\Windows\System32\cmd.exe), кликнуть правой кнопкой мыши и выбрать Runin COMODO Sandbox:

Рисунок21 Контекстное меню

Ещё одна замечательная особенность песочницы, является то, что можно добавить процессы/программы (указывая путь к файлу или выбрать его из списка запущенных процессов), которые постоянно будут запускаться в «Sandbox», а для каждого отдельного файла можно выбрать:

1. Уровеньдоверенности (Untrusted, Restricted, Limited и Unrestricted);

2. Ограничить максимальное потребление памяти (в MB);

3. Ограничить время выполнения программы/процесса (в секундах);

4. Виртуализация файловой системы;

5. Виртуализация реестра;

Чтобы добавить процесс или программу в Sandbox, открываем COMODO InternetSecurity, идём в раздел Defense+ --> Sandbox --> ProgramsintheSandbox --> Add, и сделаем необходимые настройки:

Рисунок22 Окно добавления программ в «Sandbox»

И еще одна удобная особенность этого продукта, это то, что при запуске неизвестного процесса, фаервол предлагает запустить, заблокировать и/или выбрать для него уровень доверенности. Помимо этого, фаервол предлагает запомнить Ваши действия, отправить файл на анализ и/или автоматически создать точку восстановления системы Windows.



Рисунок 23 Окно с выбором уровня доверенности



Заключение

На сегодняшний день лучшей защитой от компьютерных преступников является межсетевой экран правильно установленный и подобранный для каждой сети. И хотя он не гарантирует стопроцентную защиту от профессиональных взломщиков, но зато усложняет им доступ к сетевой информации, что касается любителей - то для них доступ теперь считается закрытым. Также в будущем межсетевые экраны должны будут стать лучшими защитниками для банков, предприятий, правительств, и других спецслужб, ведь уже сейчас персональные межсетевые экраны - лучшая защита для рядового пользователя от сетевых атак из интернета. На данном этапе программирования можно также заключить, что разработки по межсетевым экранам на сегодняшний день сулят в недалёком будущем весьма неплохие результаты.



Список используемой литературы

1) Денисов, Т.В. Антивирусная защита : учебное пособие /Т. В. Денисов. СПб. Информиздат, 2008 г. - 216 стр.

2) Могилев,А.В.Антивирусные программы: учебное пособие / Н.И.Пак, Е.К.Хеннер, А. В. Могилев.Мск. Изд. Центр «Академия», 2000. - 113 стр.

3) Симонович, С. В.Информатика. Базовый курс : учебник для Вузов/ С. В. Симонович. СПб. Питер, 2000. - 55 стр.

4) Макарова, Н. В. Информатика : учебник/Н. В. Макаровой. Мск. Финансы и статистика, 2000. 117 стр.

5) Зверев, В.С. Информатика: Учебное пособие для студентов вузов / В. С. Зверев. Астрахань, 2003. - 110 стр.

6) Коварт. WindowsNTServer4 : учебный курс / Коварт. СПб.Из-во Питер,2006. - 448 стр.

7) Косарев В. Компьютерные системы и сети :учебное пособие / В. Косарев. Мск. Из-во Фин.и стат. , 1999. - 464 стр.

8) Крейнак Д. Интернет : Энциклопедия (2 изд.) / Д. Крейнак. СПб. Из-во Питер, 2000. - 528 стр.

9) Люцарев В. Безопасность компьютерных сетей на основе Windows NT : учебное пособие / В. Люцарев. Тюмень. Из-во Рус.ред. , 1998. - 304 стр.

10) Майнази М. Введение в Windows NT Server 4 : учебное пособие / М. Майнази. Мск. Из-во ЛОРИ,2001. - 550 стр.

11) Медведовский И. Атака на Internet : учебное пособие / И. Медведовский. Мск. Из-во ДМК, 1999. - 334 стр.

12) Муртазин Э. Internet : учебное пособие / Э. Муртазин. Мск. Из-во ДМК, 1999. - 416 стр.

13) Соколов А. Методы информационной защиты объектов и компьютерых сетей : учебное пособие / А. Соколов. Мск. Из-во Полигон, 2000. - 272 стр.

14) Тайли Э. Безопасность персонального компьютера : учебное пособие / Э. Тайли. Мск. Из-во ПОПУРРИ,2007. - 480 стр.

15) Фигурнов А.Э. IBM-РС для пользователя : учебное пособие / А. Э. Фигурнов. Мск. Из-во ПОПУРРИ, 1998. - 216 стр.

16) Штребе М. Безопасность сетей NT 4 : учебное пособие / М. Штребе. Мск.Из-во МИР,2003. - 734 стр.

17) Безруков Н.Н. "Классификация компьютерных вирусов MS-DOS и методы защиты от них" : учебное пособие / Н. Н. Безруков.Мск. СП "ICE", 2005. - 117 стр.

18) Безруков Н.Н. "Компьютерные вирусы : учебное пособие / Н. Н. Безруков. Мск. Наука, 2010. - 314 стр.

19) Денисов Т.В. "Антивирусная защита" : учебное пособие / Т. В. Денисов. Мск. Мой Компьютер, 2009. - 306 стр.

20) Мостовой Д.Ю. "Современные технологии борьбы с вирусами" : учебное пособие / Д. Ю. Мостовой. Мск. Изд-воТерра,2003. - 107 стр.

21) Сайт http://www.intuit.ru

22) Сайт http://ru.wikipedia.org

23) Сайт http://www.securrity.ru

24) Сайт http://2ip.ru/article/firewalltestresult/

Размещено на Allbest.ru