15 лет назад 10 марта 2004 в 2:07 96

Файрволл не относится к категории программ “установил и забыл”. Он требует самой тщательной и вдумчивой настройки, анализа и контроля результатов своей работы.

УСТАНОВКА
Установка новейшей версии одного из самых мощных на сегодня файрволлов сложностей не вызывает: пользователю необходимо лишь выбрать Custom-режим инсталляции и решить, нужны ли ему антивирус NAV, идущий в комплекте с файрволлом, поддержка нескольких учетных записей и компонент Productivity Control. Последний позволяет ограничивать доступ к определенным программам, веб-сайтам и телеконференциям UseNet сомнительной направленности (секс, насилие и так далее; регулярно обновляемая база таких ресурсов в NIS весьма обширна).

После завершения инсталляции и перезагрузки компьютера запустится простейший мастер начальной настройки программы, предлагающий либо активацию продукта, либо демонстрационный 15-дневный режим работы. В течение этих 15 дней функциональность NIS ничем не ограничена, поэтому пользователь вполне может понять, подходит ли ему этот файрволл или лучше выбрать программу с русским интерфейсом. Настройку Privacy Control мы расмотрим чуть ниже, а вот определить права пользователей можно уже на этом этапе.

После закрытия мастера активации щелкните по иконке программы в системном трее – в зависимости от конфигурации системы появится диалог выбора локальной сети. В последней версии NIS появилось не так много серьезных изменений, одно из них – возможность создавать различные конфигурации файрволла для каждой из локальных сетей.

Эта функция, рассчитанная главным образом на владельцев мобильных компьютеров, позволяет наиболее гибко настраивать правила файрволла и получать максимум защиты и в домашней сети, и в офисе (утилита NTDETECT, которая автоматически определяет, в какой сети вы сейчас работаете, использует планировщик заданий Windows, поэтому не отключайте его). В этом диалоге, собственно, нужно определить только тип сети, для которой и будут производиться все наши дальнейшие настройки, – например, Home.

НАСТРОЙКА ОСНОВНЫХ ОПЦИЙ ПРОГРАММЫ
Настройку NIS лучше всего начинать не с создания правил работы приложений с интернетом (разговор о них мы оставим на десерт), а с исследования опций самой программы. Для этого в ее главном окне щелкните Options > Norton Internet Security. В появившемся диалоге на странице General есть смысл установить все флаги в разделе Tray Icon Settings.

Это облегчит дальнейшую работу с программой – многие ее компоненты можно будет вызвать двумя щелчками мыши по значку в трее. Разумеется, если ваша система настроена на многопользовательскую конфигурацию и вы не хотите, чтобы неопытные пользователи нарушили настройки файрволла, лучше убрать все значки из трея и включить парольную защиту файрволла (Turn On password protection).

Страница LiveUpdate предназначена для настройки очень удобного режима автоматического обновления программы, работающего независимо от системного “Планировщика заданий”. Firewall – самая важная вкладка в этом диалоге, с ее помощью вы определите, какие из многочисленных возможностей файрволла будут использоваться на вашем ПК.

Для каждого из установленных у вас приложений можно создать специальное правило, особым образом разрешающее или запрещающее работу данной программы в интернете. Если же в сеть попытается выйти программа, для которой правило еще не создано, или троянский вирус, то NIS немедленно об этом просигнализирует. Функция Program component monitoring еще больше расширяет эту возможность, так как включает контроль не только за исполняемыми файлами приложений, но еще и за внешними модулями и плагинами, используемыми этими приложениями.

Если троянский вирус является, например, dll-файлом, присосавшимся к ничего не подозревающему Internet Explorer (скажем, в виде плагина или Browser Helper Object), файрволл все равно обнаружит его и просигнализирует пользователю о том, что в сеть рвется незарегистрированная библиотека. Словом, опция весьма полезна, но, к сожалению, определять, легитимна ли та или иная dll-библиотека, подключенная к браузеру, придется самому пользователю, вооруженному антивирусом.

Если довериться Мастеру установки и просканировать компьютер на предмет всех программ и компонентов системы, имеющих доступ в интернет, то файрволл обнаружит немало внешних модулей для каждой программы, с каждым из которых вам придется разбираться отдельно. Но мы рекомендуем пойти другим путем. Установите файрволл на чистую систему (гарантированно без вирусов и Spy-Ware). После включения мониторинга внешних модулей запустите по очереди все программы, которым разрешен доступ в сеть.

Разрешите доступ в сеть всем библиотекам этих программ, поскольку на свежей системе вероятность присутствия среди них вируса очень мала. После этого желательно все же просмотреть вручную все библиотеки, которые обнаружатся в списке Configure Program Component Monitoring. Теперь, если вы каким-то образом подхватите деструктивный модуль, NIS сообщит о новой библиотеке и проверить всего один-два новых файла будет уже значительно легче.

Опция Program launch monitoring гораздо проще в настройке, поскольку включает режим контроля за тем, каким образом была запущена программа, пытающаяся выйти в сеть. Если, к примеру, некий троянский вирус пытается выслать своему создателю ваши пароли, используя для этого обычный Outlook Express, то NIS обнаружит, что легитимный почтовый клиент, которому, разумеется, разрешен выход в интернет, запущен на этот раз не пользователем, а неизвестной программой, и вовремя забьет тревогу. В чистой системе Windows XP в список Program launch monitoring обычно попадают “Проводник” и системные утилиты типа svchost.exe и services.exe, отвечающие за запуск некоторых системных служб.

Далее на этой вкладке следует раздел HTTP port list. Здесь перечислены те порты, которые контролируются файрволлом на предмет содержания проходящей через них информации. Так, если вы включили блокировку рекламы, а на каком-то сайте простейший баннер не фильтруется, то вполне возможно, что веб-браузер обращается к этому сайту не через стандартный http-порт (обычно 80), а, например, через порт 8101, который в списке отсутствует.

Подобные ситуации нередко встречаются, поскольку таким способом многие веб-мастера решают задачу изменения кодировки кириллицы на сайте – скажем, адрес user.chat.ru:8101 соответствует Win-кодировке, а user.chat.ru:8100 – KOI-8R. В такой ситуации, а также если вы используете нестандартный порт прокси-сервера, можно внести новый http-порт в список. В общем же случае добавлять новые порты нет необходимости.

В разделе Advanced Security Settings желательно включить блокировку используемого при некоторых атаках протокола IGMP (Internet Group Membership Protocol), который служит для доставки мультимедиа-контента группам пользователей и применяется очень редко. (Если после этого вы обнаружите проблемы, например, с прослушиванием интернет-радио, попробуйте снять блокировку.) Пункт Stealth blocked ports крайне важен, поскольку он делает ваш ПК как бы невидимым в сети.

При его активации файрволл просто отбрасывает любые входящие пакеты данных, если ваш ПК их не запрашивал, – в результате, например, хакер не сможет понять, присутствуете ли вы в настоящий момент в сети или нет. Если же этот режим не включать, то на запрос взломщика, пытающегося прощупать неиспользуемый порт вашего ПК, будет выдан ответ типа “порт закрыт”, что даст злоумышленнику определенную пищу для размышлений.

Блокировку фрагментированных пакетов Fragmented IP packet handling вполне можно перевести в режим Block all. Проблем это обычно не вызывает, а ваш ПК становится более устойчив к бомбардировке некорректными пакетами данных.

Вкладка Email отвечает за настройку антиспамового компонента NIS и компонента, обеспечивающего проверку исходящей почты на предмет наличия в ней приватной информации. Здесь нужно обратить внимание на режим обучения спам-фильтра – Training Settings. На первых порах предпочтительнее включить режим подтверждения при внесении адресата в белый или черный список – это избавит вас от возможных ошибок. И в любом случае пользуйтесь спам-фильтром NIS очень осторожно, поскольку эта программа не распознает национальные кодировки в письмах и нередко определяет нормальные русскоязычные письма как спам.

Обратите внимание на страницу User Access Manager – в Pro-версии файрволла эта вкладка позволяет сохранять настройки программы и переносить их с компьютера на компьютер или восстанавливать при переустановке Windows. К сожалению, из предыдущей версии NIS таким способом переносится только часть настроек (игнорируется даже рекламный блок-лист).

NORTON INTEGRATOR
К сожалению, нельзя сказать, что настройка программы удобна и ее интерфейс блещет изяществом. Для конфигурирования правил работы компонентов файрволла и других программ Symantec служит глобальное окно – так называемый “Интегратор”, разбитый на многочисленные разделы и подразделы.

INTRUSION DETECTION
NIS – не просто файрволл, а комплексная система защиты пользователя от интернет-угроз. Эта программа знакома с различными видами сетевых атак, подвешивающих машину пользователя или дающих злоумышленнику полный контроль над удаленным ПК, – например, Kiss of Death или WinNuke. Ей известны уязвимые места некоторых сетевых приложений вроде mIRC. Она знает, как действуют вирусы типа Sobig или MSBlast. Для защиты от подобных атак и их своевременной идентификации и предназначен компонент Intrusion Detection.

Нажав кнопку Advanced в окне настроек этого компонента, вы увидите список известных атак – их больше 100 (подробная информация о каждой из них размещена на сайте securityresponse.symantec.com/avcenter/nis_ids). В качестве примера ложных срабатываний можно привести сигнатуры Invalid IP Options и Invalid Source IP Address. IGMP-пакеты с неверными IP Options могут генерировать некоторые роутеры, а пакеты с неверным IP-адресом отправителя (обычно 255.255.255.255) иногда выдают даже интернет-провайдеры, проверяя таким образом, находится пользователь на линии или нет (если пользователь отбрасывает такие пакеты, то dial-up-соединение разрывается).

В подобных случаях можно временно отключить оповещение об атаках, сняв флаг Notify me when Intrusion Detection blocks connection, дабы избавиться от постоянно всплывающих окон. А для того чтобы компьютер, с которого приходят подозрительные пакеты, не блокировался автоматически, внесите его IP в список Exceptions. Тем самым вы сохраните возможность общаться с удаленным ПК до беседы с сисадмином.

Только учтите, что Intrusion Detection не применяется к ПК, включенным вами в так называемую Trusted Zone (страница Networking в настройках файрволла), и при этом всегда отслеживает информацию, уходящую с вашего собственного компьютера, дабы никакой новый вирус типа MSBlast (сигнатура атаки MS_RPC_DCOM_BufferOverflow) не использовал его для заражения других машин. Если же вам удалось засечь настоящую атаку, скопируйте все сведения о ней, выданные файрволлом, и отправьте их интернет-провайдеру.

PRIVACY CONTROL
Этот компонент, к сожалению, не способен обеспечить вашу полную анонимность в Сети (будем надеяться, что когда-нибудь файрволлы все же будут предоставлять пользователю возможность работы с анонимными прокси-серверами). Зато он защитит вас от случайной отправки в Сеть домашнего адреса или телефона и поможет в ситуации, когда пробравшийся на компьютер троянский вирус попытается отправить в сеть логин и пароль интернет-соединения. Но для того, чтобы все это работало, программу надо настроить: она ведь пока не знает, что ей нужно блокировать.

Нажмите кнопку Private Information > Add и в появившемся окне Add Private Information в строке Information Category выберите, например, пункт Telephone. В поле Description вводим “Телефон редакции Upgrade” – в поле Information to Protect остается ввести номер нужный телефона. Если файрволл заметит в исходящем трафике комбинацию символов, которую вы здесь введете, он в зависимости от настроек либо заблокирует ее, либо спросит у вас разрешения на ее отправку в сеть.

При заполнении последнего поля надо учитывать, что некоторые приватные данные могут быть записаны разными способами (вот, например, варианты записи нашего редакционного телефона: 2464108, 246-41-08, 246-4108, 246 41 08…) и необходимо сделать так, чтобы программа была к этому готова. Поэтому для телефонного номера создавайте три правила, блокирующие такие комбинации символов: 4108, 41-08 и 41 08.

Целиком номер вводить совсем необязательно не только потому, что вероятность случайного совпадения даже четырех цифр в исходящем трафике мала, но еще и потому, что если, скажем, не включена парольная защита программы, то любой, кто откроет это диалоговое окно, сможет сразу узнать все, что вы так хотели скрыть. Если же в настройках NIS указывать не полные данные, а лишь их часть, например последние пять символов восьмизначного пароля интернет-доступа, то можно убить сразу двух зайцев: и в Сеть пароль не уйдет, и на вашем ПК его прочитать будет сложно.

Аналогичным способом вводим имя и фамилию, адрес, e-mail, номер мобильника – словом, все то, что не должно попасть в чужие руки. Рекомендации те же: если какие-то приватные данные можно записать несколькими способами, то вводите все способы (например, фамилия кириллицей и латиницей) и старайтесь не вводить данные полностью (все данные, которые вы вводите, шифруются, но в окне NIS они представлены в явном виде).

Кроме того, для каждой записи можно определять, в каком типе трафика она будет отслеживаться. Так, блокировать собственный e-mail в своих же письмах нет смысла, поэтому при вводе электронного почтового адреса снимите флажок E-Mail в разделе Protect this private information when using. Кроме мониторинга приватной информации личного характера, которую пользователь должен вводить самостоятельно, программа имеет еще несколько функций, доступных при нажатии кнопки Custom Level (специальный слайдер, позволяющий выбирать из трех пресетов, лучше проигнорировать).

В окне Customize Privacy Settings желательно установить переключатель Private Information в положение Prompt, дабы при каждой попытке оправки введенных нами ранее личных данных выдавалось предупреждение. А Cookie Blocking – в положение Block: сайты, на которых без использования cookies обойтись нельзя, позже внесем в список исключений, а если их будет слишком много, то проще разрешить все cookies, опасность которых относительно мала. Имейте в виду, что при установке запрета на cookies они все равно будут создаваться у вас на компьютере, но не будут отправляться в интернет.

Далее ставим флаг Enable Browser Privacy, тем самым исключая отправку браузером нашего e-mail и сведений о последней посещенной странице (referrer) владельцам веб-сайтов, которые по каким-то причинам очень хотят это знать и используют для этого специальный код на своих страницах. (Впрочем, иногда при скачивании файлов обязательно, чтобы закачка запускалась с сайта разработчиков программы. В противном случае вам просто не дадут ее загрузить: для софтовых сайтов, непременно требующих этот параметр, создайте особое правило.) А вот флаг Enable Secure Connections, если вы не являетесь активным пользователем https-сайтов, рекомендуется снять. Дело в том, что при посещении https-страниц вся передаваемая информация шифруется и инструмент Privacy Control становится бесполезен – уплывший к владельцу такого сайта пароль обнаружен не будет.

Осталось разобраться с “продвинутыми” настройками, нажав кнопку Advanced. В диалоге с аналогичным названием установите курсор на слове (Defaults) – это настройки, которые будут применяться ко всем сайтам, кроме тех, что внесены в лист исключений (сайты, перечисленные ниже строки Defaults). На странице Global Settings проверьте положение переключателей. Information about your browser – Permit: и так ясно, что у 95% пользователей Internet Explorer; к тому же некоторые сайты, “не зная” тип вашего браузера, могут отображаться некорректно. Information about visited sites – Block: зачем кому-то знать, по каким сайтам мы ходим?

Animated Images – если вы хотите сэкономить на трафике, то анимированные изображения следует отключить; в этом случае файрволл будет пропускать только часть графического файла – первый кадр. Scripts – Permit: здесь имеются в виду распространенные скрипты VBScript и JScript, которые используются очень часто и без которых многие сайты отображаются некорректно. Если вы хотите обезопасить себя и от них, используйте антивирус типа KAV, который встраивает свой скриптчекер в Internet Explorer. Flash animation – Block: флэш встречается редко, в основном в рекламе, поэтому по умолчанию его обычно блокируют.

Теперь переходим на вкладку Ad Blocking – она предназначена для того, чтобы пользователь мог вносить ключевые слова, по которым файрволл будет определять и удалять рекламные баннеры на веб-страницах. Конечно, NIS умеет вычислять баннеры и по размеру картинки, но максимального эффекта можно добиться, только если внести в уже имеющийся внушительный список новые ключевые слова. Здесь есть два пути. Первый – вручную отслеживать баннеры, появляющиеся на часто посещаемых вами сайтах, определять их адреса (правая кнопка мыши > “Свойства”) и вносить в стоп-лист.

Это могут быть и целые домены типа www.clickxchange.com, www.banners.ru, и просто ключевые слова, обычно входящие в название файлов баннеров или папок, в которых они лежат на сервере (например, banner или /reklama/), – ссылки с ними будут вырезаны из HTML-кода файрволлом. Второй – искать уже готовый список известных баннерных служб и ключевых слов – такой можно найти, например, на сайте www.staff.uiuc.edu/~ehowes/resource.htm.

Правда, тут нас поджидает одна досадная неприятность: вручную интегрировать в NIS список, содержащий несколько тысяч позиций, нереально. Но на помощь приходят программы ProWAGoN (www.staff.uiuc.edu/~ehowes/prowagon/pw-readme.htm) и Automate. ProWAGoN, специально “заточенная” для переноса блок-листа в NIS, работает быстро, но иногда через пень-колоду. Automate же – программа универсальная, но, чтобы составить для нее нужный скрипт, придется посидеть часок-другой.
Разобравшись с default-установками, взгляните на список уже имеющихся сайтов-исключений, к которым эти установки не относятся.

Таких исключений Symantec нам предлагает очень много, и, очевидно, не потому, что установки по умолчанию как-то конфликтуют с избранными сайтами. Просто владельцам последних не очень нравится блокировка их рекламы (а cnn.com очень хочет знать, с какого сайта мы к ним пришли). Так что мы с чистой совестью удаляем из списка исключений почти все – кроме microsoft.com, windowsupdate.microsoft.com и www.nortonweb.com.

Если вы впоследствии обнаружите, что какой-то важный для вас сайт отображается некорректно или его функциональность ограничена, внесите его в список исключений и создайте для него особое правило.

Сайты-исключения
Для того чтобы в окне Internet Explorer нормально отображались некоторые важные сайты, необходимо установить для них специальные правила, внеся их в список исключений на странице Advanced. Так, сайту Microsoft необходимо разрешить работу с cookies и получение информации о версии браузера; кроме того, следует разблокировать скрипты, флэш, ActiveX, Java-апплеты и всплывающие окна.

Для этого нажмите в левой части меню кнопку Add Site и введите в появившемся диалоге URL-адрес microsoft.com – он будет записан сразу под строкой Defaults. Переместите на него курсор, щелкнув левой кнопкой мыши. Затем на вкладках Global Settings и User Settings установите в соответствующих пунктах значение Permit. Аналогично внесите в список исключений сайт ie.search.msn.com, иначе поисковик в Internet Explorer также не будет нормально работать.

Для сайта v4.windowsupdate.microsoft.com необходимо внести в список Ad Blocking разрешение на ключевое слово popup, а для visualtracking.symantec.com, отвечающего за вывод наглядной информации об IP взломщика, разрешить ключевое слово tracking (разумеется, если в умолчальном правиле эти слова заблокированы).

AD BLOCKING
В разделе блокировки рекламы настройки предельно просты: нужно всего лишь включить сам механизм борьбы с рекламой – Turn on Ad Blocking. В дальнейшем, если система все же пропустит какой-либо баннер, можно вызвать специальное окно Ad Trashcan и перетащить в него этот излишний элемент оформления веб-страницы. Кнопка Advanced возвратит нас к уже знакомому диалогу настройки правил для сайтов-исключений. Новый источник баннеров лучше всего внести именно в список Defaults.

Дело в том, что отправка баннера в “Мусорный контейнер” – Trashcan предохранит вас от просмотра этого самого баннера только при повторном посещении того же сайта. Список же Defaults распространяется на ВСЕ сайты.

Отдельно включаем блокировку всплывающих окон – Turn on Popup Window Blocking. Правда, полностью избавиться от этой напасти нам не удастся, поскольку NIS умеет работать лишь с самыми распространенными способами вызова таких окон. Так что в случае “прорыва” придется прибегнуть к прямому вводу URL-адреса скрипта, вызывающего окно (этот адрес вы увидите в протоколе файрволла Event Log).

NORTON ANTISPAM
Утилита борьбы со спамом в NIS не понимает кириллицу. Можно, конечно, настроить и ее, но фильтры, входящие в состав почтовых клиентов (даже в Outlook Express, не говоря уж о The Bat! с установленным BayesIt!), справляются со спамом ничуть не хуже, обладая при этом гораздо большим количеством настроек. Поэтому установите спам-фильтр в режим Low-защиты и забудьте о нем.

НАСТРОЙКИ ПРАВИЛ PERSONAL FIREWALL
К сожалению, настройки NIS очень запутанны и изобилуют лишними окнами (бедный AtGuard, что с ним сделали!). Чтобы настроить его на максимальный уровень защиты, нам придется пробираться буквально через бурелом диалогов. На странице Firewall мы опять проигнорируем слайдер Set the Firewall Level и сразу нажмем кнопку Custom Level. В окне Customize Security Settings устанавливаем следующие параметры.
Personal Firewall – Block everything until you allow it: полный контроль над системой – все, что не разрешено, запрещено.

Java Applet Security – Block Java Applets: блокируем небезопасные Java-апплеты. ActiveX Control Security – Block ActiveX Controls: блокируем элементы управления ActiveX, которые также нередко используются в неблаговидных целях. Вообще, активное содержимое веб-страниц надо разрешать только на тех проверенных сайтах, где это действительно необходимо, например на Windows Update. В остальных случаях их лучше заблокировать – встречаются они нечасто.

Устанавливаем флаг Enable Access Control Alerts, тем самым включая режим оповещения о работе файрволла. Теперь каждый раз, когда какое-то приложение попробует впервые выйти в сеть, на экране будет всплывать диалоговое окно с сообщением о создании правила для этого приложения (если не используется ручной режим создания правил). А вот флаг Alert when unused ports are accessed лучше снять, иначе оповещения об успешно блокированных попытках обращения к вашим портам доведут вас до белого каления (к тому же подавляющее большинство таких попыток не будет иметь ничего общего со взломом).

Вкладка Programs – обещанный десерт, настройка правил самого файрволла. Это трудная задача для неподготовленного пользователя, поэтому разработчики предусмотрели и набор готовых системных правил, и утилиту-мастер, которая сканирует диск в поисках известных программ и сама создает для них правила (вызвать ее можно, нажав кнопку Program Scan).

Из предложенного списка останется только выбрать нужные программы. Несколько безопаснее постепенное создание правил для каждой программы, действительно используемой пользователем, – режим обучения файрволла. При этом пользователь будет отслеживать момент первого выхода в сеть каждой программы, в каждом случае видеть все данные о реальном соединении и принимать решение – создавать для него правило или нет.

Общие принципы настройки рассмотрим на примере вездесущего Internet Explorer. Сразу после его первого запуска файрволл выдаст диалоговое окно с названием программы, пытающейся получить доступ в сеть. Для программ, известных файрволлу, будет предложен автоматический режим конфигурирования Automatically Configure Internet Access – его и следует для начала выбрать.

После закрытия окна оповещения войдите в диалог Programs и выберите только что созданное правило для Internet Explorer, нажав кнопку Modify, а затем – Manually configure Internet access. Тем самым вы получите возможность просмотреть и отредактировать правило, которое создал NIS (при использовании Program Scan это также необходимо делать). Для IE получится 9 правил! Разумеется, все это можно сделать и вручную, но отредактировать уже готовый набор правил гораздо проще.

Первые три правила, как видно из их названия, определяют FTP-доступ для Internet Explorer. Выделите мышкой первое и нажмите кнопку Modify. Можно заметить, что каждое из таких правил описывает несколько параметров работы программы: разрешить, блокировать или просто записать в протокол событие; вид соединения – входящее, исходящее или оба; адреса удаленного компьютер и локального сетевого адаптера; протокол – TCP, UDP или оба; удаленный и локальный порты. Можно включить режим записи события в протокол и выдачи экстренных предупреждений Security Alert.

И, наконец, для каждого правила задается название и определяется его категория, исходя из которой будет регулироваться доступ пользователей с ограниченными правами (например, если категория программы, к которой относится правило, – Newsreaders, а в Productivity Control запрещена работа с Usenet, то для пользователя с ограниченными правами такое правило автоматически становится блокирующим). Таким образом, для Internet Explorer мы получаем разрешение устанавливать с любыми компьютерами исходящие соединения с TCP-портами удаленных ПК 21, 1024-65535 и входящие с удаленного порта 20 – это стандартный набор, необходимый для работы с FTP.

Аналогично для работы любой другой программы в зависимости от используемого ею протокола служит свой порт – для почтовых клиентов – 25 (SMTP) и 110 (POP3) или 143 (IMAP), для ICQ – 5190, для UseNet – 119 (NNTP). Более или менее четко определено назначение портов с 0 до 1023 (www.iana.org/assignments/port-numbers, www.chebucto.ns.ca/~rakerman/port-table.html). Оставшиеся же используются практическими любыми программами, что мы и наблюдаем в случае с FTP – порты 1024 – 65535 могут “интересовать” FTP-сервер, поэтому IE должен получить к ним доступ.

Для просмотра веб-страниц создано еще одно правило – HTTP Rule, в котором разрешена работа со всеми стандартными http-портами удаленных ПК. Если на какой-то странице понадобится использовать другой http-порт (8101, например), то ничто не мешает его добавить в список. Правила RTSP Rule (Real Time Streaming Protocol, www.cs.columbia.edu/~hgs/rtsp) разрешают IE соединяться с удаленными портами 544 и 8554 для поддержки потокового QuickTime и Real Media.

Если мультимедиа-контент этого формата вас не интересует, то их можно перевести в положение Block или удалить. А вот правила, определяющие работу с практически никем не используемыми Web Folders, лучше сразу перевести в блокирующие, так как они разрешают входящие подключения к IE, что крайне опасно. Последние два правила разрешают IE работать с DNS-сервером (UDP, порт 53), для того чтобы по адресу сайта определять его IP (правда, такое правило есть и среди системных).

Таким образом, для любой известной программы лучше всего выбирать автоматический режим с последующим подробным исследованием и ручным редактированием правил. Для тех же программ, которые не распознаются файрволлом, вполне можно создать правило вручную, взяв за основу либо тот же Intenet Explorer, если программа предназначена для работы с веб-страницами или FTP, либо, например, Outlook Express, если вы хотите настроить работу редкого почтового клиента.

Но в любом случае старайтесь не предоставлять программе слишком много прав, даже если уверены, что она вполне безобидна – открывайте только те порты, которые ей необходимы. К примеру, ICQ достаточно только порта 5190, а http-порты нужны только для закачки баннеров, и их можно блокировать. Программам же, которым выход в Сеть нужен только для доступа к определенным серверам (например, утилите обновления антивируса Касперского), можно жестко указать IP-адреса этих компьютеров.

Generic Host Process for Win32 Services
В процессе настройки файрволла в Windows XP вам наверняка встретится системный процесс svchost.exe. Эта программа – Generic Host Process for Win32 Services – по своему назначению схожа с утилитой rundll.exe из Windows 9x: с ее помощью запускаются различные системные сервисы, представленные в виде DLL-библиотек. Сама утилита вполне легитимна, но проблема в том, что это не svchost.exe пытается выйти в интернет, а один из сервисов пытается с ее помощью получить доступ к Сети.

Увидеть, какие сервисы запущены, вам поможет утилита tlist.exe с компакт-диска Windows (ее можно найти и в интернете). Введите в командной строке команду TLIST -S и в полученном списке посмотрите, какие сервисы воспользовались услугами svchost.exe. В NIS очень неплохое правило для svchost.exe создается автоматически и при этом не только обеспечивает работу важных системных сервисов вроде DNS (локальный порт 53, UDP), DHCP (локальный порт 68, UDP), Time Synchronizer (NTP, локальный и удаленный порт 123, UDP), HTTP (удаленный порт 80, TCP), HTTP (удаленный порт 443, TCP), но и блокирует уязвимые службы, через которые может быть атакован ваш ПК: SSDP Discovery Service и UPnP device Host (порты 1900 UDP, 5000 UDP-TCP), Remote Procedure Call (локальный порт 135 TCP).

Правила файрволла не ограничиваются лишь правилами для приложений. На странице Advanced можно получить доступ к просмотру и редактированию системных правил, относящихся ко всем программам сразу, и правил, созданных специально для отслеживания троянских вирусов. Обработка всего комплекта происходит в таком порядке: системные (доступ к редактированию которых дает кнопка General), приложения, вирусы.

Правила, относящиеся к протоколу ICMP, применяются к любым исходящим ICMP-пакетам, а также к ответам вашего ПК на входящие безобидные и необходимые сообщения echo (0, ответ на ваш “пинг”), dest (3), time-exceed (11), и запрещают любые попытки “прощупать” ваш ПК через ICMP (типа “пингования” – echo-request (8)). Правило DNS обеспечивает разрешение имен (то есть перевод URL-адресов сайтов в IP). Блокировка входящих NetBIOS и File Sharing – запрет любых попыток получить доступ к вашим файлам по сети (и даже увидеть ваш ПК в сетевом окружении); при этом исходящие пакеты NetBIOS разрешены, так как для вас угрозы не представляют.

Loopback касается только вашего ПК (адрес 127.0.0.1) и обеспечивает общение нескольких программ на вашем ПК друг с другом. Block Access to secure sites – запрет работы с HTTP-сайтами, предназначенный только для того, чтобы компонент Privacy Control всегда мог отследить утекающую в сеть приватную информацию, что невозможно при заходе на https-ресурс, шифрующий весь трафик.

Правила Bootp (Bootstrap Protocol, www.networksorcery.com/enp/protocol/bootp.htm, DHCP (Dynamic Host Configuration Protocol) – расширение этого протокола) разрешают автоматическое назначение IP (а бездисковому ПК – еще и его последующую сетевую загрузку). Если ваш IP указан явным образом, то эти правила можно отключить, сняв соответствующие флажки.

Digital Signature Verification обеспечивает работу всех приложений со специальными сайтами Verisign и Microsoft, обеспечивающими, в частности, проверку цифровых подписей файлов NIS. И, наконец, последние блокирующие правила SMB, EPMAP, UPNP устраняют несколько известных уязвимых мест в операционной системе.

Правила, созданные для нескольких десятков “троянских коней” (trojan horses), предназначены не столько для блокирования атак, сколько для выдачи предупреждений при их идентификации, и в какой-либо настройке не нуждаются.

Страница Networking настроек файрволла служит главным образом для обеспечения доступа удаленных компьютеров к вашим файлам. Все ПК, включенные вами в доверенную зону (Trusted Zone), перестают контролироваться файрволлом. Разумеется, это не очень хорошо, и для обеспечения доступа к вашим файлам с какого-то ПК лучше создать специальное системное правило, в котором разрешить конкретному IP входящие соединения NetBIOS (137, 138, 139 порты). В списке его следует разместить выше системных правил, блокирующих NetBIOS для всех остальных IP, чтобы оно имело более высокий приоритет. Компьютеры, отнесенные в Restricted Zone, полностью отсекаются от вашего ПК, и любое соединение с ними становится невозможным.

Инструмент Network Detector, который включается на странице Locations, есть смысл использовать только в мобильных системах. Поэтому на десктопе, который всегда находится только в одной сети, эту функцию можно отключить. (Единственное, что вы сможете сделать на десктопе с помощью Network Detector, – разделить LAN и Dial-Up.)

Почаще заглядывайте в протокол работы файрволла, используя встроенный Log Viewer, – там вы получите подробную информацию о работе программы, что бывает важно, например, если надо понять, почему не работает тот или иной сайт. В окне же статистики вы не только увидите все процессы, работающие с сетью, но и узнаете, сколько мегабайт трафика сэкономила вам грамотная настройка блокировки рекламы.