12.03.2003. Огненная стена Нортона

версия для печати

Рис. 1. «Огненная стена Нортона»

Жизнь не стоит на месте, и бурное развитие компьютерной индустрии тому подтверждение. Сравнительно недавно Всемирная паутина казалась фантастикой, а теперь она прочно вошла в нашу жизнь, принеся наряду с новыми возможностями и новые проблемы. Прежде всего это хакеры, использующие Интернет в корыстных целях. Проникая в чужие компьютеры, они стремятся похитить секретную информацию. К примеру, хакер может считать код вашей Интернет-карты и поразвлечься в Сети за чужой счет. Насколько велика эта опасность, я убедился в первые же минуты подключения к почтовой службе mailru, когда «троянский конь» попытался проникнуть в мой компьютер. Вирус был тут же блокирован системой защиты, что избавило меня от потери информации.

Рис. 2. Сведения о предотвращенной атаке из Интернета

Вредный микроб сгорел дотла. Как сказал известный поэт: «Поделом таракану досталося, и усов от него не осталося>. В окошке на рис. 2 приведено сообщение, полученное в секции Statistics.

• You were last attacked on — дата атаки;
• Recent intrusion attempts — число попыток вторжения;
• Recent attempted attackers — количество атакующих;
• Most frequent attacker — адрес наиболее часто атакующего.

Программа Norton Personal Firewall («Огненная стена Нортона»), действуя совместно с Norton Antivirus («Антивирус Нортона»), позволяет защитить компьютер от угроз, идущих из Всемирной паутины. Брандмауэр Norton Personal Firewall предотвращает несанкционированный доступ к компьютеру и не допускает, чтобы секретная информация покидала его без нашего ведома. Антивирус помогает «вылечить» зараженные файлы или удалить «инфекцию» из компьютера. Брандмауэр и антивирус Нортона входят в тройку лучших программ, защищающих от атак из Интернета. Есть немало и других хороших программ. Я устанавливал на свой компьютер не менее известный пакет защиты McAfee, и он показал себя превосходно. Однако он выполняет все настройки автоматически, не позволяя вмешиваться в свою работу. В ряде случаев это вызывает определенные неудобства. Система защиты Нортона также настраивается автоматически, но предоставляет нам массу параметров, которые можно при желании подстроить под свои нужды. Мне кажется, что это является существенным преимуществом перед конкурентами.

Предлагаю вместе со мной оградить компьютер «Oгненной стеной» и, как говорят джедаи из всем известного фильма, «да пребудет с нами сила».

Настройка параметров Personal Firewall

Вот как выглядит главное окно параметров Norton Personal Firewall.

Рис. 3. Окно параметров «Огненной стены Нортона»

После установки брандмауэра в систему автоматически вызывается Security Assistance («Консультант службы безопасности»), являющийся своего рода проводником через весь брандмауэр и облегчающий проведение настройки системы защиты.

Рис. 4. Стартовое окно консультанта службы безопасности

Стартовое окно информирует нас о том, что консультант проведет для нас экскурсию в мир системы защиты, помогая его изучить и настроить. Щелкнем на кнопке Next.

Шаг 1. Заглянем в окно Personal Firewall («Персональная огненная стена»), показанное на рис. 5. Здесь мы можем настроить параметры блокировки подозрительной активности на компьютере.

Рис. 5. Окно персонального брандмауэра

Окно сообщает, что «Oгненная стена» создана без нашего участия, так что отдыхайте. Ну а если стеночка покажется жидковатой или, наоборот, запылает слишком жарко, уничтожая своих и чужих, — можно возвести преграду собственноручно. Достаточно щелкнуть мышью на следующей строке:

Если не боитесь обжечься — вперед. Мы же оставим пока установки по умолчанию (из соображений безопасности) и просто щелкнем мышью на волшебной кнопке Next.

Рис. 6. Окно службы засекречивания

Шаг 2. Посмотрим в окно Privacy Control («Секретный отдел»), показанное на рис. 6. Здесь мы можем блокировать пересылку секретных данных через самый распространенный и одновременно самый незащищенный протокол Интернета (HTTP). Этот протокол используется в сети для передачи страниц, включающих текст, графические изображения, звук, видео и другие мультимедиа-файлы. Секретный отдел не будет блокировать передачу секретной информации на Web-сайты, использующие протокол HTTPS (специальный протокол для передачи секретной информации), либо через программы, соответствующие другим протоколам (почтовые программы, программы общения, чтения новостей и т. п.), хотя в принципе можно запретить и это.

Для получения доступа в секретный отдел воспользуемся кнопкой Add («Добавить»). Рис. 7 иллюстрирует форму для конфиденциальной информации, которую надо заполнить.

Рис. 7. Форма для внесения секретной информации

В секции Type of information to protect («Тип информации») выбираем из всплывающего списка тип засекречиваемой информации:

• Bank account — банковский счет;
• Credit Card — номер кредитной карточки;
• E-mail Address — адрес электронной почты;
• Home Address — домашний адрес;
• Name — имя;
• Other — другая информация;
• Password — пароль;
• PIN — PIN-код Интернет-карты;
• Social Security Number — номер социальной страховки;
• Telephone — телефон.

В секции Descriptive name («Описание») поясняем смысл засекречиваемой информации, а в поле Information to protect («Защищаемая информация») записываем собственно саму информацию. Например, сюда можно занести домашний адрес, если мы не хотим, чтобы дети использовали его при заполнении регистрационных или конкурсных форм в Сети. При запоминании цифровой информации имеются некоторые нюансы. Дело в том, что конфиденциальная информация блокируется точно в таком виде, в каком мы ее сюда запишем. Например, форма записи телефонного номера при введении в какой-либо бланк может быть разной: с черточками (095–123–4567), с пробелами (095 123 4567) или даже в виде двух раздельных частей (095123 4567). Обратите внимание, что последние четыре цифры всегда должны быть вместе. Поэтому, засекретив только последние четыре цифры, мы получим лучшую защиту, чем при запоминании целого номера. Для засекречивания номера кредитной карточки достаточно ввести последние пять цифр.

Раздельное введение информации дает нам два преимущества. Во-первых, не приходится вводить полный код кредитной карточки туда, где кто-либо может его обнаружить. Во-вторых, это позволяет блокировать передачу личной информации на сайты, использующие несколько секций для ввода номера кредитной карточки.

Мы еще вернемся к этой теме. А пока продолжим нашу экскурсию, щелкнув Next.

Шаг 3. Перед нами область действия Application Control («Менеджер программ»). Здесь можно подрегулировать доступ разных программ в Интернет.

Рис. 8. Окно менеджера программ

Для получения списка программ, имеющих доступ в Интернет, щелкнем на следующей строке:

Воспользуемся предоставляемым меню и выберем логические тома жесткого диска.

Рис. 9. Окно сканирования системы

Кнопка Next запускает процесс сканирования дисков, в результате которого появится окно (рис. 10), содержащее список программ, способных обратиться к Интернету.

Рис. 10. Перечень файлов, имеющих доступ в Интернет

Отметив галочкой в поле слева от списка название программы, мы разрешаем применение к ней правил обращения с Интернетом. Иными словами, устанавливаем режим доступа в Интернет. Щелчком на Check All или Uncheck All можно разрешить или запретить применение правил доступа ко всем найденным программам сразу.

Что же это за правила доступа, мы поймем, когда обратимся к полю с треугольником (справа от названия программы). Открывающееся нам меню содержит следующие варианты выбора:

• Automatic — автоматическое определение доступа;
• Permit All — доступ разрешен;
• Block All — блокировка доступа;
• Ask — всякий раз спрашивать разрешение на доступ.

Замечу, что программы, для которых правила не установлены, будут всегда спрашивать разрешение на доступ. Как изменить правило доступа для таких программ, мы еще узнаем. А пока, пользуясь волшебством Next, переходим к следующему шагу.

Шаг 4. Мы попали в область действия Internet Zone Control («Менеджер зон Интернета»), показанного на рис. 11. Здесь можно определить компьютеры, входящие в Trusted Zone («Зона доверия») или в Restricted Zone («Зона запрета»). Иными словами, определить те компьютеры, которым вы разрешаете или запрещаете доступ к вашему компьютеру или домашней сети.

Рис. 11. «Менеджер зон Интернета»

Сконфигурировать домашнюю сеть и добавить компьютеры в Trusted Zone поможет «Мастер домашней сети». Для его вызова щелкнем на следующей строке:

Поскольку здесь больше нет никаких особых премудростей, перейдем к следующему окну, воспользовавшись всё той же Next.

Шаг 5. Окно Internet Status («Состояние линии связи с Интернетом», рис. 12) сообщает, что во время связи с Интернетом происходит множество событий вроде атак хакеров на нашу систему или их попыток извлечь секретную информацию. Не думаю, что кто-либо захочет остаться на сей счет в неведении.

Рис. 12. Окно текущего состояния линии связи с Интернетом

Щелкнув на строчке Current Status («Текущее состояние»), мы получим информацию о текущих разрешениях и блокировках. А Reporting («Отчет») позволяет установить количество показываемой в Current Status информации. Возможны три варианта:

• Minimal (минимальный) — отчет только о критических событиях.
• Medium (средний) — отчет о важных событиях Интернета и отслеживание некоторых сообщений службы Alert Tracker.
• High (высокий) — полный отчет об активности программ, множество сообщений службы Alert Tracker и сообщений выполненной защиты от опасности.

И снова мы щелкаем на той же терпеливой Next.

Шаг 6. Беглого взгляда в окно Alert Tracker («Фиксатор предупреждений об опасности») вполне достаточно.

Рис. 13. Окно, напоминающее о наличии фиксатора предупреждений об опасности

Здесь нет никаких настроек. В окне сообщается о фиксаторе Alert Tracker, появляющемся на боковой стороне экрана монитора в виде половинки глобуса .

Фиксатор будет информировать нас об определенных событиях, имеющих отношение к Сети, например об открытии линии связи с Интернетом.

Включить или выключить фиксатор можно из меню, которое появляется при щелчке на пиктограмме Norton Personal Firewall  на «подносе» Windows (панель, находящаяся в правом нижнем углу экрана). Выключить фиксатор можно, щелкнув на половинке глобуса правой кнопкой мыши и выбрав из меню пункт Hide the Alert Tracker.

Следующий щелчок на Next перенесет нас к очередной «напоминалке».

Шаг 7. Окно напоминает о необходимости периодического обновления установленных программ (рис. 14). Для этого надо воспользоваться кнопкой LiveUpdate, расположенной в главном окне брандмауэра. По умолчанию брандмауэр выполняет обновление автоматически.

Рис. 14. Расположение кнопки LiveUpdate в главном окне брандмауэра

А теперь последний штрих — щелчок на кнопках Next и Finish, и компьютер готов к защите.

Для проверки надежности настройки службы защиты выберем в главном окне брандмауэра меню Internet Status — Security Check. В появившемся окне щелкнем на следующей строке

Так мы автоматически попадем на сайт компании Symantec, с которого будет выполнена проверка надежности наших установок. Рекомендую выполнять такие проверки регулярно, это поможет избежать серьезных неприятностей при работе в Интернете.

Итак, наш компьютер обзавелся неплохой защитой. Если понадобится что-то изменить в его настройках, но никак не удается вспомнить, что именно, мой вам совет — воспользуйтесь консультантом. Он всегда готов помочь, достаточно щелкнуть на следующей пиктограмме

А теперь (вместе с «шибко умными») мы заберемся в глубины брандмауэра.

«Огненные» настройки Personal Firewall

Вернемся в главное меню нашего «огненного защитника», щелкнув для этого мышью на Personal Firewall в главном окне брандмауэра (см. рис. 3). Здесь можно быстро возвести или убрать «огненную стену», устанавливая или сбрасывая флажок

Показанный на рисунке ползунок предоставляет возможность подрегулировать силу огня, устанавливая таким образом один из стандартных уровней защиты. В табл. 1 приведено их описание.

Табл. 1. Стандартные уровни защиты

Уровень Minimal блокирует все известные «троянские» программы, в то время как уровни Medium и Height блокируют всё до получения от вас разрешения на доступ в Интернет. По умолчанию устанавливается уровень Medium, оптимально сочетающий безопасность и быстродействие. Напомню, что программы, для которых правила доступа не установлены, будут спрашивать нас о получении разрешения (к этому мы еще вернемся).

Не огорчайтесь, если пока не все ясно. Станет гораздо понятнее, когда мы разберем собственные настройки. Для этого воспользуемся кнопкой Custom Level («Собственный уровень защиты»). Рис. 15 показывает, во что мы ввязались на этот раз.

Рис. 15. Интерфейс собственных установок параметров защиты

Здесь можно выбрать один из следующих режимов защищенности:

• None (отсутствует) — разрешены все связи с Интернетом;
• Medium (средний) — блокированы только известные «троянские» программы;
• High (высокий) — блокировано все до получения от нас разрешения.

Для ActiveX-компонентов и Java-аплетов возможны три варианта уровней защиты:

• None (отсутствует) — разрешены Java-аплеты или ActiveX-компонеты;
• Medium (средний) — всякий раз спрашивать об их использовании;
• High (высокий) — блокировать Java-аплеты или ActiveX-компоненты.

В окне «летают» еще две интересные галочки:

Enable Access Control Alerts («Разрешение предупреждающих сообщений доступа») обеспечивает осторожное управление. Помните, мы устанавливали для программы правила доступа? Так вот, если эту галочку «подстрелить» (сбросить), то приложения, для которых не установлены правила доступа (см. рис. 10), автоматически блокируются и не будут допущены к Всемирной паутине. При «живой» (установленной) галочке система будет спрашивать нас о разрешении на доступ.

Alert when unused ports are accessed («Сообщить о попытке доступа к неиспользующемуся порту») позволяет сигнализировать об опасной попытке доступа к неиспользуемому порту компьютера. Этот сигнал важен для разрешения проблем, возникающих при конфигурировании дополнительных программ и возможностей, таких как Internet Connection Sharing. Для того чтобы избежать сигнализации об опасности незатребованных попыток соединения, надо сбросить этот флажок.

Не бойтесь экспериментировать, и вы найдете приемлемые для себя решения. Если же запутались, всегда есть возможность отката к установкам по умолчанию, достаточно щелкнуть на кнопке Default Level («Уровень по умолчанию») на панели Personal Firewall Settings, и дело в шляпе.

Privacy Control («Секретный отдел»)

Вернемся теперь к вопросу об установке замков на секретную информацию. Уровень секретности устанавливается в специальном отделе. Для его вызова надо щелкнуть на кнопке с названием Privacy Control в главном окне брандмауэра.

Рис. 16. Интерфейс службы засекречивания

Секретный отдел надежно сохраняет конфиденциальную информацию, если оживить галочку Enable Privacy («Разрешение засекречивания»). Получив разрешение, отдел рьяно принимается за работу. Энергичность работы секретного отдела определяется специальным ползунком (см. рис. 16), возможные установки которого приведены в табл. 2.

Табл. 2. Стандартные уровни доступа в Интернет

Кроме того, для всех описанных выше предлагаемых уровней защиты запрещено запоминание адреса последнего посещаемого Web-сайта или почтового адреса.

По умолчанию используется уровень Medium. Он предоставляет хороший баланс между соблюдением безопасности и соглашениями об удобстве. Однако если нас по каким-либо причинам не удовлетворяют стандартные установки, можно сделать собственные. К этому нет никаких препятствий, достаточно щелкнуть на кнопке Custom Level, и мы уже стоим у окна, показанного на рис. 17.

Рис. 17. Окно установок собственных параметров секретности

Здесь можно выбрать один из трех уровней засекречивания:

• None (отсутствует) — разрешает посылку секретной информации;
• Medium (средний) — всякий раз спрашивает разрешение на посылку;
• High (высокий) — блокирует посылку секретной информации.

В секции Cookie Blocking можно установить уровень блокировки информационных файлов:

• None (отсутствует) — разрешение (рекомендуется);
• Medium (средний) — всякий раз спрашивать разрешение;
• High (высокий) — блокировка.

Давайте немного отвлечемся и поговорим о сookies. Это не такая уж и плохая вещь — печенье (особенно домашнее). Думаю, слухи о том, будто оно предназначено только для того, чтобы украсть данные с компьютера и сделать нашу несчастную жизнь еще более несчастной, не имеют под собой реальной основы. На самом деле это информационные текстовые файлы, которые Web-сервер оставляет на нашем компьютере, облегчая его дальнейшее посещение и себе, и нам. Так, cookies позволяют запомнить сделанные нами на сайте установки (например, выбор товара при посещении виртуального магазина) и вернуться к ним позднее. Иными словами, не стоит отказываться от этого. Однако выбор (как всегда) за вами.

В окне нетрудно заметить еще две галочки:

• Enable Browser Privacy препятствует получению Web-сайтами информации об адресе последнего Web-сайта, который мы посещали, или адреса электронной почты;
• Enable Security Connection (HTTPS) разрешает доступ к Web-сайтам, использующим HTTPS — служебный протокол, часто употребляемый для передачи данных с кредитных карточек. Если этот параметр активен, то секретная информация не блокируется.

Для того чтобы вернуться к стандартным установкам, щелкнем на кнопке Default Level.

Со способами установки защиты на конкретные виды секретной информации (например, номер кредитки) нас уже познакомил консультант службы безопасности.

Комфорт

А теперь перейдем к созданию комфорта, который мы все так любим и без которого жизни своей не мыслим. Выбрав из главного окна брандмауэра пункт меню Options — Personal Firewall, мы окажемся у окна Norton Personal Firewall Options.

Рис. 18. Интерфейс настройки параметров брандмауэра

В секции Startup («Начальная загрузка») можно определить, будет ли установлена «огненная стена» сразу после загрузки Windows (Run At System Startup), либо мы будем запускать ее самостоятельно — вручную (Manual). При непостоянной работе с Интернетом целесообразнее переключиться на Manual, избавляя память компьютера от лишних программ, а его сердце (процессор) — от перегрузок.

На «подносе» Windows (панель в правом нижнем углу экрана) устанавливаем галочку в поле Enable Taskbar — для разрешения показа пиктограммы .

Галочка в пункте Show Alert Tracker («Показать индикатор событий») разрешает использовать знакомый нам фиксатор событий.

Выберем теперь закладку Tray Menu и поглядим в новое окно (рис. 19). Здесь можно повлиять на содержимое меню, любезно предоставляемого по первому же щелчку на пиктограмме глобуса (см. на «подносе» Windows).

Рис. 19. Установка меню, вызываемого с «подноса» Windows

В меню можно включить следующие блюда:

• Options — вызов окна «Параметры»;
• Advanced options — вызов окна «Дополнительные параметры»;
• View Event Log — вызов окна «Журнал событий»;
• View Statistics — вызов окна «Просмотр статистики».

Как приостановить работу брандмауэра?

Для того чтобы увеличить быстродействие компьютера (например, при работе в 3DMax или Photoshop), может понадобиться временно остановить работу брандмауэра. Сделать это просто. Достаточно выбрать пиктограмму глобуса на «подносе» Windows и щелкнуть по переключателю Enable/Disable.

Система защиты позволяет также разрешить/блокировать системы Personal Firewall или Privacy Control независимо друг от друга. Для этого надо зайти в меню Internet Status (см. рис. 2), затем выбрать в правой части окна Personal Firewall или Privacy Control и щелкнуть на Enable/Disable.

Рис. 20. Разрешение или запрет службы засекречивания

Владимир Гевенян
12.03.2003
«Мир ПК», № 3/2003

О конфигурировании «Огненной стены»

Для геймеров

Некоторые игры в режиме мультиплеера требуют специального доступа в Интернет. Когда с игрой возникают какие-либо проблемы, следует предоставить ей полный доступ. Если это не помогает, тогда компьютеры других игроков надо временно поместить в Trusted zone («Зону доверия»).

Для широкополосных соединений (broadband)

Широкополосная технология обеспечивает одновременную передачу голоса, данных, видео. Здесь никаких особых настроек не требуется, так как после инсталляции система защиты Нортона уже готова к работе с кабельными и DSL-соединениями. Но поскольку в таком режиме активны сразу многие компьютеры, от нашей системы защиты требуется постоянная готовность к отражению атаки. А для этого она должна быть как минимум включена (Enabled).

Для корпоративных сетей

«Огненная стена Нортона» должна располагаться после (позади) корпоративного брандмауэра.

Для домашней сети

Система защиты предохраняет компьютер от риска в Интернете, в то же время не ограничивая наши возможности в работе с локальной сетью. Она предотвращает проникновение в компьютер через Microsoft Networking (сетевой сервис Microsoft).

Для кабельного или DSL-соединения

«Огненная стена Нортона» работает позади кабельного или DSL маршрутизатора и добавляет к нему защиту. В некоторых случаях может понадобиться использование таких программ, как Net Meeting или Microsoft Messanger, а для этого придется уменьшить защиту, обеспечиваемую маршрутизатором. Кроме того, «Огненная стена Нортона» предоставляет некоторые возможности, недоступные маршрутизаторам. Например, засекречивание личной информации.

Для прокси-серверов

«Огненная стена Нортона» прекрасно уживается с основной массой прокси-серверов. Однако для усиления защиты потребуется более тонкая настройка.

Для Web-серверов

Для того чтобы защитить Web-сервер «Огненной стеной Нортона», надо создать правило, по которому приходящие TCP-соединения будут обращаться к порту 80.

Замечу, что правильно сконфигурированная система защиты не должна затруднять работу Web-сервера.

Для FTP-серверов

Для защиты FTP-сервера «Огненной стеной Нортона» надо выполнить следующие правила:

• прибывающие TCP-соединения подключаются к порту 21;
• исходящие TCP-соединения подключаются к порту 22;
• разрешено подключение прибывающих TCP-соединений к портам от 1024 до 5000.

Для того чтобы сконфигурировать «Огненную стену Нортона» с FTP-сервером, надо обратиться к FTP-сайту, набрав FTP://, сопровождая этот текст IP-адресом FTP-сервера в адресной строке браузера. После этого система защиты выведет диалоговое окно с сообщением о доступе в Интернет. В окне требуется щелкнуть на Customize Internet access for this application («Установить доступ в Интернет для этой программы»).

Для DHCP-серверов

Если компьютер получает свой IP-адрес от DHCP-сервера, всякий раз выделяющего разные IP-адреса, требуется осторожность при употреблении в правилах локального адреса.

Поскольку он может измениться в любую минуту, вместо него лучше ввести базовый IP-адрес и некоторую маску (маску подсети). Иными словами, ввести значения, охватывающие определенный диапазон адресов, которые могут быть связаны с компьютером.

Для pcAnywhare

При использовании «Огненной стены» с хостом pcAnyware не возникает никаких проблем. Рекомендую лишь для усиления защиты установить правило, ограничивающее использование хоста только для компьютера, который с ним работает.

Для VPN (Virtual Private Networks — «Служба виртуальных сетей»)

«Огненная стена Нортона» работает с виртуальными службами Nortel, VPNRemove, PGP, SecureRemove.

См. также: Технические характеристики

Статью "12.03.2003. Огненная стена Нортона" Вы можете обсудить на форуме.