Компьютерный брандмауэр (межсетевой экран) призван предотвратить несанкционированный доступ злоумышленников на защищаемую территорию, под которой обычно понимается внутренняя сеть организации или отдельный компьютер. Если межсетевой экран защищает отдельный компьютер, то он обычно называется персональным брандмауэром.

Теперь приведем несколько более строгое определение. Межсетевой экран – это программно-аппаратная система, позволяющая разделить вычислительную сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части сети в другую.

Межсетевой экран отслеживает данные, перемещающиеся в обоих направлениях: извне в защищаемый сегмент и из сегмента наружу. Необходимость блокирования несанкционированного исходящего трафика вызвана возможным присутствием в сегменте программных закладок (в частности, программ типа Spyware или AdWare).

Эффективность применения межсетевых экранов оказалась весьма высокой, и это привело к появлению достаточно большого числа конкурирующих продуктов. Ниже рассмотрены наиболее популярные из них, относящиеся к категории персональных брандмауэров.

Первый из них – ICF (Internet Connection Firewall). Далеко не самый эффективный, но достаточно распространенный, поскольку входит в состав операционной системы Windows XP.

Межсетевой экран Windows XP позволяет настраивать параметры защиты не для компьютера в целом, а для каждого созданного сетевого подключения в отдельности. Чтобы убедиться, что для имеющегося соединения ICF включен, выполните следующие действия.

1. В меню Пуск выберите интересующее сетевое подключение (Настройки Сетевые подключения) и щелкните на его имени правой кнопкой мыши.

2. В контекстном меню подключения выберите пункт Свойства.

3. В открывшейся панели свойств перейдите на вкладку Дополнительно; посмотрите, поставлен ли флажок Защитить мое подключение к Интернету (рис. 2.23).

Когда брандмауэр включен, он блокирует все несанкционированные пакеты, поступающие через сетевой интерфейс. Для проверки пакетов в брандмауэре ICF используется так называемая NAT-таблица потоков (Network Address Translation – преобразование сетевых адресов) с проверкой любого входящего пакета на соответствие записям в этой таблице. Входящие пакеты данных пропускаются только в том случае, если в NAT-таблице имеется соответствующее разрешение (рис. 2.24). Для изменения списка разрешений необходимо открыть окно настроек, щелкнув на кнопке Параметры (см. рис. 2.23).

Если обмен информацией не санкционирован из защищенной сети, входящие данные игнорируются. При этом брандмауэр ICF не посылает пользователю никаких уведомлений, а просто прерывает передачу данных, которые он не запрашивал. Вместо этого брандмауэр может вести журнал безопасности, записывая в него все необходимые сведения о наблюдаемой активности.

Персональные брандмауэры других производителей обладают по сравнению с ICF целым рядом дополнительных (и весьма полезных) возможностей. В частности, они способны ограничить список приложений, получающих доступ в Сеть, запретить или ограничить поступление на компьютер баннерной рекламы, блокировать появление всплывающих окон на веб-страницах, контролировать вложения к электронным письмам и многое другое. Следует также отметить, что многие из популярных брандмауэров предоставляются пользователям бесплатно.