Internet Zone – зона Интернета – сетевые объекты, относительно надежности которых сведений нет.

Рис. 2.28. Правила фильтрации в ZoneAlarm основаны на понятии зоны

При этом для каждой из зон Trusted и Internet может быть установлен определенный уровень безопасности. Например, установив для зоны Trusted наивысший уровень безопасности (High), вы можете превратить ее (скажем, на некий опасный период) в зону Internet (рис. 2.29).

Установка для зон Trusted и Internet низшего уровня безопасности (Low) соответствует временному выключению брандмауэра. Если же, наоборот, требуется срочно блокировать связь с Интернетом, достаточно щелкнуть на кнопке в виде знака Stop, расположенной на панели инструментов основного окна ZoneAlarm (рис. 2.29).

Когда ZoneAlarm обнаруживает попытку несанкционированного выхода какого-либо приложения в Интернет, он выводит на экран диалоговое окно с достаточно подробным описанием ситуации (рис. 2.30).

Рис. 2.30. Окно с сообщением о попытке подключения к Интернету

Получив от владельца компьютера разрешение (или запрет) на допуск приложения в Интернет, ZoneAlarm запоминает выбор (если установить в окне соответствующий флажок) и по данному приложению больше вопросов не задает.

Аналогичные действия выполняются и в случае попытки обращения извне к какому-нибудь порту компьютера.

К недостаткам ZoneAlarm можно отнести то, что он некорректно отображает русскоязычные наименования приложений.

Системы обнаружения атак (или IDS – Intrusion Detection System) предназначены для выявления вторжений путем регистрации некорректной или аномальной деятельности пакетов данных, циркулирующих в локальной сети или поступающих на отдельный компьютер из внешней сети.

Сама по себе сетевая атака зачастую не несет непосредственной угрозы компьютерным данным или локальной сети. Она лишь является частью общей стратегии злоумышленника, направленной на достижение некой цели. Например, атака может заключаться в сканировании портов компьютера с целью выявления незащищенных «точек входа» либо в регистрации и анализе сетевого трафика с целью определения его интенсивности, параметров пересылаемых пакетов и т. п. Другими словами, некоторые виды атак можно рассматривать как «разведку боем». В случае успешного проведения такой разведки могут быть начаты непосредственно «боевые действия». Например, злоумышленник может внедрить через незащищенный порт шпионскую программу либо бомбардировать систему ложными сообщениями с целью захвата ее ресурсов.

Атаки, направленные на захват ресурсов, обычно приводят к тому, что атакованный веб-сервер перестает обслуживать «нормальные» запросы. Поэтому подобные атаки называются атаками на отказ в обслуживании – Denied of Service (DoS). Атаки типа DoS являются сегодня одними из наиболее распространенных.

Для обнаружения атак используется либо технология обнаружения аномального поведения (anomaly detection), либо технология обнаружения злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиске данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Подобные системы очень похожи на антивирусные сканеры. Именно на такой технологии основаны практически все предлагаемые сегодня системы обнаружения атак.

Необходимо отметить, что многие персональные брандмауэры содержат функции (или модули) обнаружения атак. Разумеется, они не могут претендовать на высокую эффективность, однако для «типовых» ситуаций вполне пригодны. Например, в составе рассмотренного выше брандмауэра Outpost Firewall имеется специальный модуль обнаружения атак – Детектор атак (рис. 2.31).