Персональный межсетевой экран представляет собой приложение , которое контролирует сетевой трафик и с компьютером, разрешающим или запрещающим сообщением , основанное на политике безопасности . [1] Обычно он работает как брандмауэр прикладного уровня .
Персональный межсетевой экран отличается от обычного межсетевого экрана масштабом. Персональный брандмауэр обычно защищает только компьютер, на котором он установлен, по сравнению с обычным брандмауэром, который обычно устанавливается на назначенном интерфейсе между двумя или более сетями, например, маршрутизатором или прокси-сервером . Следовательно, персональные брандмауэры позволяют определять политику безопасности для отдельных компьютеров, тогда как обычный брандмауэр контролирует политику между сетями, к которым он подключается.
Персональные брандмауэры для отдельных компьютеров полезны для защиты компьютеров, перемещаемых по разным сетям. Например, портативный компьютер может использоваться в доверенной интрасети на рабочем месте, где требуется минимальная защита, поскольку уже установлен обычный брандмауэр и полезны службы, для которых требуются открытые порты, такие как совместное использование файлов и принтеров. Тот же ноутбук можно использовать в общедоступных точках доступа Wi-Fi , где может потребоваться определить уровень доверия и перенастроить параметры брандмауэра для ограничения трафика на компьютер и с него. Брандмауэр можно настроить, чтобы разрешить разные политики безопасности для каждой сети.
В отличие от сетевых брандмауэров, многие персональные брандмауэры могут контролировать сетевой трафик, разрешенный для программ на защищенном компьютере. Когда приложение пытается установить исходящее соединение, брандмауэр может заблокировать его, если он занесен в черный список, или спросить пользователя, занести ли его в черный список, если он еще не известен. Это защищает от вредоносных программ, реализованных в виде исполняемой программы. Персональные брандмауэры также могут обеспечивать некоторый уровень обнаружения вторжений , позволяя программному обеспечению завершать работу или блокировать соединение, если оно подозревает попытку вторжения.
Функции
Общие функции персонального брандмауэра:
- Блокировать или предупреждать пользователя обо всех попытках несанкционированного входящего или исходящего подключения.
- Позволяет пользователю контролировать, какие программы могут и не могут получить доступ к локальной сети и / или Интернету, и предоставлять пользователю информацию о приложении, которое пытается установить соединение.
- Скрыть компьютер от сканирования портов, не отвечая на нежелательный сетевой трафик.
- Отслеживайте приложения, которые прослушивают входящие соединения.
- Мониторинг и регулирование всех входящих и исходящих пользователей Интернета.
- Предотвратите нежелательный сетевой трафик от локально установленных приложений.
- Предоставьте информацию о конечном сервере, с которым приложение пытается связаться.
- Отслеживайте недавние входящие события, исходящие события и события вторжений, чтобы узнать, кто обращался или пытался получить доступ к вашему компьютеру .
- Блокирует и предотвращает попытки взлома или атаки хакеров.
Ограничения
Брандмауэры помогают защитить внутреннюю сеть от хакеров , однако у брандмауэра есть некоторые ограничения.
- Если система была скомпрометирована вредоносным , шпионским или аналогичным программным обеспечением, эти программы также могут манипулировать брандмауэром, поскольку оба они работают в одной системе. Таким образом можно обойти или даже полностью отключить программные брандмауэры.
- Брандмауэр не может уведомить, если он был неправильно настроен.
- Брандмауэр может ограничивать доступ из Интернета, но не может защищать вашу сеть от беспроводного и другого доступа к вашим системам.
- Брандмауэры и виртуальные частные сети - не единственное решение для защиты личных документов и электронной почты, которые отправляются либо внутри организации, либо другим деловым контактам, находящимся за пределами организации.
- Создаваемые предупреждения могут снизить чувствительность пользователей к предупреждениям, предупреждая пользователя о действиях, которые могут не быть вредоносными.
- Программные брандмауэры, которые взаимодействуют с операционной системой или с другими брандмауэрами или программным обеспечением безопасности на уровне режима ядра, могут потенциально вызывать нестабильность и / или создавать недостатки безопасности. [2]
История
В середине 1990-х в рамках проекта архитектуры информационной безопасности для корпорации из списка Fortune 100 в США (Anheuser-Busch Corporation) один из членов группы архитектурных разработчиков из трех человек разработал концепцию в отношении для повышения общей безопасности операционной системы, которая будет использоваться на всех компьютерах в этой сетевой системе (сетевая система, называемая BudNET). Повышение общей безопасности операционной системы обычно называют «усилением защиты ОС». Член группы, которому было предъявлено обвинение в этом, был SSgt. Дональд Р. Вельтье-младший, и идея, которую он придумал, заключалась в установке специального программного обеспечения (программного обеспечения межсетевого экрана) на каждый сервер BudNET, рабочую станцию и устройство защиты периметра. Действительно, каждая система Windows в сети BudNET. Это концепция, которую сейчас обычно называют программным обеспечением «персональный брандмауэр». Итак, пока SSgt. Вельтье не изобрел программное обеспечение для персонального межсетевого экрана, он придумал идею «персонального межсетевого экрана». Доказательства этого факта содержатся в документе «Предложение модели безопасности Anheuser-Busch», подготовленном SSgt. Вельтье в то время. Когда SSgt. Woeltje пригласил всех ведущих поставщиков межсетевых экранов на встречи, посвященные продуктам, рассматриваемым для использования для защиты периметра сети BudNET, SSgt. Вельтье рассказал поставщикам о концепции «персонального межсетевого экрана» и спросил их, есть ли у них какой-либо межсетевой экран, который можно было бы использовать таким образом. За исключением представителей Cyberguard Corporation, все поставщики заявили, что у них не только нет программного обеспечения межсетевого экрана, которое можно было бы использовать таким образом, но они также заявили, что идея безумна и неосуществима. Но сегодня мы знаем, что они ошибались, потому что использование программного обеспечения для персональных брандмауэров стало де-факто стандартом компьютерной безопасности. Компании, которые SSgt. Вельтье обсуждал программное обеспечение «персонального межсетевого экрана», в частности, с Cisco, Checkpoint, Axent Technologies, Milkyway Networks, Cyberguard, Network ONE, Trusted Information Systems и Secure Computing Corporation.
Смотрите также
Рекомендации
- ^ [1] Персональный брандмауэр - сделайте его безопасным
- ^ «Ограничения межсетевого экрана» . Brighthub. 2010-12-14. Архивировано из оригинала на 2014-08-14 . Проверено 28 марта 2014 .
Внешние ссылки
- Программные брандмауэры: сделаны из соломы? Часть 1 и Часть 2 - объяснение конструкции и обсуждение уязвимости компьютеров Windows для обхода многоуровневым поставщиком услуг .
- Рейтинг тестирования программных брандмауэров , Matousec, 2014 г.