Что такое сетевой экран как его отключить и когда. Сетевые экраны

Что такое сетевой экран? Так называют приложения предназначенные для предохранения компьютера от проникновения из сети нежелательного трафика и вредоносных программ. Это - защитная система, подобно стене, стоящая между сетевым адаптером и операционной системой. Поэтому, чаще эти программы называют фаерволами или брандмауэрами. В оригинальном значении, фаервол - это стена, отделяющая и предохраняющая смежное здание от распространения пожара. Любой сетевой пакет проверяется фаерволом, прежде чем поступить на обработку операционной системой. И любой исходящий пакет данных должен пройти его контроль. Значит, сетевой экран - это не сплошная стена, а специально настроенная программа фильтрующая входящий и исходящий трафик.

Работая в сети, мы используем различные приложения. Каждому приложению необходим доступ к определенному виду трафика. Например, браузерам требуется 80-й порт для исходящего ТСР-соединения и порт 53 DNS-сервера. ICQ-клиентам, для исходящих ТСР-соединений нужен порт 5190. Если закрыть 44583-й порт, мы не сможем пользоваться Skype. Как раз, фаервол и контролирует эти и все остальные порты компьютера на входящий и исходящий трафик. То есть, открывает соответствующие порты только разрешенным правилами приложениям. А правила эти, мы можем устанавливать и сами, когда настраиваем фаервол. Предположим, мы разрешили работу программе Opera. Это значит, что входящий и исходящий трафик для этого приложения будет беспрепятственно пропускаться фаерволом. Если же, сетевые пакеты исходят от программы,которой мы не давали разрешения на работу, соединение будет блокировано. При первом запуске какого-либо приложения, требующего доступ к сети, фаервол выдает диалоговое окно-запрос. И тут, мы сами решаем давать доступ или нет.

Firewall - это первое и главное средство защиты компьютера от сетевых вторжений. И он должен быть соответствующим образом настроен.

Если мы работаем в офисе и включены в локальную сеть предприятия, нам не о чем беспокоиться. Системный администратор обеспечит надежную защиту и нет необходимости настраивать на своей машине персональный фаервол. Другое дело, когда мы напрямую выходим в глобальную сеть. В этом случае фаервол должен быть установлен обязательно. И он должен быть включен и настроен.

Операционная система абсолютно незащищенного компьютера может быть полностью выведена из строя, всего лишь, за несколько часов активного интернет-серфинга. Проводились и такие эксперименты. Фаервол остановит часть вторжений - блокирует несанкционированные соединения.

Собственный сетевой экран встроен в системы Microsoft Windows начиная с Windows XP SP2 и выше. Почитаем урок: брандмауэр Windows XP и посмотрим как включить его и настроить.

На примерах встроенных средств защиты Windows мы ознакомились с принципами работы сетевых экранов - фаерволов. Надежный фаервол контролирует не только входящие сетевые пакеты. Он должен фиксировать и весь исходящий трафик. И блокировать исходящие от вредоносных программ пакеты, если такие программы все же проникли в компьютер и пытаются выслать украденную информацию. Например, брандмауэр Windows XP не работает по исходящим соединениям. Здесь, стоит подумать об установке стороннего фаервола. Что можно посоветовать?

По результатам тестов авторитетных независимых лабораторий занимающихся проблемами защиты персонального компьютера, лучшим фаерволом признается Comodo. Comodo Firewall - это бесплатный персональный фаервол американского разработчика Comodo Group для Windows XP, Vista, Windows 7 и 8. Скачать последнюю версию фаервола можно с официального сайта разработчика.

Перейдем в урок: настройка Сomodo Firewall и посмотрим как установить и работать с этим фаерволом.

Как удалить сетевой экран и нужно ли это делать

Сетевой экран - нужная программа, обеспечивающая безопасность компьютера, и он должен быть: а) установлен, б) включен. Но сетевой экран может конфликтовать с некоторыми приложениями, обычно антивирусами, особенно с собственным встроенным файрволом, и при попытке установки антивируса появляется требование удалить сетевой экран. А пользователь не всегда понимает, как удалить сетевой экран, и что это такое.

Сетевой экран - то же, что брандмауэр или файрвол, операционная система Windows имеет собственный штатный, то есть встроенный файрвол, и удалить его не удастся никак, только отключить, что как раз очень просто, это первая возможность, представляющаяся при открытии окна файрвола. Вообще, все сетевые экраны могут быть отключены, так что их удаление - достаточно радикальная мера.

Если же действительно необходимо удалить сетевой экран, являющийся отдельной программой, это делается через службу Установка и удаление программ. Если сетевой экран является компонентом антивируса, то удаляется вместе с ним, аналогичным способом. Иногда приходится применять специальные программы бесследного удаления антивирусов.

Брандмауэр Windows – это системная утилита, созданная по принципу Firewall. Она представляет собой межсетевой экран , который блокирует доступ к нежелательным ресурсам. Также брандмауэр способен блокировать доступ в интернет тем программам, которые пользователь выберет сам. Это достигается путем настройки правил экрана. Файрволл является частью Центра обеспечения безопасности.

Многие пользователи стремятся его отключить , так как либо не понимают все плюсы его использования, либо ставят сторонние программы для решения таких задач. Брандмауэр появился еще в Windows XP, но та версия была настолько нестабильна, что вирусу ничего не стоило заразить компьютер. В пакете обновления SP3 уязвимости были исправлены, а к моменту выхода Vista этот компонент системы стал полноценным защитником ОС от вторжения извне.

Как включить брандмауэр

В некоторых сторонних сборках ОС Windows межсетевой экран отключен намеренно, так как он, по мнению некоторых, тормозит работу системы и вообще мешает. Это неразумно, поскольку при отсутствии стороннего софта с такими же возможностями компьютер подвергается угрозе заражения. И это весьма опасно, вопреки мнению некомпетентных пользователей, которые мнят себя хакерами. Включить Брандмауэр Windows очень просто.

Нужно открыть «Панель управления », выбрать пункт «Администрирование » и в открывшемся окне выбрать «Службы ». Подождем, пока запустится список. В перечне служб выбираем «Брандмауэр Windows » и щелкаем по надписи два раза. В графе «Тип запуска » выбираем «Автоматически » и ниже кликаем на кнопку «Запустить ».

Теперь межсетевой экран работает в автоматическом режиме . Он будет вести себя тихо до тех пор, пока пользователь не попытается посетить веб-узел с заведомо вредоносным контентом. Тогда пользователь получит предупреждение и запросит действие пользователя (блокировать доступ или разрешить).

Как отключить сетевой экран

Если вы установили сторонние утилиты с возможностью блокирования нежелательных соединений, то штатный компонент Windows вам точно не нужен. Его можно отключить . Процесс схож с процедурой включения.

Идем в «Панель управления », затем в пункт меню «Администрирование ». Два раза кликаем на пункт «Службы », выбираем «Брандмауэр Windows ». В открывшемся окне щелкаем на кнопку «Остановить » и выбираем тип запуска «Отключено ».

Теперь межсетевой экран не будет докучать сообщениями. Главное – не забыть настроить стороннюю программу.

Настройки встроенного фаервола

Межсетевой экран можно настроить как угодно, в соответствии с выбранным уровнем безопасности. В большинстве случаев хватает стандартных настроек, рекомендованных компанией Microsoft. Но для тонкой настройки придется выполнить ряд действий.

Первым делом нужно перейти в «Панели управления » на вкладку «Брандмауэр Windows » и нажать на кнопку «Использовать рекомендуемые параметры ». Если на компьютере используется несколько подключений к сети, то придется повторить процедуру для каждого из них. После этого межсетевой экран будет работать в стандартном режиме с рекомендуемыми настройками.

Создание сетевых правил

Часто стандартных настроек файрволла недостаточно для полноценной работы тех или иных программ. Экран может блокировать их доступ в интернет. И в этом случае придется создать сетевые правила, которые разрешат утилитам соединяться с нужными им серверами. Существуют отдельные правила для входящих и исходящих подключений. Если приложению нужно использовать оба, то следует создать два правила.

Для создания правила идем в «Панель управления », выбираем вкладку «Администрирование » и там щелкаем по надписи «Брандмауэр Windows в режиме повышенной безопасности ». Здесь нужно выбрать пункт «Правила для входящих подключений » и нажать на кнопку «Создать правило ». Откроется специальный мастер, в котором уже будет стоять галочка на пункте «Для программы ». Нажимаем «Далее » и при помощи кнопки «Обзор » выбираем исполняемый файл нужного приложения (к примеру, skype.exe). Нажимаем кнопку «Далее » и отмечаем пункт «Разрешить подключение ». Затем нажимаем два раза кнопку «Далее » и присваиваем правилу имя (skype). Теперь можно нажать «Готово ». Правило создано. Для того, чтобы все заработало нужно перезагрузить компьютер.

Точно так же создаются правила для исходящих подключений. Только нужно в окне слева выбрать соответствующую вкладку.

С помощью штатного межсетевого экрана ОС Windows можно обезопасить свой компьютер даже без использования специализированных антивирусных продуктов (которые, как известно, платные). Достаточно потратить немного времени на настройку брандмауэра Windows, и ваш компьютер будет защищен от любого типа угроз. Включая всевозможные вредоносные вирусы и хакерские атаки.

Сетевой экран (Firewall , брандмауэр)

Достаточно ли для защиты от плохишей и вредителей антивирусного программного обеспечения? Нет. Существует второй рубеж обороны – сетевой экран. Основной его смысл – ограничение сетевой активности Вашего компьютера, контроль за устанавливаемыми сетевыми соединениями.

Немного теории.

Ваш компьютер имеет как минимум один сетевой адаптер , через который Вы подключаетесь к сети (интернет, локальная сеть). Его мы будем называть сетевым интерфейсом . На одном компьютере может быть несколько сетевых интерфейсов, причем не только физических, но и виртуальных. Например, при установке VPN соединения активизируется адаптер виртуальной частной сети.

Чтобы компьютер мог общаться с миром, необходимо определить способ этого общения – протокол , в настоящее время в сети интернет принят TCP / IP версии 4 , на подходе версия 6. В версии 4 адрес компьютера задаётся двенадцатью цифрами, которые обычно располагаются группами по три (10.8.3.21 = 010.008.003.021). Каждому сетевому интерфейсу соответствует один сетевой адрес (и неограниченное количество псевдонимов/алиасов). На одном физическом устройстве можно организовать более одного сетевого интерфейса.

Использовать сеть пытаются многие программы и службы, причем одновременно. Чтобы уменьшить количество конфликтов и коллизий, на сетевом интерфейсе для каждой из них организуется виртуальное устройство – порт , через который и происходит общение данной программы с другими сетевыми партнёрами. Порты бывают известные, зарегистрированные и динамические . Известные – первая тысяча (1023) – стандартные, каждый из них по международному соглашению закреплен за определенной службой. Следующие 48 тысяч (до 49151) также регулируются международными соглашениями, но назначаются для частных целей. Все порты с большими номерами могут быть использованы любыми программами и службами. Вообще, все порты с номером большим 1024 можно считать динамическими, так как особо никто не следит за их использованием.

Также существует два подвида IP протоколов – UDP и TCP . По протоколу UDP не производится контроль корректности передачи данных, используется чаще в работе служб.

Что происходит, когда Вы пытаетесь посетить страничку google .ru ? Ваш браузер открывает динамический порт и с него отправляет сетевой пакет с запросом на установку соединения. В заголовке пакета находятся сетевой адрес гугла и стандартный порт веб-сервера - 209.85.229.104:80. Веб-сервер гугла держит открытым порт 80 и прослушивает его. Ваш браузер подключается, и дальнейший обмен сетевыми пакетами будет происходить между вашим динамическим и гугловским 80 портами.

Все очень просто и надежно. В этом примере мы увидели, что сервис (веб-сервер) может открывать и прослушивать порты. При получении пакета он начинает действовать. Если это сервис злоумышленника (например, бэкдор/backdoor ), некто может получить доступ к Вашему компьютеру. Если это нормальный, штатный сервис, имеющий уязвимости, то с помощью специально сконфигурированного запроса можно нарушить его работу или даже получить контроль над Вашим компьютером. Также мы увидели, что программа может открыть динамический порт (или много динамических портов) и установить соединение с каким-то сервером/компьютером, что тоже может быть спровоцировано неизвестным плохишом. Налицо необходимость контролировать порты и обращение программ к сетевым интерфейсам. Для этого и служат сетевые экраны.

Сетевые экраны в общем случае имеют таблицу разрешенных портов и маршрутов, например:

Это упрощённый пример, обычно еще надо указать протокол (udp /tcp ). Кроме этого, хороший сетевой экран имеет проактивный фильтр, контролирующий обращение программ на открытие динамических портов. В нем можно указать, например, что opera может подключаться к чему угодно.

Каждая строчка в таблице является правилом работы экрана, вся работа сетевого экрана описывается такими правилами. Вручную все правила написать довольно сложно, для этого надо обладать большим терпением и солидным багажом знаний, поэтому большинство сетевых экранов имеют функцию обучения. При попытке программы установить соединение сетевой экран спрашивает у пользователя разрешить ли такой-то программе/службе подключиться к такому-то адресу на таком-то порту. Пользователь решает разрешить или запретить, а также может свой ответ сохранить как правило, чтоб таких вопросов больше не возникало.

Хватит теории, перейдем к практике. Начнем со штатного Windows Firewall (Брандмауэр Windows ). Многие, вернее все матёрые гуру сетей презрительно скривились, услышав это словосочетание. Их скепсис имеет под собой достаточно оснований. Злоумышленник, строя козни, предполагает, что против него будет выступать как минимум встроенный брандмауэр, предусматривая при этом способы его обхода. Также функциональность его не шире, а в некоторых случаях хуже бесплатных аналогов. Однако, лучше он, чем совсем ничего. Поэтому приступим. Пуск-Панель управления-Брандмауэр Windows .

Нажимаем кнопку «Изменить параметры»

У меня он уже включен, если у Вас – нет, включите. Если паранойя прогрессирует, можно поставить галку «Блокировать все входящие подключения. Это не помешает Вам посещать веб-странички. Перейдем на вторую вкладку «Исключения».

На картинке Вы видите список программ и портов, которым разрешено работать через брандмауэр. Проблема в том, что мы не увидим, разрешены входящие или исходящие подключения. Только при открытии порта мы можем быть уверены в том, что он открыт для входящих соединений. Что разрешается для программ – сиё тайна великая есть. По меньшей мере – исходящие соединения. Этот список доступен для редактирования администратору, можно совсем удалить запись из списка исключений, можно временно отключить, убрав галочку из чек-бокса. Для каждого исключения можно отредактировать область действия, то есть удаленные IP адреса.

Но для обычной работы в сети добавлять исключений не надо. Если установлена галочка «Уведомлять, когда брандмауэр блокирует программу», Вы будете получать сообщения о попытках программ выйти в интернет и сможете принять решение – пускать или нет, если в ответе вы укажете «Запомнить правило» - оно автоматически добавится в этот список. Некоторые программы при установке добавляют себя в исключения. Поэтому настоящий параноик обращается к этому списку только за тем, чтобы убирать галочки с подозрительных записей.

Перейдем на вкладку «Дополнительно».

Здесь мы можем отметить галками те интерфейсы, которые надо защитить. По умолчанию брандмауэр накрывает все интерфейсы.

Итак, встроенный брандмауэр Windows обладает достаточной функциональностью, однако неочевидным интерфейсом (в Windows 7 есть расширенный режим брандмауэра, в котором появляется возможность более детально настраивать правила), что заставляет нас использовать другие продукты. Естественно, к рассмотрению принимаются только бесплатные решения. Наиболее распространённым и характерным представителем этой серии продуктов является ComodoFirewall .

Качаем, устанавливаем. Ставить ли его вместе с антивирусом – решайте сами.

После установки убедимся, что брандмауэр Windows выключен.

При первом запуске возникнет вопрос – доверяем ли мы компьютерам в локальной сети или нет. Это означает, что компьютер будет виден в сетевом окружении у других компьютеров в локальной сети (зона, определяемая сетевым адресом и маской) и сможет предоставлять свои папки и другие ресурсы в общий доступ. Если Вы не знаете, что это означает, галочку не ставьте. Вторую галку не ставим в любом случае.

Также мы видим вопросы Comodo Firewall по активности сервисов. Для надежных ставим галочку «Запомнить мой ответ» и жмем кнопку разрешить. Со временем таких вопросов будет все меньше и меньше.

Зайдем в настройки. Для этого щелкнем пиктограмму в трее, либо через меню Пуск-программы.

Первые три пункта вопросов не вызывают. Разберем на примере добавления приложения Far в доверенные для выхода в интернет. Жмем добавить доверенное приложение, через обзор находим Far manager , нажимаем «Применить» - готово.

Четвертый пункт – мастер скрытых портов.

Первый пункт позволяет определить доверенную зону, то есть подсеть, сетевой обмен с которой беспрепятственно проходит сквозь сетевой экран. Назначение второго и третьего пунктов ясно из картинки.

Следующий интересный пункт основного меню – «Мои наборы портов».

Эти наборы портов можно использовать в правилах сетевого экрана, чтобы не создавать несколько одинаковых строк для различных портов.

Такое же назначение имеет пункт «Мои сетевые зоны». Другими словами, это группы адресов, к которым применимы одинаковые правила.

Назначение последнего пункта ясно из его подписи.

Теперь ткнем слева (Задачи файервола) в пункт «Расширенные».

Вот оно – сердце Комода: правила для приложений и глобальные правила, то есть правила для всех. Щёлкнем в любое правило для приложений. Если Вы назначили Far manager , как в моём примере, то увидите следующую картинку:

Мы видим, что разрешили все входящие и исходящие для ip протокола с любого адреса отправления на любой адрес назначения любые типы пакетов. Оставим ему только исходящие и нажмем «Применить». На закладке глобальных правил выбор побогаче. Нажмем кнопку «Добавить» и запишем правило для приема входящих подключений программой uTorrent на порту 51280.

Адрес отправления – любой компьютер из интернета, порт отправления – любой, мы же не знаем с какого порта он подключаться будет. А вот адрес назначения – наш IP адрес на том интерфейсе, который смотрит в интернет (выбираем единичный IP и вводим наш адрес), номер порта – 51280 (его мы взяли из настроек программы uTorrent ). Жмем применить.

Внимательнее посмотрим на некоторые пункты. При назначении IP адреса мы можем выбрать не только определенный диапазон, но и зоны, которые мы описали в «Мои сетевые зоны», а при назначении портов – «Мои наборы портов» (см. выше).

Следующий пункт меню – Предопределенные политики. Здесь можно указать наборы политик, которые потом можно будет применять к однотипным приложениям. Например, там уже указаны наборы политик для веб-браузеров, что позволит при смене браузера изменить только одну строчку в правилах.

Остальные настройки не так часто используются, да и те, кто ими заинтересуется – разберутся без меня.

Вывод: Comodo Firewall позволяет выполнить все настройки фильтрации, которые нас интересуют, причем для этого не надо каких-то специальных знаний. А также на его примере мы разобрали основные способы настройки сетевых экранов. Теперь Вы сможете закрыть свои сетевые интерфейсы, обезопасив себя от внешних атак.

Помните, даже если у Вас ничего нет, найдутся люди, которые этого не знают.

Брандмауэр в Windows – это программа защиты компьютера, которая проверяет и контролирует исходящие и входящие данные (трафик) между компьютером и сетью. Сеть может быть как локальная, так и сеть Интернет, что более распространено. Без включенного брандмауэра весь сетевой трафик бесконтрольно проходит через PC, в то время когда работающий брандмауэр, в зависимости от его настроек блокирует или пропускает данные. Включенный брандмауэр совместно с становится настоящей стеной от вредоносных программ и сетевых атак. Кстати, второе название такого типа программ – Firewall, что в переводе с английского и означает «огненная стена». Также можно встретить название сетевой экран.

Как включить брандмауэр Windows

В ОС Windows есть встроенный брандмауэр и он не всегда включен изначально. Проверить работает ли сетевой экран нужно открыть компьютером Пуск > Панель управления , переключите вид окна в показ «Крупные значки » или «Мелкие значки » (для удобства поиска) вверху справа и найдите иконку «Брандмауэр Windows ».

Откройте окно брандмауэра левой кнопки мыши. При включенном сетевом экране будет изображение зеленого щита напротив подключения. В противном случае вы увидите красный щит.

Если брандмауэр выключен, то его нужно включить следующим образом:

Настройки брандмауэра Windows

Чтобы настроить сетевой экран откройте в панели управления окно брандмауэра, как описано выше в пункте №1 и кликните в левой панели по пункту меню «».

Здесь можно просмотреть и установить правила для подключений к сети различных программ и служб. Для встроенных в операционную систему программ и служб правила подключений к сети уже установлены автоматически.

Для сторонних программ, после их установки, при первом выходе в сеть, сетевой экран запрашивает у пользователя разрешение или запрет доступа в сеть данной программы. Разрешая или запрещая доступ, вы даете команду сетевому экрану создать правило для этого приложения и запомнить его, чтобы в следующий раз брандмауэр вас не спрашивал. Таким образом, без вашего ведома ни одна программа не получит соединение с интернетом.

Для включения, отключения и изменения существующего правила для программы, найдите ее в списке правил в дополнительных параметров брандмауэра и дважды щелкните по ней для создания нового правила.

Чтобы разрешить доступ в сеть ранее установленную программе, щелкните в левой колонке на пункте меню «».

В открывшемся окне щелкнуть на кнопку «Изменить параметры », после чего щелчком по кнопке «Разрешить другую программу » открыть окно выбора установленных приложений, найти нужное и дать ему разрешение на соединение установкой отметки напротив названия.

Теперь брандмауэр Windows включен, настроен и готов отражать сетевые атаки.