Обзор Norton Personal Firewall 2005


Назначение продукта

Norton Personal Firewall 2005 является персональным файрволом и предназначен для защиты компьютера от разного рода угроз при работе в интернете и в локальной сети. Norton Personal Firewall 2005 ограничивает доступ к компьютеру из сети и позволяет контролировать доступ в сеть программного обеспечения, установленного на компьютере. Помимо этого, он может контролировать исходящие данные и пресекать отправку нежелательной информации. Приобрести продукт можно в он–лайн магазине Symantec или у дистрибьюторов.

К оглавлению

Установка Norton Personal Firewall 2005

Инсталляция Norton Personal Firewall 2005 полностью автоматизирована. Необходимо лишь ввести нужные данные в окне мастера установки. После принятия условий лицензионного соглашения, ввода ключа продукта, выбора папки, куда будет установлен файрвол, копирования файлов и перезагрузки компьютера инсталляция будет завершена.

Norton Personal Firewall 2005 интегрируется в Центр обеспечения безопасности Windows. На рисунке ниже показан Центр обеспечения безопасности Windows до установки файрвола.

Центр безопасности Windows

По окончании установки файрвола и перезагрузки компьютера сообщение Центра безопасности примет вид, показанный на скриншоте ниже.

Центр безопасности Windows

После установки файрвола и перезагрузки компьютера на экран будет выведено окно мастера настройки, пример которого показан на картинке ниже.

Мастер настройки

После нажатия кнопки Next откроется окно, в котором будет предложено активировать и зарегистрировать установленную копию Norton Personal Firewall 2005 на сайте Symantec. По завершении активации продукта на экран будет выведено сообщение о том, что обновления можно будет получать в течение одного года, по окончании которого следует продлить подписку.

Активация выполнена

Затем на экран будет выведен мастер конфигурирования домашней сети, с помощью которого можно настроить доступ к другим компьютерам в локальной сети.

Настройка домашней сети

Мастер найдет установленные на компьютере сетевые адаптеры и предложит сконфигурировать их автоматически. Затем он предложит выбрать зоны, которые могут применяться к указанному адаптеру.

Выбор зон

После этого будет запущен мастер обновления.

Мастер обновления

Мастер обновления соединится с сервером обновлений Symantec, проверит, не появились ли обновления для установленного программного обеспечения и если такие обновления будут обнаружены, то мастер предложит их загрузить и установить.

К оглавлению

Интерфейс

При помощи двойного щелчка левой кнопкой мыши по значку Norton Personal Firewall в трее Значок можно открыть главное окно программы, которое показано на рисунке ниже.

Главное окно программы

Четыре кнопки в верхней части главного окна программы предназначены для блокирования всего трафика (Block Traffic), ручного запуска мастера загрузки обновлений (LiveUpdate), для изменения настроек программы (Options) и для просмотра справки (Help & Support). Нажатие кнопки Options (настройки) открывает окно настроек программы, пример которого показан ниже.

Настройки программы

На вкладке General (общие) можно просмотреть и изменить тип запуска программы (вручную или автоматически, при запуске системы). При необходимости можно включить защиту настроек программы паролем (Turn on password protection). Значок программы можно убрать из трея, сняв отметку с пункта Show Norton Personal Firewall, отметив пункты Log viewer и Statistics, можно включить в контекстном меню, вызываемом щелчком правой кнопки мыши на значке в трее, показ пунктов меню, выбор которых откроет окно для просмотра событий и для просмотра статистики, соответственно. Переключатель Logging Level предназначен для изменения количества информации, которая будет заноситься в журнал событий (стандартная или расширенная). Отметка пункта Turn on protection for my Symantec product включает защиту модулей программы от изменения.

Настройки программы

На вкладке LiveUpdate (обновление) можно настроить параметры обновления программы. Автоматическое обновление можно отключить (для этого нужно снять отметку с пункта Enable Automatic LiveUpdate). Автоматическое обновление может быть включено только для проверки обновлений файрвола (Personal Firewall) и/или для проверки обновлений модуля обнаружения вторжений (Intrusion Detection). Обновления могут быть скачаны автоматически или перед их загрузкой программа может запросить у пользователя разрешение на то, чтобы их скачать и установить (Notify me when updates are available).

Настройки программы

На вкладке настроек файрвола (Firewall) можно просмотреть и изменить общие настройки файрвола. Отметка пункта Program component monitoring (слежение за компонентами программ) включает проверку каждого модуля программы, который пытается получить доступ в сеть. Отметка пункта Program launch monitoring (слежение за запускающими программами) активизирует проверку программ, которые могут запустить другую программу и воспользоваться для отправки своих данных тем, что запускаемой программе разрешено отправлять данные в сеть. Поле HTTP port list содержит список самых распространенных портов, которые использует браузер для получения информации с посещаемых сайтов. В группе настроек Advanced security setting (дополнительные настройки безопасности) можно заблокировать трафик по протоколу IGMP (Block IGMP, включить скрытый режим защищаемых портов (Stealth blocked ports) и управлять поведением файрвола при получении фрагментированных пакетов (Block all (заблокировать все такие пакеты) или Permit all except suspected attacks (разрешить все, кроме тех, которые расцениваются как атака).

Настройки программы

На вкладке Email можно настроить поведение Norton Personal Firewall при проверке почты на наличие в ней частной информации. Пункт Tray icon (значок в трее) включает показ в трее значка, который уведомляет о том, что в данный момент проводится проверка почты. Пункт Progress bar (выполнение) показывает ход проверки почтовых сообщений на наличие в них частной информации.

К оглавлению

Security (безопасность)

На вкладке Security (безопасность) в главном окне программы есть две кнопки. Кнопка Turn off (выключить) выключает файрвол. После нажатия на эту кнопку файрвол выводит на экран запрос о том, на какое время файрвол должен быть отключен. Пример этого запроса показан на рисунке ниже.

Запрос

Из поля со списком можно выбрать одно из следующих значений: 5 минут, 30 минут, 1 час, 4 часа, до перезагрузки.

Нажатие кнопки Check Security (проверить безопасность) открывает в браузере специальный раздел сайта Symantec, при помощи которого можно просканировать свой компьютер на открытые порты и наличие уязвимостей.

Он-лайн проверка компьютера

Если вы выходите в интернет не напрямую, а через локальную сеть провайдера и имеете IP–адрес из диапазона адресов, зарезервированных для использования в локальных сетях, то данный тест будет бессмысленным, так как он проверит компьютер провайдера, который обеспечивает общее подключение к интернету вашей локальной сети. В этом случае, результаты проверки абсолютно дезинформируют, указав на то, что на вашем компьютере работают сервисы, которых на нем никогда не было (например, почтовый сервер, ftp–сервер). В то же время, результаты проверки не укажут на действительно открытые порты вашего компьютера, так как прямого доступа из интернета к нему нет, но он может быть атакован по локальной сети провайдера. Данный тест будет полезен только при подключении к интернету с выделенным IP–адресом («белым» IP–адресом), который был предоставлен Вашим провайдером и обрабатывается маршрутизаторами интернета.

К оглавлению

Personal Firewall (персональный файрвол)

Выбрав в главном окне программы вкладку Personal Firewall (персональный файрвол) можно при помощи кнопки Turn off выключить, а при помощи кнопки Configure просмотреть или изменить его настройки.

К оглавлению

Настройка уровня защиты

Первая вкладка настроек файрвола называется Firewall.

Настройки файрвола

На этой вкладке при помощи движка можно выбрать один из трех предопределенных уровней защиты, от минимального до максимального. При помощи кнопки Custom Level уровень защиты можно настроить исходя из собственных предпочтений.

К оглавлению

Настройка правил для приложений

На второй вкладке Programs (программы) можно просмотреть и настроить правила для приложений, пытающихся получить доступ в сеть.

Настройки файрвола

Отметка пункта Turn on automatic program control включает автоматическое создание правила, которое регулирует доступ в сеть тех программ, которые проверены компанией Symantec и считаются безопасными.

В группе Manual Program Control перечислены все созданные правила для приложений. Кнопками внизу окна можно изменить правило, создать новое или удалить существующее. При помощи кнопки Program Scan можно запустить мастера, который просканирует диски компьютера и предложит создать правила для всех найденных им программ.

В поле со списком Settings for можно выбрать один из профилей настроек файрвола. Все настройки, которые производятся на этой вкладке, сохраняются в выбранном профиле.

К оглавлению

Настройка сетей

Следующая вкладка называется Networking (сети).

Настройки файрвола

На этой вкладке для каждого профиля могут быть определены доверенные или запрещенные сети и компьютеры. Доступ к компьютеру под защитой файрвола из доверенной сети, а также доступ к компьютерам в доверенной сети не ограничивается файрволом и контроль над трафиком между компьютером и доверенной сетью отсутствует.

Чтобы разрешить общение компьютера с доверенной сетью или компьютером нужно добавить имя компьютера или его IP–адрес или диапазон IP–адресов или подсеть в поле на вкладке Trusted (доверенные) при помощи кнопки Add. После этого любые программы смогут устанавливать и принимать соединения с указанными на этой вкладке компьютерами. Будьте аккуратны при настройке доверенных сетей. Любой компьютер, находящийся в доверенной подсети, сможет атаковать ваш компьютер или заразить его вирусом.

На вкладке Restricted (ограниченные) можно добавить в список определенные компьютеры, доступ к которым и входящие подключения от которых будут блокироваться файрволом всегда.

К оглавлению

Настройка размещения

Пример следующей вкладки Locations (размещение) показан на рисунке ниже.

Настройки файрвола

Автоматическое определение сети, в которой в данный момент работает компьютер, включается при помощи отметки пункта Turn on network detector. Эта опция будет актуальна, если файрвол защищает ноутбук, который периодически работает в разных сетях. Файрвол может автоматически определять, например, что компьютер в данный момент работает дома и переключать файрвол на использование настроек из соответствующим образом настроенного профиля. Используя эту функцию можно настроить несколько профилей. Например, один для работы дома, который будет содержать в списке доверенных компьютеры домашней сети, второй для работы в офисе, он будет содержать в списке доверенных только контроллер домена, и третий – для работы в остальных сетях. Когда файрвол определяет, что компьютер работает в новой для него сети, то он выводит на экран запрос, который показан на рисунке ниже.

Запрос файрвола

В этом запросе нужно выбрать из поля со списком один из профилей, который будет сопоставлен с сетью, в которой в данный момент находится компьютер. В дальнейшем, файрвол при работе в этой сети будет автоматически переключать профиль на тот, который был выбран в этом запросе.

К оглавлению

Настройка правил фильтрации пакетов

На последней вкладке Advanced (дополнительно) настраиваются правила фильтрации пакетов.

Настройки файрвола

Нажатие кнопки General (общие) открывает окно настроек фильтрации пакетов, которые применяются для всех приложений. Пример этого окна показан на рисунке ниже.

Настройки файрвола

В этом окне уже созданы некоторые правила, блокирующие или разрешающие обмен данными с определенными сервисами. Правила применяются сверху вниз. Будьте аккуратны при настройке правил фильтрации, они имеют высший приоритет над правилами для приложений. Например, если запретить любые подключения на 21–й порт любых компьютеров, а затем попытаться подключиться к FTP–серверу при помощи любой программы, которой разрешена любая сетевая активность, то программа не сможет установить соединение ни с одним FTP–сервером.

Вторая кнопка Trojan horse (троянские кони) на вкладке Advanced открывает окно, пример которого показан ниже.

Настройки файрвола

В этом окне созданы правила, блокирующие активность наиболее распространенных троянов, которые могут выполнять деструктивные действия, «зомбировать» компьютер и предоставлять хозяину трояна контроль над зараженной машиной.

К оглавлению

Intrusion Detection (обнаружение атак)

Настройки модуля обнаружения атак показаны на рисунке ниже.

Настройки детектора атак

Отметка пункта Turn on Intrusion Detection включает модуль обнаружения атак. Файрвол анализирует сетевую активность и если обнаруживает признаки атаки, то блокирует эту активность. Если отмечен пункт Notify me, то при обнаружении атаки файрвол выведет на экран предупреждающее сообщение. С помощью кнопки Advanced можно просмотреть описания определенных типов атак и, при необходимости, отключить обнаружение определенных из них. Также, для конкретных типов атак можно отключить вывод на экран предупреждающих сообщений.

На второй вкладке AutoBlock (блокировка) настраивается автоматическая блокировка компьютера, с которого была обнаружена атака. Можно отключить блокировку определенных компьютеров и указать время блокировки атакующего компьютера.

К оглавлению

Настройки защиты персональной информации (Privacy Control)

Файрвол может проверять исходящий трафик на предмет обнаружения в нем определенных последовательностей символов и блокировать такой трафик при обнаружении. Пример окна настроек этого модуля показан на рисунке ниже.

Настройки

В окне, которое открывается нажатием кнопки Private Information можно указать последовательность, которую файрвол будет искать в трафике и при обнаружении блокировать ее. При помощи ползунка можно быстро менять уровень защиты от утечки персональной информации.

К оглавлению

Настройки блокировки рекламы (Ad Blocking)

Norton Personal Firewall может блокировать рекламу и всплывающие окна.

Настройки

Модуль блокировки рекламы включается отметкой пункта Turn on Ad Blocking. Блокировку всплывающих окон можно включить, отметив пункт Turn on Pop-up Window Blocking. При помощи кнопки Advanced можно настроить блокировку для определенных сайтов.

К оглавлению

Статистика и журнал работы

Norton Personal Firewall имеет исчерпывающую статистику и журналы работы. В главном окне программы, на вкладке Statistics приведена краткая информация о работе файрвола.

Краткая статистика

Подробную статистику можно просмотреть в окне, которое открывается нажатием кнопки More Details. Пример этого окна показан на рисунке ниже.

Полная статистика

Журнал работы можно просмотреть при помощи кнопки View Logs.

Журнал

К оглавлению

Тестирование Norton Personal Firewall 2005

Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании

  • Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
  • Материнская плата Asus TUSL–2C, BIOS ревизии 1011.
  • 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
  • Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
  • Windows XP Pro Rus Service Pack 2.
  • 10 мегабитная сеть из двух компьютеров.
  • Сканер уязвимостей Retina 4.9.206.
  • Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.
  • Internet Explorer 6.0.2900.2180.
  • Outlook Express 6.0.2900.2180.
  • Почтовый, прокси серверы, выделенная линия для доступа в интернет.
  • Process Explorer от Sysinternals.
  • Утилита PCAudit2.

К оглавлению

Использование программой памяти и загрузка процессора

В ходе тестирования Norton Personal Firewall при помощи Process Explorer регулярно снимались показания об объеме занятой процессами программы памяти и о загрузке ими процессора. Результаты приведены в таблице ниже.

Момент снятия показаний

Объем занятой памяти

Загрузка процессора

Физическая память (килобайт)

Виртуальная память (килобайт)

После загрузки ОС, настройки по умолчанию, простой, все процессы

32 920

31 804

0%

Настройки по умолчанию, сканирование Retina, все процессы

36 460

32 892

0%–62%

Настройки по умолчанию, ICMP–флуд в течение 5 минут, все процессы

33 316

32 021

0%–12%

Настройки по умолчанию, IGMP–флуд в течение 5 минут, все процессы

34 528

32 116

80%–100%

Настройки по умолчанию, SYN–флуд в течение 5 минут, все процессы

35 492

33 444

100%

Настройки по умолчанию, UDP–флуд в течение 5 минут, все процессы

34 024

32 124

10%–100%

Выключить файрвол можно при помощи щелчка правой кнопки мыши на значке Norton Personal Firewall в трее и выборе из открывшегося меню пункта Disable Norton Personal Firewall (отключить файрвол). Отключение не приводит к остановке и выгрузке сервисов файрвола, он продолжает занимать тот же объем памяти, что и во включенном состоянии.

К оглавлению

Сканирование системы сканером безопасности Retina

Тестовая машина была просканирована сканером уязвимостей Retina. При первом сканировании все процессы и сервисы Norton Personal Firewall 2005 были выгружены, при втором – загружены с настройками по умолчанию.

Название

Norton выгружен

Настройки по умолчанию

Ответ на ping

да

нет

Время ответа

да

нет

Трассировка маршрута

да

нет

Время жизни пакета

да

нет

Определение версии ОС

да

нет

Открытый порт 135

да

нет

Открытый порт 445

да

нет

Результаты сканирования демонстрируют, что Norton Personal Firewall закрывает открытые порты и скрывает компьютер в сети. Перед тестированием IP–адрес атакующей машины был внесен в список исключений для блокировки в модуле обнаружения атак.

К оглавлению

Он–лайн тест файрвола

Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP–адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.

Norton Personal Firewall не смог пресечь отправку данных. Утилита перехватила введенный в Блокноте текст и без каких–либо препятствий и оповещений со стороны файрвола отправила их на свой сервер, что было подтверждено открывшейся страницей со всей собранной информацией.

К оглавлению

Атака на тестовую машину по сети

Для выполнения этого теста была использована утилита, которая использует всю пропускную способность канала для направления на атакуемую машину большого потока данных различного типа по разным протоколам. Тест наглядно демонстрирует поведение файрвола в экстремальных условиях.

Результаты тестирования приведены в таблице в разделе Использование программой памяти и загрузка процессора.

ICMP–флуд в течение 5 минут не привел к увеличению памяти, занятой файрволом. Загрузка процессора была равна 0%.

IGMP–флуд вызывал загрузку процессора от 80 до 100%. Снижение производительности ощущалось, но работу можно было продолжать. Объем занятой памяти практически не изменился.

SYN–флуд привел к загрузке процессора 100%. Объем использованной файрволом памяти незначительно увеличился. Не смотря на 100%–ю загрузку процессора работать на компьютере можно было без особого дискомфорта, снижения производительно практически не было заметно.

UDP–флуд вызвал загрузку процессора от 10% до 100%, объем занятой памяти увеличился незначительно. Не смотря на скачкообразную загрузку процессора, работать на компьютере было практически невозможно.

К оглавлению

Тестирование защиты персональной информации

Для тестирования качества контроля файрволом отправляемой персональной информации в настройки модуля Privacy Control было добавлено правило для отслеживания и предотвращения утечки последовательности 12345qw.

Файрвол обнаружил попытку отправить на один из форумов последовательность 12345qwert и вывел на экран сообщение, пример которого показан на рисунке ниже.

Контроль частной информации

В этом запросе было выбрано блокирование отправляемой информации. Это привело к тому, что часть сообщения, которое отправлялось на форум, была заменена звездочками и сообщение выглядело как *******ert.

Попытка отправить письмо, содержащее последовательность 12345qwert была пресечена и письмо отправлено не было.

При отправке последовательности через Миранду (аналог ICQ) файрвол обнаружил в исходящем трафике защищаемую последовательность, вывел на экран запрос о необходимости блокировать отправку сообщения. В окне Миранды тестовая последовательность отобразилась как 12345qwert, но собеседник, которому было отправлено сообщение, увидел *******ert.

К оглавлению

Вывод

Результаты тестирования говорят о том, что Norton Personal Firewall 2005 – достаточно надежный файрвол. Гибкость в настройках позволяет ограничивать доступ в сеть и из сети именно таким образом, как требует того поставленная задача. Автоматическое обновление компонентов файрвола и автоматическая загрузка описаний троянских коней позволяет обеспечить больший уровень защиты, чем у файрволов без такой функции. Гибкие настройки контроля утечки частной информации позволяют надежно контролировать отправляемые в сеть данные и пресекать отправку нежелательной информации. Модуль блокировки рекламы подавляет большую частью рекламных материалов на посещаемых страницах, экономя тем самым трафик и уменьшая время загрузки.

К оглавлению

Благодарим компанию «CPS» за предоставленную для тестирования копию продукта.



Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.