Kerio Personal Firewall.
Описание и настройка.
автор Darkcat
Главная
Железо
Самоделки
Программы
  Описания
      программ
  Технологии
  Операционные
      системы
  Полезная
      информация
F.A.Q. 
Форум 
Ссылки 
Мобильности
Мультимедиа
Форум
Глоссарий.
Страничка Юмора
Обратная связь

Рассылка 'Новости сайта Wintel.RU'

Программа из разряда must have. То есть должен иметь каждый. Я не буду долго расписывать, зачем и почему, ограничусь общей теорией. Firewall, он же брандмаузер, позволяет контролировать трафик компьютера по протоколу TCP/IP. Какая программа, на какой или с какого адреса, на какой порт собирается послать или принять информацию. Некоторые брандмаузеры еще позволяют контролировать трафик на основе анализа содержимого IP-пакетов (например, Outpost) но это не всегда нужно, а иногда и неудобно – чтобы открыть «проблемный» сайт приходится целиком отключать брандмаузер, в то время как KPF не может вызвать проблем с отображением сайтов.

KPF имеет дополнительные возможности фильтрации трафика в доверенной локальной сети. Это позволяет контролировать прием/передачу файлов и доступ к ресурсам общего пользования. Так же есть функция слежения за контрольными суммами программ – это исключает возможность выйти в сеть «от чужого имени».

Установка. Перед установкой желательно проверить компьютер на вирусы и обязательно отключитесь от Интернета, если вы используете dial-up подключение. Устанавливаем, в случае NT систем нужно установить KPF системным сервисом – уровень защиты будет выше. Потребуется перезагрузка. После перезагрузки появится окно конфигурирования Microsoft Networking – выбираем адаптер и вводим диапазон доверенных адресов. По умолчанию KPF вычислит адрес сам и можно его так и оставить. Если доступ в локальную сеть не нужен, то убираем галочку For Microsoft Networking Use This Rules...

Дополнительные опции здесь:
Allow Microsoft Network Name Resolution – пропускает UDP-пакеты с информацией об именах компьютеров. Если выключить в сетевом окружении будет пусто.
From Trusted Addresses Only – тоже только от доверенных компьютеров.
Allow Other Users to Access My Shared... – позволяет другим пользователям получать доступ к вашим ресурсам.
From Trusted Addresses Only – тоже только от доверенных компьютеров.
Ask Me For Each Access... – спрашивать о каждой попытке входящего доступа к сетевым ресурсам.
Рекомендую оставить, как есть – все, кроме последней галочки включено.

 Настройка правил для сети Микрософт

Настройка. После установки KPF находится в режиме обучения – по каждой попытке доступа к сети будет выведено соответствующее окно с вопросом, что делать дальше. Если не ставить галочку Create Rule то запрос будет принят или отвергнут разово – удобно, если не понятно, что это. Жмем Deny, если не работает, (что-то не соединяется или не загружается) то при следующем запросе Premit. Все Incoming Connection Alert’ы (входящие соединения) я рекомендую игнорировать (кому они нужны и без меня разберутся, что делать :).

 Окно сообщения о попытке установки связи

Внимание! Входящие соединения при нормальной работе в Интернете может устанавливать только FTP-клиент и только по 20му порту! Все остальное недопустимо.

Подключаемся к Интернету и запускаем все программы, которым нужен доступ в сеть – обозреватель, почтовик, обновления антивирусника (вечно про него забывают :), мессенджер. По первому запросу каждой программы KPF выводит окно-предупреждение. Кнопочки внизу – Deny (отбросить) и Premit (разрешить). Еще ниже можно поставить галочку Create Rule (создать правило) и дополнительно (кнопочка Customise) скорректировать правило. Для 90% приложений фиксируем только удаленный порт (80, 110, 25…). Для обозревателя можно разрешить все порты – помимо 80го часто используются 90, 443 и другие. Для почтовика можно (и нужно!) разрешить 110 и 25 и можно запретить 80тый – это не позволит письмам с HTML подгружать рекламу или вирусы. В режиме обучения создаем правила на все, что нужно – потом их можно отредактировать, объединить…

После того, как все программы для Интернета проверены, можно увеличить уровень защиты (Administration – ползунок наверх) и приступить к тонкой настройке. От положения ползунка зависит поведение KPF в случае отсутствия правила. Верхнее положение - неизвестные отбрасываются, центр - запрос пользователю, низ - можно все.

 Иконка втрее - быстрый доступ к функциям и индикатор активности Администрирование. Уровни безопасности.

На этой же страничке нажимаем Advanced и попадаем на страничку правил. В начале идет большой список уже заданных правил для работы встроенных служб Windows – их лучше не трогать. Единственное что можно поправить – эхо-ответ – правило Other ICHP. Выделите его, нажмите внизу Edit, потом наверху справа Set icmp и выключите [8] Echo Request. Теперь компьютер можно пинговать.

 Список правил

Теперь рассмотрим объединение правил. Например, почтовик будет представлен двумя правилами – для портов 25 и 110. Отредактируем первое а второе можно удалить. Нажимаем кнопку Edit и в разделе Remote Endpoint (удаленный адрес/порт) вместо Single Port выбираем List of Ports и вписываем 110 (через запятую, пробел или на следующей строке). Для Internet Explorer’a можно объединить правила с протоколами TCP и UDP (второй нужен для потоковых трансляций видео или звука). Соответственно в его правиле выбираем протокол TCP and UDP.

 Редактирование правила почтовика

С базовой настройкой покончено. В таком виде оно может работать и больше для обычного пользователя никакого вмешательства не требуется. Дальше я кратко расскажу о некоторых дополнительных функциях и возможностях.

KPF ведет список всех приложений и фиксирует для них контрольные суммы – MD5 Signatures. Если вы поставите новую версию какой-либо программы то получите веселое сообщение – программа изменена, это вообще нормально? Если вы получите такое сообщение на пустом месте (ничего нового не устанавливалось) то это явно несанкционированные действия. Начинаем гонять вирусов.

Иконка в трее при двойном щелчке выводит окно статуса – что сейчас происходит в стеке TCP/IP. Будет некоторое количество Listening-сокетов (слушающих) – это нормально. Но среди них может затесаться и троянец. Так же отсюда можно разом отрубить весь трафик в сети (Stop all Traffic). Мигающая стрелочка на щите показывает входящие (красным) и исходящие (зеленым) запросы.

Можно запаролить доступ к настройкам KPF – Administration – Authentication. На вкладке Miscellaneous можно сохранить все настройки в один файл.

Еще одна функция – ускоряет прохождение пакетов «насквозь» - включается галочкой Running on Internet Gateway. Если специально не нужно то не включайте.

Так же при наличии сети с несколькими KPF администратору облегчена жизнь – можно подключаться для удаленного администрирования (не забудьте пароль поставить!).

Скачать можно здесь.

Эта статья прочитана 168 раз.

- Главная - | - Железо - | - Сделай сам - | - Софт - | - Мобильности - | - Мультимедиа - | - Конференции - | - Обратная связь -
все права на статьи принадлежат их авторам.
при использовании материалов сайта ссылка на Wintel.RU и первоисточник (если указан) обязательна