Kaspersky Anti-Hacker

Решив защитить свой компьютер от атак извне с помощью этого межсетевого экрана, пользователь первым делом должен выбрать один из режимов защиты:

• Запретить все . В этом режиме доступ компьютера к сети полностью блокирован.
• Высокий . Взаимодействие с сетью разрешается только для тех приложений, которые указал пользователь.
• Средний . Данный режим рекомендован при начальном использовании программы. Это – "обучающий" режим, фиксирующий сетевую активность любого приложения, для которого еще не создано особого правила, разрешающего или запрещающего такую активность. Получив от файрволла сообщение о том, что какое-то приложение пытается обратиться к сети, пользователь принимает решение, разрешить или запретить приложению выполнение этого действия сейчас и в будущем. В большинстве случаев принятие такого решения не вызовет затруднений, поскольку в окне сообщения указано название программы, пытающейся обратиться к сети. Понятно, что если сетевую активность проявляет браузер или почтовый клиент, им стоит разрешить выполнение любых действий. Если же в сеть "стучится" неизвестная пользователю программа, можно указать однократное блокирование ее действий и посмотреть, что получится в результате. Если нормальная работа компьютера не нарушается и ничего неприятного для пользователя не происходит, при следующем обращении этого приложения к сети можно навсегда запретить ему любую сетевую активность. После этого остается лишь спросить у более квалифицированных пользователей, знают ли они что-нибудь о данном приложении. С большой вероятностью окажется, что речь идет о вредоносной программе, которую срочно нужно удалить с компьютера.
• Низкий . В этом режиме блокируются лишь атаки на компьютер извне, а также сетевая деятельность приложений, явно указанных пользователем.
• Разрешить все . Выбор этого режима равносилен отключению всякой защиты и может быть использован только в исключительных случаях, например, при проверке взаимодействия файрволла с другими приложениями.

Выбирая высокий, средний или низкий уровень защиты, пользователь может еще и обеспечить Режим невидимости , в котором разрешаются лишь те сетевые действия, которые инициированы самим пользователем. Любой сетевой запрос извне блокируется, компьютер становится "невидимым" для сетевого окружения, он как бы отсутствует в сети. Переключение уровней защиты, а также включение и отключение режима невидимости может быть осуществлено в любой момент.

Собственно, выбором уровня защиты можно и ограничиться. Однако для более точной и успешной работы файрволла следует выполнить некоторые настройки, вручную определить правила работы некоторых приложений и фильтрации различных пакетов передаваемых по сети данных. Разумеется, эти действия следует выполнять только пользователям, достаточно разбирающимся в принципах работы приложений и различных протоколов передачи данных по сети.

Впрочем, при создании правил, запрещающих или разрешающих взаимодействие приложений с сетью, задача несколько облегчается. Дело в том, что Kaspersky Anti-Hacker изначально содержит ряд правил для различного типа программ. Поэтому для NetCaptor , например, можно создать правило взаимодействия с сетью на основе правила для браузеров, а для TheBat!  – на основе стандартного правила для почтовых программ.

Правила фильтрации пакетов создаются иначе. Пользователь указывает протокол, к которому будет относиться новое правило. Это может быть TCP, UDP, ICMP и другие IP-протоколы. Затем определяются параметры пакетов данных, на которые будет распространяться правило:

• входящие или исходящие пакеты,
• пакеты, поступившие с указанных IP-адресов или на указанный локальный IP-адрес,
• пакеты, поступившие от указанных удаленных портов или на указанный локальный порт, и так далее.

Наконец, определяется действие: разрешить прохождение пакета, соответствующего выбранным параметрам, или блокировать его. Кроме того, можно заказать программе выполнение дополнительных действий: занести запись о срабатывании правила в журнал и уведомить пользователя об этом событии.

В любой момент пользователь может увидеть, какие порты задействованы, какие приложения проявляют сетевую активность, с какими удаленными хостами обменивается данными его компьютер в настоящее время.

В Kaspersky Anti-Hacker встроен и собственный детектор атак . Он обнаруживает атаки десяти основных типов, которые описаны в окне настроек и справочной системе программы. Обнаружение всех этих атак по умолчанию включено в настройках программы. Более того, по умолчанию установлена 60-минутная блокировка атакующего компьютера, то есть в течение часа все пакеты, поступающие от него, будут блокированы.

Пользователь может изменить время блокировки, а для некоторых типов атак – настроить дополнительные параметры их обнаружения.

Например, при атаке вида SYN Flood атакующий компьютер отправляет на компьютер-жертву большое количество запросов на соединение. В результате этой атаки компьютер-жертва не успевает реагировать на другие попытки установить соединение и теряет возможность нормальной работы в сети. Kaspersky Anti-Hacker позволяет указать, при каком количестве запросов на соединение, поступивших от удаленного компьютера в течение определенного интервала времени, фиксировать попытку атаки. Например, если в течение пяти секунд от удаленного компьютера поступит 300 запросов на соединение, будет зафиксирована атака SYN Flood и все пакеты информации, поступающие от атакующего компьютера, будут блокированы.

Таким образом, Kaspersky Anti-Hacker обеспечивает надежную всестороннюю защиту компьютера от проникновения извне. Причем, подавляющее большинство необходимых настроек файрволла сделано по умолчанию, поэтому пользователь может чувствовать себя в безопасности сразу же после установки приложения на свой компьютер.