С игурно ще се почувствате много неприятно, ако някой ден непознат човек проникне в дома ви и просто промени местоположението на някоя вещ, например реши да премести хладилника в спалнята.
Най-вероятно ще ви се прииска да сте имали огнена стена около дома си, която да държи надалеч всички натрапници...
Вече доста хора усещат компютъра си като свой дом. Или поне като лятна вила, до която да отскачат за уикенда. И ако поради етични и законови съображения изграждането на огнени стени в реалния свят е забранено, във виртуалния то е напълно възможно и даже препоръчително.
В компютърната терминология понятието "огнена стена (по-често назовавано с английската дума firewall) се използва за едно по-визуално обозначение на софтуерните или хардуерни решения за защита в интернет средата.
Те играят ролята на пропускателни пунктове, на които се преглежда всеки преминаващ пакет и на базата на предварително дефинирани правила се решава дали да бъде пуснат или не. Като това е валидно както за влизащите, така и за излизащите.
Така, ако някой вирус е успял все пак да се промъкне на компютъра ви и да придобие ваши пароли или други важни данни, той ще бъде спрян в момента, в който се опита да ги изпрати на създателя си. Така защитните стени осигуряват двупосочна защита на вашата сигурност.
Firewall решения
За осигуряване на сигурността в големи корпоративни мрежи има редица решения, част от които са вградени в маршрутизиращите устройства, които управляват трафика, а други представляват самостоятелни хардуерни устройства, чиято единствена функция е сигурността.
Има и скъпи професионални софтуерни продукти като Microsoft ISA Server.
За персонална защита може да се използва Windows Firewall, който е част от Windows XP след излизането на Service Pack 2 или персонално решение от друг производител.
Защитната стена, вградена в Windows, е достатъчно функционална, за да си свърши качествено работата. Предимството й е, че е част от операционната система, но изисква известни предварителни познания и поне идея за това как работят този тип програми.
Това, с което другите софтуери търсят конкурентно предимство, е простотата на работа, дружелюбният потребителски интерфейс и инсталационната процедура, вграждането към антивирусни и анти-spyware решения (spyware е софтуер, който без ваше знание следи това, което правите, и сайтовете, които посещавате, и изпраща информация на създателите си най-вече с маркетингови цели).
Ако ви се стори, че не се разбирате много добре с Windows Firewall, можете да тествате някой от следните продукти: BlackICE, McAfee Personal Firewall, Norton Personal Firewall, ZoneAlarm. Като цяло всички те се отличават с много добър потребителски интерфейс и с висока ефективност, така че по-скоро е въпрос на вкус кое ще решите да ползвате.
Технически детайли
Който и firewall да изберете, има някои понятия и основни положения, с които е добре да сте запознати. Традиционно защитните стени работят на ниво интернет протокол и затова филтрират на базата на интернет адреси, протоколи и портове.
Интернет адресите (наричани още IP адреси) могат да обозначават отделни компютри или цели мрежи. При филтрирането има основно две правила, които определят поведението на firewall.
Разрешаващо правило allow, което казва, че всички описани IP адреси имат право на достъп до този компютър, а останалите не, и забраняващо право deny, което определя изрично адресите, за които достъпът ще бъде забранен.
Както виждате, противно на това, което подсказва името, разрешаващите правила са по-рестриктивни, тъй като описват само малко множество от адреси с достъп, докато ограничават изцяло неописаните.
При портовете също се работи с разрешаващи и забранителни правила. Портът по принцип е идентификатор на предлаганите от даден компютър интернет услуги.
Тъй като е възможно много от вашите приложения да работят едновременно с интернет (например ICQ, мейл програма и интернет браузър), е необходим начин тези връзки да бъдат разграничавани.
Портът е именно това служебно число, което описва отделната връзка. По него може да се разпознае и услугата, която се ползва, но това не е 100% сигурно.
Например уебсървърите обикновено работят на порт с номер 80, но ако човек пожелае, може да си премести www услугата на друг порт или да стартира друго приложение на порт 80.
Така че съответствието между портове и услуги е по-скоро въпрос на конвенция, отколкото задължително правило.
Друго понятие, което ще срещнете в подробните настройки на защитния си софтуер, е типът на протокола - правилата, по които се обменят данни онлайн.
В зависимост от нуждата се използват различни протоколи. Някои приложения имат нужда да изпращат кратки съобщения, без да чакат потвърждение за получаването. Те ползват UDP протокол. Други се нуждаят от съставяне на "канал" между двете точки, по който се предават данни в двете посоки с гарантиране на получаването. Те ползват TCP протокол.
Има и възможност за настройка на ICMP протокола, по който се изпращат само команди и който се използва от тестовата програма Ping.
За разлика от общите персоналните firewall приложения имат и едно допълнително предимство. Тъй като работят на компютъра ви, те могат да ограничават и в зависимост от приложението, което иска връзка с интернет. Така можете просто да разрешите връзката само от мейл-клиента си или от програмата за синхронизиране на времето, без и за секунда да се занимавате с адреси, портове и типове на протокола.
Когато защитата откаже
Най-важното нещо е, че колкото и гореща и добре подклаждана да е огнената ви стена, винаги ще се намери някой, който да изобрети нов азбестов костюм и да проникне въпреки мерките за сигурност. Просто го приемете.
Затова е добре понякога да си представяте, че нямате защита и че хакерът или вирусът е вече вътре. Помислете какво може да направите. Дали ще имате резервно копие на труда си, дали важната информация, която не трябва да достига чужди очи, ще е криптирана или прибрана на външен носител, дали ще имате начини да разпознаете, че е имало проникване - всичко е въпрос на личен избор.
