Установка и настройка программ (обзор): брандмауэр (файрволл) Comodo Firewall (окончание). Установка и настройка Comodo Firewall в целях сетевой безопасности Сброс пользовательских правил в comodo firewall

Итог предыдущих статей: примерный вариант настройки и использования Comodo Internet Security 8

Внимание! Статья адресована пользователям, которые имеют опыт применения комплекса Comodo Internet Security и прочитали предыдущие статьи о нем . «Новичкам» же рекомендуется предварительно изучить этот продукт. Для ознакомления и относительно эффективного использования предлагается следующий порядок настройки:

  1. отключить компьютер от интернета и/или локальной сети;
  2. установить CIS;
  3. открыть «Главное окно» > «Задачи» > «Расширенные задачи» > «Расширенная настройка»;
  4. на вкладке «Общая настройка» > «Конфигурация» сделать двойной клик по строке «Proactive Security»;
  5. на вкладке «Защита+» > «Sandbox» > «Auto-Sandbox» отключить опцию «Использовать Auto-Sandbox»;
  6. на вкладке «HIPS» > «Защищенные объекты» > «Защищенные файлы» через контекстное меню добавить любой файл;
  7. через контекстное меню заменить добавленную строку на?:\*
  8. нажать «Ok» для закрытия окна настройки;
  9. открыть «Главное окно» > «Задачи» > «Задачи фаервола» > «Скрыть порты»;
  10. выбрать вариант «Блокировать входящие соединения»;
  11. выполнить перезагрузку;
  12. подключить компьютер к сети.

Предварительные замечания

Данный порядок настройки приводится сокращенном виде. Цель статьи - дать читателям ориентир в многообразии возможностей конфигурирования Comodo Internet Security. Предполагается, что читатели знакомы с предыдущими статьями и понимают причины тех или иных рекомендаций. Здесь даются только самые общие детали настройки. О дополнительных мерах, например, против обхода фаервола (через межпроцессный доступ к памяти, DNS-запросы и BITS), по защите от шифровальщиков или от клавиатурных шпионов рассказано в статье об использовании проактивной защиты; о доступе к локальной сети - в статье о фаерволе и т.д.

Подчеркну, что данная конфигурация является не «максимальной», а более-менее сбалансированной в отношении защиты и удобства использования. Неопознанные программы в ней автоматически виртуализируются без оповещений. Оповещения HIPS возможны, но возникать они будут весьма редко.

Предлагаемый вариант предназначен для личного применения опытным пользователем, но не составляет труда адаптировать его для «новичков» или пользователей с ограниченными правами. Можно, например, отключить все оповещения, или заменить автоматическую виртуализацию неопознанных программ их блокировкой, или перевести фаервол в «Безопасный режим» и т.д.

Если следование данной инструкции приведет к каким-либо проблемам, прошу читателей сообщить в комментариях. Приветствуются сообщения, подкрепленные файлами экспорта конфигурации, списка файлов и каждого журнала CIS за весь период, а также видеозаписью и/или предоставлением удаленного доступа для диагностики.

Установка и настройка

Установка

Желательно устанавливать CIS на систему, гарантированно не содержащую вредоносных программ. Напомню , что необходимо выполнить обновление системы и сделать ее резервную копию. Имеет смысл предварительно отключить «Брандмауэр Windows» через «Панель управления».

Если система чиста от вредоносных программ, желательно «ознакомить» CIS с файлами на ней. Чтобы избежать конфликтов, можно на это время отключить компоненты защиты: антивирус, Auto-Sandbox, HIPS, фаервол и Viruscope. Сначала выполним «Репутационное сканирование» («Главное окно» > «Задачи» > «Общие задачи» > «Сканирование») и после его проведения сделаем все найденные файлы доверенными. Затем произведем запуск различных установленных программ и их компонентов. Выполним перезагрузку. В окне расширенной настройки на вкладке «Репутация файлов» > «Список файлов» отметим все файлы и через контекстое меню зададим им рейтинг доверенных.

Основная настройка

После установки откроем вкладку «Общая настройка» > «Конфигурация» в окне расширенной настройки и включим конфигурацию «Proactive Security». На предложение перезагрузки ответим «Отложить».

Если ранее производилась настройка CIS, импортируем из каталога программы исходную конфигурацию «Proactive Security» под другим именем и активируем ее.

Если появится оповещение о выборе статуса сети - выберем вариант «Общественное место.

На вкладке «Контент-фильтр» > «Правила» убедимся, что правило «Заблокированные сайты» расположено внизу, и изменим его: добавим категории «MVPS Hosts list» и «Symantec WebSecurity» и зададим вид ограничений не «Блокировать», а «Спросить».

Расширения контекстного меню

Чтобы копировать блокируемые антивирусом файлы, добавим соответствующий пункт контекстного меню. Все необходимые для этого материалы с инструкцией даны в архиве .

Использование

При обнаружении неопознанной программы не делаем никаких послаблений в защите, не убедившись в ее безопасности. Проще всего проверить программу на через контекстное меню. Отмечу, что отсутствие срабатываний антивирусов абсолютной гарантией безопасности не является. Но можно более-менее уверенно судить о безопасности файла, если он известен давно и ведущие антивирусы не признают его вредоносным.

В качестве дополнительной проверки можно запустить неизвестную программу в виртуальной среде, а затем отправить на VirusTotal содержимое каталога VTRoot. Можно и самостоятельно исследовать поведение программы в виртуальной среде, включив Viruscope с опцией «Применять действие Viruscope только к приложениям в Sandbox » и открыв отчет об активности . Также Viruscope иногда автоматически квалифицирует поведение программ как вредоносное.

Для установки новой безопасной программы вызываем, удерживая нажатой клавишу Shift , на ее инсталляторе контекстное меню и выбираем пункт «Запустить как установщик». Если в ходе установки возникнет оповещение HIPS, отключим в нем опцию «Запомнить выбор» и выберем политику «Установка или обновление». После установки программы производим первый ее пробный запуск через пункт контекстного меню «Запустить как установщик без повышения прав» и закрываем программу. Затем на вкладке «Репутация файлов» > «Список файлов» переводим неопознанные файлы этой программы в доверенные. Также в доверенные добавляем каталог с новой программой.

Для обновления установленной программы запускаем ее пунктом контекстного меню «Запустить как установщик», производим процедуру обновления и аналогично переводим новые файлы из неопознанных в доверенные.

Возможна ситуация, когда программа запускается изолированно даже после занесения в доверенные. Как правило, это происходит, когда размер программы превышает 40 МБ. Решение - добавить путь к такой программе в группу «AllowedProgs».

Если какую-либо программу необходимо временно запустить без ограничений, вызываем на ней, удерживая Shift , контекстное меню и выбираем пункт «Запустить как установщик без повышения прав». Важно помнить, что такая программа и ее дочерние процессы смогут беспрепятственно запустить любой неопознанный файл.

Когда какой-либо неопознанный файл впервые изолируется посредством Auto-Sandbox, появляется всплывающее уведомление. Напоминаю, что опасно нажимать в нем кнопку «Больше не изолировать».

Если какие-либо данные следует тщательно защитить от повреждения, например, вирусами-шифровальщиками, - добавим в конце имени содержащего их каталога слово «WriteProtected». Содержимое каталогов наподобие « C:\Docs\Мои проекты - WriteProtected » будет запрещено менять любым программам, кроме проводника. Когда понадобится изменить данные - либо временно переименуем каталог, либо переместим данные в другой каталог, а по окончании работы вернем под защиту.

Следует время от времени смотреть журнал событий, особенно фаервола и проактивной защиты («Защиты+»). Там может обнаружиться, что некой программе требуются дополнительные разрешения, например, для проведения обновления. Тогда понадобится соответствующим образом корректировать конфигурацию.

Когда какая-либо программа блокируется антивирусом, прежде всего отправляем ее на VirusTotal через контекстное меню. В случае полной уверенности в безопасности добавляем эту программу в доверенные. Если, несмотря на сомнения, программу необходимо использовать, копируем ее в каталог исключений. Для этого вызываем на ней, удерживая Shift , контекстное меню, выбираем пункт «Скопировать зараженный файл...» и сохраняем в каталог C:\Exclusions . Из этого каталога программа будет запускаться как обычная неопознанная, в виртуальной среде.

В случае опасений, что запускаемая программа заблокирует интерфейс ОС и не позволит очистить песочницу, можно ограничить время ее выполнения. Удобный способ это сделать - пункт контекстного меню «Запустить в песочнице Comodo как ограниченное», предложенный в статье о виртуальной среде .

Если необходимо выполнить сомнительную программу в реальной среде, делаем это через пункт расширенного контекстного меню «Запустить без ограничений Auto-Sandbox». Активность программы контролируем посредством оповещений HIPS. Чтобы избежать большого их количества, можно сразу выбрать в оповещении политику «Ограниченное приложение» или «Изолированное» (включив опцию «Запомнить выбор»). Внимание! Вредоносная программа может запустить доверенную, и HIPS уже не будет контролировать активность дочернего процесса, что может нанести ущерб. В качестве смягчающей меры можно временно включить Viruscope, чтобы более детально наблюдать активность не только сомнительной программы, но и ее дочерних процессов, а при необходимости произвести и откат изменений .

Обычно оповещения HIPS в данной конфигурации будут возникать лишь при использовании пункта меню «Запустить без ограничений Auto-Sandbox» или, реже, пунктов «Запустить как установщик» и «Запустить как установщик без повышения прав». Однако если HIPS оповестит об активности неопознанной программы в других случаях - это тревожный сигнал. Он может означать, что неопознанная программа запустилась раньше CIS или получила привилегии SYSTEM. Рекомендую в таком оповещении выбрать вариант «Заблокировать и завершить выполнение» (отключив в нем опцию «Запомнить выбор»), а затем проверить систему на предмет уязвимостей.

Comodo Personal Firewall предназначен для защиты пользователей ПК под управлением ОС Windows. Он предельно прост в обращении, предоставляет все необходимые возможности и функции. Самое главное что он «летает» даже на самых маломощных компьютерах. Ещё один немаловажный плюс, особенно для начинающих, требует минимального вмешательства со стороны пользователя.

Зачем использовать наш Брандмауэр?

Comodo Firewall Pro представляет новый этап развития в области компьютерной безопасности: запрет блокирования проверенных приложений (DDP™). Что такое DDP? Большинство программ в области безопасности, поддерживать список известных вредоносных программ, и используют этот список, чтобы решить, какие файлы и приложения не должны получить доступ к ПК. Проблема здесь очевидна. Что, если в списке вредоносного отсутствует какие-то записи, или не до дату? DDP устраняет эту проблему, чтобы обеспечить полную безопасность. Брандмауэр ссылки список более двух миллионов известных PC-friendly приложений. Если файл, который не находит в Сейф-списоке "стучит" на компьютере в "дверь", Firewall сразу же предупреждает о возможности атаки вредоносного ПО. Все это происходит до того, как вредоносные программы заражают компьютер. Это профилактика основе безопасности, единственный способ сохранить полную безопасность.


Функции Брандмауэра:
  • Легко понять информативные оповещения
  • Нет сложной конфигурации вопросы-идеальный вариант для начинающих пользователей
  • Множество опций конфигурации, пусть технари настроят все так, как им нравится:)
  • DDP безопасности, интформативная для пользователя и надежная для ПК
  • Быстрая адаптация пользователей к персонализированной защите
  • Удобный, привлекательный графический интерфейс

Одним из первых шагов в обеспечении компьютера загрузка и активация качества firewall для отражения вторжений. Только это свободное программное обеспечение firewall имеет доступ к Comodo, огромный список PC-friendly приложений, компонент "запрета по умолчанию"

Comodo Firewall распознаёт более десяти тысяч разнообразных приложений (безопасные, spyware, adware и прочие), что является уникальной функцией, присущей только этому межсетевому экрану.
Основные возможности Comodo Firewall Pro
слежение за компонентами программ;
анализатор поведения программ;
против протоколов;
умные оповещения;
интеграция в Windows Security Center;
защита от критического завершения;
защита во время загрузки компьютера;
автоматическое обновление;
интерфейс отправки отчета об ошибках;
подробный журнал;
монитор соединений;
база данных программ - более 13000 программ с их рисками безопасности.

Описание программы можно найти

Установка Comodo Personal Firewall Pro.
Скачиваем программу на официальном сайте .











Внимание! Обязательно снимите «галочку» с «установить и не ставьте «галочку» «установить COMODO LivePC…».






установка успешно завершена! Перезагрузите компьютер.

Первый запуск.
При перезагрузке компьютера Comodo Firewall автоматически заменит собой штатный брандмауэр от Windows. Если после первого запуска вы не увидите никаких ярлыков на рабочем столе, просто ещё раз перезагрузитесь ещё раз. Программу нужно «научить» какие программы вы разрешаете запускать а какие нет. Если вы неопытный пользователь то я рекомендую «не умничать» а разрешить все(естественно читая рекомендации программы),например:

Поставьте режим «обучение». Для этого кликните правой кнопкой мыши значок брандмауэра на панели (справа внизу экрана) и в меню выберете «режим фаервола», а затем «обучение».

Теперь все ваши действия программа будет запоминать, и после обучения ваши действия уже не будут сопровождаться открытием окон на подтверждение разрешения.
Можно ознакомиться с функциями программы. Для этого кликните 2 раза кнопкой мыши на значке программыю. Разобраться с ней особого труда не представляет, но можно и не вникать. Просто оставьте все настройки без изменений. Ещё раз повторюсь, что программа требует лишь минимального вмешательства пользователя.

Оставьте свой комментарий!

Этот урок является продолжением статьи: Сетевой экран .

Итак, мы нашли и скачали последнюю версию Comodo Firewall. На компьютере может быть установлен только один фаервол. Поэтому, во избежание межпрограммных конфликтов, встроенный брандмауэр Windows должен быть отключен. Как выключить брандмауэр Windows XP и Wiindows 7, можно посмотреть в предыдущих уроках: и . Но, когда мы устанавливаем Comodo Firewall, в этом нет необходимости. Мастер установки фаервола сам отключит встроенный брандмауэр Windows.

Фаервол контролирует попытки приложений обмениваться данными в сети. На иллюстрации видно, как фаервол перехватил попытку программного обеспечения телефона Nokia выйти в интернет. Это нужное приложение, поэтому нажимаем кнопку "Разрешить":

Одними из первых надо разрешить соединения системным компонентам "Windows alg.exe" и "svchost.exe". Они нужны для поключения к сети. После установки, Comodo Firewall будет вновь и вновь выставлять оповещения для различных программ. Если приложение нам известно, разрешаем запрос на соединение. Если есть сомнение и программа кажется подозрительной, нажимаем кнопку "Блокировать". Отмечая флажком чек-бокс "Запомнить мой выбор", мы закрепляем свой выбор для данного приложения. И при следующем соединении окно оповещения для этой программы появляться не будет. Действовать нужно аккуратно. Разрешать соединения и закреплять выбор можно только изветным нам программам. Если кликнуть по названию приложения, откроется окно свойств программы.

Так же, фаервол уведомляет и о входящих соединениях:

На следующей иллюстрации видно, как Comodo Firewall перехватил входящий пакет для популярного клиента пиринговых сетей:

Сначала, оповещения фаервола несколько надоедают. Но мы делаем свой выбор и со временем их становится меньше и меньше.

Злокачественные программы могут маскироваться под безобидный софт, чтобы обмануть фаервол и получить разрешение на соединение. Поэтому, нужно регулярно сканировать машину антивирусной программой. Подробнее о выборе и работе антивируса можно почитать .

Перейдем, теперь, к настройкам фаервола.

Открываем Comodo Firewall, как и любое другое приложение, двойным кликом по значку на рабочем столе или по значку в области уведомлений. Появляется главное окно программы с открытой вкладкой "Сводка":


Здесь отражена информация трафика и состояние системы. Щелкнув по цифрам соединений, можно посмотреть подробные данные активных сетевых подключений. Нажатие на кнопку "Остановить все соединения" прекратит любую сетевую активность. Применить эту функцию можно в случае неадекватного поведения системы - подозрения на вмешательство в работу программ. Например, система длительно зависает и не откликается. Это может быть следствием сетевой активности какого-либо вредоносного приложения. Заблокировав трафик, можно выяснить причину и определить программу представляющую угрозу. Включаются все соединения нажатием этой же кнопки "Восстановить все соединения".

Режим работы фаервола можно изменить открыв выпадающий список кнопкой "Безопасный режим".

"Блокировать все" - режим, не допускающий никакой сетевой активности - эквивалент кнопки "Остановить все соединения".

"Пользовательская политика" - это жесткий режим, в котором сетевой экран будет выводить оповещение для каждой соединяющейся с интернетом программы. Здесь, надо самому создавать политики программ - четко понимать каким приложениям можно разрешать соединения.

"Безопасный режим" установлен по умолчанию и является универсальным. Фаервол применяет пользовательские политики - выполняет установки пользователя для отдельных программ, а также сам разрешает сетевой обмен приложениям, которые считает безопасными. Оповещений будет немного и фаервол не будет сильно отвлекать.

"Режим обучения" назначаем, когда нужно понаблюдать за различными приложениями, не вмешиваясь в их работу. Здесь, Comodo Firewall самостоятельно определяет политики программ, не выводя никаких оповещений.

В режиме "Неактивен" сетевой экран отключается. Выключать фаервол приходится в случае явного межпрограммного конфликта, например, с антивирусной программой или другим сетевым экраном.

На следующей вкладке "Фаервол" расположены настройки фаервола. "Журнал событий Фаервола" - "лог" отражает все события - реакции фаервола на сетевую активность различных программ.

"Добавить доверенное приложение" позволяет выбрать нужное приложение и добавить его в разрешенные.

"Добавить заблокированное приложение", наоборот, дает возможность добавить выбранное приложение в запрещенные для соединения.

Раздел "Политики сетевой безопасности" открывает окно, где можно выбрать одну из предустановленных политик для приложений или создать свою.

В окне "Активные сетевые подключения" показаны программы проявляющие в данный момент сетевую активность.

"Мастер Скрытых Портов" - этими настройками можно скрыть определенные порты и сделать компьютер невидимым в выбранных сетях.

"Настройки Фаервола"- это окно выбора режима работы, дублирующее выпадающий список на вкладке "Сводка". Также, устанавливаем ползунком "Безопасный режим" и ставим флажок в чек-боксе "Создавать правила для безопасных приложений":


На следующей вкладке "Защита +" расположены функции управления проактивной защитой. При установке фаервола, проактивная защита включается по умолчанию. Проактивная защита - это еще один слой защиты, контролирующий поведение программ и предотвращающий заражение системы. Настройки проактивной защиты, в основном, похожи на установки фаервола.

Пункт "Запустить программу в Sandbox" дает возможность запускать сомнительное приложение в своеобразной "песочнице". Работая изолированно в этой защищенной области, вредоносная программа не сможет навредить системе:


Пункт "Настройки Проактивной Защиты" открывает окно режимов работы проактивной защиты. И, коротко, пройдем по этим настройкам.

Режим "Параноидальный" подразумевает параноидальную подозрительность защиты к любой сетевой активности. Проактивная защита будет выдавать оповещение при каждой попытке любого приложения установить соединение.

В безопасном режиме защита применяет политики установленные пользователем, а также разрешает актвность приложениям, которые считает безопасными.

В режиме "Чистый ПК" защита безусловно доверяет всем установленным на компьютере программам и запрашивает разрешения на соединения только для вновь устанавливаемых приложений.

"Режим обучения". В этом режиме защита не выдает оповещений и производит мониторинг самостоятельно.

"Защита отключена". В этом режиме проактивная защита отключена. Отключать защиту не стоит. Оптимальным решением будет установка защиты в безопасный режим.

На вкладке "Разное" расположены дополнительные настройки фаервола. Их можно посмотреть самостоятельно. Обзор, и так, получился объемный. Главное, что Сomodo Firewall, это - очень надежный, гибкий в управлении, русскоязычный и бесплатный сетевой экран. Comodo Firewall в связке с хорошей антивирусной программой обеспечит комфортную и безопасную работу в сети.

Подробно, о работе и выборе антивирусной программы читаем .

2490 23.12.2009

Твитнуть

Плюсануть

Начнём знакомство с Comodo Firewall с его установки.

При запуске установочного файла появляется окно предупреждение о необходимости удалить другие программы аналогичного назначения во избежание конфликтных ситуаций

Если у Вас уже установлен какой либо firewall, удалите его, если нет, то смело продолжайте.
Теперь нажимаем в окне предупреждении на кнопку «ДА». Дальнейшая установка стандартна для большинства Windows программ. Нужно только нажимать «Далее». В конце программа предложит варианты настройки: автоматический или пользовательский

Оставляем автоматический. Для окончания установки останется всего лишь перезагрузить компьютер.

После перезагрузки Вам сразу же начнут задавать вопросы об активности программ, которые могут использовать выход в сеть.

Тут уж необходимо понимать, какой из программ Вы разрешаете или запрещаете активность. При нажатии кнопки «Разрешить» или «Запретить» фаервол однократно пропустит или не пропустит программу в интернет. В случае повторения попытки программы выйти в интернет окно о её активности будет выдано снова. Если Вы уверены в программе, пытающейся получить доступ в интернет, то можете поставить галочку «Запомнить мой ответ для этого приложения» и нажать «Разрешить». Comodo Firewall впредь будет понимать, что этому приложению вы доверяете, и разрешит ему беспрепятственно работать. Таким же образом устанавливается запрет для программы: галочку «Запомнить мой ответ для этого приложения» и нажать «Запретить». Comodo будет всегда блокировать эту программу.

Во время тестирования первые вопросы были заданы относительно alg.exe и svchost.exe.

Это системные программы и доступ им нужно разрешить. Про пользовательские программы вопросы будут задаваться по мере их запуска. Если программа предназначена для работы в интернете или через интернет, то её нужно разрешить. Если понятно, что программа проявляет излишнее усердие в заботе о пользователе и хочет что-то скачать из интернета или передать через интернет, то её доступ нужно запретить. Таким образом, Вы, заинтересованный в своём безопасном пребывании в глобальной сети, через некоторое время создадите правила поведения для всех программ, установленных на компьютере.

Совершив ошибочный запрет или разрешив активность программы, всегда можно воспользоваться настройками Comodo Firewall и исправить ситуацию. Посмотрев в правый нижний угол экрана, где располагаются часы, Вы увидите иконку со щитом. Это и есть Comodo. Щёлкнув на иконке правой кнопкой, выбирайте открыть. Сразу откроется главное окно программы

В главном окне наглядно показаны базовые параметры функционирования firewall.
Вверху окна осуществляется выбор между панелями «Сводка», «Защита», «Активность».

Слева выстроились значки для переключения между окнами этой панели:

Задачи – В этом окне Вы можете быстро разрешить или запретить доступ программы к сети, а также выбрать другие опции, возможности которых хорошо описаны под названием каждой из возможностей. Без необходимости лучше ничего не трогать.

Монитор приложений – предназначен для просмотра и редактирования списка приложений, которым пользователь доверяет. Окно представлено в виде таблице, в которой указывается:

  • имя программы (Приложение),
  • IP-адрес, на который происходит соединение (Получатель),
  • номер порта, на котором осуществляется взаимодействие (Порт),
  • протокол, в рамках которого осуществляется приём и передача информации (Протокол),
  • Ну и графа (Разрешение), в которой показывается, разрешён или запрещён доступ приложению.

Обратите внимание на быстрые варианты действия:

  • Включить/отключить – можно какие-то из правил временно выключить, например, в тестовых целях.
  • Добавить – полностью настраиваемая возможность создать новое правило.
  • Правка – Редактирование правила, на котором установлен курсор.
  • Удалить – безвозвратное удаление правила из списка.

Дважды щёлкнув левой кнопкой мышки на имени программы или нажав «Правка», Вы попадёте в окно тонкой настройки (редактирования) правила

В этом окне указывается полный путь к программе на диске, путь к программе, которая является родительской по отношению к настраиваемой. Тут ничего не нужно изменять.

А посмотрев по вкладочкам внизу можно:
- назначить действие программы на активность приложения, указать протокол и направление активности программы (принимает ли программа информацию (Входящее), отправляет (Исходящее) или и принимает и отправляет),
- указать один или несколько IP-адресов с которыми взаимодействует приложение. Один или несколько портов, которые открывает приложение, осуществляя своё взаимодействие.

Монитор компонентов – предназначен для отслеживания целостности важных файлов – иногда вирусы пытаются изменить файлы и Comodo может этому препятствовать.

Сетевой монитор – Внимание! Здесь важен порядок следования правил! Comodo Firewall просматривает правила сверху вниз. На этой закладке осуществляется тонкая настройка параметров фильтрации фаерволом передачи данных по IP адресам и портам. Здесь можно принудительно закрыть потенциально опасные порты. Вот как это сделать:
Нажмите кнопку «Добавить» и в появившемся окне

выберите действие «блокировать» и укажите на закладке «Порт Источника» «один порт», а также пропишите номер порта, например, 137. Нажмите кнопку «ОК». Новое правило появится в списке.
Стрелками «Вверх» или «Вниз» зададим местоположение правила в списке. Чтобы не ошибиться, пока можно просто поместить правило в середину.

На закладке «Дополнительно» окна «Защита» можно дополнительно настроить firewall. Эти возможности нужно осваивать постепенно, по мере работы с программой вы поймёте, когда появится необходимость в дополнительных настройках.

Перейдя на панель «Активность» мы увидим две закладки: «Соединения» и «Журнал»
В «Соединениях» отображается список программ, которые в данный момент активны. Здесь можно посмотреть, нет ли среди программ, которым вы доверяете, чего-то подозрительного. А также объём переданных/полученных данных.

В «Журнале» ведётся хронологическая запись важных событий. К нему можно всегда обратиться при анализе действий какой-то из программ.

Ну и конечно же не забывайте делать обновление компонентов программы. Нажимая в самом верху кнопку «Обновление» Вы запустите мастер загрузки новых компонентов. Эта простая процедура не позволит новым появляющимся вредоносным программам осуществить деструктивные действия на вашем компьютере. По умолчанию в настройках задана автоматическая проверка обновлений.

Простая в использовании и настройке программа фаервол Comodo защитит ваше пребывание в интернете и поможет научиться разбираться в процессах, происходящих во время обмена информацией через сеть.

Твитнуть

Плюсануть

Please enable JavaScript to view the

Основные режимы фаервола в окне расширенной настройки: Пользовательский набор правил, когда для всех программ, не имеющих сетевого правила, будет возникать оповещение, и Безопасный режим, когда доверенным программам по умолчанию разрешаются исходящие соединения. Подробно порядок применения правил . Дополнительные, малоиспользуемые режимы: Полная блокировка, когда пресекается любая сетевая активность, независимо от правил, и Режим обучения, при котором любые соединения разрешаются и автоматически создаются разрешающие правила.

Опция «Создавать правила для безопасных приложений» предписывает в «Безопасном режиме» не только разрешать сетевую активность доверенным программам, но и автоматически создавать правила для них. Не рекомендую включать, как и . На работу в режиме «Пользовательский набор правил» эта опция не влияет.

Если отмечена опция «Не показывать оповещения», то вместо оповещения будет применяться выбранное действие: разрешение или блокировка. Новые правила при этом создаваться не будут. Рекомендую установить режим «Не показывать оповещения: Блокировать запросы» после создания всех необходимых правил.

Если при ответе на оповещение отметить в нем опцию «Запомнить мой выбор», то создастся соответствующее правило. Опция «Уровень частоты оповещений» определяет, насколько детализированным будет это правило. Если, например, установить уровень «Очень низкий», то правило будет разрешать или запрещать сразу любую сетевую активность. Рекомендую уровень «Очень высокий»: тогда правило будет содержать IP-адрес и порт.

Если включена опция «Автоматически обнаруживать частные сети» на вкладке «Сетевые зоны», то при подключении к новой сети появится , предлагающее указать ее статус. При этом создастся новая запись в списке сетевых зон, а в случае выбора статуса «домашней» или «рабочей» сети также будут созданы разрешающие правила для нее. Если одновременно с этой опцией включена опция «Не показывать оповещения, считая, что место подключения к Интернету...», то новые записи о сетевых зонах и разрешающие правила для них будут создаваться автоматически, без оповещений. Рекомендую отключить обе опции: в этом случае подключение произойдет без оповещения и без создания новых правил, т.е. сеть будет молча воспринята как «общественная».

При подключении к незащищенной Wi-Fi сети возникают оповещения с предложением воспользоваться платным сервисом Trustconnect. Показ этих оповещений отключается соответствующей опцией.

Чтобы контролировать соединения внутри компьютера (например, запрещать определенным программам выход в интернет через локальный прокси-сервер), понадобится отметить опцию «Включить фильтрацию loopback-трафика» (рекомендую).

Для контроля соединений по IP-протоколу версии не только IPv4, но и IPv6 следует отметить опцию «Включить фильтрацию IPv6-трафика» (рекомендую).

Опция «Блокировать фрагментированный IP-трафик» защищает от атаки, основанной на отправлении TCP-пакета, фрагментированного настолько сильно, что не удается определить его заголовок и принадлежность к TCP-сессии. Рекомендую включить.

Опция «Анализировать протокол» предписывает проверять каждый пакет на соответствие стандартам протокола, поддельные пакеты при этом блокируются. Рекомендую включить.

Наконец, опция «Включить защиту от ARP-спуфинга» защищает ARP-таблицу от изменения злоумышленником, отправляющим «самопроизвольный ARP-ответ» (ответ без запроса). Рекомендую включить.

Создание правил фаервола

Правила для приложений

Обычный порядок создания правила для приложения:

  • открыть вкладку «Правила для приложений», нажать «Добавить»;
  • указать приложение, это можно сделать разными способами:
    • нажать Обзор → Файлы и указать файл;
    • нажать Обзор → Запущенные процессы и выбрать приложение;
    • нажать Обзор и выбрать группу файлов;
    • непосредственно в поле «Имя» ввести путь (либо шаблон с использованием символов * и? и переменных среды);
  • задать правила:
    • либо нажать «Использовать набор правил» и выбрать из списка нужный набор;
    • либо нажать «Использовать собственный набор правил» и добавить собственные правила (можно скопировать какой-либо набор);
  • нажать «Ok» и упорядочить правила для приложений с помощью кнопок «Вверх»/«Вниз».

При добавлении собственного правила потребуется указать:

  • действие: «Разрешить», «Блокировать», или «Спросить»;
  • направление: входящее (т.е. инициированное удаленно), исходящее (т.е. инициированное на данном компьютере) или любое;
  • описание: текст, представляющий данное правило; если не указать, то в списке правил будет отображено подробное описание;
  • адрес отправления и адрес назначения;
  • протокол:
    • IP, в этом случае можно будет конкретизировать протокол на вкладке «Детали IP»;
    • ICMP, в этом случае на вкладке «Детали ICMP» можно будет уточнить тип и ICMP-сообщение;
    • TCP и/или UDP, в этом случае можно будет задать порт источника и порт назначения;
  • опцию, регистрировать ли сетевую активность в журнале.

Отмечу, что в качестве адреса отправления/назначения может выступать не только единичный IP-адрес, но и сетевая зона, и множество других объектов, а также можно инвертировать выбор опцией «Исключить». Аналогично портами источника/назначения могут быть наборы портов, в т.ч. инвертированные. Следует учитывать, что удаленный адрес для исходящего соединения - это «Адрес назначения», а удаленный для входящего - это «Адрес отправления»; аналогично с портами. Поэтому, вообще говоря, одновременное разрешение входящих и исходящих соединений с каким-либо удаленным узлом задается двумя правилами:

  • одно правило разрешает входящие с удаленного узла на любой адрес;
  • другое разрешает исходящие с любого адреса на данный удаленный узел.

При задании набора из нескольких правил следует упорядочить их с учетом, что приоритет имеет правило, расположенное выше.

Глобальные правила

Глобальные правила определяют сетевую активность компьютера в целом, их ограничения имеют приоритет над правилами для приложений. Запреты, заданные в глобальных правилах, более эффективны, чем в правилах для приложений. В частности, глобальное скрытие портов делает компьютер невидимым при попытке их сканирования.

Существуют предустановленные наборы глобальных правил. Интерфейс переключения между ними представлен как выбор режима видимости компьютера в сети: «Блокировать входящие соединения» или «Оповещать о входящих соединениях» (Главное окно → Задачи → Задачи фаервола → Скрыть порты ).

Выбор режима «Оповещать о входящих» снимает глобальный запрет входящих соединений и возлагает дальнейший контроль на правила для приложений. Однако безопаснее все же разрешать входящие только на определенные порты и/или из определенных сетей, а остальные блокировать. Так, на скриншоте приведен образец глобальных правил с минимальным разрешением входящих соединений, необходимых только для ответов на ping-запросы из локальной сети, открытия доступа из нее к файлам, видения имен сетевого окружения и для работы торрент-клиента. Существуют подходы и для .

Создание собственных глобальных правил производится аналогично , отличается лишь отсутствием действия «Спросить».

Группы файлов, сетевые зоны, наборы портов и наборы правил

Можно сократить множество однотипных операций и добиться более наглядного представления правил, если создавать свои группы файлов, сетевые зоны, наборы портов и свои наборы правил.

Группы файлов формируются на вкладке Рейтинг файлов → Группы файлов , это именованные наборы путей их шаблонов с использованием подстановочных символов * и? и переменных среды. Например, их использование позволяет создать правила для работы и автообновления Flash-плеера или Java, так как при этих процессах меняются имена файлов и используются временно создаваемые загрузчики. Можно указывать шаблоны имен без использования групп файлов, однако группы предпочтительны благодаря наглядности, компактности, а также возможности назначать ограничения определенного рода одновременно в разных компонентах защиты. Например, можно завести группу «NoInternet», которой будут одновременно запрещены непосредственные интернет-соединения, DNS-запросы, использование службы BITS, запуск браузера и доступ к его памяти.

На вкладке «Наборы правил» можно увидеть, какие правила содержатся в предопределенных политиках фаервола, а также изменить эти политики либо создать собственные. В дальнейшем можно будет назначать эти политики приложениям: через вкладку «Правила для приложений» либо через оповещения фаервола. Отмечу, что в оповещении будут предлагаться только те политики, в которых задано однозначное действие для данной сетевой активности: разрешение или запрет. Например, если приложение попытается обратиться к веб-серверу на порт 80, то в оповещении не будет предложена политика «Почтовый клиент», но политики «Веб-браузер», «FTP-клиент» и др. - будут.

На вкладке «Наборы портов» можно сгруппировать любую комбинацию портов в именованный набор, чтобы потом использовать его в правилах в качестве порта отправления или назначения. При создании наборов можно комбинировать единичные порты, диапазоны портов, а также их инверсии.

Вкладка «Сетевые зоны» имеет следующую особенность: на ней можно не только группировать адреса в именованные «зоны» для их дальнейшего использования в правилах (в качестве адреса отправления или назначения), но и задавать статус этих зон. Так, если создать зону, а затем добавить ее на вкладку «Заблокированные зоны», то все соединения с ней будут блокированы, независимо от правил. Кроме того, сетевую зону можно отметить статусом «Сеть общего доступа».

Порядок применения правил фаервола

При обнаружении сетевой активности сначала проверяется, принадлежит ли удаленный адрес к какой-либо . Если принадлежит, то соединение блокируется . Если нет - начинается рассмотрение глобальных правил .

Глобальные правила просматриваются сверху вниз. Если для запрашиваемого вида соединения первым обнаруживается правило с действием «блокировать», соединение запрещается . Если подходящего правила не находится или первым обнаруживается разрешающее правило - начинается рассмотрение правил для приложений .

Когда какая-либо программа пытается установить соединение (разрешенное глобальными правилами), список приложений и правил для них просматривается сверху вниз. При первом же найденном совпадении (т.е. когда встретится данная программа или содержащая ее группа программ и запрашиваемый вид соединения) выполнится действие, указанное в правиле: разрешить , блокировать или показать оповещение (если в настройке включена опция «Не показывать оповещения», то вместо оповещения выполнится действие, указанное в этой опции: разрешение или блокировка).

Если в списке правил фаервола не найдется подходящего, то соединение будет автоматически разрешено в следующих случаях:

  • когда фаервол работает в «Режиме обучения» (в этом случае создастся разрешающее правило);
  • когда включена опция «Не показывать оповещения: Разрешать запросы»;
  • когда фаервол работает в «Безопасном режиме», отключена опция «Не показывать оповещения», а программа является доверенной и выполняется в реальной среде;
  • когда фаервол работает в «Безопасном режиме», программа является доверенной и выполняется в реальной среде, а запрашиваемое соединение исходящим.

В остальных случаях возникает оповещение или, если включена опция «Не показывать оповещения: Блокировать запросы», соединение запрещается.

В частности, отмечу, что программы, выполняющиеся виртуально, контролируются фаерволом независимо от их рейтинга. Поэтому, даже если фаервол работает в «Безопасном режиме», понадобится создать разрешающие правила, чтобы пользоваться браузерами .

Можно заметить, что при «Безопасном режиме» фаервол несколько нелогично обрабатывает входящие соединения доверенных программ. Вероятно, это баг.

Доступ к ресурсам локальной сети

По умолчанию в правилах фаервола отсутствуют разрешения на получение информации о сетевом окружении, открытие в локальной сети общего доступа к файлам и т.п. Эти разрешения не нужны, если сеть используется только для доступа к интернету.

Статус «доверенной сети»

Разрешения для локальной сети проще всего создаются назначением ей статуса «доверенной». Это можно сделать разными способами.

Если включена опция «Автоматически обнаруживать новые частные сети» на вкладке «Сетевые зоны», то при подключении к новой сети возникает оповещение, в котором нужно указать свое местонахождение. Статус «доверенной» назначается выбором вариантов «дома» или «на работе». Это приведет к созданию пары глобальных правил, разрешающих любые исходящие и любые входящие соединения с этой сетью, и пары аналогичных правил для процесса System («Система»). При выборе варианта «в общественном месте» новые правила не создаются.

Если обнаружение новых сетей отключено или сети ранее был назначен статус «общественной», то следует открыть окно «Управление сетями» (Главное окно → Задачи → Задачи фаервола ), отметить пункт «Доверять сети» и нажать «Ok». Результат будет аналогичен предыдущему.

Чтобы обратно вернуть сети нейтральный статус, проще всего отметить пункт «Блокировать сеть» в окне «Управление сетями», а затем в окне настройки открыть вкладку Сетевые зоны → Заблокированные зоны и удалить данную сеть оттуда.

Имеется баг: когда для активной сети не создана сетевая зона и фактически эта сеть обрабатывается как «общественная», то в окне «Управление сетями» для данной сети будет указан статус «доверенной».

Внимание! Если в таком окне нажать кнопку «Ok», то активная сеть действительно станет «доверенной», т.е. появится соответствующая запись в списке сетевых зон и создадутся правила фаервола, разрешающие соединения в этой сети. Если доверие сети не требуется, то следует закрывать окно «Управление сетями» кнопкой «Отмена».

Пример разрешений для доступа к локальной сети

Устанавливать доверие локальной сети можно только в случае полной ее безопасности. Поэтому рекомендуется назначать сети нейтральный статус («общественное место»), включать , а затем добавлять необходимые разрешения. Обычно для доступа к сетевым ресурсам необходимо, в дополнение к имеющимся изначально правилам, разрешить процессу System («Система») следующие входящие соединения (везде «адрес отправления» - локальная сеть):

  • UDP-соединения с портом источника 137 и портом назначения 137: чтобы можно было обращаться к компьютерам по NetBIOS-именам;
  • UDP-соединения с портом источника 138 и портом назначения 138: чтобы при этом видеть сетевое окружение;
  • TCP-соединения с портом назначения 445: для открытия общего доступа к файлам.

Чтобы при создании правил указать «System» в качестве приложения, нужно выбрать его из запущенных процессов.

Все эти разрешения необходимо продублировать в глобальных правилах. Также в них следует разрешить входящие ICMPv4-соединения, отправляемые из локальной сети с сообщением «эхо-запрос»; это нужно не только для возможности отвечать на ping-запросы, но и для открытия общего доступа к файлам. Пример набора глобальных правил .

Особенности фаервола

Фаервол Comodo не контролирует входящие loopback-соединения (но контролирует исходящие). Так, при использовании локального прокси достаточно разрешить только исходящие соединения в интернет для прокси-сервера и исходящие в «localhost» для браузера (тогда как многие другие фаерволы потребовали бы еще разрешить входящие из «localhost» для прокси-сервера).

Своеобразно устроено : если указать в правиле в качестве адреса доменное имя, то CIS найдет минимальный и максимальный IP-адреса для этого имени, а затем все промежуточные IP будет считать принадлежащими ему же.

Особенность версии CIS 10, которую можно назвать достоинством, - стала определяться принадлежность ICMP-трафика различным приложениям. Прежние версии CIS (а также, например, Брандмауэр Windows) воспринимали этот трафик принадлежащим процессу System.

Контент-фильтр

Компонент «Контент-фильтр» ограничивает доступ к веб-сайтам по их адресам. Для определения безопасности адресов используются обновляемые списки Comodo, также можно задавать пользовательские списки. При попытке открыть запрещенный сайт пользователь увидит страницу с сообщением о блокировке, а также, в зависимости от настройки, с предложением временно игнорировать запрет или занести данный сайт в исключения.

Категории. Импорт пользовательских списков

Списки адресов или их (использующих символы * и?) называются категориями. Собственные категории Comodo - «Безопасные сайты», «Фишинговые сайты» и «Вредоносные сайты». Они обновляются автоматически, их невозможно просмотреть или изменить. Остальные категории - доступные для изменения пользователем - задаются на вкладке «Контент-фильтр» > «Категории». Изначально там находится категория «Исключения», в нее попадают сайты, исключенные из блокировки через оповещения в браузере.

Имеет смысл добавить категории со списками вредоносных сайтов из других источников. Рекомендуются списки и Symantec WebSecurity. Для получения последнего следует на сайте MalwarePatrol.

Чтобы использовать дополнительный список, следует на вкладке «Категории» через контекстное меню создать новую пустую категорию, а затем импортировать список из файла. При выборе файла необходимо указать формат списка, иначе контент-фильтр будет работать некорректно (типичная ошибка пользователей).

Формат записей в категориях контент-фильтра

Запись в виде шаблона охватывает адреса, целиком соответствующие этому шаблону. Например, записи *.example.com соответствует адрес http://test.example.com , но не http://test.example.com/404 и не http://example.com .

Запись без символов подстановки идентична шаблону, полученному добавлением в ее конце символа * . Например, записи https://example.com и https://example.com* идентичны, им соответствуют адреса https://example.com , https://example.com/404 и https://example..example.com . Таким образом, запись в виде доменного имени сайта охватывает также его каталоги, но не поддомены.

Обозначением протокола HTTP в контент-фильтре является отсутствие протокола. Например, записи вида example.com сответствует адрес http://example.com , но не https://example.com . Записи вида example.com/* соответствует адрес http://example.com/404 . Внимание! Адрес http://example.com не соответствует записям http*example.com* и */example.com* , т.е. содержащим хотя бы часть указания протокола.

Протокол HTTPS обозначается явным образом либо с помощью шаблонов. Например, записи https://example.com соответствуют адреса https://example.com , https://example.com/404 и т.п. Записи *//example.com соответствует адрес https://example.com , но не http://example.com и не https://example.com/404 .

Следует сказать, что блокировка контент-фильтром HTTPS-страниц происходит без уведомлений и предложений отменить запрет. Более того, блокировка HTTPS-страниц может не работать, в зависимости от используемого браузера.

Итак, предположим, требуется заблокировать сайт example.com одновременно для протоколов HTTP и HTTPS, с каталогами, но без поддоменов . Чтобы сделать это наиболее «прицельно», внесем в блокируемую категорию 4 записи:

  • example.co?
  • example.com/*
  • https://example.co?
  • https://example.com/*

(Использование знака? вместо какой-либо буквы предотвращает символа * к концу строки.)

Как вариант, можно обойтись единственной записью вида *example.com* , но тогда будут блокироваться не только требуемые адреса, но и https://www.example.com/404 , https://myexample..common.html .

Правила контент-фильтра

Каждое правило контент-фильтра содержит список категорий, к которым оно применяется, и список пользователей или их групп с указанием их ограничений. Интерфейс изменения списка категорий очевиден.

Пользователи и их группы добавляются через контекстное меню в поле «Ограничения»: «Добавить» > «Дополнительно...» > «Типы объектов» > отметить все > «Ok» > «Поиск» > выбрать нужную запись > «Ok».

Обычно в качестве пользователя используется группа «Все». Если же требуется задать разные ограничения разным пользователям, следует обязательно указать ограничения для каждого из них . Иначе не исключено, что пользователь, не указанный в правиле, получит доступ к сайтам из перечисленных категорий даже при наличии другого запрещающего правила.

Согласно , для Windows 8 и выше в каждом правиле к списку пользователей следует добавлять запись «ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ» («ALL APPLICATION PACKAGES») с теми же ограничениями, что и у пользователей. Иначе блокировка не будет работать для Internet Explorer 11.

Для корректной работы с исключениями из блокировки правило «Разрешенные сайты» должно находиться выше правила «Заблокированные сайты».

mob_info