Firewall - Что это такое?

[Saule]

Тем не менее, если malware уже запущено, наличие брандмауэра может не быть существенно. Вспомните PC Flank Leaktest. Еще один фактор - не каждый вирус, обменивающийся данными с сетью, можно так уж просто контролировать брандмауэром. :)

Во-первых, это утверждение некорректно. Если это не packet firewall, то исходя из определения, он должен проконтролировать любую отсылку данных с компьютера. В этом состоит его суть. Он должен контролировать не только входящие соединения по портам/приложениям, но и исходящие. И неважно, супер-технологическое malware это или обычная программа. Если firewall этого не делает по каким-то причинам, то грошь ему цена.

Во-вторых, PC Flank Leaktest не представляет из себя ничего интересного или "сверх-сложного". Контроль использования COM-объектов, контроль дерева child/parent process'ов, контроль параметров запуска и еще большое число проверочных мероприятий в нормальном Firewall/HIPS выявляют подобные ликтесты на раз-два-три. Этот ликтест по своему техническому уровню сродни тем "хакерским" "обходам" firewall'ов, реализованных на vbs-скриптах (см. всякие "зажигательные" статейки на www.securitylab.ru).

На самом деле большинство из firewall'ов, представленных в данный момент на рынке, изначально архитектурно (идеологически) спроектированы неверно. И они пропускают не только вот такие вот абсолютно нетехнические мелочи, а гораздо более серьезные варианты отсылки данных. В ближайшее время могут быть опубликованы примеры таких ликтестов и тогда вот уже будет интересно взглянуть, кто и чего стоит. Что же касается Outpost, то Agnitum - это компания, которая просто бьется за то, чтобы напротив их имени у каждого ликтеста стоял "плюсик". И неважно каким способом, и неважно, что это часто не защита, а просто "костыль" под конкретную реализацию (уж чуть ли не блокирование конкретного IP-адреса сайта, куда идет отправка данных ликтестом - у них такое было).

Не в обиду,для примера,какие компоненты? (Умоляю! Не обижайтесь. Мне,юзеру,страсть как хочется все знать.Поэтому и спрашиваю.)

Например, Media Player - обычным программным путем автообновления отключить невозможно (отключаются только через реестр и при этом нужно знать где).

А по поводу отдельного компьютера: если каждый пользователь поймет,что МОЖНО защититься индивидуально без антивирусов и фаерволов-весь этот бизнес (да,да.Именно хороший,доходный бизнес!) по производству антивирусов улетит в "тар-тарары"! Вы ведь сами тоже не особо этому программному обеспечению доверяете! Ведь правда? :)

А HIPS-системы, в таком случае - это не бизнес? :)

Еще раз задам один простой и конкретный вопрос (пока вы на него не ответите - можете не писать лично мне вообще никаких ответов, т.к. это будет пустой флейм):

-

Каким образом вы сможете проконтролировать "руками" или с помощью обычного HIPS (без интегрированного firewall) какие-либо исходящие соединения любого из процессов в системе (неважно, стандартного; запущенного вами или запущенного автоматически через эксплоит в сервисной сетевой службе или пользовательском программном обеспечении)

.

[barsukRed]

Например, Media Player - обычным программным путем автообновления отключить невозможно (отключаются только через реестр и при этом нужно знать где).

А HIPS-системы, в таком случае - это не бизнес? :)

В моей фразе не было про HIPS-системы ничего! Я говорил про АВП и фаеры. Прошу быть внимательней :)

Отключение через реестр входит в предлагаемый метод.Это не блокировка через фаер! :)

Еще раз задам один простой и конкретный вопрос (пока вы на него не ответите - можете не писать лично мне вообще никаких ответов, т.к. это будет пустой флейм):

-

Каким образом вы сможете проконтролировать "руками" или с помощью обычного HIPS (без интегрированного firewall) какие-либо исходящие соединения любого из процессов в системе (неважно, стандартного; запущенного вами или запущенного автоматически через эксплоит в сервисной сетевой службе или пользовательском программном обеспечении)

.

Вы хоть на смайлики мои посматриваете? :) В Ваших словах столько молний! Кто из нас флеймит? :) У меня уже начало четвертого,поэтому кратко и возвращаться к этому не буду:

Основная концепция защиты без применения АВП и фаера:

1.Любой ценой не позволить зловреду попасть на комп(о методах не пишу-и так все понятно)

2.Нет зловреда-нет соединения

3.Зловред не запустится-HIPS(например SSM в режиме откл интерфейса)

4 Контроль за портами.Открытый порт-зловред в системе.(Tcpview)

5 Специальный подбор прог.обеспеч. ЧТОБЫ НЕ ОДИН СЕРВИС НЕ БЫЛ НА listening

6 Файловый ревизор(периодически)

7 НУ НЕ БУДЕТ НИКАКИХ НЕЗАПЛАНИРОВАННЫХ СОЕДИНЕНИЙ!!! Вы можете это понять???

МОЯ КОНЦЕПЦИЯ СТРОИТСЯ НЕ НА ПОГОНЕ ЗА ЗЛОВРЕДОМ ПО ВСЕМУ КОМПУ А МОЯ КОНЦЕПЦИЯ :см. пункт 1!!!

Я про это столько постов написал! Далее идут смайлики: :) :) :)

[NickGolovko]

Saule, внимательнее, пожалуйста. :) Никто не говорил, что брандмауэр не ловит исходящие соединения, и никто не говорил об Outpost, который я не использую. Но сложно поймать брандмауэром действия BHO. То же с PC Flank: этот "простой" тест не смогла остановить ни одна система защиты, кроме одной. Все они криво написаны, м? :) И есть только одна правильная, у которой хуки в UserMode и которая не видит RAM-дисков? :)

Изменено 11 июня, 2007 пользователем NickGolovko

[Saule]

Saule, внимательнее, пожалуйста. :) Никто не говорил, что брандмауэр не ловит исходящие соединения, и никто не говорил об Outpost, который я не использую.

В том-то и дело, что внимательно следует читать мои посты. :) Outpost был там упомянут как один из файрволлов, "проходящих" PC Flank leaktest (хотя я в курсе, что изначально он его не прошел). При том, что это совершенно не показатель его технического совершенства. Все эти ликтесты - бутафория. А еще большая бутафория - компании, которые у себя на сайте отмечают "our firewall passed all leaktests" и поэтому, мол, он 100% защита. Это выглядит примерно как чистое поле, в котором понатыкали в случайном порядке калиток. Без забора. И вот каждая такая калитка - это "защита" от КОНКРЕТНОГО leaktest'а. Речь шла об этом. И Outpost был приведен как характерный пример именно в этом качестве. Но, стоит заметить - он далеко не единственный "такой".

Насчет исходящих соединений: вами было заявлено, что если malware запущено на системе пользователя, то его невозможно контролировать. Так вот это не так. Все очень просто: если пользователь сам разрешает соединение - ну так, что еще тут хотеть от файрволла. Подробнее ниже.

Но сложно поймать брандмауэром действия BHO. То же с PC Flank: этот "простой" тест не смогла остановить ни одна система защиты, кроме одной. Все они криво написаны, м? :) И есть только одна правильная, у которой хуки в UserMode и которая не видит RAM-дисков? :)

Характерный пример как раз с BHO. Если пользователь сам разрешает установку/использование BHO (для справки: BHO - это дополнительный модуль, за загрузкой которого нормальный файрволл должен, как минимум, следить) - так это проблемы уже непосредственно пользователя. Это как с мясорубкой: есть определенные правила ее использования, в рамках которых она выполняет свои функции полноценно. Если пользователь пропустит через мясорубку свою руку на фарш, никто же не будет кричать: "Мясорубка не работает! Она плохо сконструирована!". Так же и здесь. Возьмите любой файрволл и добавьте все процессы в доверенные. А после этого начните рассуждать: "Удивительно, а почему нет никакого контроля за исходящим трафиком".

Я уверяю, что даже имея правило, разрешающее исходящее соединение для того же IE на 80 порт на любые адреса - достаточно для нормального файрволла, чтобы через IE не отсылались никакие данные. Просто этот файрволл должен иметь ряд функций, контролирующих межпроцессное взаимодействие, и не позволять выполнение определенных операций с процессом IE (или его составляющими). Этих операций не так много - их можно пересчитать по пальцам рук. И тогда, с какой стороны бы не подступались злоумышленники, такой возможности (отсылки данных) у них уже не будет. Опять же, уточняю, при грамотно спроектированном файрволле, и при пользователе, которому хватает ума "не сушить свою кошку в микроволновке".

По поводу "все они криво написаны" - да, все. В том числе и те, что прошли тест (здесь речь идет о конкретных наименованиях, а не в виде "общих" рассуждений).

Но при всем этом я продолжаю считать, что эти ликтесты - это "тесты ради тестов" и не более того. Ничего интересного из себя они не представляют. Лучше бы тестировали на чем-нибудь in-the-wild, что иногда исходит с rootkit.com, rootkits.ru. Правда, и там что-нибудь "хорошее" всплывает, к сожалению, крайне редко. Так как профессионалов не так уж и много.

В моей фразе не было про HIPS-системы ничего! Я говорил про АВП и фаеры. Прошу быть внимательней :)

Я это поняла. Не поняла я другого - почему в таком случае HIPS-системы вы бизнесом не считаете? По сути, если рассматривать это так, то это точно такое же вымогание денег.

Отключение через реестр входит в предлагаемый метод.Это не блокировка через фаер! :)

Но Microsoft ведь не предусмотрел отключение автообновления программным путем. Где гарантии, что если вы и создадите ключик в реестре, отключающий их, данные не будут куда-либо отсылаться?

Вы хоть на смайлики мои посматриваете? :) В Ваших словах столько молний! Кто из нас флеймит? :) У меня уже начало четвертого,поэтому кратко и возвращаться к этому не буду:

Давайте договоримся сразу же, что смайлики - они не спасают от глупости или незнания. И знаете, есть такое выражение: "Лучше промолчать - сойдешь за умного". Просто мне откровенно не нравится, когда человек не разбирается, но имеет очень большое мнение по проблематике. Причем мнение достаточно некорректное. Но человек с бесконечным усилием продолжает его отстаивать.

Основная концепция защиты без применения АВП и фаера:

1.Любой ценой не позволить зловреду попасть на комп(о методах не пишу-и так все понятно)

2.Нет зловреда-нет соединения

3.Зловред не запустится-HIPS(например SSM в режиме откл интерфейса)

4 Контроль за портами.Открытый порт-зловред в системе.(Tcpview)

5 Специальный подбор прог.обеспеч. ЧТОБЫ НЕ ОДИН СЕРВИС НЕ БЫЛ НА listening

6 Файловый ревизор(периодически)

7 НУ НЕ БУДЕТ НИКАКИХ НЕЗАПЛАНИРОВАННЫХ СОЕДИНЕНИЙ!!! Вы можете это понять???

МОЯ КОНЦЕПЦИЯ СТРОИТСЯ НЕ НА ПОГОНЕ ЗА ЗЛОВРЕДОМ ПО ВСЕМУ КОМПУ А МОЯ КОНЦЕПЦИЯ :см. пункт 1!!!

Я про это столько постов написал! Далее идут смайлики: :) :) :)

1. Очень интересно будет как раз послушать о тех самых "секретных" методах, о которых не знает весь мир (в т.ч. производители файрволлов), но знаете вы. Это интересно еще и по той причине, что в таком случае на пункте №1 можно было бы вообще остановиться. Написав, например, вот так: "Любой ценой не позволить кому-либо создавать исходящие соединения (о методах не пишу - и так все понятно)". Заявляю: мне не понятно. Будьте, пожалуйста, более конкретны. Я, надеюсь, это ведь не были пустые слова?

2. "Нет интернета - нет соединения!" - очень похоже на такой аргумент. Ну и вы опять забыли, что существуют вполне себе легитимные программы, которым часто без спроса хочется либо что-то отослать в сеть, либо что-то получить из сети. Хотя тут вы бы, наверно, применили аргумент: "Нет компьютера - нет соединений".

3. Запуск каких-либо приложений где-либо разрешен? Значит приложение (в т.ч. и вредоносное) может быть запущено. Если запуск запрещен - кто за таким компьютером сможет работать? Это сервер, на котором список приложений в течение 5 лет постоянен?

4. Для справки: tcpview обходится элементарно. Я уж даже не говорю про сокрытие открытых портов, про собственную реализацию tcp-стека и т.д. Это уже используется много лет. Обращаемся на rootkit.com, rootkits.ru.

5. Это что за "специальный подбор прог. обеспеч."? Называется SCM, через который все сервисы просто ставятся в disabled? :) И после этого система перестает работать? :) И еще раз. Как вы запретите listening какому-нибудь обычному приложению, не из стандартных? Без файрволла.

6. И что он даст? Файл может быть скрыт достаточно серьезно. Опять же, rootkit.com, rootkits.ru.

7. Нет. По той причине, что вы в принципе не понимаете, как обстоят дела с этими "незапланированными соединениями".

Вы ошиблись, ваша концепция строится на пункте 2. ("Нет интернета - нет соединения"). В это легко поверю. Безупречная защита :)

И на исходный вопрос вы не ответили, поэтому есть смысл завершить эту беседу. Мною здесь написано уже все.

[torch777]

Saule: Смешной человек, этот ваш barsukRed. Как я говорил раньше...спор не о чем. В корень вопроса смотришь только ты...и мне это приятно .

Из постов стало понятно, что человек, начитавшись умной литературы, решил, что может справиться без фаерволла(но практические знания отсутствуют, хотябы отчасти по действию вирусов)=) Вот пока жареный петух не клюнет он и не подумает, что был не прав....И конечно, фирмы производители фаеров, только и мечтают вытянуть деньги, особенно те, которые производят их бесплатно....Про аутпост могу очень много хорошего рассказать....

А потом, зачем так сильно мудрить в системе, е сли проще всего можно поставить ХИПС и фаерволл.=)

И вообще, Saule, вы для меня довольно компетентны.... :)

P.S можно поставить аппаратную защиту cisco, если денег куры не клюют=)

[Timba]

до cisco там похоже не дойдут................... хотя надобы, сауле - не обращайте внимания на посты этого чела, в остальном он сам не ведает.................

Изменено 11 июня, 2007 пользователем Timba

[NickGolovko]

В том-то и дело, что внимательно следует читать мои посты. :) Насчет исходящих соединений: вами было заявлено, что если malware запущено на системе пользователя, то его невозможно контролировать.

Этого я не говорил. :) Более того - специально подбирал слова, чтобы не создалось такого впечатления. :) В целом я вашу мысль принимаю. Наиболее общо я уже выразил свою мысль: важно не дать зловреду работать. Частично эта позиция совпадает с представлением barsukRed, и ее разделяют некоторые специалисты - я лично знаю экспертов, которые работают вообще без охранного софта (т.е. ни антивируса, ни брандмауэра, ни HIPS). Один из них говорит, что главное - убрать все способы проникновения malware, другой - что на правильно сконфигуренной системе зловред просто не сможет функционировать. Так что точка зрения имеет право на жизнь. :)

[barsukRed]

1. Очень интересно будет как раз послушать о тех самых "секретных" методах, о которых не знает весь мир (в т.ч. производители файрволлов), но знаете вы.

:) Хотите о них знать? Да пожалуйста! вот они Выкинуть дифирамбы про антивирусы и все остальное и есть "секретные методы",которые,кстати и Вы применяете.

"Любой ценой не позволить кому-либо создавать исходящие соединения (о методах не пишу - и так все понятно)". Заявляю: мне не понятно. Будьте, пожалуйста, более конкретны. Я, надеюсь, это ведь не были пустые слова?

Это не моя фраза! Моя фраза вот:

1.Любой ценой не позволить зловреду попасть на комп(о методах не пишу-и так все понятно)

Вы беспокоитесь о своей репутации,не понимая, что никто на нее не посягает. И уводите обсуждение в другое русло.Мне надоело.

Это все флейм.

В Этой ветке ни один из пользователей не смог сам,своими словами конкретно обосновать зачем им нужен фаерволл. О чем говорим,ребята?

[barsukRed]

до cisco там похоже не дойдут................... хотя надобы, сауле - не обращайте внимания на посты этого чела, в остальном он сам не ведает.................

Тем не менее только она свои ответы подкрепляет обоснованиями,а Вы,извините-нет.

Так откуда Вам то знать что я ведаю а что нет? )

[NickGolovko]

В Этой ветке ни один из пользователей не смог сам,своими словами конкретно обосновать зачем им нужен фаерволл. О чем говорим,ребята?

Позвольте, я предприму попытку завершить обсуждение. Брандмауэр требуется тем пользователям, которые по той или иной причине не могут осуществлять жесткую политику в области приложений и служб. Те, кто могут ее осуществлять, способны работать вообще без охранного софта. В целом опираться исключительно на брандмауэр и/ли HIPS не следует. Не существует защиты, которую нельзя обойти, поэтому целесообразно избегать запуска вирусов в принципе. Если это правило без исключений - охранный софт не нужен. Если оно имеет исключения - требуется мониторинг средствами HIPS, брандмауэра, антивируса.

[Timba]

Тем не менее только она свои ответы подкрепляет обоснованиями,а Вы,извините-нет.

Так откуда Вам то знать что я ведаю а что нет? )

Saule да......... она всегда корректна, я извиняюсь нет.. ну характер у меня другой.... :-) тем не менее мне тоже интересна тема IDS и траблов.....................

Saule специализируется на защите компьютеров,я предпочитаю GPO и иже с ним, чтобы их (траблов) воообще не возникало. Обоснования туту нужны????? Я думаю нет.

Изменено 12 июня, 2007 пользователем Timba

[torch777]

barsukRed:

Смех...

1)

Очень интересно будет как раз послушать о тех самых "секретных" методах, о которых не знает весь мир (в т.ч. производители файрволлов), но знаете вы.

Товарищ, barsukRed, вас просили рассказать о своих способах, а не тупо указывать на страничку "Важно знать!"=)

2)Весь прикол в том, если уж вы читали "Важно знать!", то там черным по белому написано использовать фаерволл=), а соответственно сами согласны с этим утверждением=)

3)По-моему мнению, а оно как правило объективное, я могу смело утверждать, что ваши посты, мягко сказать, не корректны и не вписываются в эту тему.

Прямых доводов вы не привели=)

Я лично знаю один только метод, дабы не пользоваться фаерволлом-cisco sensor.

Этого я не говорил. smile.gif Более того - специально подбирал слова, чтобы не создалось такого впечатления. smile.gif В целом я вашу мысль принимаю. Наиболее общо я уже выразил свою мысль: важно не дать зловреду работать. Частично эта позиция совпадает с представлением barsukRed, и ее разделяют некоторые специалисты - я лично знаю экспертов, которые работают вообще без охранного софта (т.е. ни антивируса, ни брандмауэра, ни HIPS). Один из них говорит, что главное - убрать все способы проникновения malware, другой - что на правильно сконфигуренной системе зловред просто не сможет функционировать. Так что точка зрения имеет право на жизнь. wink.gif

NickGolovko: Это, случаем не спецы по LINUX=)

Хотел бы я посмотреть на этого "эксперта" своими глазами и от души посмеяться=)

[barsukRed]

3)По-моему мнению, а оно как правило объективное,

Я Вас поздравляю!

Я больше не поддерживаю диалог. Нельзя разговаривать с тем,кто не слышит.

[Saule]

я лично знаю экспертов, которые работают вообще без охранного софта (т.е. ни антивируса, ни брандмауэра, ни HIPS). Один из них говорит, что главное - убрать все способы проникновения malware,

Сразу же вопрос: каким образом они борятся с эксплойтами (stack/heap)? Что мешает им получить через любой из источников программу с подлинкованным троянским конем? (Например, в один из релизов FlashFXP был подлинкован троян, который инжектился в IE/Explorer и начинал устанавливать исходящие соединения в определенные моменты). Защиты от back-connect trojans на разрешенных портах от разрешенных приложений - нет. Кроме как файрволл с элементами HIPS. FlashFXP - не единственный пример случайно/специально затрояненной системы. Кстати, во многие shareware приложения встроены "официальные" adware/spyware-модули, которые могут собирать информацию о действиях пользователя, и от приложения отсылать ее. Является ли это угрозой? Контролируется ли это как-либо без файрволла?

Вы слишком узко смотрите на проблематику защиты системы пользователя. Логика ограничивается примерно следующими суждениями:

- поставить все обновления для ОС и ее компонент;

- отключить все "опасные" службы;

- не запускать "руками" никакого вредоносного ПО;

- [может быть] работать не из под администратора;

- [может быть] запретить запись практически на весь диск, кроме рабочего каталога;

- [может быть] запретить запуск из определенных каталогов (временных и т.п.).

Так вот: безопасность системы не ограничивается этими действиями.

Вообще, вся эта ситуация напоминает "профессионалов" скейтбордистов-роллеристов-мотоциклистов и т.п., которые ездят без защиты. До первого (и последнего) падения. При этом так же аргументируя: "Я профессионал - мне это не нужно". Настоящие профессионалы озабочены своей безопасностью. И вы вряд ли увидите мотоциклиста, едущего 300+ км/ч, без костюма и шлема стоимостью > $5000. Профессионалы относятся к своей защите профессионально.

другой - что на правильно сконфигуренной системе зловред просто не сможет функционировать. Так что точка зрения имеет право на жизнь. :)

Поймите одну простую вещь: вредоносная программа в общем случае НИЧЕМ не отличается от обычной. Не существует каких-либо особых признаков для отличия вредоносной программы от обычной (повторю: в общем случае). Если на системе во многие каталоги запрещена запись и из многих каталогов запрещен запуск - не страшно. Да, большинство malware, написанных "студентами", на таких системах обломается. Но и только. Разве это дает защиту? Если система функционирует (позволяет запись и запуск) - на ней может быть запущено ПО. И неважно, обычное или вредоносное. Оно имеет те же характерстики. Это элементы одного множества.

Вы беспокоитесь о своей репутации,не понимая, что никто на нее не посягает.

Моя репутация здесь ни при чем. Этот форум никак на неё не влияет. Я всего лишь пытаюсь вам немного помочь.

Изменено 12 июня, 2007 пользователем Saule

[NickGolovko]

2 Saule: дабы я не работал испорченным телефоном, вы можете задать эти вопросы Паулу (p2u) или Олегу Зайцеву, который, правда, о брандмауэрах не упоминал, но антивируса и HIPS не использует точно. :) Себя в пример, увы, привести не могу: никак не откажусь от Internet Explorer.. :)

[Saule]

2 Saule: дабы я не работал испорченным телефоном, вы можете задать эти вопросы...

Мне наверно больше нечем заняться Вы отстаиваете свою точку зрения, я - свою.

При этом, если вы не заметили, то я ни в коем случае не полагаюсь на файрволл, как на что-то такое особенное, и конфигурация системы для меня играет не менее важную роль. Еще раз перечитайте сравнение с мотоциклистами. Легко ответить на вопрос:"Где начинается и заканчивается безопасность?". В обоих случаях ответ: "В людях," - а технология - это просто точка опоры посередине.

[NickGolovko]

На том и сойдемся.

[Saule]

На том и сойдемся.

Thank You

[Ava]

Про то, что файрволл нужен, это я понял. Только вот как с ним разобраться и что в общем с ним делать? Помогите, пожаоуйста. :( У меня файрволл, встроенный в Windows XP SP2.

[torch777]

Ava: Дело в том, что это просто брандмауэр. По крайней мере его бывает немного мало, для полноценной защиты.

Лучше ставить фаерволл, к примеру Agnitum Outpost Pro.

На мой взгляд самая надежная программа-фаерволл.

[Iomhar Dealgach]

2 Saule: дабы я не работал испорченным телефоном, вы можете задать эти вопросы Паулу (p2u) или Олегу Зайцеву, который, правда, о брандмауэрах не упоминал, но антивируса и HIPS не использует точно. :( Себя в пример, увы, привести не могу: никак не откажусь от Internet Explorer.. :(

На www.antimalware.ru рулить? - Там вроде г-н Зайцев отмечался?

ЗЫ: barsukRed - тебе туда как-раз было-бы интересно!

[Saule]

На www.antimalware.ru рулить? - Там вроде г-н Зайцев отмечался?

На virusinfo.info.

Ava: Дело в том, что это просто брандмауэр. По крайней мере его бывает немного мало, для полноценной защиты. Лучше ставить фаерволл, к примеру Agnitum Outpost Pro.

Firewall и брандмауэр (ровно также как и межсетевой экран) - это синонимы.

Про то, что файрволл нужен, это я понял. Только вот как с ним разобраться и что в общем с ним делать? Помогите, пожаоуйста. :( У меня файрволл, встроенный в Windows XP SP2.

Помимо базовых советов по работе с Windows Firewall (или вам хотелось бы ознакомиться именно с базовыми возможностями?), можно порекомендовать следующее:

• Время от времени проверяйте фильтр правил на момент внесенных туда изменений. Так как некоторые приложения (в первую очередь приложения Microsoft) могут самостоятельно настраивать в брандмауэре порты и правила без уведомления пользователя.
  Start > Control Panel > Windows Firewall > Exceptions
  Пуск > Панель управления > Брандмауэр Windows > Исключения
• Включите функцию ведения журнала:
  Start > Control Panel > Windows Firewall > Advanced > Settings в разделе 'Security Logging'
  Пуск > Панель управления > Брандмауэр Windows > Дополнительно > Параметры в разделе 'Ведение журнала безопасности'

  При этом присвойте файлу журнала какое-нибудь безобидное имя и поместите его папку, отличенную по умолчанию.

  После чего проверяйте записи переодически (здесь также можно использовать в помощь программу FireLogXP).

• Со временем изучите другие, более мощные варианты брандмауэров и их свойства, так как Windows Firewall имеет ряд существенных недостатков (самый весомый из них это то, что отсутствует фильтрация исходящего трафика).

[Iomhar Dealgach]

На virusinfo.info.

Звиняйте, Солнце - я малость затупил...

Конечно же www.z-oleg.com

[torch777]

Firewall и брандмауэр (ровно также как и межсетевой экран) - это синонимы.

Saule: Я знаю, но чтобы как то отличить продукты(втроенный -внешний) я привык их обзывать так. По крайней мере для Win.

Но суть вопроса не в этом, а в том что встроенный в ОС менее эффективен и ему беззаветно доверять не стоит.

[Iomhar Dealgach]

Saule: Я знаю, но чтобы как то отличить продукты(втроенный -внешний) я привык их обзывать так. По крайней мере для Win. ...

Дело Ваше как обывать, то чтобы другие поняли - пользуйтесь общепринятыми понятиями...

Но суть вопроса не в этом, а в том что встроенный в ОС менее эффективен и ему беззаветно доверять не стоит.

Ну мы как-то в курсе... :)

ЗЫ: Я бы не рискнул информировать об этом Saule... :) Что-то мне подсказывает, что она об этом ведале уж гораздо ранее Вас!