McAfee Personal Firewall Plus 6.0 Build 6014

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Скриншоты:

1. Окно настройки уровня безопасности
2. Окно сообщения о попытке приложения получить доступ в сеть

Достоинства:

1. Небольшой размер, наличие мастера, позволяющего начинающему пользователю настроить Firewall;
2. Есть визуальный индикатор трафика и карта, на которой отображается продполагаемое местоположение атакующего;
3. Удаление процессов Firewall не привело к пропаданию защиты

Недостатки и особенности:

1. В настройке по умолчанию оказались открыты многие опасные порты (я пробовал выбирать разные профили, но результат примерно одинавок);
2. Окно сообщения о попытке доступа приложения в сеть неиформативно (нет данных о том, c каким IP идет попытка соединения, по каким портам, нет полного пути к программе и дополнительных данных по нему...);
3. Не прослеживается возможность ручного создания правил фильтрации пакетов. Я не нашел такой возможности - может быть, она и есть - но закопана далеко.... Правила для приложений есть, но крайне примитивны (разрешить приложению все, запретить все);
4. Блокирование прослушивая порта, по моему мнению, сделано очень некорректно - все исследованные мной Firewall позволяли программе открыть порт на прослушивание (и при запрете в правилах Firewall обмена с сетью программа просто не получала по этому порту пакеты). В данном случае блокируется открытие порта - это приводит к ошибкам в некоторых программах;
5. IDS отсутствует - я проводил лобовые атаки (сканирование портов в 200 потоков, флуд порта со скоростью 2000 соединений/сек...) - Firewall не выдал никаких сообщений или предупреждений. Зато он обнаружил прихождение на мой ПК единичного пакета по порту 514 (Syslog) и записал это в протокол.
6. В ходе тестов отмечался некий интересный глюк в системе - перестали отображаться иконки на рабочем столе

Общая оценка:
Весьма примитивный Firewall, ориентированный на уровень начинающего пользователя. Очень бедные возможности, IDS не определяет явные атаки

R-Firewall 1.0 Build 43

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. Размер дистрибутива небольшой (3.8 МБ), можно настроить состав продукта. Работа достаточно стабильная, на эталонном ПК явных сбоев и зависаний не замечено

Скриншоты:

1. Окно настройки уровня безопасности
2. Окно сообщения о попытке приложения получить доступ в сеть

Достоинства:

1. Небольшой размер;
2. Два уровня настройки - упрощенный для начинающего и расширенный для опытного пользователя;
3. Содержит детектор атак, фильтр контента для блокирования баннеров, скриптов и т.п. Детектор атак реагирует на сканирование портов, флуд (правда флуд считается как Single port scan)
4. Детектирует внедрение посторонних DLL в критические процессы типа iexplorer.exe, предупреждая с указанием библиотеки и процесса. Правда не содержит системы проверки цифровых подписей или базы чистых файлов, поэтому ругается на все, включая системные DLL
5. Блокиратор контента реально опробирован на сайтах типа cracks.am, что показало его работоспособность (конечно, блокирование не стопроцентное, но файктс срабатывания имеет место)
6. Есть профили настроек с правилами для распространенных программ, что может быть полезно для начинающего пользователя

Недостатки и особенности:

1. Окно системы обучение не информативно (не выводится полный путь к программе-нарушителю и подробной информации о ней). В случае работы троянской DLL в сообщение фигурирует не DLL, а применяющая ее программа. Например, на тестах Backdoor.Win32.Thunk.i (библиотека c:\windows\cpu.dll) был запущен через rundll32.exe - в сообщениях firewall ругался именно на эту DLL
2. Процессы не защищены от убиения, нет контроля установки посторонних драйверов и записи в чужие процессы, из-за чего защита не может быть всесторонней. После убиения управляющих процессов защита судя по всему частично сохраняется, обмен с сетью по крайней не блокируется и ряд тестовых TrojanDownloader смогли успешно работать и обмениваться с Интернет. Убиение процессов провело к отказу контроля за внедрением посторонних DLL
3. Я не обнаружил (по крайней мере на поверхности) возможностей фильтрации по MAC адресам
4. Интерфейс и система построения правил лично мне показалась немного запутанной

Общая оценка:
Еще один Firewall, ничем радикально новым или особенным не обличается. Главный его плюс (и несомненный на мой взгляд) состоит в том, это этот продукт бесплатный - один только этот момент может перечеркнуть все его минусы и недостатки.

Общие выводы и заключение

Итак, подведем итоги тестов. По сути, тесты подтвердили мои теоретические представления о состоянии проблемы:

1. Firewall нужно настраивать. Все тестируемые Firewall неплохо работали, но только после настройки (обучения, создания настроек вручную - не важно). Эксплуатация ненастроенного Firewall может нанести больше вреда, чем пользы (он пропустит опасные пакеты и наоборот, будет мешать полезным программам);
2. После настройки Firewall и IDS нужно тестировать - это тоже достаточно очевидный вывод, но тем не менее он важен. Первый шаг к созданию тестера я сделал - это утилита APS. Осталось еще два - имитатор троянской програмы (т.е. утилита, которая будет выполнять безопасные для пользователя попытки "сломать" Firewall изнутри (естественно, атаки будут описаны базой данных и будут проводиться по команде пользователя под его управлением), что позволит наблюдать за реакцией Firewall и IDS) и утилита для экспресс-сканирования портов и проведения базовых атак (по сути APS с точностью до наоборот - база портов у них может быть общая). Разработкой этих утилит я уже занимаюсь - их наличие в арсенале пользователя позволит произвести некий "инструментальный контроль".
3. Персональный Firewall уязвим перед вредоносными программами, работающими из контекста полезных. Вывод - как минимум долой разные "левые" панели и прочие BHO из браузера и электронной почты!! Перед установкой любого плагина, панели, утилиты расширения и т.п. нужно десять раз подумать о их необходимости, т.к. они не являются отдельными процессами операционной системы и работают из контекста родительской программы. Троянская программа легко детектируется персональным Firewall - он "видит", что некоторый процесс (скажем, bo2k.exe) пытается начать прослушивание порта xxxxx или обмен с неким хостом - выдается запрос о допусимости, пользователь начинает разбираться, что же это за "bo2k.exe" и Backdoor оказывается пойман. А вот если бы троянская программа работала из контекста браузера, то на обращение браузера в Интернет почти наверняка никто не обратит внимание. Такие троянские программы существуют, ближайший пример - TrojanDownloader.IstBar - он устанавливается именно как панель IE (в процессах его естественно нет, в списке автозапуска - тоже);
4. Многие персональные Firewall видны как процессы операционной системы и могут быть остановлены вирусом. Вывод - за работой Firewall нужно следить и его внезапное завершение может служить сигналом о проникновении на ПК вируса;
5. Некоторые Firewall (например Kerio) допускают дистанционное управление - функцию дистанционного управления необходимо или отключить, или запаролить.