Назначение файрвола
ZoneAlarm Pro является персональным файрволом и предназначен для защиты компьютера от разного рода угроз при работе в интернете и в локальных сетях. ZoneAlarm ограничивает доступ к компьютеру из сети и позволяет контролировать доступ в сеть программного обеспечения, установленного на компьютере. Помимо этого, он может контролировать исходящие данные и пресекать отправку нежелательной информации по почте или через web-интерфейс. ZoneAlarm контролирует входящую и исходящую почту. Во входящей почте он может переименовывать потенциально опасные вложения и помещать их на карантин. Количество исходящей почты может быть ограничено для предотвращения массовых рассылок при заражении компьютера почтовыми червями, что в сумме с контролем за приложениями препятствует работе червей. Файрвол может удалять с посещаемых страниц рекламу, экономя трафик и уменьшая время загрузки страниц. Блокировка скриптов и активного содержимого поможет предотвратить заражение компьютера при посещении определенных веб-сайтов.
Приобрести продукт можно на сайте Zone Labs.
К оглавлениюУстановка ZoneAlarm
После запуска файла установки ZoneAlarm необходимо ввести своё имя и почтовый адрес, на который могут приходить уведомления об обновлениях продукта и новости. ZoneAlarm необходимо зарегистрировать на сайте ZoneLabs.
Затем необходимо принять условия лицензионного соглашения. После этого файлы ZoneAlarm будут скопированы и на последнем этапе установки нужно ответить на несколько вопросов мастера.
По окончании установки можно запустить ZoneAlarm. На экран будет выведено окно менеджера лицензий, пример которого показан ниже.
Нажав кнопку Buy Now можно перейти в он-лайн магазин Zone Labs для покупки продукта. Щелкнув по ссылке To begin or continue your trial, click here можно начать использовать ZoneAlarm в демонстрационном режиме. Если продукт был приобретен ранее, то при помощи последнего пункта меню можно ввести регистрационный ключ.
После этого будет открыто окно, в котором рассказывается об основных настройках и принципах работы ZoneAlarm. Образец этого окна показан ниже. 
Настройка ZoneAlarm после первого запуска выполняется мастером, первое окно которого представлено ниже. 
В этом окне предлагается определить, в какой сети в данный момент находится компьютер, и какой уровень защиты должен применяться при нахождении компьютера в этой сети. После того, как выбор сделан, откроется главное окно программы.
К оглавлениюИнтерфейс
Главное окно ZoneAlarm продемонстрировано ниже. 
На этой вкладке собрана статистика работы файрвола, информация и нем и общие настройки. В общих настройках можно сменить цвет интерфейса, защитить настройки файрвола паролем, выбрать тип его запуска, сохранить резервную копию настроек и так далее.
В верхней части окна показаны значки активных приложений, и при помощи щелчка мыши по желтому замку можно оперативно заблокировать их доступ в сеть. Левее показана зона, в которой в данный момент работает компьютер. При помощи красной конки Stop можно заблокировать весь трафик.
Настройки файрвола
Пример вкладки настроек файрвола показан на рисунке ниже.
При помощи ползунков можно изменить уровень защиты для каждой из зон. От максимального, когда запрещены любые входящие соединения и компьютер скрыт в сети, до минимального, когда файрвол отключен.
При помощи кнопки Custom можно тонко настроить каждый из уровней защиты.
Кнопка Advanced открывает окно, показанное ниже.
В некоторых компаниях сотрудники обязаны использовать для выхода в интернет ZoneAlarm. В этом случае, отметив пункт Automatically check the gateway for security enforcement, можно включить авторизацию ZoneAlarm на шлюзе. Если у клиента не установлен ZoneAlarm, то в доступе к интернету через корпоративный шлюз ему будет отказано.
Группа настроек Internet Connection Sharing предназначена для настройки ZoneAlarm при использовании ICS (Internet Connection Sharing, общий доступ к подключению). This is a client of an ICS/NAT указывает ZoneAlarm на то, что он работает на компьютере, который является клиентом ICS, а This computer is an ICS/NAT gateway – на то, что компьютер под защитой ZoneAlarm сам является шлюзом. Использование ZoneAlarm на клиентах и на шлюзе позволяет перенаправлять события, происходящие на шлюзе, на компьютер клиента.
Группа настроек General Settings позволяет настроить расширенные параметры защиты, а переключатель Network Setting предназначен для выбора типа реакции файрвола на работу в новой сети (занести новую подсеть в доверенную зону или в зону интернета или вывести мастер для ручного определения зоны новой подсети).
На вкладке Zones (зоны) можно добавить в список адреса, диапазоны адресов или подсети и указать, в какой зоне находятся эти компьютеры: в доверенной (Trusted) или в запрещенной (Blocked). Исходя из этих определений, соединения с этими компьютерами либо можно будет устанавливать, либо нет.
На вкладке Expert можно вручную создать правила фильтрации пакетов. Настройки правил очень гибкие. Можно указать отправителей, получателей, протоколы, порты, ранг (правила с меньшим рангом обрабатываются раньше), можно включить или выключить правило, выбрать тип (блокирующее или разрешающее), указать временной диапазон, в котором правило будет работать, выбрать тип оповещения о срабатывании правила (вывод сообщения на экран и/или запись в лог или ничего). Для получателей, отправителей, протоколов и времени работы правила можно создать группу, которую потом можно будет использовать в других правилах. Таким образом, настроек вполне достаточно для создания правила фильтрации пакетов любой сложности, причем, одним правилом можно настроить работу приложения, которое использует для работы в сети несколько протоколов (TCP, UDP), несколько портов и может устанавливать соединения с несколькими серверами в некоторые определенные промежутки времени. Такая гибкость настроек, в сумме с возможностью сохранить вместе с правилом его описание, позволит сократить количество правил для описания работы большого количества приложений и облегчить работу с правилами.
Настройки контроля программ
Просмотреть и настроить контроль над доступом приложений и их компонентов в сеть можно на вкладке Program Control, пример которой показан на рисунке ниже.
При помощи ползунка Program Control можно менять уровень контроля над доступом программ в сеть, а также уровень контроля над компонентами программ. На максимальном уровне, при попытке приложения выйти в сеть, будет выдаваться запрос о разрешении доступа и будет включен контроль компонентов. Этот уровень рекомендуется включать лишь после длительной работы в режиме Medium, когда уже созданы правила для большинства часто используемых приложений.
Настройка AlertAdvisor предназначена для отправки запросов на сервер Zone Labs для получения дополнительной информации о программе, которая пытается выйти в интернет. Если есть затруднения при выборе действия, которое должен выполнить файрвол с запросом программы на доступ в интернет (Allow, Deny), то можно передвинуть ползунок в положение Manual. Теперь при нажатии кнопки More Info в запросе файрвола, будет открыта страница на сервере Zone Labs, на которой будут даны рекомендации о том, что ответить на запрос файрвола. Условием работы этой опции является разрешающее правило на доступ браузера в сеть. Если ползунок AlertAdvisor переместить в положение Automatic, то файрвол запросит с сервера Zone Labs информацию о приложении, и если программа будет найдена в базе данных, то файрвол автоматически разрешит или запретит её доступ в сеть.
Настройка Automatic Lock позволяет заблокировать работу приложений в интернете при длительной неактивности пользователя. Дополнительные настройки этой опции можно просмотреть или изменить, нажав кнопку Custom.
Пример вкладки Programs (программы) показан ниже. 
Для каждого приложения, перечисленного в этом списке, есть возможность определить уровень доступа в сеть. Причем, уровень доступа задается раздельно при работе в доверенных сетях или в интернете. Для каждого приложения можно разрешить, запретить или задать вывод запроса при попытке выйти в сеть, открыть порт на прослушивание или отправить почту. Последний столбец с изображением замка предоставляет программе доступ в сеть даже когда для всех приложений доступ в сеть закрыт при помощи большого замка в верхней части каждого окна файрвола.
При работе с этой вкладкой были обнаружены трудности с кириллицей. Проблема достаточно стандартная и о методе её решения речь пойдет ниже.
Выделив приложение в списке и нажав кнопку Options, можно изменить уровень доступа приложения в сеть. На вкладке Expert Rules можно настроить доступ приложения в сеть определенным образом.
Правила для приложений создаются по аналогии с фильтром пакетов. Настройки очень гибкие и позволяют в одном правиле указать сколь угодно сложную конфигурацию доступа приложения в сеть.
Вкладка Components показана на рисунке ниже.
На этой вкладке перечислены компоненты приложений, за которыми файрвол наблюдает. По мере работы с файрволом этот список будет увеличиваться. Нажав кнопку More Info можно обратиться к базе компонентов на сервере Zone Labs, и если описание компонента в базе будет обнаружено, то ознакомиться с его описанием, исходя из которого, решить, предоставлять компоненту доступ в сеть или нет.
Мониторинг за состоянием антивируса
ZoneAlarm может следить за состоянием антивируса. Эта функция дублирует аналогичную Центра обеспечения безопасности Windows и поэтому особого интереса не представляет.
Защита почты
Вкладка настроек защиты почты показана на рисунке ниже.
На этой вкладке настроек файрвола настраивается защита входящей и исходящей почты.
При помощи переключателя Inbound MailSafe Protection можно включить поиск и блокирование во входящей почте вложений с определенными расширениями, которые перечислены на вкладке Attachments. При получении письма с небезопасным вложением, ZoneAlarm изменит расширение вложения на .zlv и при попытке открыть это вложение выведет на экран предупреждение.
Используя кнопки в этом окне можно запустить вложение, сохранить его на диске, просмотреть содержимое в Блокноте или отказаться от открытия вложения.
При помощи переключателя Outbound MailSafe Protection можно включить защиту исходящей почты. Если эта защита включена, то ZoneAlarm будет контролировать попытки приложений отправить почту и выводить на экран соответствующие запросы. Любому приложению в настройках контроля приложений можно разрешить отправку почты без запросов.
При помощи кнопки Advanced можно включить отслеживание попыток приложений отправить за короткий промежуток времени большое количество писем или попыток отправить одно письмо большому количеству получателей. Здесь же можно включить проверку исходящих писем на наличие в них адреса отправителя, которое отсутствует в списке разрешенных адресов. Все эти настройки позволяют обнаруживать и пресекать работу вирусов, которые после заражения компьютера используют его для рассылки своих копий по почте.
Анонимность
При помощи ползунка Cookie Control можно изменять уровень блокирования куков, от максимального, когда блокируются все куки, до минимального, когда все куки принимаются. Ползунок AdBlocking регулирует уровень подавления рекламы на посещаемых страницах, а переключатель Mobile Code Control включает или отключает исполнение скриптов и другого активного содержимого на посещаемых страницах. Каждый из этих модулей может быть дополнительно настроен при помощи кнопки Custom. Блокирование рекламы настроить тонко невозможно, так как отсутствует список блокируемых строк или размеров изображений.
На вкладке Site List находится постоянно пополняемый список сайтов, которые были посещены c хотя бы одним включенным модулем обеспечения анонимности. Для каждого из сайтов можно задать индивидуальные настройки блокирования содержимого.
На вкладке Cache Cleaner можно очистить кэш браузера (IE, Netscape) и настроить его автоматическую очистку. При помощи Clean Tracking Cookies можно воспользоваться он-лайн сканером сайта Zone Labs для поиска на компьютере куков и их последующего удаления. При помощи кнопки Custom выбираются объекты, которые будут очищаться. Это может быть список последних открывавшихся файлов, корзина, папка для временных файлов, история поиска, меню Run, Media player-а, фрагменты файлов, сохраненных Scandisk-ом при проверке диска, вся история заполнения полей, строк адреса браузера и так далее.
ID Lock (защита личной информации)
ZoneAlarm предоставляет в распоряжение пользователя инструмент, с помощью которого пользователь способен обеспечить безопасность личной информации, хранящийся на компьютере, и защитить её от утечки. 
На вкладке myVAULT нужно добавить в список последовательности символов, которые будет защищать ZoneAlarm. Введенная защищаемая последовательность хранится в зашифрованном по стандарту SHA-1 виде. На вкладке Trusted Sites можно добавить в список сайты и задать действие, которое будет выполнять файрвол при попытке отправить на них защищенные последовательности (блокировать, разрешить, спросить).
Отчеты о работе
На этой вкладке настраивается система оповещений и отчетов файрвола.
При помощи переключателей в этом окне можно включить или выключить ведение отчетов о событиях, произошедших во время работы файрвола и настроить уровень детализации информации, записываемой в отчеты. Здесь же настраивается уровень важности событий, о которых файрвол будет оповещать всплывающими сообщениями.
При помощи кнопки Advanced можно выбрать определенные события, о которых файрвол будет уведомлять всплывающими сообщениями, настроить вид значка в трее, настроить создание архивных копий отчетов работы программы, настроить их формат и частоту архивирования.
События, происходившие во время работы файрвола, можно просмотреть на вкладке Log Viewer.
К оглавлениюТестирование ZoneAlarm Pro
Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании
- Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
- Материнская плата Asus TUSL–2C, BIOS ревизии 1011.
- 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
- Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
- Windows XP Pro Rus Service Pack 2.
- 10 мегабитная сеть из двух компьютеров.
- Сканер уязвимостей XSpider 7
- Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.
- Internet Explorer 6.0.2900.2180.
- Outlook Express 6.0.2900.2180.
- Почтовый, прокси серверы, выделенная линия для доступа в интернет.
- Process Explorer от Sysinternals.
- Утилита PCAudit2.
Использование программой памяти и загрузка процессора
В ходе тестирования ZoneAlarm при помощи Process Explorer регулярно снимались показания об объеме занятой процессами программы памяти и о загрузке ими процессора. Результаты приведены в таблице ниже.
| Момент снятия показаний | Объем занятой памяти | Загрузка процессора | |
Физическая память (килобайт) | Виртуальная память (килобайт) | ||
После загрузки ОС, настройки по умолчанию | 11 872 | 8 960 | 0% |
Настройки по умолчанию, сканирование XSpider 7 | 11 904 | 8 977 | 0%–23% |
Настройки по умолчанию, ICMP–флуд в течение 5 минут | 12 732 | 9 224 | 0%–4% |
Настройки по умолчанию, IGMP–флуд в течение 5 минут | 12 736 | 9 192 | 0%–17% |
Настройки по умолчанию, SYN–флуд в течение 5 минут | 13 004 | 9 428 | 9%–31% |
Настройки по умолчанию, UDP–флуд в течение 5 минут | 12 841 | 9 107 | 7%–34% |
Выгрузить файрвол можно щелкнув правой кнопкой мыши по значку в трее и выбрав из меню пункт Shutdown ZoneAlarm Pro. Файрвол выгружается из памяти полностью.
Сканирование системы сканером уязвимостей XSpider
Тестовая машина была просканирована сканером уязвимостей XSpider 7. Настройки файрвола были оставлены по умолчанию. Подсеть, в которой находилась тестовая машина, была включена в зону Интернет, для которой, по умолчанию, был выбран Высокий (High) уровень защиты. В сканере был выбран профиль Полный, включая неотвечающие хосты.
Во время сканирования файрвол выводил на экран предупреждения о блокировке доступа к компьютеру, пример которого представлен ниже. 
Сканер ни по каким признакам не смог обнаружить присутствия тестового компьютера в сети. 
Он–лайн тест файрвола
Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP–адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.
Перед тестированием при помощи IE был посещен ряд сайтов. При открытии первого сайта файрвол предложил создать правило, которое разрешало бы браузеру запрашивать информацию с сайтов, что и было сделано. Уровень контроля программ в ZoneAlarm был оставлен по умолчанию, то есть, в положении Medium (средний). Затем была запущена утилита PCAudit2. Она без проблем перехватила введенную информацию и отправила её на свой сервер, что было подтверждено на открывшейся странице.
Для повторного тестирования уровень контроля программ в ZoneAlarm был повышен до высокого (High), в списке компонентов найдено и удалено правило, которое разрешало доступ в сеть временной библиотеки, созданной PCAudit2.
После этого утилита была запущена вновь. Файрвол вывел на экран сообщение о том, что браузер или его компоненты хотят получить доступ в сеть.
Для выяснения того, что же за новые компоненты браузера пытаются получить доступ в сеть, была нажата кнопка Details.
Файрвол указал на неизвестную библиотеку. После того, как окно с дополнительной информацией об изменившихся компонентах было закрыто, доступ в сеть приложению был заблокирован (Deny). PCAudit2 начала перебирать все работающие приложения, пытаясь от их имени выйти в интернет. Файрвол каждую попытку обнаруживал и выводил на экран сообщение об изменении компонентов или о попытке выйти в сеть приложения, которому там явно делать нечего (текстовый и графический редактор). На все запросы файрвола о необходимости разрешить доступ было отвечено отказом (Deny). После этого утилита сообщила, что тест пройден успешно и отправка данных пресечена.
Таким образом, ZoneAlarm пресекает работу PCAudit2, качественно и без лишних уведомлений контролирует компоненты и приложения, но делает это лишь на высоком (High) уровне контроля приложений.
Атака на тестовую машину по сети
Для выполнения этого теста была использована утилита, которая использует всю пропускную способность канала для направления на атакуемую машину большого потока данных различного типа по разным протоколам. Тест наглядно демонстрирует поведение файрвола в экстремальных условиях.
В таблице Использование программой памяти и загрузка процессора приведены результаты теста.
Во время ICMP–флуда объем занятой памяти увеличился незначительно и оставался стабильным на протяжении всего теста. Загрузка процессора большую часть времени находилась в районе 1% и лишь в самом начале теста было зафиксировано значение 4%.
IGMP–флуд вызвал такую же незначительную загрузку процессора, а объем занятой файрволом памяти на протяжении всего теста не изменялся.
TCP–флуд вызвал загрузку процессора до значений в 31% и незначительное увеличение занятой файрволом памяти.
UDP–флуд показал такие же результаты, как и предыдущие тесты.
Тестирование защиты личной информации
Для тестирования качества контроля файрволом отправляемой личной информации в настройки модуля ID Lock была добавлена строка, содержащая последовательность 12345qw, которую файрвол должен был защитить от утечки. Уровень защиты ID Lock был увеличен до высокого (High).
При отправке на форум сообщения, содержащего строку 12345qwerty, строка была изменена на *******erty. Аналогичным образом была пресечена попытка отправить защищаемую строку по почте. Получатель увидел в письме лишь *******erty. Отправка 12345qwerty через Миранду (аналог ICQ) прошла для ZoneAlarm незамеченной, и получатель сообщения увидел 12345qwerty. По информации с сайта Zone Labs, проверка трафика программ для обмена сообщениями работает в версии ZoneAlarm Security Suite и IMsecure Pro.
К оглавлениюЗаключение
Достоинства
- Размер дистрибутива 6,34 мегабайта.
- Достаточно скромные системные требования (малый объем занятой памяти, не высокая загрузка процессора при серьёзных нагрузках).
- Гибкие настройки правил для приложений и для фильтрации пакетов позволяют создавать правила практически любой сложности. Правила могут работать в определенном временном интервале.
- Качественный контроль приложений и их компонентов.
- Возможность обратиться к базе на сайте Zone Labs для получения описаний распространенных компонентов, приложений и помощи в выборе вариантов ответа на запросы файрвола.
- При закрытии ZoneAlarm выгружаются все компоненты файрвола, освобождая все занятые им ранее системные ресурсы.
- Продуманный интерфейс, при работе с которым не должно возникнуть затруднений даже у неподготовленного пользователя. В то же время, для продвинутых пользователей, есть возможность создавать правила вручную.
- Возможность автоматически включать новые сети в зону Интернета, для которой могут быть настроены строгие правила. Это защитит компьютер неподготовленного пользователя при его работе в чужих сетях и снимет с него необходимость принятия решения о том, в какую зону следует включить новую подсеть при первом подключении к ней.
- Для доверенной зоны (например, корпоративной локальной сети пользователя) файрвол может быть выключен при помощи установки низкого (Low) уровня защиты. В тоже время, для зоны интернета файрвол может быть включен. Это снимает с пользователя заботу о необходимости включать файрвол при подключении к чужой сети.
- Возможность раздельно указывать в правилах для приложений, что приложение может открывать порт на прослушивание и/или только запрашивать информацию с сервера. При помощи правил для приложений можно управлять доступом к открытому порту, разрешая его только с определенных адресов.
Недостатки
- Интерфейс, справочная система и сайт ZoneAlarm на английском языке.
- Во время работы, когда в путях к компонентам или программам встречается кириллица, ZoneAlarm выводит такой текст в нечитаемом виде. Для решения этой проблемы (достаточно распространенной, которая может быть обнаружена и у другого нелокализованного программного обеспечения) нужно открыть редактор реестра, переместиться к ключу HKEY_LOCAL_MACHINESYSTEMControlSet001ControlNlsCodePage, найти переменную 1252 и изменить её значение с c_1252.nls на c_1251.nls. После этого необходимо перезагрузить компьютер. Теперь кириллица будет отображаться в ZoneAlarm правильно.
- При создании правил и заполнении других полей невозможно переключиться на русскую раскладку. Поэтому все пояснения и комментарии придется вводить на русском в Блокноте, например, и вставлять их в соответствующие поля ZoneAlarm, либо делать пояснения на английском языке.
- Нет возможности вручную добавить сайты, строки и размер изображения в настройки модуля подавления рекламы. ZoneAlarm блокирует рекламу на посещаемых сайтах, руководствуясь своими, предопределенными правилами, а они достаточно часто пропускают рекламу. Подавить практически любую рекламу, всё же, можно. Для этого в модуле контроля программ нужно для браузера создать запрещающее правило, в котором указать, что источником может быть любой хост, а получателем – хост с рекламным движком. После этого с посещаемых страниц пропадают оставшиеся баннеры, но на их месте остаются белые прямоугольники размером с баннер, чего нет при работе модуля подавления рекламы ZoneAlarm.
Ссылки
- Сайт Zone Labs
- Цены и он-лайн покупка ZoneAlarm Pro на сайте Zone Labs
- FAQ (часто задаваемые вопросы) по ZoneAlarm Pro на сайте Zone Labs
- Загрузка 15-ти дневной ознакомительной версии
- Обсуждение, решение проблем с ZoneAlarm на forum.iXBT.com
К оглавлениюВывод
Результаты тестирования говорят о том, что ZoneAlarm надежный файрвол. Он качественно контролирует работу приложений, отслеживая изменения их компонентов, блокирует утечки частной информации и позволяет очень гибко управлять трафиком, настраивая правила фильтрации. Концепция раздельного управления зонами безопасности (доверенные сети или интернет) делает возможной работу в безопасной сети на минимальном уровне защиты, а при подключении к чужой сети автоматически активизировать максимальный. Каждому приложению можно раздельно для разных зон безопасности разрешить или запретить открывать порты на прослушивание, получать доступ в сеть и отправлять почту. ZoneAlarm занимает немного оперативной памяти и при обычной работе практически не использует процессорного времени. Во время тестовой атаки на машину под защитой файрвола не было выявлено проблем в его работе. Проверка сканером уязвимостей подтвердила, что машина под защитой файрвола надежно скрыта в сети и доступ к каким-либо сервисам, работающим не в ней, отсутствует. К сожалению, выяснилось, что ZoneAlarm некорректно отображает кириллицу, но эта неприятность легко устранима при помощи рекомендации, данной выше.
