Читаем 1001 совет по обустройству компьютера полностью

По сути, сетевой экран – очень простая программа, и вся ее функциональность сводится к выполнению фильтрации трафика с отсеиванием пакетов, поступающих из несанкционированного источника. Правила фильтрации устанавливает пользователь, потому любой брандмауэр приходится сначала обучать. Отличия разных брандмауэров заключаются, в основном, в удобстве процесса обучения и ряде предустановленных правил. Кроме того, все современные сетевые экраны (включая и брандмауэр Windows в версиях Vista и 7) могут фильтровать не только входящий, но и исходящий трафик, выборочно запрещая локальным программам доступ в Сеть. Правда, в брандмауэре Windows эта функция организована довольно неудобно – она максимально скрыта от пользователя, что, в общем, не в традиции Windows, имеющей привычку оповещать окружающий мир о любых своих телодвижениях, даже если это никому не нужно. И брандмауэр Windows будет вопить во весь голос о том, что «безопасность компьютера под угрозой», если вы в нем попытаетесь что-то отключить, но никогда не сообщит, что же он предпринимает для устранения этих самых угроз безопасности.

Потому я верю, что с момента создания брандмауэра Windows (впервые он был введен в Windows XP Service Pack 2, и в том виде был еще практически бесполезен) он значительно усовершенствовался, но сам предпочитаю сетевые экраны, которые в явном порядке сообщают пользователю, что вот такая программа стремится в сеть, и предлагают выбор – запретить, разрешить на этот раз или разрешить постоянно. Так удается пресечь попытки связаться с сервером большинства установочных программ (см. разд. 10.5 «Квопросу об автоматических обновлениях»).

Брандмауэр Outpost Firewall, которым я пользуюсь много лет (и рекомендую его при выборе из платных сетевых экранов), в последних версиях расширил свою функциональность почти до предела – он контролирует практически всю активность незнакомых программ: попытки записи в реестр, вызов других приложений (включая даже Explorer), изменения в выполняемых файлах и пр. Это создает неудобства, например, при установке новой программы, но я склонен эти неудобства терпеть, взамен приобретая уверенность в том, что программа не сделает ничего помимо моего желания.

В отличие от антивирусов, почти вся функциональность которых основана на полученной экспериментально базе вирусов, нет особых препятствий к тому, чтобы использовать бесплатный сетевой экран. К числу наиболее известных относятся Comodo Firewall, PC Tools Firewall, ZoneAlarm Free, не особо рекламируемый изготовителем Outpost Firewall Free (free.agnitum.com) и др. Разница с платной версией обычно заключается в функциональности и неких передовых технологиях, которые, разумеется, приберегаются для платной версии. Но подобрать бесплатный брандмауэр по вкусу все-таки можно, и в отличие от антивирусов, вы практически ничего при этом не потеряете.

Общая тенденция состоит сейчас в том, чтобы соединить функциональность сетевого экрана и антивируса «в одном флаконе». Так поступают практически все антивирусные бренды, хотя не всегда рекламируют это в явном виде (например, в Kaspersky Internet Security вы упоминания о брандмауэре или сетевом экране не найдете, хотя функциональность у этого продукта включает и их возможности). И бесплатные продукты (например, все тот же Outpost) тоже часто предлагаются в виде неких «сюит» (suite), из которых, правда, обычно можно извлечь нужный компонент при установке. Беда тут в том, что производители сетевых экранов обычно плохо разбираются в антивирусах, и наоборот, а для антивирусов, как мы говорили, как раз очень важны детали, дающие лишние проценты эффективности. Потому мне еще не удалось ни разу обнаружить «сюиту», в которой оба главных компонента были бы одинаково эффективны и удобны в пользовании. Например, при всем моем уважении к компании Outpost, сетевой экран которой я всячески рекомендую, предлагаемый ею антивирус оказался абсолютно беспомощным в деле обнаружения вредоносных программ на заведомо зараженном компьютере.