FAQ по программе @Guard
A: Ну, если говорить заумно, то @Guard - программный продукт фирмы WRQ Inc., представляющий из себя локальный файрволл, и предназначенный для контроля над входящим трафиком и над установлением входящих и исходящих соединений. А говоря проще, вырезающий всякие ненужности типа баннеров и решающий, какой программе с кем и как можно устанавливать соединения.
[ Наверх ]Q: Что такое firewall и как его включить в @Guard?
A: Файрволл - программа (или аппаратный комплекс), через которую проходит весь траффик к данному компьютеру (или локальной сети), и которая осуществляет некоторую цензуру над этим трафиком - решает, какая программа может соединяться, с кем, как, и какие данные получать при этом. Несанкционированные пакеты данных попросту вырезаются и не доходят до защищаемого компьютера, и уже не могут навредить ему. Файрволл в @Guard включаются в соответствующей закладочке "Firewall". Там есть два пункта - собственно "Enable firewall" и "Enable RuleAssistant" для включения режима интерактивного обучения.
[ Наверх ]Q: Ну у меня то не локальная сеть. Зачем мне файрволл?
A: В режиме файрволла @Guard отслеживает все соединения программ, что позволяет, помимо предотвращения многих типов атак извне, вычислить и нейтрализовать работу программ, которые пытаются организовать несанкционированную передачу данных с вашего компьютера. Как, к примеру, мифические доносы МИЕ на нелицензионный софт с вашего компьютера, или вполне реальные троянцы - похитители паролей. Скажем, если @Guard говорит, что "программа FreeSexCD пытается установить соединение по 25 порту (SMTP) с mail.usa.net", пожалуй, стоит очень сильно призадуматься, прежде чем разрешить ей такое соединение.
[ Наверх ]Q: Что это там за "firewall rule"?
A: Согласно этим "правилам" и работает файрволл. Каждое такое правило описывает поведение файрволла при попытке конкретного соединения. Правило учитывает собственно разрешение или запрет на соединение, программу, пытающуюся установить соединение, исходящее это соединение или входящее, протокол соединения - TCP или UDP, порт, по которому проходит соединение, сервер, с которым происходит соединение, ну и, наконец, время, в течении которого действует правило. Под надписью "Firewall Rule" располагается чекбокс активности правила, и правила. Под надписью "Rule Action Summary" слева располагается пиктограмма программы (изображение компьютера с проводом внизу в случае, если правило для всех программ), затем синяя стрелка - если стрелка указывает налево, то это входящее соединение, если вправо - то исходящее. Если стрелка в обрамлении запрещающего знака, то значит правило запрещает данное соединение. Справа находится имя сервера, с которым устанавливается соединение. Если соединение разрешено с любым сервером, то справа будет пусто. Чем первее правило в списке, тем выше его приоритет. Поэтому исключения из правил передвигайте на самое начало. Можно создавать новые правила (кнопка "Add...", или в ходе обучения, о чем см. ниже), изменить (кнопочка "Modify..."), удалить ("Remove"), передвинуть приоритет правила вверх и вниз (кнопки со стрелками). Можно так же протестировать любое возможное соединение ("Test..."), смоделировав его.
[ Наверх ]Q: Как происходит интерактивное обучение?
A: При включенном пункте "Enable RuleAssistant", когда происходит попытка соединения, выскакивает окошко, в котором говорится, какая программа, с кем на каком порту соединиться хочет. И даются четыре возможности - навсегда запретить, навсегда разрешить (при этих двух возможностях задаются дополнительные вопросы - только этой программе или всем, только по этому порту или по какому угодно, по этому адресу или с кем угодно), запретить сейчас, разрешить сейчас. Если вы выбрали запретить/разрешить навсегда, то создается новое правило.
[ Наверх ]Q: Как создать новое правило вручную?
A: На закладке Firewall нажмите на кнопочку "Add...". Перед вами откроется окошко для создания нового правила. В самом верху укажите имя правила. Далее, выполняемое для попытки соединения действие - "Permit" - разрешить, "Block" - запретить. Затем направление соединения - "Inbound" - входящее, "Outbound" - исходящее. Потом протокол - TCP, UDP или и то и другое. На закладке "Application" вы выбираете программу (можете найти ее кнопкой "Browse"), или указываете "Any application", если правило применимо к любой программе. На закладке "Service" вы выбираете порт для соединения - слева удаленного сервера, справа ваш местный. Вы можете указать несколько портов ("List of services"), или диапазон портов ("Service range"), или, если правило применимо к любому порту, выбираете "Any service". На следующей закладке, "Address", вы выбираете IP адрес, или имя сервера удаленного и локального. Для удаленного сервера вы можете ввести сетевой адрес ("Network address") из адреса и маски сети, и диапазон IP-адресов ("Address range"). Следующую закладку, "Time Active", используйте, если вы, к примеру, хотите, чтобы правило работало в среду с 05:20 до 17:42, а в субботу с 19:00 до 23:00. И все воскресенье. На последней закладке, "Logging", вы можете включить запись в логи для этого правила. Рассмотрим пример создания правила для блокирования 139 порта на своем компьютере (против всяких там нюков). Пишем имя - TCP139 (хотя можно любое ставить). Действие - запретить. Направление - входящее соединение. Протокол - TCP. Программа - любая. Локальный сервис - 139, удаленный - любой. Локальный и удаленный адрес - любой. Время действия - любое. Заносить в логи - а как же! Тыкаем на OK. Передвигаем правило на самое начало, что бы не закрывалось правилом "Inbound TCP loopback". Все, готово. Теперь пусть нюкают до посинения. :))
[ Наверх ]Q: Как посмотреть статистику?
A: На систрее нажмите на иконку @Guard, выберите из меню "Statistics". Будет показано окошко с большим количеством всяческих статистических данных с момента запуска @Guard, все разрешенные и заблокированные события. Вид выдаваемой статистики можно менять из меню.
[ Наверх ]Q: Как посмотреть логи?
A: На систрее нажмите на иконку @Guard, выберите из меню "Event log". Будут подробно показаны все события из жизни @Guard - какие сайты посещались, что с них было принято, что блокировалось, какая программа когда и куда лезла...
[ Наверх ]Q: Ну вот я не хочу, чтобы каждый знал, куда я лазил, или новые правила мне тут делал...
A: Установите пароль. На закладке "Options" пометьте "Enable password protection" и впишите туда пароль. Все, больше никто, кроме вас, не сможет подобраться к логам, статистике и настройкам @Guard.
[ Наверх ]Q: Вечно у меня этот @Guard в памяти висит, место занимает...
A: Вы можете в любой момент свободно закрыть Гварда. Щелкните мышью по его иконке в систрее и выберете "Exit". Можете так же подобрать наиболее подходящий для вас режим включения на закладке "Options" - вручную, с запуском системы, или со стартом Интернет-соединения.
[ Наверх ]Q: А что это за вещь такая - Dashboard?
A: Это такая полосочка, на которой показывается краткая статистика по содеянному Гвардом, некоторые элементы управления. Вы можете настроить эту Dashboard так, чтобы она автоматически исчезала с экрана, когда не активна, наподобие Auto hide task bar.
[ Наверх ]Q: Я тут переезжаю на новую систему, как бы мне взять настройки Гварда с собой?
A: Все настройки Гварда хранятся в реестре, HLM\Software\WRQ\IAM. Хотя на практике, наиболее ценным оказывается база данных запрещенных ЮРЛов, находящаяся по адресу HLM\Software\WRQ\IAM\HTTPConfig\Sites\(Defaults)\Block.
[ Наверх ]Q: Работает ли @Guard с прокси-серверами?
A: А почему бы и нет? Укажите просто Гварду порт своего прокси-сервера. (Закладка "Web", кнопка "Filters")
[ Наверх ]Q: А с локальными проксями @Guard работает?
A: Надо смотреть конкретный случай... Я не испытывал. Была, например, такая инфа, что с Wingate 3.0 @Guard 2.2 ни за что работать не хотел, а 3.0 - запросто...
[ Наверх ]Этот FAQ поставляется по принципу as is. Если у вас при использовании его сломается мышь или еще что нибудь, я не виноват. Вы используете его на свой страх и риск. :-) Если вы с чем-нибудь не согласны с этим ФАКом, желаете его дополнить или задать вопрос, милости просим. Пишите мне.
(c) Michael A. Kangin, 23.11.1998; updated 28.02.1999
mailto:mak@pol.ru http://www.plugcom.ru/~makh
Автор: Terminator
Дата: 09.24.05 14:58
