Сетевой экран

Small Office Security 2 

Сетевой экран

Kaspersky Small Office Security 2 

Содержание 

Содержание .................................................................................................................................... 1 

Сетевой экран ................................................................................................................................ 2 

Что такое Сетевой экран ......................................................................................................... 2 

Включение/отключение Сетевого экрана .............................................................................. 2 

Изменение статуса сети .......................................................................................................... 3 

Правила Сетевого экрана ....................................................................................................... 6 

Создание пакетного правила ............................................................................................... 6 

Изменение пакетного правила ............................................................................................ 9 

Создание правила для программ ...................................................................................... 11 

Изменение правила для программы ................................................................................. 12 

Настройка сетевого сервиса ............................................................................................. 13 

Задание диапазона IP-адресов ......................................................................................... 14 

Изменение правила для группы программ ....................................................................... 16 

Изменение приоритета правила ....................................................................................... 18 

Расширение диапазона IP-адресов...................................................................................... 19 

Настройка уведомлений об изменениях параметров сети ................................................. 21 

Настройка дополнительных параметров ............................................................................. 22 

Особенности работы компонента ......................................................................................... 23 

1 | 23


Сетевой экран 

Что такое Сетевой экран 

При работе в интернете компьютер подвержен не только заражению вирусами, но и 

различного рода атакам, использующим уязвимости операционных систем и программного 

обеспечения. 

Для обеспечения безопасности вашей работы в локальных сетях и интернете предназначен 

компонент Сетевой экран в Центре защиты, входящем в состав KSOS 2. Ко всем сетевым 

соединениям Сетевой экран применяет правила. 

Правило — это разрешающее или запрещающее действие Сетевого экрана при 

обнаружении попытки соединения. 

Защита от атак осуществляется на двух уровнях: сетевом и прикладном. 

Защита на сетевом уровне обеспечивается за счет использования глобальных правил для 

сетевых пакетов, где разрешается или блокируется сетевая активность на основании 

анализа следующих параметров: 

• направление движения пакета; 

• протокол передачи пакета; 

• порт назначения или выхода пакета. 

Сетевой пакет — блок информации, передаваемый по сети. Как правило, пакет состоит из 

заголовка (информация о пакете, такая как дата создания, размер, адресат и т. д.), тела 

(сама передаваемая информация) и концовки (проверочная информация, гарантирующая, 

что пакет не изменялся во время передачи). 

Защита на прикладном уровне обеспечивается за счет применения правил использования 

сетевых ресурсов к программам, установленным на компьютере. Защита на прикладном 

уровне строится на анализе тех же параметров, что и защита на сетевом уровне. Однако на 

прикладном уровне учитываются не только характеристики сетевого пакета, но и конкретная 

программа, которой адресован данный пакет, либо которая инициировала отправку этого 

пакета. Использование правил для программ дает возможность более тонкой настройки 

защиты, когда, например, определенный тип соединения запрещен для одних программ, но 

разрешен для других. 

Включение/отключение Сетевого экрана 

По умолчанию Сетевой экран включен. При необходимости вы можете отключить Сетевой 

экран. 

Чтобы включить или отключить Сетевой экран, выполните следующие действия: 

1. Откройте главное окно программы. 

2. В левой части окна перейдите на закладку Центр защиты. 

3. В правом верхнем углу окна нажмите ссылку Настройка. 

2 | 23


4. В левой части окна Настройка выберите раздел Сетевой экран. 

5. В правой части окна выполните следующие действия: 

• Если вы хотите отключить компонент, снимите флажок Включить Сетевой 

экран; 

• Если вы хотите включить компонент, установите флажок Включить Сетевой 

экран. 

6. В окне Настройка нажмите на кнопку Применить. 

Изменение статуса сети 

Для упрощения настройки и применения правил в KSOS 2 существует разделение всего 

сетевого пространства на зоны безопасности, зачастую совпадающие с подсетями, в 

которые включен компьютер. Каждой из зон вы можете присвоить статус, на основании 

3 | 23


которого будет определена политика применения правил и контроля сетевой активности в 

данной зоне: 

• Публичная сеть (Интернет) — этот статус рекомендуется выбирать для сетей, 

не защищенных какими-либо антивирусными программами, сетевыми экранами, 

фильтрами (например, для сети интернет-кафе). Для пользователей таких сетей 

закрыт доступ к файлам и принтерам, находящимся на вашем компьютере. Даже если 

вы создали папку общего доступа, содержащаяся в ней информация не будет 

доступна пользователям сети с таким статусом. Если вы разрешили удаленный 

доступ к рабочему столу, пользователи этой сети также не смогут его получить. 

Фильтрация сетевой активности каждой программы производится в соответствии с 

правилами для этой программы. По умолчанию этот статус присвоен сети Интернет; 

• Локальная сеть — этот статус рекомендуется применять для сетей, 

пользователям которых вы доверяете доступ к файлам и принтерам на вашем 

компьютере (например, для внутренней корпоративной сети или для домашней сети); 

• Доверенная сеть — этот статус рекомендуется применять только для 

абсолютно безопасной, по вашему мнению, сети, при работе в которой компьютер не 

подвергается атакам и попыткам несанкционированного доступа к данным. При 

выборе такого статуса будет разрешена любая сетевая активность в рамках этой 

сети. 

Статус нового соединения вы можете установить сами в окне оповещения об обнаружении 

нового сетевого соединения. 

Чтобы изменить ранее определенный статус сети, выполните следующие действия: 


2. В левой части окна перейдите на закладку Центр защиты. 



5. В правой части окна Настройка нажмите на кнопку Настройка. 

4 | 23


6. В окне Сетевой экран перейдите на закладку Сети. 

7. Нажмите правой кнопкой мыши на необходимое соединение. 

8. Выберите из контекстного меню нужный статус сети (Публичная, Локальная или 

Доверенная сеть). 

9. В окне Сетевой экран нажмите на кнопку OK. 


5 | 23


Правила Сетевого экрана 

Для контроля сетевых соединений Сетевой экран применяет правила двух видов: 

• Правила для пакетов. Используются для ввода общих ограничений сетевой 

активности независимо от установленных программ. Пример: при создании пакетного 

правила, запрещающего входящие соединения на порт 21, ни одна программа, 

использующая этот порт (например, ftp-сервер), не будет доступна извне. 

• Правила для программ. Используются для ввода ограничений сетевой 

активности конкретной программы. Пример: если запрещено соединение по порту 80 

для каждой из программ, вы можете создать правило, разрешающее соединения с 

использованием этого порта, только для обозревателя Mozilla FireFox. 

Пакетные правила имеют более высокий приоритет, чем правила программ. Если для 

одного и того же вида сетевой активности заданы и пакетные правила, и правила программ, 

то эта сетевая активность будет обрабатываться по пакетным правилам. 

Создание пакетного правила 

При обнаружении любого сетевого соединения Сетевой экран определяет, какой статус 

был назначен данной сети. Каждому статусу соответствует набор правил, сообразно 

которым Сетевой экран запрещает или разрешает сетевую активность. 

Пакетные правила используются для введения ограничений для пакетов и потоков данных 

независимо от программ. 

При создании пакетного правила вы можете определить действие, которое будет 

совершено Сетевым экраном при обнаружении данного вида сетевой активности: 

• Разрешить; 

• Заблокировать; 

• Обработать по правилам программы. В этом случае пакетное правило 

перестает действовать и обращается к правилу, заданному для программы. 

Разрешающее или запрещающее действие правила может быть отражено в отчете, для 

этого необходимо при создании пакетного правила в разделе Действие установить флажок 

Записать в отчет. 

Чтобы создать пакетное правило, например, для разрешения удаленного доступа к 

рабочему столу вашего компьютера, выполните следующие действия: 


2. В левой части главного окна перейдите на закладку Центр защиты. 


6 | 23



5. В правой части окна Настройка нажмите на кнопку Настройка. 

7. В окне Сетевой экран на закладке Правила фильтрации выберите пункт Пакетные 

правила. 

8. Нажмите ссылку Добавить в нижней части окна. Откроется окно Сетевое правило, в 

котором можно задать параметры создаваемого правила: 

7 | 23


9. В окне Сетевое правило в блоке Действие выберите вариант Разрешить. 

10. Установите флажок Записать в отчет, если хотите чтобы в отчете отражалось 

действие этого правила. 

11. В блоке Сетевой сервис выберите сервис Remote Desktop. 

12. В блоке Адрес выберите вариант Любой адрес. 

13. Нажмите на кнопку OK в окне Сетевое правило. На закладке Правила фильтрации 

в списке пакетных правил отобразится созданное вами правило. 

8 | 23




Теперь удаленный доступ к этому рабочему столу есть у любого пользователя. 

Изменение пакетного правила 

Все пакетные правила (созданные по умолчанию и созданные пользователем) можно 

изменить. Например, если вы хотите заблокировать удаленный доступ к рабочему столу 

своего компьютера для пользователей сети Интернет, то измените пакетное правило 

Remote Desktop (удаленный доступ к компьютеру пользователя): 

1. В правой части окна Настройка в разделе Сетевой экран нажмите на кнопку 

Настройка. 

2. В окне Сетевой экран на закладке Правила фильтрации выберите пункт Пакетные 

правила. 

3. В списке пакетных правил выберите правило Remote Desktop. 

4. Нажмите на ссылку Изменить в нижней части окна. Откроется окно Сетевое 

правило, в котором можно изменить параметры выбранного ранее правила. 

9 | 23


5. В блоке Действие измените вариант Разрешить на вариант Заблокировать. 

6. В блоке Адрес выберите вариант Адреса подсети со статусом и в выпадающем 

списке напротив выберите пункт Публичные сети. 

7. В окне Сетевое правило нажмите на кнопку OK. 

10 | 2 3


8. В окне Сетевой экран на закладке Правила фильтрации в списке пакетных правил 

отобразятся внесенные изменения: для правила Remote Desktop в графе Адрес 

будет указано Публичные сети. 



Теперь удаленный доступ к рабочему столу вашего компьютера разрешен только 

пользователям локальных и доверенных сетей. 

Создание правила для программ 

Вы можете создавать правила для программ 1 

для более тонкой фильтрации сетевой 

активности, а также изменять правила как для целой группы программ, так и для конкретной 

программы в группе. 

Пользовательские правила для конкретных программ имеют более высокий 

приоритет, чем правила, наследуемые от группы. 

При создании правила для программы вы можете определить действие, которое будет 

совершено Сетевым экраном при обнаружении данного вида сетевой активности во время 

работы с программой: 

• Разрешить; 

• Заблокировать. 

Разрешающее или запрещающее действие правила может быть отражено в отчете, для 

этого необходимо при создании правила в разделе Действие поставить флажок Записать 

в отчет. 

Чтобы создать правило для конкретной программы, например, правило, запрещающее 

интернет-пейджеру QIP любую сетевую активность за пределами ваших локальных и 

доверенных сетей, выполните следующие действия: 



2. В окне Сетевой экран на закладке Правила фильтрации выберите QIP 2010. 

3. В нижней части окна нажмите ссылку Добавить. Откроется окно Сетевое правило, в 

котором можно задать настройки создаваемого правила. 

4. В окне Сетевое правило в блоке Действие выберите действие Заблокировать. 

5. Если вы хотите, чтобы в отчете отражалось действие этого правила, установите 

флажок Записать в отчет. 

6. В блоке Сетевой сервис выберите сервис Any network activity. 

7. В блоке Адрес выберите опцию Адреса подсети со статусом и в выпадающем 

списке выберите пункт Публичные сети. 

8. Нажмите на кнопку OK в окне Сетевое правило. На закладке Правила фильтрации 

в списке правил для программы QIP 2010 отобразится созданное вам правило. 

1 Правила для программ контролируют соединения только по протоколам TCP и UDP. 

11 | 2 3




Изменение правила для программы 

Для созданных программой по умолчанию сетевых правил можно изменить только 

действие. Для этого выполните следующие действия: 



2. В окне Сетевой экран на закладке Правила фильтрации выберите нужную 

программу. 

3. В списке правил выбранной программы выберите правило, действие для которого 

хотите изменить. 

4. В графе Действие для выбранного правила нажмите правой кнопкой мыши на значок 

действия. 

5. В контекстном меню выберите нужное действие. 


12 | 2 3



Для созданного пользователем сетевого правила можно изменить все заданные при 

создании настройки. Для этого выполните следующие действия: 



2. В окне Сетевой экран на закладке Правила фильтрации выберите программу, 

правило для которой хотите изменить. 

3. В списке правил выберите правило, которое хотите изменить. 

4. Нажмите ссылку Изменить в нижней части окна. Откроется окно Сетевое правило, 

в котором можно изменить параметры выбранного ранее правила. 

5. Измените требуемые параметры. 

6. В окне Сетевое правило нажмите на кнопку OK. 



Настройка сетевого сервиса 

При создании сетевого правила необходимо задать сетевой сервис. Сетевой сервис 

представляет собой виды сетевой активности, на которые может распространяться сетевое 

правило. Вы можете выбрать вид сетевой активности из списка или создать новый. 

Сетевой сервис имеет следующие параметры: 

• Название. Предпочтительно использовать такие названия, которые сразу дают 

представление о сути правила. Например, DNS over TCP; 

• Протокол. Сетевой экран контролирует соединения по протоколам TCP, UDP, ICMP, 

ICMPv6, IGMP и GRE 2 

. Если в качестве протокола был выбран протокол ICMP или 

ICMPv6, вы можете задать тип и код ICMP-пакета; 

2 

TCP, UDP, ICMP, ICMPv6, IGMP, GRE – протоколы (наборы правил) передачи данных по сети. 

ICMP-пакет – пакет, содержащий сообщение об ошибке или другой исключительной ситуации, возникшей при 

передаче данных. Поля тип и код ICMP-пакета содержат, соответственно, тип и код возникшей ситуации. 

13 | 2 3


• Направление. Сетевой экран контролирует соединения со следующими 

направлениями: 

Входящее — правило применяется для пакетов данных, принимаемых вашим 

компьютером; 

Входящее (поток) — правило применяется для сетевого соединения, открытого 

удаленным компьютером; 

Входящее/Исходящее — правило применяется как к входящему, так и к 

исходящему пакету или потоку данных, независимо от того, каким компьютером 

(вашим или удаленным) было инициировано сетевое соединение; 

Исходящее — правило применяется для пакетов данных, передаваемых с 

вашего компьютера; 

Исходящее (поток) — правило применяется только для сетевого соединения, 

открытого вашим компьютером; 

• Удаленные и локальные порты. Для протоколов TCP и UDP вы можете задать 

порты вашего и удаленного компьютера, соединение между которыми будет 

контролироваться. 

Задание диапазона IP-адресов 

При формировании условий правила вы можете указать сетевой адрес, к которому это 

правило будет применено. В качестве сетевого адреса можно использовать IP-адрес или 

указывать статус сети. В последнем случае адреса берутся из всех сетей, подключенных в 

данный момент и имеющих указанный статус. 

Вы можете выбрать одну из следующих категорий адресов: 

• Любой адрес — правило будет применяться к любому IP-адресу; 

• Адреса подсети со статусом — правило будет применяться к IP-адресам всех 

сетей, подключенных в данный момент и имеющих указанный статус: 

Доверенные сети; 

Локальные сети; 

Публичные сети; 

• Адреса из группы — правило будет применяться к IP-адресам, входящим в 

заданный диапазон. Выберите одну из существующих групп адресов. Если диапазон 

14 | 2 3


адресов ни одной из групп вам не подходит, создайте новую группу. Для этого 

выполните следующие действия: 

1. Нажмите ссылку Добавить в нижней части блока. 

2. В окне Сетевые адреса укажите адреса, входящие в группу. 

В KSOS 2 при указании диапазонов IP-адресов вручную возможно использование 

бесклассовой адресации 3 

. 

Беcклассовая адресация основывается на переменной длине маски подсети (Variable 

Length Subnet Mask, VLSM), в то время как в классовой адресации длина маски строго 

фиксирована 0,1, 2 или 3 установленными байтами. 

Рассмотрим пример записи диапазона IP-адресов в виде 10.96.0.0/11. В этом случае маска 

подсети будет иметь двоичный вид 11111111 11100000 00000000 00000000, или то же 

самое в десятичном виде: 255.224.0.0. 11 разрядов IP-адреса отводятся под номер сети, а 

остальные 32 - 11 = 21 разряд полного адреса — под локальный адрес в этой сети. Итого, 

10.96.0.0/11 означает диапазон адресов от 10.96.0.1 до 10.127.255.255. 

Однако следует помнить, что при указании CIDR-адресации в сетях протокола IP версии 4 

(IPv4) в любых случаях правило будет распространяться на всю подсеть. 

Для преобразования IP-адресов в CIDR специалисты Лаборатории Касперского 

рекомендуют использовать любой вебсайт, на котором предоставляется бесплатный сервис 

преобразования IP-адресов к СIDR-адресации (например, вебсайт http://ip2cidr.com/ ). 

3 Беcклассовая адресация (Classless InterDomain Routing, CIDR)— метод IP-адресации, позволяющий 

гибко управлять пространством IP-адресов, не используя жесткие рамки классовой адресации. Применение 

этого метода позволяет экономно использовать конечный ресурс IP-адресов, и, следовательно, повысить 

производительность KSOS 2 . 

15 | 2 3


Изменение правила для группы программ 

Сетевой экран анализирует сетевую активность каждой программы, запускаемой на вашем 

компьютере. При первом запуске программа в зависимости от многих параметров заносится 

в одну из следующих групп: 

• Доверенные 4 

. Программы, обладающие цифровой подписью доверенных 

производителей, а также те, запись о которых присутствует в базе доверенных 

программ. Активность этих программ контролируется Проактивной защитой и 

Файловым Антивирусом; 

5 

• Слабые ограничения . Программы, не имеющие цифровой подписи доверенных 

производителей или соответствующих записей в базе доверенных программ. Однако 

этим программам присвоен низкий рейтинг опасности; 

6 

• Сильные ограничения . Программы, не имеющие цифровой подписи или записей в 

базе доверенных программ. Эти программы имеют высокий рейтинг опасности; 

7 

• Недоверенные . Программы, не имеющие цифровой подписи или записей в базе 

доверенных программ. Этим программам присвоен очень высокий рейтинг опасности. 

Вы можете изменять сетевые правила для целых групп программ. 

Правила для отдельных программ имеют более высокий приоритет, чем правила для 

целой группы программ. Если вы установите для какого-либо вида сетевой активности 

разрешающее правило для всей группы программ, но зададите также запрещающее 

правило для отдельно взятой программы из этой группы, то такая сетевая активность будет 

блокироваться согласно более высокому приоритету правила для программы. 

Чтобы изменить правила для группы программ, например, если вы хотите, чтобы 

программы со слабыми ограничениями имели неограниченные права на сетевую активность 

в пределах локальных сетей, выполните следующие действия: 

1. В левой части окна Настройка в блоке Правила для групп программ нажмите на 

кнопку Настройка правил. 

4 Программам этой группы разрешается любая сетевая активность независимо от статуса сети. 

5 Программам этой группы разрешена любая сетевая активность в автоматическом режиме. В 

интерактивном режиме на экран выводится уведомление, с помощью которого вы можете разрешить или 

запретить соединение или создать правило для программы с помощью Мастера создания правила. 

6 Программам этой группы запрещена любая сетевая активность в автоматическом режиме. В 

интерактивном режиме на экран выводится уведомление, с помощью которого вы можете разрешить или 

запретить соединение или создать правило для программы с помощью Мастера создания правила. 

7 Программам этой группы запрещена любая сетевая активность. 

16 | 2 3


2. В окне Сетевые правила групп программ нажмите на знак «+» в заголовке графы 

Сети. 

3. Выберите группу программ Слабые ограничения. 

4. Для выбранной группы программ нажмите правой кнопкой мыши на значок действия 

сетевого правила сети Локальные. 

5. Выберите в контекстном меню действие Разрешить. 

6. В окне Настройка правил сетевого экрана нажмите на кнопку OK. 

17 | 2 3



Теперь все программы, входящие в группу Слабые ограничения, имеют неограниченные 

права на сетевую активность в пределах локальных сетей. 

Изменение приоритета правила 

Приоритет выполнения правила определяется положением правила в списке. Первое 

правило в списке обладает самым высоким приоритетом. 

Каждое создаваемое вручную правило добавляется в конец списка правил. 

Правила программ сгруппированы по имени программы, и приоритет правил 

распространяется только на определенную группу. Созданные вручную правила программы 

имеют более высокий приоритет, чем наследуемые правила группы. 

Чтобы изменить приоритет правила, выполните следующие действия: 



2. В окне Сетевой экран на закладке Правила фильтрации выберите правило и 

переместите его на нужное место в списке с помощью ссылок Вверх или Вниз. 


18 | 2 3



Расширение диапазона IP-адресов 

Каждой сети соответствует один или несколько диапазонов IP-адресов. Если вы 

подключаетесь к сети, доступ к подсетям которой осуществляется через маршрутизатор, вы 

можете вручную добавить доступные через него подсети. 

Пример: вы подключаетесь к сети одного из офисов вашей компании и хотите, чтобы 

правила фильтрации для офиса, к которому вы подключены напрямую, и для офисов, 

доступных через сеть, были одинаковыми. 

Узнайте у администратора сети диапазоны адресов сетей этих офисов и добавьте их. 

Чтобы расширить диапазон адресов сети, выполните следующие действия: 



2. В окне Сетевой экран на закладке Сети выберите активное сетевое соединение и 

нажмите на ссылку Изменить. 

19 | 2 3


3. В окне Сетевое соединение на закладке Свойства в блоке Дополнительные 

подсети нажмите ссылку Добавить. 

4. В окне IP-адрес задайте IP-адрес или маску адресов. 

5. Нажмите на кнопку OK. 

6. В окне Сетевое соединение нажмите на кнопку OK. 



20 | 2 3


Настройка уведомлений об изменениях параметров сети 

Параметры сетевых соединений могут меняться в ходе работы. Вы можете настроить 

получение уведомлений о следующих изменениях: 

• о подключении к сети; 

• об изменении соответствия MAC-адреса IP-адресу. Это уведомление появляется, 

если был изменен IP-адрес одного из компьютеров сети; 

• о появлении MAC-адреса. Это уведомление появляется, если был добавлен новый 

компьютер в сеть. 

Чтобы включить режим оповещения об изменениях параметров сетевого соединения, 

выполните следующие действия: 



2. В окне Сетевой экран на закладке Сети выберите активное сетевое соединение и 

нажмите ссылку Изменить. 

3. В окне Сетевое соединение перейдите на закладку Дополнительно. 

4. Установите флажки для тех событий, уведомления о которых вы хотите получать. 


21 | 2 3


6. В окне Сетевой экран нажмите кнопку OK. 


Настройка дополнительных параметров 

Вы можете задать дополнительные параметры работы Сетевого экрана: 

• Разрешать активный режим FTP. Активный режим предполагает, что для соединения 

сервера с клиентом на клиентском компьютере будет открыт порт, с которым затем 

соединяется сервер (в отличие от пассивного режима, когда клиент сам соединяется с 

сервером). Режим позволяет контролировать, какой именно порт будет открыт. 

Механизм работает даже если было создано блокирующее правило. По умолчанию 

активный режим FTP разрешен. 

• Блокировать соединения, если нет возможности запроса действия (не загружен 

интерфейс программы). Параметр позволяет не останавливать работу Сетевого 

экрана в то время, когда не загружен интерфейс KSOS 2. Действие выполняется по 

умолчанию. 

• Не отключать Сетевой экран до полной остановки системы. Параметр позволяет 

не останавливать работу Сетевого экрана до момента полной остановки системы. 

Действие выполняется по умолчанию. 

По умолчанию все параметры включены. 

Чтобы изменить дополнительные параметры работы Сетевого экрана, выполните 

следующие действия: 



2. В окне Сетевой экран на закладке Правила фильтрации нажмите на кнопку 

Дополнительно. 

22 | 2 3


3. В окне Дополнительно установите или снимите флажки рядом с нужными 

параметрами. 




Особенности работы компонента 

При работе с компонентом Сетевой Экран необходимо помнить о следующих 

особенностях: 

• правила Сетевого экрана не влияют на Систему обнаружения сетевых атак (IDS); 

• для зоны Локальная сеть всегда разрешены ICMP-пакеты. 

23 | 2 3

Сетевой экран

Create successful ePaper yourself

Delete template?

Save as template?