Режим Internet Lock на Zone Alarm

 

Настоящата статия има за цел да сподели лично мнение.

 

Какво представлява Internet Lock на Zone Alarm. Както пише и в самия Help на програмата, това е “режим, при който само трафика на програмите, които имат pass-lock permission (т.е. имат разрешение да излизат в Интернет дори и в този режим) се разрешава. Спира се всякакъв друг трафик към и от компютъра, включително DHCP съобщения и периодичните сигнали на интернет доставчика, с които се поддържа интернет връзката. В резултат връзката към интернет може да се загуби”.

 

Следователно това е режим предназначен да осигури по-голяма сигурност на компютъра, когато според създателите, компютърът е свързан с интернет, но не се използват активно мрежови или интернет ресурси.

 

Според мен обаче този режим е доста полезен и когато активно се използват интернет ресурси, естествено с някои ограничения. Изхождайки от функциите на DHCP предполагам, че цитираният по-горе факт, че се спират DHCP съобщенията означава, че хора, които са с динамични IP адреси няма да могат да се възползват от него. Нямам наблюдения върху това, защото моят доставчик използва статични адреси, при които следващият по-долу текст може да се окаже полезен.

 

Моят интернет доставчик (а предполагам и голяма част от другите доставчици, като тук изключвам HomeLAN) ми предоставя услугата чрез ЛАН мрежа и използва статични, вътрешномрежови IP адреси, в случая от групата 10.х.х.х. Следователно той не използва DHCP протокола, за да раздава динамични IP-та на машините, които се включват и изключват по различно време към мрежата. Не използва и периодични сигнали за поддържане не интернет връзката, защото това не е Dial-up. Следователно в този случай режимът Internet Lock на firewall-а може да бъде използван постоянно, като се разреши достъп само на програмите, които наистина има какво да правят в интернет. Всеки сам си преценява дали има нужда от това или не. Моето мнение е, че той осигурява по-голяма сигурност. Естествено 100 % защита никой не може да гарантира и един добър хакер винаги ще намери откъде да влезе.

 

Разрешаването на дадена програма да има достъп до интернет в режим Internet Lock, т.нар. pass-lock permission, става от Program Control --> Programs.

 

 

Срещу съответната програма има опции за забраняване (червено кръстче) или разрешаване (зелена отметка) на интернет достъп в нормален режим. Последната колонка, тази с катинарчето, дава pass-lock permission.

 

 

Появяващият се ключ означава, че на дадената програма е разрешен достъп до интернет дори и в режим Internet Lock, когато всякакъв друг трафик се спира.

 

На фигурата по-долу ще дам пример с програмите инсталирани на моя компютър. Човек може да се изненада на пръв поглед колко много програми работят в интернет и колко още повече искат достъп до интернет без да имат нужда от него. Една от добрите характеристики на Zone Alarm е, че тя управлява както входящия, така и изходящия трафик, т.е. тя може да забрани на програма инсталирана на компютъра достъп до интернет. Така може да се предотврати действието на някои червеи например, които стартирайки се искат достъп до интернет от името на друга програма. Човек трябва не просто да разреши достъп до интернет на браузъра си или на прокси сървъра си, но и да знае каква точно функция изпълняват те и да им забрани другите. От следваща фигура ще обясня за някои програми, другите са аналогични.

 

 

CCProxy е програма, която прави прокси сървър и рутира интернет към другия ми компютър от домашната мрежа. Следователно тя има нужда от достъп до интернет, има нужда и да играе ролята на сървър, ето защо тези две функции са и разрешени. Забранил съм й обаче да праща поща, защото това не й е работа. Надолу по списъка има браузър, даунлоуд мениджър, Р2Р програми, ъпдейтъри и ъпгрейдъри на антивирусна програма и операционна система. На тях е разрешен само достъп до интернет, защото само това им е функцията, другите неща са им забранени. Единствената програма, на която съм разрешил да праща мейл е Outlook Express, защото това й е работата. В по-особено положение са три имена от списъка - Client Server Runtime Process, Services and Controller app и Spooler SubSystem App. Това са Windows-ки процеси и апликации, които не изпълняват самостоятелна функция, но се използват от някои други програми, ето защо на тях също трябва да се разреши достъп но интернет, но само това. На всички други инсталирани програми, от които на картинката се вижда само ACDSee съм забранил абсолютно всичко. Е, може да е удобно да се постне някоя снимка в някой онлайн албум директно от ACDSee, но това означава още един порт отворен... нататък мисля няма какво повече да кажа.

 

Единственото според мен неудобство на този режим е, че трябва всеки път да се включва ръчно. Както пише и в Help-а, той може да се настрои да се включва автоматично след определен период от време без интернет активност, но явно не може да се настрои да бъде винаги включен. Ето защо трябва след всяко рестартиране да се пуска ръчно. Най-удобно и лесно е да се кликне с десен бутон върху иконката на Zone Alarm в tray-я и да се избере опцията Engage Internet Lock.

 

И едно последно обяснение на функции и символи. Режимът Internet Lock спира всякакъв трафик, с изключение на програмите, които имат pass-lock permission. Тогава иконката на Zone Alarm в tray-я става жълто катинарче. Натискането на червения бутон Stop (или опцията Stop all Internet activity от контекстното меню) спира абсолютно целия интернет и вътрешномрежови трафик от и към компютъра и иконката в tray-я става червено катинарче.

 

Автор: Mengeleev