О том, что брандмауэрами закрывают порты, все знают. Но далеко не каждый пользователь догадывается, что… у него нет тех портов, которые следовало бы закрыть.
  Чтобы закрыть какой-то порт, его прежде нужно открыть, а чтобы открыть порт, у нас денег нет. В прямом смысле. Вот допустим, у кого-то имеется локальная сеть с SQL-сервером, который должен быть виден только изнутри и недоступен снаружи. В таких случаях умные администраторы просто объясняют маршрутизатору, что SQL не вправе получать пакеты, приходящие из внешнего мира, равно как и отправлять их. Аналогичным образом порты SQL-сервера закрываются и на брандмауэре. Ох! У нас же нет SQL-сервера! Какая жалость! А что у нас есть?! Ну… если хорошо поискать… Вот черт, ничего не находится!
   Ну, это на Linux ничего не находится, а вот коварная Windows открывает ряд портов для своих служебных целей, даже если нас эти цели не интересуют. В частности, известный червь MSBlast распространялся через дыру в службе DCOM RPC, а точнее, через открытый ей 135-й порт. Что такое DCOM RPC? Ну… если у нас намного больше одного компьютера и проснувшись мы решили разбить их на домены, то… ну то есть на фиг эту DCOM RPC, если короче. Существовало три пути предотвращения вторжения червя. Первый - установить заплатку, которая, если мне не изменяет память, вышла за год или полгода до эпидемии. Второй - отключить саму службу DCOM RPC, благо 99,9% пользователей она не нужна. Штатными средствами этого было не сделать, но в сети тут же появились «выключалки» от сторонних разработчиков. Наконец, третий путь: закрыть этот зловредный 135-й порт на брандмауэре. Однако это решение не является универсальным. Огромное количество дыр находится в прикладных приложениях типа IE. Отрубить дырявый IE от сети брандмауэр сможет. Только тогда легче просто выключить модем и пойти утопиться, потому что без интернета нам уже не жить. В качестве альтернативы предлагается установить заплатку, а лучше - сменить IE на Оперу, за всю историю существования которой в ней обнаружилась всего лишь пара дыр, да и то некритичных. К слову, о серфинге. Давай, например, занесем все баннерно-обменные сети в черный список, чтобы с них ничего не загружалось. Туда же можно добавить адреса всех счетчиков (типа рамблеровского), чтобы никакая информация от нас не отправлялась (большого секрета она не представляет, просто лично мне неприятно быть частью чьей-то статистической базы данных). Только специально для этой цели существуют баннерорезалки с уже готовыми черными листами, причем постоянно пополняемыми. Так может тогда и не стоит нагружать файр такими обязанностями? Основное назначение персонального брандмауэра - это разделение интра- и интернета, то есть возведение защитной стены между локальной сетью (как правило, домашней) и враждебным интернетом.
   Допустим, у нас имеются расшаренные файлы/папки и принтеры, доступные без всякий паролей (ведь пароли - это такой геморрой!), и, чтобы нас не поимели, как молодых, брандмауэр позволяет заблокировать всякие попытки обращения к расшаренным ресурсам извне, ну или открыть к ним доступ только с определенных адресов (например, из корпоративной сети той организации, где ты работаешь). В большинстве брандмауэров это делается одним взмахом мыши: просто сбрасываем/устанавливаем галочку напротив пункта «…shared flies/folders/printers» Насколько надежна такая защита? Может ли хакер пробить брандмауэр?! Независимо от конструктивных особенностей реализации брандмауэра, непосредственный обмен данными с закрытым портом извне невозможен. И хотя имеется ряд узких мест (например, при сильной фрагментации TCP-пакета порт назначения не вмещается в TCP-заголовок и некоторые брандмауэры его спокойно пропускают), мы можем, не заморачиваясь и не садясь на измену, чувствовать себя в безопасности, поскольку вероятностью быть атакованным через скачанный варез несравненно выше. Еще брандмауэр может (и должен) следить за сетевой активностью честных приложений, показывая кто из них ломится в сеть, на какой порт и по каким адресам. Например, если мы запускаем firefox и он ломится на Home Page, ранее прописанную нами, то это нормально. Если же Лис лезет на fxfeeds.mozilla.org, то это тоже нормально, хотя уже весьма подозрительно, но, вообще говоря, программа подобного уровня вправе обращаться к своему сайту, и никакого криминала здесь нет. А вот если игра типа тетриса пытается открыть какой-то порт (например, порт 666), то с вероятностью, близкой к единице, в ней запрятана закладка и от такой программы можно ожидать всего чего угодно, так что лучше стереть ее или ограничиться тем, что на вопрос брандмауэра ответить «Нет». Вообще говоря, пробить брандмауэр изнутри очень просто. Зловредная программа имеет в своем арсенале массу способов установки канала связи с удаленным узлом, и брандмауэр ей не помеха. Тем не менее основная масса малвари написана пионерами, которые ни хрена не шарят в теме, и потому попытки открытия back-door портов (через которые хакеры и рулят захаченными компьютерами) отлавливаются брандмауэрами молниеносно. Более грамотная малварь внедряется в процессы доверенных приложений (например, в IE, Горящего Лиса, Outlook Express, The Bat, etc), осуществляя обмен данными от их имени. Большинство брандмауэров устанавливает факт внедрения (хотя и не обязаны это делать), однако если малварь уже находится на компьютере, то у нее есть все шансы обломать брандмауэр, каким бы крутым он ни был. Впрочем, учитывая качество нынешней малвари, брандмауэры побеждают чаще.