Сетевой экран

Описанная в этом разделе функциональность программы Kaspersky Security доступна, только если программа установлена на виртуальной машине с операционной системой Windows для серверов или с операционной системой Windows для рабочих станций.

Во время работы в локальных сетях и интернете ваша виртуальная машина подвержена не только заражению вирусами и другими вредоносными программами, но и различного рода атакам, использующим уязвимости операционных систем и программного обеспечения.

Сетевой экран обеспечивает защиту персональных данных, хранящихся на защищенной виртуальной машине, блокируя сетевые угрозы в то время, когда защищенная виртуальная машина подключена к интернету или к локальной сети.

При удаленном подключении к защищенной виртуальной машине после установки программы по умолчанию включается Сетевой экран, который блокирует RDP-сессию. Чтобы избежать блокировки, нужно изменить действие Сетевого экрана для сетевого пакетного правила "Сетевая активность для работы удаленного рабочего стола" на Разрешать.

Во время работы компонента Сетевой экран для предотвращения конфликтов отключается брандмауэр Windows. Если для брандмауэра Windows используется доменная политика, требуется отключать брандмауэр Windows в доменной политике во время работы компонента Сетевой экран.

Статусы сетевых соединений

Компонент Сетевой экран контролирует все сетевые соединения на защищенной виртуальной машине и автоматически присваивает статус каждому из обнаруженных сетевых соединений.

Выделены следующие статусы сетевого соединения:

• Публичная сеть. Этот статус разработан для сетей, не защищенных какими-либо антивирусными программами, сетевыми экранами, фильтрами (например, для сети интернет-кафе). Пользователю защищенной виртуальной машины, подключенной к такой сети, Сетевой экран закрывает доступ к файлам и принтерам этой виртуальной машины. Сторонние пользователи также не могут получить доступ к информации через папки общего доступа и удаленный доступ к рабочему столу этой виртуальной машины. Сетевой экран фильтрует сетевую активность каждой программы в соответствии с сетевыми правилами этой программы.

  Сетевой экран по умолчанию присваивает статус Публичная сеть сети Интернет. Вы не можете изменить статус сети Интернет.

• Локальная сеть. Этот статус разработан для сетей, пользователям которых вы доверяете доступ к файлам и принтерам защищенной виртуальной машины (например, для локальной сети организации или для домашней сети).
• Доверенная сеть. Этот статус разработан для безопасной сети, во время работы в которой виртуальная машина не подвергается атакам и попыткам несанкционированного доступа к данным. Для сетей с этим статусом Сетевой экран разрешает любую сетевую активность в рамках этой сети.

Вы можете изменять статусы, которые компонент Сетевой экран присваивает обнаруженным сетевым соединениям.

Кроме того, при работе через Kaspersky Security Center вы можете переопределить параметры сетей, активность которых контролирует Сетевой экран: добавить сеть, изменить параметры сети или удалить сеть из таблицы.

Сетевые правила

Сетевое правило представляет собой разрешающее или запрещающее действие, которое Сетевой экран совершает, обнаружив попытку сетевого соединения. Настройка сетевых правил позволяет вам задать нужный уровень защиты виртуальной машины, от полной блокировки доступа в интернет для всех программ до разрешения неограниченного доступа.

Сетевой экран защищает виртуальную машину на двух уровнях: сетевом и прикладном.

• Защита на сетевом уровне обеспечивается за счет применения правил для сетевых пакетов (сетевых пакетных правил). Сетевые пакетные правила используются для ввода ограничений на сетевые пакеты независимо от программы. Такие правила ограничивают входящую и исходящую сетевую активность по определенным портам выбранного протокола передачи данных. Сетевой экран задает по умолчанию некоторые сетевые пакетные правила.
• Защита на прикладном уровне обеспечивается за счет применения правил использования сетевых ресурсов программами, установленными на защищенной виртуальной машине (сетевых правил программ). Сетевые правила программ используются для ограничения сетевой активности конкретной программы. При этом учитываются не только характеристики сетевого пакета, но и конкретная программа, которой адресован этот сетевой пакет, либо которая инициировала отправку этого сетевого пакета. Такие правила позволяют тонко настраивать фильтрацию сетевой активности, например, когда определенный тип сетевых соединений запрещен для одних программ, но разрешен для других.

Контроль доступа программ к ресурсам операционной системы, процессам и персональным данным обеспечивает компонент Контроль активности программ с помощью правил контроля программ.

Сетевые правила программ не учитывают следующие параметры фильтрации, заданные на сетевом уровне:

• идентификатор сетевого адаптера;
• список MAC-адресов локального адаптера;
• список локальных MAC-адресов;
• список удаленных MAC-адресов;
• тип Ethernet-фрейма (IP, IPv6, ARP);
• время жизни (TTL) IP-пакета.

В результате совместного использования правил сетевого и прикладного уровней сетевой трафик может быть заблокирован на прикладном уровне, даже если на сетевом уровне он разрешен.

Сетевые правила для программы и для группы программ

Программа Kaspersky Security по умолчанию группирует все программы, установленные в операционной системе защищенной виртуальной машины по названию производителей программного обеспечения, файловую и сетевую активность которого контролирует. Группы программ, в свою очередь, сгруппированы в группы доверия. Все программы и группы программ наследуют свойства своей родительской группы: правила контроля программ, сетевые правила программы и приоритет их выполнения.

Компонент Сетевой экран создает набор сетевых правил для каждой группы программ, обнаруженных на защищенной виртуальной машине, и применяет сетевые правила группы программ для фильтрации сетевой активности всех помещенных в группу программ. Сетевые правила группы программ определяют, какими правами доступа к различным сетевым соединениям обладают программы, входящие в эту группу.

Сетевые правила группы программ, созданные по умолчанию, а также унаследованные сетевые правила программы недоступны для изменения параметров, удаления, выключения и изменения приоритета.

Вы можете изменять действие Сетевого экрана для сетевых правил группы программ, созданных по умолчанию, и для унаследованных сетевых правил программы.

Вы можете создать сетевые правила для группы программ или для отдельной программы. Сетевое правило программы имеет более высокий приоритет, чем сетевое правило группы, в которую входит эта программа.

Приоритеты сетевых правил

Каждое правило имеет приоритет. Чем выше правило в списке, тем выше его приоритет. Если сетевая активность добавлена в несколько правил, Сетевой экран регулирует сетевую активность по правилу с высшим приоритетом.

Сетевые пакетные правила имеют более высокий приоритет, чем сетевые правила программ. Если для одного и того же вида сетевой активности заданы и сетевые пакетные правила, и сетевые правила программ, то эта сетевая активность обрабатывается по сетевым пакетным правилам.

Вы можете устанавливать приоритет выполнения для сетевых пакетных правил и созданных вручную сетевых правил программы или группы программ.

Особенности работы Сетевого экрана

При работе с Сетевым экраном обратите внимание на следующие особенности:

• Сетевая активность на прикладном уровне по протоколам TCP и UDP не блокируется, если IP-адрес отправителя и адрес получателя совпадают, при условии, что пакет был отправлен через RAW-сокет.
• Сетевой экран не выполняет проверку правил программ и разрешает сетевую активность, если IP-адрес удаленного устройства имеет значение:
  • для IPv4: 127.0.0.1
  • для IPv6: ::1

  при условии, что пакет был отправлен через RAW-сокет.

• В следующих случаях локальный адрес, с которого или на который выполняется отправка данных, может быть не определен:
  • Программа, инициировавшая сетевую активность по протоколам TCP или UDP, не указала локальный IP-адрес.
  • Программа инициировала сетевую активность по протоколу ICMP.
  • Программа получает входящий пакет по протоколу UDP.
• Сетевой экран не выполняет фильтрацию loopback-трафика на сетевом уровне. Принятие решения по loopback-пакетам происходит на прикладном уровне.
• При фильтрации сетевой активности на прикладном уровне по протоколу ICMP Сетевой экран поддерживает только исходящий запрос ICMP Echo-Request.
• Фильтрация входящих ICMP-пакетов на прикладном уровне не выполняется.
• Для исходящей сетевой активности через RAW-сокет фильтрация по пакетным правилам на прикладном уровне не выполняется.
• Пакеты, отфильтрованные компонентом Защита от сетевых атак, не проверяются Сетевым экраном.
• При наличии на защищенной виртуальной машине туннелирующих сетевых интерфейсов фильтрация туннелированного трафика пакетными правилами повторяется для одного и того же пакета по мере продвижения пакета между интерфейсами.

В этом разделе описаны процедуры настройки параметров Сетевого экрана с помощью Консоли администрирования и локального интерфейса Легкого агента для Windows. Вы также можете настраивать параметры Сетевого экрана с помощью Web Console во время создания или изменения параметров политики для Легкого агента для Windows (Параметры программы → Антивирусная защита → Сетевой экран). Настройка сетевых правил программы или группы программ с помощью Web Console не поддерживается.