Кроме того, фактически исчезли с рынка продукты, которые можно было бы отнести к чистым персональным файерволам в классической формулировке 2003 года. На смену им пришли комплексные решения защиты персональных компьютеров, в обязательном порядке включающие в себя файервольный компонент. В силу наибольшей актуальности мы решили начать сравнительное тестирование файерволов с изучения качества защиты от внутренних атак, исходящих изнутри системы. Тест проводился по следующим направлениям:

1. проверка защиты процессов от завершения;
2. защита от стандартных внутренних атак;
3. тестирование защиты от нестандартных утечек;
4. тестирование защиты от нестандартных техник проникновения в режим ядра.

В следующем тестировании, которое запланировано на конце года, мы проведем сравнение файерволов на защиту от внешних атак. Таким образом, у наших читателей будет вся необходимая информация для того, чтобы выбрать себе наиболее достойный по качеству персональный файервол.

В тестировании принимали участие 22 популярные программы комплексной защиты, имеющие класс Internet Security, если в линейке нет, то выбирался сугубо файервол от различных производителей актуальных на дату начала тестирования версий продуктов (июль 2011) и работающих на платформе Windows XP SP3:

1. Avast! Internet Security 6.0.1203.0
2. AVG Internet Security 2011 (10.0.0.1390)
3. Avira Premium Security Suite 10.0.0.132
4. BitDefender Internet Security 2011 (14.0.28.351)
5. Comodo Internet Security 2011 (5.5.64714.1383)
6. DefenseWall Personal Firewall 3.12
7. Dr.Web Security Space 6.0.1.08010
8. Eset Smart Security 4.2 (4.2.71.2)
9. F-Secure Internet Security 2011 (1.30.4220.0)
10. G DATA Internet Security 2012 (22.0.2.26)
11. Jetico Personal Firewall 2.1 (2.1.0.10)
12. Kaspersky Internet Security 2012 (12.0.0.374)
13. McAfee Internet Security 2011 (11.0.572)
14. Microsoft Security Essentials 2.0.657.0 + Windows Firewall (используется связка продуктов)
15. Norton Internet Security 2011 (18.1.0.37)
16. Online Armor Premium Firewall 5.0.0.1097
17. Online Solutions Security Suite 1.5.15307.0
18. Outpost Security Suite Pro 7.5 (3720.574.1668.464)
19. Panda Internet Security 2011 (16.00.00)
20. PC Tools Internet Security 2011 (1.0.0.58)
21. Trend Micro Titanium Internet Security 2011 (3.0.0.1303)
22. ZoneAlarm Internet Security Suite 2010 (9.3.37.0)

Тест проводился на специально подготовленном стенде под управлением VMware Workstation 7.1.4. Для каждого антивирусного продукта клонировались "чистые" виртуальные машины под операционной системой Windows XP SP3 со всеми установленными обновлениями на момент начала теста. Тестирование производилось на двух типах настроек: рекомендуемых производителем стандартные (настройки по умолчания) и максимальных. В первом случае использовались рекомендуемые производителей настройки по умолчанию и производились все рекомендуемые программой действия. Во втором случае в дополнение все настройки, которые были отключены в режиме «по умолчанию», но при этом могли повлиять на исход тестирования, включались и/или приводились в максимальное положение (наиболее строгие настройки). Другими словами – под выставлением максимальных настроек понимается перевод всех доступных из графического интерфейса пользователя настроек всех модулей, связанных с детектированием вредоносной файловой или сетевой активности,  к наиболее строгому варианту.

В силу принципиальных отличий DefenseWall от конкурентов по логике своей работы контролируемые им приложения могут запускаться из доверенной (trusted zone) или из недовернной зоны (untrusted zone). Поэтому в данном случае понятие "максимального" или "стандартного" режима настроек применялось к настройкам контроля приложений в недоверенной зоне.  Тестовые утилиты при тестировании этого продукта запускались из недоверенной зоны (с внешнего носителя). 

Тест файерволов проводился по следующим группам внутренних атак, для наглядности разбитых на уровни сложности:

1. Базовый уровень сложности (31 вариант атак):
   1. проверка защиты процессов от завершения (15 вариантов атак);
   2. защита от стандартных внутренних атак (16 вариантов атак).
2. Повышенный уровень сложности (9 вариантов атак):
   1. тестирование защиты от нестандартных утечек (3 варианта атак);
   2. тестирование защиты от нестандартных техник проникновения в режим ядра (6 вариантов атак).

Подробное описание всех методов атаки, используемых в тесте, вы можете найти в методологии тестирования.

Проверка фаероволов на защиту от внешних атак

Тестирование фаерволов проводилось по набору из 40 тестовых кейсов для каждой операционной системы отдельно (подробные результаты по каждому из них можно посмотреть в отчете в формате Excel).

Напомним, что согласно используемой схеме награждения, 1 балл (+) начислялся, если атака заблокирована автоматически, защитный функционал тестируемой программы не нарушен. 0.5 балла (или +/-) - если атака блокируется только при особых обстоятельствах (например, при правильном выборе пользователя нужного действия по запросу тестируемой программы). И, наконец, в случае если атака прошла успешно полностью или частично с выводом из строя функционала защиты, то баллы не начислялись. Максимально возможное количество набранных баллов в данном тесте составило 40. В таблице 1-2 и на рисунке 1-2 представлены результаты тестирования файерволов отдельно на стандартных и максимальных настройках. Для наглядности результаты для каждого фаервола разбиты на две группы: защита от атак базового уровня сложности и защита от атак повышенного уровня сложности.

Таблица 1: Результаты теста фаерволов на стандартных настройках

Рисунок 1: Результаты теста фаерволов на стандартных настройках

* В силу принципиальных отличий DefenseWall от конкурентов по логике своей работы контролируемые им приложения могут запускаться из доверенной (trusted zone) или из недовернной зоны (untrusted zone). Поэтому в данном случае понятие "максимального" или "стандартного" режима настроек применялось к настройкам контроля приложений в недоверенной зоне.  Тестовые утилиты при тестировании этого продукта запускались из недоверенной зоны (с внешнего носителя). 

Как мы видим на рисунке 1, защита от внутренних атак у большинства файерволов на рекомендуемых производителе настройках оставляет желать лучшего. Всего 5 фаерволов смогли преодалеть барьер 80% со стандартными настройками, среди них DefenseWall, Comodo, Online Armor, Online Solutions и Outpost. Близкий к лидерам результат показал фаервол Jetico. Результаты остальных оказались заметно хуже. Такой разброс результатов связан в первую очередь с тем, что известные многие производители ищут баланс между качеством защиты и уровнем беспокойства пользователей. Это приводит к тому, что в настройках по умолчанию, используемых подавляющим большинством клиентов сводятся к минимуму количество запросов и уведомлений, требующих от пользователя какой-либо реакции. Естественно, это напрямую сказывается на качестве защиты. Защита промолчит, когда вредоносная программа будет имитировать/производить вполне легитимные действия в системе. Так стоит обратить внимание, что процент предотвращения сложных видов атак в целом заметно хуже, чем атак базового уровня сложности. Граничными примерами здесь выступают продукты ZoneAlarm и F-Secure. У первого из них результаты блокировки базового уровня атак достаточно высок, однако, к сложным атакам продукт оказался вовсе не готов, и набрал на них ноль баллов. ZoneAlarm, напротив, оказался слаб на атаках базового уровня (в частности из-за посредственного уровня самозащиты), но за счет параноидального в хорошем смысле поведенческого анализа показал высокий результат детектирования атак повышенной сложности.