nVidia Firewall

Pomysł firmy nVidia polegający na zaimplementowaniu mechanizmów sprzętowej "zapory ogniowej" bezpośrednio w chipsecie (nForce4-SLI i nForce4 Ultra) jest ciekawy. Dla osób, które posiadają własne programy chroniące ich przed nieautoryzowanym dostępem, to przede wszystkim sposób na odciążenie CPU. W przypadku nForce4 (bez sprzętowego Firewalla) łączenie nVFirewall i dodatkowego programu raczej nie ma sensu.
Jednak jest spora liczba użytkowników, która nadal w ogóle nie korzysta z tego typu ochrony lub stosuje tymczasowo wersje demonstracyjne. Wówczas nVFirewall jest rozwiązaniem wręcz idealnym. Tym bardziej, że konfiguracja zarówno firewalla jak i ActiveArmor nie przysporzy chyba nikomu kłopotów. Dla większości z nas konfiguracja może zakończyć się już na pierwszym ekranie podczas wybrania trybu ochrony: Medium. Już wówczas większość kluczowych ustawień będzie odpowiednio skonfigurowana. Bardziej zaawansowani użytkownicy bez kłopotu mogą dodatkowo wprowadzić własne reguły, dostosowując tym samym aplikacje te do jeszcze lepszej ochrony.

Oto kilka objaśnień dla początkujących użytkowników płyt głównych/chipsetów z nVFirewall.

1. Firewall

Basic Configuration

Low. Ustawienie to dopuszcza wszystkie bezpieczne połączenia przychodzące, blokuje tylko te, które sam uważa za niebezpieczne. Domyślnie dopuszczone są połączenia TCP i UDP dla których nie określono reguł. Ustawienie to zezwala na przepuszczenie zdecydowanej większości pakietów kontrolnych dla protokołu ICMP. Poziom bezpieczeństwa Low, podobnie jak Medium i High, w pełni dopuszcza korzystanie z sieci VPN.

Medium. Jest ustawieniem domyślnym przy aktywowaniu Firewall'a. Nie powoduje, że jesteśmy niewidoczni w sieci (jak przy ustawieniu HIGH). Pozwala na odbieranie i wysyłanie większości komunikatów o błędach dla protokołu ICMP. Tryb Medium blokuje większość przychodzących połączeń dla niezidentyfikowanych połączeń TCP i UDP. Poziom ten również dynamicznie otwiera porty dla połączeń wychodzących, natomiast dla przychodzących porty są domyślnie zamknięte. Aktywne są także niektóre z funkcji wykrywających próby "włamania" do systemu.

High. Najwyższy poziom bezpieczeństwa w którym jedynie wychodzące połączenia mogą być nawiązywane. Wszystkie przychodzące połączenia są natychmiast blokowane. Wyjątkiem są tylko powracające odpowiedzi na wychodzące zapytania (pakiety) z nawiązanego wcześniej połączenia (czyli te pochodzące z naszej sieci). Tryb High uaktywnia tryb "niewidzialności". Oznacza to, że nasz komputer jest "niepingowalny" (nie odpowiada na zapytania typu "ping") oraz nie generuje żadnych komunikatów o błędach ICMP. Podobnie jak w trybie Medium, niektóre funkcje rozpoznające próby "włamania" są włączone.

Lockdown. Blokuje cały ruch, zarówno przychodzący jak i wychodzący.

Anti-hacking only. Ustawienie tego poziomu spowoduje włączenie wszystkich opcji w zakładce Advanced Configuration\Anti-Hacking. Poza tym spowoduje całkowite wyłączenie Firewalla (wszystkie filtry zostaną ustawione na tryb przepuszczania).

Custom. Pozwala na ustawianie opcji Firewalla według własnego uznania. Możemy tutaj skorzystać z któregoś z gotowych trybów a następnie go zmodyfikować. Możliwe jest także ustalenie reguł "od zera".

Wizards. To nic innego jak kreator, który pomoże nam w konfiguracji najważniejszych ustawień.

Advanced Configuration

Anti-Hacking. Mamy tutaj możliwość uaktywnienia kilku opcji, które powinny w znaczny sposób ograniczyć ryzyko "włamania" do naszego systemu (m.in. blokowanie "podrobionych" pakietów IP oraz ARP).

Application. To tutaj możemy włączyć lub wyłączyć menadżer aplikacji "IAM" oraz jego okno dialogowe. Nieco niżej znajduje się tu również lista aplikacji w odniesieniu do których już podjęliśmy decyzje o blokowaniu bądź zezwoleniu na ich połączenia. Widoczna jest tam nazwa pliku, ścieżka dostępu, wersja, krótki opis, producenta tej aplikacji oraz regułę określającą sposób postępowania z aplikacją (dopuszczenie/zablokowanie). Ostatnia opcja określa czy w przyszłości firewall ma nas informować o aktywności tej aplikacji, czy ma postąpić z nią tak, jak zadecydowaliśmy za pierwszym razem.

Domain name. Domyślnie opcja ustawiona jest na przepuszczanie wszystkich nazw domenowych. Jeśli jesteśmy w trybie konfiguracji "Custom", wówczas możemy określić domeny z których połączenia będą odrzucane.

UDP/TCP Port. Porty TCP/UDP są domyślnie ustawione na blokowanie połączeń przychodzących, natomiast przepuszczane są wszystkie połączenia wychodzące. Nieco niżej znajduje się tabela w której wyszczególnione są adresy IP, zakresy portów, nazwy usług/programów, rodzaje portów oraz sposoby reakcji (dopuszczenie/odrzucanie) dla ruchu przychodzącego i wychodzącego.

TCP Option. Tutaj możemy uaktywnić bardziej zaawansowane opcje dla protokołu TCP. Funkcjonują one niezależnie od tych wymienionych w zakładce UDP/TCP Port.

ICMP Type. Przy ustawieniach domyślnych zablokowane są funkcje i możliwości protokołu ICMP. Obsługiwane są wyłącznie te, które zostały wymienione i zdefiniowane w poniższej tabeli.

IP Protocol. W tym miejscu określimy, które protokoły IP będą przepuszczane a które blokowane. Do wyboru mamy między innymi: TCP, UDP, IGMP itp.

IP Address. Ta zakładka dotyczy blokowania konkretnych adresów IP. Domyślnie wszystkie są dopuszczone. Spis wszystkich wprowadzonych adresów znajduje się w poniższej tabeli.

IP Option. Tutaj uaktywnimy zaawansowane funkcje protokołu IP. Domyślnie blokowane są wszystkie z wyjątkiem tych wymienionych w tabeli.

EtherType. Firewall będzie blokował wszystkie pakiety, w których pola EtherType (wskazujące na typ protokołu) mają inne wartości niż podane w poniższej tabeli.

Information

• Graphical. Graficzna liczbowo-procentowa prezentacja liczby przepuszczonych i zablokowanych pakietów oraz połączeń (w zakładce Connections).
   
• Bar Graph. To samo zestawienie lecz przy pomocy graficznych słupków ilości zablokowanych i przepuszczonych pakietów oraz połączeń (możemy wybrać różne protokoły).
   
• Table. Ta zakładka przeznaczona jest dla osób lubiących wpatrywać się w róznego rodzaju statystyki i zestawienia. W tej tabeli zebrane zostały informacje na temat przepuszczanego oraz blokowanego ruchu przez nasz Firewall. Wyszczególnione są również wszelkie próby nawiązywania połączenia.
   
• Log. Jak sama nazwa wskazuje jest to dziennik zdarzeń. Mamy tutaj wgląd w historię działań jakie podjął firewall. Zarówno on sam na podstawie predefiniowanych reguł lub też z naszą pomocą.
   
• Log Settings. Ustawienia dotyczące ilości informacji zawartych w logach i sposobu ich zapisywania.

2. ActiveArmor (aktywne tylko dla chipsetów SLI i Ultra)

• Application. W zakładce tej określamy aplikacje, które mają być obsługiwane przez moduł ActiveArmor. W efekcie "ciężar" ich obsługi przenosimy z CPU na ten właśnie moduł. Osobno wskazujemy połączenia wychodzące i przychodzące.
   
• Port. Tutaj również decydujemy o stopniu odciążenia lub obciążenia CPU przychodzącymi i wychodzącymi połączeniami. Jednak tutaj reguły określamy na podstawie adresów IP oraz portów. Przykładowo wprowadzony port 80 (nasz serwer WWW) spowoduje, iż cały ruch będzie obsługiwany przez ActiveArmor odciążając tym samym procesor.
   
• Global Statistics. Czyli statystyki i zestawienia dotyczące połączeń obsługiwanych przez ActiveArmor.
   
• Connection Table. Tutaj możemy dowiedzieć się o ilości i czasach połączeń obsługiwanych przez ActiveArmor. Wyszczególnione są zarówno źródłowe jak i docelowe adresy IP oraz porty, które brały udział w połączeniach.

3. Administration

• Display Settings. Wielkość czcionki, dymki pomocy, częstotliwość odwieżania danych.
   
• Access Control. W tej zakładce określimy możliwość dostępu do konfiguratora całego Firewalla. Dostęp może być uaktywnione dla adresów zewnętrznych jak i wewnętrznych. Uaktywnić możemy również linię poleceń (CLI) oraz skrypty WMI.
   
• Factory Default. Przywrócenie wartości fabrycznych.
   
• Backup/Restore. Zachowanie lub przywrócenie własnoręcznie zdefiniowanych ustawień.
   
• Software Version. Sprawdzenie wersji oprogramowania.