Użytkownicy, sieci dysponujący bezpośrednim połączeniem z Internetem (modem kablowy, DSL, ISDN, SDI) i rezydujący poza obszarem działania korporacyjnych zapór ogniowych, są narażeni na różnego rodzaju ataki. Ale nawet ci, którzy są pod ochroną korporacyjnych zapór ogniowych, mogą spodziewać się niepożądanych działań, pochodzących z sieci wewnętrznej.

Chociaż zakres ochrony przez większość korporacyjnych zapór ogniowych można uznać za dostateczny, to jednak nie chronią one całkowicie przed włamaniami. Do uszczelniania korporacyjnych zapór ogniowych mogą posłużyć zapory osobiste, zapewniające ochronę dodatkową, chroniące indywidualnych użytkowników przed hakerami, którzy przedostali się przez korporacyjne zapory ogniowe.

Jednak podstawowe zastosowanie osobistych zapór ogniowych to ochrona:

- pracowników mobilnych, często podłączających się do różnorodnych sieci w czasie podróży;

- małych, zamiejscowych oddziałów firmy, nie posiadających korporacyjnej zapory ogniowej;

- pracowników z dostępem przez modem kablowy lub DSL, pracujących w domu.

Wysoka cena korporacyjnych zapór ogniowych, dochodząca niekiedy do kilkudziesięciu tysięcy dolarów, zniechęca mniejsze firmy lub oddziały zamiejscowe do ich powszechnego stosowania. Ponadto firmy często korzystają z modemów kablowych jako niedrogiego środka połączenia z Internetem.

Osobiste zapory ogniowe są relatywnie tanimi programami lub urządzeniami instalowanymi bezpośrednio na PC. Przejmują one kontrolę nad sprzętem sieciowym i wykonują podstawowe funkcje zapór ogniowych: wykrywanie włamań, kontrola dostępu, egzekwowanie reguł polityki udostępniania zasobów i rejestrowanie zdarzeń. Filtrując cały ruch sieciowy, dopuszczają jedynie komunikację autoryzowaną. W przeglądzie omówiono dwie kategorie rozwiązań osobistych zapór ogniowych: rozwiązania czysto programowe i oddzielne urządzenia.

Produkty czysto programowe można podzielić na dwa rodzaje: rozwiązania korporacyjne, przystosowane do centralnego zarządzania, i rozwiązania autonomiczne, lepiej dostosowane do biur domowych lub właścicieli małego biznesu.

Jeżeli osobista zapora ogniowa ma być używana przez więcej niż kilku użytkowników, to powinna istnieć jakaś możliwość jej centralnej dystrybucji i zarządzania. Takimi cechami charakteryzują się opisane dalej Sygate Personal Firewall firmy Sygate Technologies (dawniej Sybergen) i BlackICE Defender firmy Network ICE. Rozwiązania bardziej autonomiczne to Norton Personal Firewall 2000 firmy Symantec i Personal Firewall firmy McAfee.com.

Bezpieczny desktop

Sygate Personal Firewall skutecznie zakrywa wszystkie porty - potencjalny haker może odnosić wrażenie, że maszyna jest odłączona od sieci lub wyłączona. Program uniemożliwia uzyskanie jakichkolwiek informacji, dostępnych zazwyczaj na komputerach podpiętych bezpośrednio do Internetu, takich jak nazwa komputera i jego użytkownika lub grupy użytkowników. Używany z Sygate Management Server może efektywnie i dostatecznie zabezpieczać również środowisko korporacyjne.

Panel sterujący programu jest bardzo prosty. Można z niego blokować każdy port, a program pozwala specyfikować ruch TCP, UDP lub oba naraz. Personal Firewall zawiera także zaawansowane wsparcie protokołu ICMP (Internet Control Message Protocol), ze sterowaniem opartym na typie ICMP, a także wsparcie pcAnywhere Symanteca.

Panel sterowania pozwala na ustawienie pięciu stopni ochrony: "bardzo wysoki", "wysoki", "średni", "niski" i "wyłączony". Stopnie "bardzo wysoki" i "wyłączony" to pozycje skrajne - praktycznie uniemożliwiają one korzystanie z komputera w sieci (pierwszy ze względu na całkowitą blokadę, drugi z uwagi na pełne otwarcie). Stopień "wysoki" umożliwia dostęp do Internetu przez Internet Explorer i Outlook, zachowując jednocześnie wysoki poziom bezpieczeństwa. Inne aplikacje, aby mogły być używane, muszą być wprowadzone na listę aplikacji dopuszczonych do użytkowania w sieci. Aplikacje, które mają gwarantowany dostęp do sieci, zachowują ten dostęp niezależnie od ustawionego poziomu ochrony. Sygate Personal Firewall pozwala administratorom ustawiać poziom ochrony przypisany do określonych przedziałów czasowych w ciągu dnia. Umożliwia to zwiększenie zakresu dostępu w ciągu dnia pracy i uszczelnianie go w godzinach popołudniowych i nocnych. W pakiecie można znaleźć wiele praktycznych funkcji, takich jak powiadamianie o incydentach za pośrednictwem poczty elektronicznej i zabezpieczanie hasłem.

Okno konfiguracyjne pakietu oferuje szereg możliwości. Zaawansowane ustawienia portu mogą być adjustowane ręcznie lub według typowych szablonów, takich jak: "allow to browse Network Neighborhood" czy "share via Network Neighborhood". Inne opcje to wybierane jednym kliknięciem DHCP (Dynamic Host Configuration Protocol), kilka dobrze znanych VPN, pcAnywhere itp. W przypadku ręcznego sterowania dostępem do portu można otwierać specyficzne porty lokalne dla portów zewnętrznych, jak również dopuścić wewnętrzny dostęp aplikacyjny przez specyficzne porty. Obie opcje mogą być ustawiane zarówno dla ruchu TCP, jak i UDP (lub obu naraz).