Кроме того, в персональных межсетевых экранах присутствует фильтр приложений (Application Control), с помощью которого можно разрешить или запретить установленному ПО доступ к Интернету.

Многие программные брандмауэры предлагают дополнительные возможности — например, режим самообучения, который подстраивает правила фильтрации под поведение пользователя. Контент-фильтры блокируют компоненты ActiveX, Java-скрипты и прочие подобные элементы. Как прави-

ло такие брандмауэры помечаются как веб-щит (Webshield или Web Application Firewall). Между тем наиболее востребованными являются версии, оснащенные режимом «Невидимка» (Stealth Mode), в котором брандмауэр просто блокирует все запросы к неиспользуемым портам.

Важной функцией, которую можно найти почти во всех аппаратных сетевых экранах, является «Фильт-

рация с учетом контекста», или SPI (Stateful Packet Inspection). Она динамически расширяет привычные фиксированные правила фильтрации. Например, при запуске браузера параллельно создаются несколько соединений и открываются различные службы, которые нередко одновременно отправляют и получают пакеты данных. При проверке такого пакета SPI присваивает соединению статус. При этом определяется ряд параметров. Относится ли этот пакет к установленному соединению? Требуется ли браузеру получение ответных данных? На основании этих и многих других запросов брандмауэр решает, стоит ли блокировать или пропустить тот или иной пакет данных.