» Лучший домашний фаерволл firewall - сравниваем и обсуждаем

интересно, а ISA/Forefront TMG относится к межсетевым экранам ) ?

не наблюдаю его в списке.

ИМХО

Проще вынести на железку , а для максимальной секурности юзать штатное ПО.

Вообще-то лучшая комбинация - Cisco 88xW + ISA 2006 SP1/Forefront TMG - если ресурсы позволяют )

а домашний вариант - Asus WL500W + Vista firewall (грамотно настроенный).

sonarlunar

Цитата:

Vista firewall (грамотно настроенный).

С этого момента поподробнее пожалуйста. Было бы неплохо ссылку на какой-нибудь мануал или FAQ.

sonarlunar

Тогда уж ставь Gardian. И Sun Station под Sun OS 2.6 или Solaris для запуска его консоли. Прости, но я лично поделию от Микрософт не доверяю. На Win есть Jetico V2, а нормальный брандмауэр собирается только на UNIX системах. Микрософт конечно контора хорошая, но они играют по определённым отраслевым правилам, а согласно им они обязаны дать возможность заработать и авторам независимого софта. Что и "честно" делают.

mrdime
а зачем подробней, это как Vista antivirus(кто видел, тот поймет)....

mrdime

Гм, а встроенный хелп в Vista пробовали юзать ?

Если нужны лучшие практики, то они аналогичны других практикам настройки любых других межсетевых экранов.


Victor_VG



Цитата:

Прости, но я лично поделию от Микрософт не доверяю. На Win есть Jetico V2, а нормальный брандмауэр собирается только на UNIX системах.

Не спорю есть аналогичные решения под UNIX, порою и более функциональные (см. iptables, pf), но что ты подразумеваешь под нормальным межсетевым экраном?

Если функциональность - см. выше, если безопасность - начиная с версии 2004 не найдено не одной критической уязвимости в продуктах линейки ISA.

Основное преимущество ISA - высокая степень интеграции м другими продуктами Microsoft (к примеру публикация Exchange, Sharepoint и т.п.)

Основной недостаток - неполная поддержка NAT (механизмы Destination NAT и Port Triggering реализованы частично)

George_S

Цитата:

mrdime
а зачем подробней, это как Vista antivirus(кто видел, тот поймет)....

хм, может имеется ввиду Windows Defender или Forefront Client Security.

sonarlunar

Цитата:

Гм, а встроенный хелп в Vista пробовали юзать ?

Редко встречал полезную информацию в стандартных виндовых хелпах.
Я думал есть какие-то нюансы, скрытые возможности...

mrdime

Как не странно, толковый хелп появился еще во времена Windows ME )
Даже матерые админы не гнушались полистать оные хелпы.


К тому же в Vista нужно ответить утвердительно на вопрос нужно ли подключатся к Интернету для расширенной справки.
Насколько мне известно во всех больших продуктах Micriosoft версий 2007 и выше есть подключение к онлайн хелпу.

Цитата:

На Win есть Jetico V2, а нормальный брандмауэр собирается только на UNIX системах.

Вот хоть ещё-бы пару доказательств

Victor_VG
вот-вот я лучше вышеупомянутой связки пока не видел. SSL-инспектинг там есть? а вменяемая публикация СЕРВИСОВ, а нормальная интеграция с AD ?

Существует ли win файрволл под под такую задачу:
нужно не дать определённым udp пакетам дойти до клиента или сервера, желательно чтобы пакеты можно было фильровать по содержимому (т.е. offset hex'у например)

Essei

Цитата:

желательно чтобы пакеты можно было фильровать по содержимому (т.е. offset hex'у например)

В win видимо не получится
ЗЫ Не уверен что в NIX возможно (потребуется компьютер большой мощности из за самих UDP дейтограмм)

Почему большой мощности? В приципе можно ограничить ограничение по отдельному приложению и примерному размеру пакета. Я просто где-то видел уже такой вопрос, там советовали писать софт самому используя низкоуровневые драйвера пакета WinPCap, я думал что уже наверно написано...

Essei

Цитата:

Почему большой мощности?

Для NIX - думаю понятно почему (нету там отдельного приложения Iptables).

Цитата:

В приципе можно ограничить ограничение по отдельному приложению

Тогда в чем вопрос - можно просто запретить само приложение - исходящие UDP

Цитата:

и примерному размеру пакета

Информацию о длине придется извлекать из заголовка и успевать при этом еще производить анализ и решение о запрете/разрешении.
Учитывая размер UDP дейтаграммы - компьютер нужен мощный

Цитата:

там советовали писать софт самому используя низкоуровневые драйвера пакета WinPCap

Всего чуть-чуть...

Цитата:

я думал что уже наверно написано...

Увы, и вряд ли будет в ближайшее время. Если тебе интересно-посмотри что-нибудь из BSD фаерволов - возможно там...
Или может есть другое не тяжёлое решение
могу ошибаться - твоя задача не простая

Essei
Для затравки посмотри вот это. А для серьёзных экспериментов в Windows DDK есть исходные коды драйвера Passthru, который просто пропускает пакеты через себя. Бери и модифицируй -- вариантов на его основе много

TeXpert, благодарствую, достаточно интересная статейка, займусь своей проблемой вплотную

А почему в таблице сверху нет Online Armor Personal Firewall, который победил в тестах matousec.com?

После того как Comodo стал все в одном перебрался на Online Armor Personal Firewall и не разу за это время не пожалел об этом.

Цитата:

После того как Comodo стал все в одном перебрался на Online Armor Personal Firewall и не разу за это время не пожалел об этом

Еще-бы научить бесплатную версию работать с IP адресами...

За Kerio 2.1.5! C ним по удобству-простоте сравнится только не менее старый ATGuard.

Единственное, чего не хватает в керио - расширенного контроля комонентов, когда файрволом регистрируется не только основная программа, но и пользующиеся ею впоследствие *.dll.
В этом случае, к керио можно присобачить SSM - это будет жжжуть )

Если, вдруг, кому-то понадобится: Kerio 2.1.5 + rusificator + already rusificated files http://ifolder.ru/10049407

P.S.: связка лучше с Avira, кстати. Так как выяснилось при беглом осмотре, что с NOD 3x версии файрвол не выполняет свою функцию нормально, так как NOD забирает в любом из случаев (даже при отключении проверочной части) весь трафиик на себя и проводит его через себя. Так что разрешение программе локального 127.0.0.1 доступа автоматом дает ей права на выход в инет (по-крайней мере по HTTP и POP3, и, вроде, не только).

Кто-нибудь пробывал бесплатный фаервол - GhostWall ?
Страничка _http://www.ghostsecurity.com/ghostwall/
Заявлено:
- низкие системные требования
- поддержка 64-битных систем (GhostWall runs on Windows XP, 2000, 2003, XP64)
- прост и легок в использовании
- дистрибьютив текущей версии 656 Кб

Fortknox Personal Firewall 2006
Юзал кто? Опишите впечатления пожалуйста.

Интересуют за и против:
Symantec Endpoint Protection (только firewall) vs Agnitum Outpost Firewall Pro
Не знаю что ставить (оставить), сейчас стоит Symantec Endpoint Protection (частично -> только firewall) - нравиться (визуально, вид логов, что-то там блокирует: скан портов , ..., наверно потому что "похож" на Sygate PF (знаю что Symantec купил), т.к. нет тестов не знаю как он. Правила + Немного Настроек, и вроде нормально работает и защищает.
Agnitum Outpost Firewall Pro - много всего, и нужного и нет, не буду описывать, т.к. распространён и все его и так знают.
На компьютере система WinXP x64 и будет выход в сеть только для 3-х приложений: Firefox, Thunderbird и uTorrent, остальное всё должно по тихому блокироваться.
Интересует хорошая Система обнаружения и предупреждения сетевых атак и вторжений (IDS/IPS), от сканирования портов, ..., надёжная стена, самозащита, ...
Что плохого скажите о Symantec Endpoint Protection, точнее о Network Threat Protection?

Цитата:

Что плохого скажите о Symantec Endpoint Protection, точнее о Network Threat Protection?

невозможность задать имя хоста, а не ип. но к этому привыкаешь =)

Просьба подсказать как с помощью wipfw закрыть все сайты кроме определенных

или

как это можно сделать через ./WINDOWS/system32/drivers/etc/hosts ???

OnLine Armor Free - в общем неплох

august23
Настройки тут

Снес KWF 6.5. Ниасилил. Посоветуйте корпоративный фаер под Win 2003.

andreytp
Symantec Client Security, после небольшой правки
Symantec Endpoint Protection

andreytp
TeXpert
Имхо вам туда Firewall (фаерволл) для Windows server, что выбрать?

Как себя ведет третий Comodo в паре с Avira Antivir? Или стоит ограничиться файрволом от Авиры? Прятать особо нечего, сеть Стрим.