» Firewall (фаерволл) для Windows server, что выбрать?

я перебробовал многие связки иса+экчанже, - не понравилось хотя все стабильно работало, много надо искать под них, тогда я не знал про этот форум(может его и небыло) например, плагины для подсчета трафика кажого пользователя, блаклисты банеров, которые оч. неудобно прописывать, меня просто бесило отсутствие возможности резать рекламу например по размеру картинки 468х60 или по адресу *baner*
щас проблема резки банеров уже практически не актуальна, друие каналы... но лучше фаервола чем в unix не придумали под НТ, поэтому опуская другие связки на чем я остановился..

стандартный 2к сервер(2 сетевые инетная и офисная), в нем виртуальная машина(virtualPC, WMWare не помню что именно ставил) в ней Unix с поднятым фаерволом, а сама 2ксервер уже с почтовиком антивиром, MSSQL(для сайта) и поднятым НАТ(с его фаерволом если можно так сказать.. ) для распределения инета по офису.. (нужен был бы прокси поставил бы наверное сквидНТ, всякие керио, вингейты,... многово не умеют)

вариает ставить в виртуальную машину например вин2к с NIS2004 тоже катит, просто UNIX фаервол лучший!!

Ищется тупой файрвол (способный работать под в2к сервером), у которого собственный интеллект отсутсвует напрочь )
То есть который надо ручками настраивать (и желательно все), потому что все опробованные почему-то путают интерфейсы ;((
все почему-то считают что интернет - это модем, и от него надо защищаться, а на самом деле это одна из сетевух (другая смотрит в локалку) )
керио не пошел именно по этой причине ;((
нат не актуален )

Others
Visnetic Firewall 2.2

тогда VisNetic Firewall идеален. подтверждаю.

euserz
SXP
cпасибо, это то что нужно!

ALL
http://twtelecom.dl.sourceforge.net/sourceforge/tdifw/tdifw-1.3.2.zip - очень интересный файрвол, будет приятен линуксоидам, фри, в32

Цитата:

VisNetic Firewall идеален

У меня он успешно откопал модем, которого никогда не было, откуда-то достал ещё одну сетевуху, причем IP оказался таким же, как и на единственной установленной на компе. В окончание добил записываемым в лог каждые полсекунды сообщением: "Unknown packet on unknown interface", хотя все левые интерфейсы я отключил.

VisNetic Firewall неплохое решение, но самое лучшее это ISA - лучшего файервола под винды человечество несоздавало

ISA - монстр, без книжки его настроить очень сложно, а VisNetic - имхо лучший файервол для небольшой сети, особенно если админ не лопух и знает основы TCP/IP

Others
togda uze ludse vot etot rulezzzz
http://www.fx.dk/firewall-windows.php

Добавлено

Цитата:

лучшего файервола под винды человечество несоздавало

sozdavalo
naprimer opat ze http://www.fx.dk/firewall-windows.php

SXP

Цитата:

sozdavalo
naprimer opat ze http://www.fx.dk/firewall-windows.php

они, по крайней мере, из разных весовых категорий... :|

Парни! А где взять нотации по портам? Где и какой порт за что отвечает? А то их столько, аж голова кругом? У меня АутПост. Короче, хочется научиться закрывать дырки...
Буду весьма благодарен откликнувшимся. Если моно, плиз на мыло статьи али ссылки на умные тугаменты...
900258@mail.kz

Rahol
По продуктам MS: http://support.microsoft.com/default.aspx?scid=kb;en-us;832017
Вообще: www.iana.org и в /etc/services в любом Unix.

Я выбрал Traffic Inspector - www.smart-soft.ru

Rahol

Цитата:

Парни! А где взять нотации по портам? Где и какой порт за что отвечает? А то их столько, аж голова кругом? У меня АутПост. Короче, хочется научиться закрывать дырки...
Буду весьма благодарен откликнувшимся. Если моно, плиз на мыло статьи али ссылки на умные тугаменты...
900258@mail.kz

http://www.iana.org/assignments/port-numbers

вот описание , а вообще это все описано в RFC

какую-то фигню вы в шапке написали!
Тема - фаерволы для СЕРВЕРОВ.
Например, поставьте Outpost на сервер да еще лучше на маршрутизатор - посмотрим кому он много пользы принес =)
А откуда взялся Symantec Enterprise Firewall я вообще не понимаю, он в жизни на контроллер домена не встанет даже.
В общем запарился я, все перебрал по-моему что только есть, ничего из стоящего не хочет на сервере нормально работать, а то что работает очень скудны по настройкам и возможностям.
У кого что стоит на серверах, которые являются маршрутизаторами и контроллерами домена под Win2003? Я уже пол года ищу.
П.С.: аутпост не предлагать, да он работает, но транзитные пакеты режет на корню на шлюзах, но и это можно попборотть, но при таком раскладе фаервол уже ничего не блокирует=)

AlexTitov
Выставлять контроллер домена в Инет - не есть хорошо. НИКОГДА! Лучше специально для роутера выделить отдельную машину и уже на нее ставить FireWall

psj
Полностью согласен, но финансы поют романсы....

AlexTitov
Затраты могут быть не такими уж и большими, просто надо пересмотреть конфигурацию сети.
Например: Если Вы имеете Инет через какой нибудь умный ADSL модем, то FireWall можно поднять на нем (так же как и NAT), а роутить сетку на данный модем можно через какую либо рабочую станцию. Т.е. финансы те же, а будущих проблем меньше.

Смогу ли я добиться такого же положительного результата как на WIN XP установив аутпост на WIN 2003 server работающий в качестве рабочей станции?? (нужен контроль за приложениями лезущими в инет..)

Многоуважаемый ALL!
Помогите найти оптимальное решение:
3 Сервака (Win2k3) на двух развернута Active Directory, третий просто входит в домен.
На последнем стоит почтовый сервак (Mdaemon), WinGate и Zone Alarm Security.
Как такая связка с точки зрения безопасности? Какие будут рекомендации?

Сдается мине, что Аларм не самый лучший фаер для сервака. Хотелось бы такую связку: Серверный фаер на сервак и клиентские части для раб. станций, с единым центром управления. Кто-нить что - либо посоветует по этому поводу?

Добавлено:
Да! сААВсем забыл! выход в инет с третьего сервака, через сетевушку, напрямую смотрящуюю в инет. С одной из клиентских машин доступ в инет через НАТ (кривая прога Гаранта для запроса документов)

admin911

Да вроде всё ок если в вингейте всё закрыть да ещё и закрыть и смотреть по логам в зоне то ваще никто не пробьёться. Да и не слышал о корпоративных файерах.. вот антивири есть а фаеры ну не видел я их безопасность в домене сам домен делает не так ли?.. это для того и делалось и ещё два домена наверно надо так иль у тебя они как резервные иль две сети отдельныЕ? а у того что через NAT не бойся открой ему только порты которые ему нужны и всё.. пусть лазиет.. Хотя я бы посоветовал вингейт сменить на Ису . Уж больно она хорошо порты кроет ..

Почитав топик - решил поэксперементировать - поставить

Agnitum Outpost Firewall v 2.5.375.4822
на сервер терминалов под Win2003 Server

Но есть несколько неприятных моментов (может поэтому этот фаервол - Personal)

Если сервер перезагрузить - то ни один пользователь не может управлять фаерволом. Это можно сделать только войдя как админ - причем через удалённый рабочий стол не катит. Нужно идти в помещение с сервером подключать монитор и мышь и логинится на месте.
А что если какое либо приложение обновит компоненты и админа не будет на месте? Кто сможет обновить/создать правило.
Хотя сейчас вроде всё функционирует - принтеры печатают, 1С загружается...

Что же лучше поставить на сервер терминалов? Тестировать всё подряд - уйдёт много времени и нервов пользователей.

MetroidZ

Имхо против Visnetic Firewall+Safeguard Advanced Security+Толком настроенных политик - не пролезет ни один хрен!!!

для VisNetic пакеты неизвестного протокола обычно оказываются IPXовыми

ИМХО лучший для 2003 Ent SP1

Я никого не хочу обидеть но почитал я пару страниц этого топика и как то грустно стало не знаю даже как сказать но как то все не правильно, есть же все таки правила построения сети и так сказать не писаные законы . Dc на которых установлены фаерволы и SQL и Почта, и WEB , Proxy и тд, я уже не говорю про то что они еще и в интернет смотрят. Я не говорю о маленьких дом сетях или Васек и Сотоварищи но фирма которая позволила себе приобрести 2003 сервер SQL 1С должна и может себе позволить как минимум купить Pentium 3 +512mb ram или hardware firewall класса SOHO и как минимум отделить проблемы firewall и доступа в интернет на отдельную машину. И если это не понимает начальство то обязаность админа прожжужать начальству об этом все уши и обьяснить всю ситуацию и чем это грозит.

Такая бодяга: дома 2 компа соединены по локалки
1 комп - на нем стоит АДСЛ модем
2 комп - на нем работаю я , и он выходит в инет через 1 комп.
Так вот , нужен фаирвол ,который достаточно было бы поставить на 1-й комп и чтобы он защищал и второй ...
Какой фаир посоветуете ставить?

Всем привет!
Столкнулся с проблемой - стоит 2003 Standart Edition. На нем стоит BlackIce 3.6 Server Protection. И вот недавно он начал падать - запускает отладку с последующим падением в синий экран. Что это? У кого-нить было такое?

EndoR тоже стоит BlackIce 3.6 Server Protection нa серверe 2003 Standart Edition (дедик) в свяzке с Kerio Server FireWall все как часы ... толкько в BlackIce отключил чтобы не следила за приложениями (до етого тоже были грабли)

Цитата:

Alex Titov
какую-то фигню вы в шапке написали!

Ну хоть кто-то это сказал... Действительно, о каких Outpost-ах речь?! Аутпост - это полуфабрикат для резанья баннеров. Если уж говорить о серверных решениях - imho лучше присмотреться к Kerio Server Firewall.

2h00021C
я тоже эту фичу сразу отключил. имхо, задалбывает она