» Firewall (фаерволл) для Windows server, что выбрать?

Duke Shadow

Цитата:

Зачем ты его так грубо?!

Да с ним какие то чудеса творятся, раньше когда то стоял, всё нормально было, единственное расстраивало, что он очень сильно ел процессор и сетка тормозила. Правда комп тогда слабенький был п3-1000 всего лишь. А сейчас стоит п4-3000, вот его хватает теперь с головой, НО киря творит теперь чудеса, разрешаю всё, всё, а аська и ирка не работает и понять не могу в чем проблема. Уже и последнюю версию ставил, нема

А ссылочку на Basic Firewall можешь дать?

PAV2
В общем, в RRAS на внешнем интерфейсе достаточно включить NAT, чтобы внутренняя локалка могла лазить наружу. При включении basic firewall входящие подключения будут закрыты.
Для некоторого управления предназначены такие вещи как закладка "Services and Ports", где можно выбрать, какие сервисы у тебя в сети есть (открывает, естественно, всем) и на основной закладке (NAT/Basic Firewall) две кнопки "inbound filters" и "outbound filters" управляющие, соответственно, входящими и исходящими соединениями на данном интерфейсе.
Там можно задать политику "Drop all packets except below list", после чего с помощью кнопочки New надо заполнить то, что ты хочешь разрешить.
Возможно я ошибаюсь (давно дело было), но пробрасываемые по NAT соединения, считаются в Basic Firewall входящими на внешний сетевой адаптер - это необходимо учесть.

Цитата:

что он очень сильно ел процессор

Это бывает от двух вещей:
1) Перегрузка из-за лишних сервисов. Лечится. Вырубаешь всё, что не нужно (DHCP сервер, SMTP relay и т.п.) и отключаешь анализаторы проходящего трафика и инспекторы протоколов.
2) Перегрузка из-за большого списка правил. До определённой степени лечится оптимизацией (например, не редкость забивание в правила страшенного списка IP-адресов вместо определения подсети или диапазона).
У меня на P3-800 работал нормально.

Цитата:

НО киря творит теперь чудеса, разрешаю всё, всё, а аська и ирка не работает и понять не могу в чем проблема.

Посмотри на ограничение максимально числа коннектов. Плюс журнал filter - там все прибитые KWF пакеты пишутся.

Есть сервер стоящий в дата центре. Сервер используется как ДНС и ВЕБ сервер.

Скажите какой фаервол для него поставить?

Нужно что бы фаервол мог:
- закрывать входящие и исходящие порты,
- блокировать внешние запросы с определенных ип и подсетей,
- определял атаки на сервер и блокировал ип атакующего.

Пытался поставить ISA, но так в нем и не разобрался. Мне показалось, что он слишком громосткий для одного сервера.

sprka
Kerio WinRoute смотрел?

Duke Shadow

Цитата:

В качестве варианта имею "на прицеле" wipfw

А что, в wipfw ввели divert уже? когда? Или ты требование NAT как-то по другому реализуешь? Поясни, мне тоже wipfw очень интересен.

AVE2
Если честно, то т.к. ответов на мой вопрос не шибко "навалило", то пока я по-прежнему выбираю Параллельно обсуждая в несколько другом месте.
На сайте wipfw написано, что в последней версии линейки 0.2 вполне спокойно используется встроенный виндовый NAT. А в линейке 0.3 (находящейся в стадии тестирования) NAT уже появился встроенный.

Подскажите, кто знает!
Приживется ли ИСА на сервере WIN 2003, который одновременно является и доменным контроллером с двумя сетевухами. Ну и с НОДом не поругается?
Просто для маленькой сети накладно выставлять отдельную машину для шлюза.

Цитата:

Подскажите, кто знает!
Приживется ли ИСА на сервере WIN 2003, который одновременно является и доменным контроллером с двумя сетевухами. Ну и с НОДом не поругается?
Просто для маленькой сети накладно выставлять отдельную машину для шлюза

Извини конечно как спросил так и отвечу. ДА! Приживется.

Посмотрел тут посты с 2002!!! года!!! А как дела в 2006/2007 обстоят с файрами?

Лучше покупать железный, вот как обстоят))

Ищу firewall на подобии керио сервер файрволл, т.е полностью такой же функционал и желательно наглядный интерфейс. От КСВ пришлось отказаться ввиду нестабильности (в W2k3sp2) и отсутсвия обновлений.
"Комбайны" ставить не хочу, половина функционала попросту не нужна.
Заранее спасибо за помощь

Cruh
ставил OP 4 - бсоды замучили
ставил OP 6 - стабильно, но блочит некоторые методы - не нашел как лечить

тоже мучаюсь теперь выбором..

Программа Lan2net NAT Firewall защищает от внешних посягательств и имеет на борту NAT
Изначально имеет русскоязычный интерфейс.
Пожалуйста расскажите о опыте эксплуатации данного софта на серверах под ОС 2003

karobas2007, у меня не стал работать с RRAS на win2003. пришлось снести.

Вот меня в полне устраивает как работает виндовый NAT
А фаервол 2003 сервера не устраивает
Ну нет функции блокировки различных атак, не очень продумана работа с портами и протоколами.. Интересуют чисто функции разрешения допуска на выбранные порты по определённым протоколам и связанные с определёнными программами. Всякий перебор портов или попытка конекта на неустановленные программы должны жёстко блокироваться и IP злодея закрываться на доступ.
Чтоб такого не слишком тормозного можно поставить чтоб уверено обрабатывало 300 запросов клиентов бес тормозов?

Цитата:

[/q]
[q]
Ищу firewall на подобии керио сервер файрволл, т.е полностью такой же функционал и желательно наглядный интерфейс. От КСВ пришлось отказаться ввиду нестабильности (в W2k3sp2) и отсутсвия обновлений.
"Комбайны" ставить не хочу, половина функционала попросту не нужна.
Заранее спасибо за помощь

+1

Очередной раз пал смертью храбрых последняя версия KWF, пришлось временно включить "брандмауэр с расширенной безопасностью (WFAS)" от винды (сервер 2008) на первый взгляд довольно интересный он там стал, не то что в ХП когда то был)
Посмотрев, полазив, он меня полностью устроил. Так вот, чем он так плох на фоне представленых фаерволов? Угробленную функциональность в счет не берем.

Пожалуйста поделитесь опытом использования firewall на W2k3 (желательно W2k3sp2). У кого то есть проверенные и надежные решения по этому вопросу?

пока юзаем 8signs firewall, но он не наглядный, не показывает какие проги используют порты, кто присоединен к серву и тому-подобное + пропускает атаки некоторые((
хотя настраивается очень легко, даже с нулевыми знаниями английского.
отлично работает с RRAS в win2003, показывает что есть 2 сетевухи (одна внешная, другая на локалку) и VPN соединения с корбиной.

поэтому ищем помесь 8signs с персональным фаером.

maxim317

Цитата:

поэтому ищем помесь 8signs с персональным фаером.

Outpost Network Security

Tantos ставил. неудобно из-за разреденной на серверную и клиентскую часть.

А кто что скажет про встроенный в Server 2008 Фаерволл?
Насколько он надежен и можно ли пользоваться только им? (Сеть у нас небольшая, но мелкие тварюки могут побалываться).

Еще ни как не пойму, как в этом встроенном фаере реализовать правило: "запретить все кроме входящих на 21, 80"

И чем можно жестко потестировать фаерволл с клиентской машины, дабы узреть протечки?

Цитата:

И чем можно жестко потестировать фаерволл с клиентской машины, дабы узреть протечки?

C клиента nmap (nmap.org), с внешки тем же nmap или сервис nmap-online.com

Tantos только что стер его с большим удовольствием.

Не плохой фаер есть в КИСе(mod KIS 7.0.1.325 устанавливается на win 2003 и win2003_SP2, выкладывал в варезнике) + АВ. Вот только это патченные версии( И "в открытую" с ним не поработаешь. Но если все, что установленно на компе (как у меня), пизж.ное и не боитесь прихода дядек с корочками то не вопрос.

а чем лучше защитить тeрминальный сервер? (стоит в инете) желательно с возможностью удаленной установки .

Цитата:

а чем лучше защитить тeрминальный сервер? (стоит в инете) желательно с возможностью удаленной установки .

Ну как Вам сказать.....TokImota

1. Поставить "железный" роутер (в идеале Cisco+radius) Все секьюрно и безхлопотно. Поставил - забыл. Ну это если есть деньги.

2. Если с деньгами туго, то тогда ssh вам в руки.
Подробнее:
a) Поднимаем на сервере ssh
б) Закрываем фаером(ну, тут выбор относительно большой...) ВСЕ порты кроме того, который будет слушать ssh сервер
в) Ну а далее ssh-tunnel между сервером и клиентом
ssh -L 13389:localhost:3389
ВСЕ. Клиент через mstsc коннектиться не к удаленному серверу(там все равно некчему), а на localhost:13389. И наслаждаемся удаленным рабочим столом.
(Это практическое решение, в моих 2-х "бюджетных" организациях)

Добрый вечер!!!
ПОдскажите пожалуйста из-за чего может пропасть Windows firewall в Windows 2003 и его нигде нету.

Andrey Duha
Пропасть он может из-за вирусной атаки, к примеру, а восстановить его можно через аплет "Установка и удаление программ" Панели управления.

Добавлено:
Правда, здесь тема несколько иная, так что sorry за

Подскажите фаервол с гибкими настройками для защиты от DDos атак http get флудом (когда на 80 порт посылается много запросов и апач захлёбывается, да и канал тоже)

Outpost firewall PRO (6.5.3)слабо справляется с этой задачей, банит только самые "агрессивные" IP. Нету гибких настроек для автоматического бана атакующих IP вобщем.
Вот хотелось бы найти фаервол с гибкими настройками автоматического обнаружения и временного бана атакующих IP/
Ну или фаервол с модулями или скриптами какими доплнительными. Я вообще кроме Outpost не пробовал ничего честно говоря. Вот хочу у вас спросить.