» Лучший домашний фаерволл firewall - сравниваем и обсуждаем

KUSA
WIGF
Спасибо за ответы.
Само собой, чётко настроенная программа для защиты безопасности априоре должна пройти все тесты... Но Фаер от PC Tools был тоже настроен не ахти как, точьнее внём были повторены основные советы, которыми я пользовался и при настройке KIS.


Цитата:

пользуйтесь при настройке фаера простым принципом: "разрешаем только то, что необходимо для нормальной работы и допустимо, а всё остальное запрещаем".

Пользуюсь именно этим принципом, но мне зачастую просто не известно "что необходимо для нормальной работы", отсюда и главнвая дырка в безопасности "пользователь", а не "окна" и всё что с этим связанно.
Я очень далёк от компьютерной грамотности(не только компьтерной) и компьютерной безопасности в частности. Всегда было лень этим заниматься.
Linux [more=]
Linux решение.... Скажем так, я почитал о этой ОСи и сложилось такое впечатление, что проблем по подбору необходимого ПО под Линух, выбор самого дистрибутива из массы вариантов, драйверов под устройства и + решение проблемм совместимости с Окнами(обмен файлами фото, видео, музыка), сверхом перекрывает проблеммы возникающие при работе с Windows на домашнем ПК[/more]

sanni00015

Цитата:

мне зачастую просто не известно "что необходимо для нормальной работы"

ну так в теме по настройке фаеров есть таблица, смотри по ней и все дела.

sanni00015, чтобы узнать, что необходимо, можно для неизвестных программ временно запрещать какие-то соединения и смотреть на их работоспособность. Можно и более тщательно подходить к этому: смотреть с помощью снифера что за пакеты отправляются/принимаются, но это скорее для спецов-параноиков или для совсем неизвестных программ.
[more=offtop]А в линуксе всё есть. И проблемы с дровами могут быть только для экзотических устройств или неразвитых дистрибутивов, по остальным обязательно найдётся инструкция по установке конкретных дров, ну и список подходящего железа обычно имеется у каждого дистрибутива. А уж с программами и пересылкой файлов проблем никаких нет. В конце концов, есть wine (или аналоги), из-под которого можно запустить многие windows-приложения. Вот с играми могут быть проблемы, а с другим софтом вряд ли... Хотя я в линуксе мало сижу, но проблем с ним не было (с обычным софтом).[/more]

В продолжение темы Linux. Вот посмотрите на скриншоты Firestarter (это GUI для iptables). По-моему, очень даже неплохо. Здесь wiki-статья о настройке (на немецком).

estimated, только я вот в этом GUI в своё время не нашёл как мне разрешить протокол GRE... хотя может плохо искал, но ведь искать-то особо и негде.

WIGF: да, похоже у этого GUI проблемы с GRE. Может, когда-нибудь и исправят. А пока придется напрямую через iptables.

estimated, на оф.сайте как раз была инструкция по разрешению доступа по GRE и там прям и было написано, что делается это не через GUI - http://www.fs-security.com/docs/vpn.php
Кстати, продукт уже давно не развивается: последняя версия датирована 31.01.2005г. так что исправлений не предвидится.

(а в подборке гугла третья ссылка на мой пост )

Я только что нашел офигенный маленький бесплатный файрвол для Win7,
который так и называется: Windows 7 Firewall Control
Выполняет всего одну важную функцию: при обноружении попытки доступа в интернет программы спрашивает разрешить ей или нет, причем сопровождается очень информативным окном и wav сигналом. Рекомендую.
http://www.sphinx-soft.com/Vista/order.html
Список возможностей:
Designed for Windows 7 & Vista
Free versions available
Decreases expenses of mobile/satellite connections
Zone based network permissions management
Integration with Window Explorer for direct access permission management
Integration with Windows Security Center
Instant notifications of blocked activity
Special editions for portable devices (USB flash/HDD drives, iPod etc)
Special editions for U3 smart devices
Protection from incoming and outgoing threats
External network connection (firewall/router) box support
Automatic network connection box detection/management
External/worldwide access to selected local application
Port Forwarding management
Automatic Port Forwarding-to-applications synchronization
Simplicity of operation
Per-application security settings
Group zone and application network access permission management
IPv6 support

embrace909
Этот офигенный бесплатный файрволл на самом деле является не чем иным, как сторонней надстройкой над встроенным файрволлом Виста/Windows 7.

http://vagor.info/2009/07/08/windows-7-firewall-control/

На самом деле всю работу выполняет встроенный файер. А эта надстройка лишь упрощает жизнь пользователю.

Цитата:

На самом деле всю работу выполняет встроенный файер. А эта надстройка лишь упрощает жизнь пользователю.

Возможно это именно то, чего не хватало встроенному брандмауэру?

acro
Согласен, действительно полезная вещь. Встроенный файрволл в Виста/Windows 7 на самом деле очень хорош, особенно если его ручками настроить, но он предоставляет пользователю слишком мало информации.

Deleted, все понял сам.

WIGF

Цитата:

"разрешаем только то, что необходимо для нормальной работы и допустимо, а всё остальное запрещаем".

стало интересно - а какие файрволы могут обеспечить это "классическое правило"? у меня, например, в Kerio 2.1.5 есть пару глобальных запрещающих правил:
Incoming TCP ==========================
Incoming UDP ==========================
это - запрет на все входящее по этим протоколам.

все, что нуждается в разрешении входящих - помещается выше этих правил. многие файры могут обеспечить хотя бы эту простую логику - исполнять правила сверху-вниз? и как с этим во встроенном файре в Win*?

speakerr

Цитата:

многие файры могут обеспечить хотя бы эту простую логику

Большинство новых феров к сожалению сделаны по схеме
Цитата:

разрешаем только то, что необходимо для нормальной работы и допустимо, а всё остальное запрещаем"

speakerr, не очень понял... А разве есть фаеры, которые иначе работают ? Вроде как они все сверху вниз проверят правила. Но бывает по-разному работает совместное использование пакетного фильтра и фильтра приложений в одном продукте: разная очерёдность при входящих/исходящих, да и, например, во второй версии COMODO можно выключать один из этих модулей и работать будет только другой.
Но это всё в общем случае, а частности отдельных фаеров в наше время как раз и предполагают то, что выше написал KUSA, т.к. полно всяких непонятных дырок бывает (думаешь, что по умолчанию должно какое-то соединение блочится, а оно разрешено и нигде об этом ничего в фаере не говорится).

WIGF

Цитата:

не очень понял... А разве есть фаеры, которые иначе работают ?

хм. если ты мне расскажешь логику работы файра Win* - я его включу. и если она окажается "правила сверху-вниз".

Предпочитаю Comodo

Добавлено:
Предпочитаю Comodo

понравился интерфейс и настройки в VipNet "Персональный сетевой экран" - кто что скажет по поводу этого зверя?

Сейчас все известные антивирусные производители начали выпускать свои варианты встроенных фаэрволов. КИС; Панда, вот еще интересно по этому поводу Symantec End Point Protection. Но я полагаю, что до специализированных фаэрволов известных брэндов им далеко. Так что выбрать, Comodo? Outpost или?
Хотелось бы иметь очень наглядный мониторинг по портам, соединениям, протоколам и т.д. Ни у одной из антивирусных программ я этого не видел. Там все закрыто, с надписью Ваш компьютер защищен, или была сетевая атака, отражена.
Профессиональных же настроек и анализа они не позволяют так как бы хотелось.

speakerr, в брандмауэре виндоса контролируются только входящие. Все исходящие по умолчанию разрешены. По входящим можно указать, каким именно приложениям и на какие порты разрешены подключения, остальные входящие можно запретить и отключить запросы. Это, конечно, не "сверху вниз", но для простой защиты от левых входящих вполне подойдёт (логика запрета всего, что не разрешено, действует).

P.S. Я так и не понял: это проверка меня на знание функций брандмауэра или реально не знаете, что делает брандмауэр ?
Вот с картинками про него - http://www.ixbt.com/soft/windows-xp-sp2-firewall.shtml

Цитата:

Профессиональных же настроек и анализа они не позволяют так как бы хотелось.

Посмотри на Jetico Personal Firewall,
там ручных настроек каждая мелочь, так что он меня сильно раздражает.

WIGF
контроль исходящего трафика был уже во встроенном брандмауэре Висты, он есть и в Windows 7. Администрирование - Брандмауэр Windows в режиме повышенной безопасности.

Andrey100KZ, я так до этих осей и не дошёл... сменил дорогу
Точнее на практике не смотрел, а так то знаю, но писал свой пост с позиций XP (по привычке).

достаточно windows 7 firewall для домашней локалки (~ 400 компов)

Chainyk1
a ты в его надежности уверен?

...по этому спрашиваю достаточно ли

Chainyk1
без знака вопроса?

Chainyk1
Не достаточно. Первая же эпидемия червя поставит локалку и вас на колени.

Так какой тогда лучше всего поставить для дома на семёрку ?

Neville, из того, что я успел заметить, многие форумчане пользующиеся фри софтом, сидят на Comodo, сам я выбираю между ним и PC Tools Firewall Plus™. На ПК стоит Nod ESS (3 лиц.) купленная, но на ноут буду ставить фри софт. У Comodo я так понял ещё и HIPS встроен.
ссылка на Comodo из шапки (где я её взял) ведёт на давно закрытый топик заменил(выше по тексту) на активную.

Chainyk1

Цитата:

достаточно windows 7 firewall для домашней локалки (~ 400 компов)

ты куда файрвол хочешь поставить и что защищать? общую локальную сеть от инета? или свой комп в локальной сети? imho, как персональный файрвол, если есть контроль за исходящими в семерке, и если разберешься - почему бы и нет...

redwhiterus

Цитата:

Не достаточно. Первая же эпидемия червя поставит локалку и вас на колени.

хм. поясни, пожалуйста, как файрвол может уберечь от червя? новости из мира фантазий.