» Лучший домашний фаерволл firewall - сравниваем и обсуждаем

groomly
Не плохой фаервол, но индивидуальные глюки присутствуют, и как правильно заметили настройка не самая простая, не для новичка.

HarDDroN


Цитата:

если настоящие хакеры тобой займутся ни джетика, ни комодо не помогут)

А что может помочь от настоящих хакеров, что любая защита слаба? Даже криптодиски "Домена-К"

gstmes
я имею ввиду хакерскую атаку (совместную) - закидывают пакетами со скоростью 15000 шт/сек (а может быть и больше) - и всё, канал забивается, и фаервол спокойно может пропустить пакетик хакеров...

Добавлено:
А вообще лучшее средство против хакеров - выдернутый сетевой шнур
Всё вышенаписаное сказано с сарказмом

HarDDroN

Цитата:

фаервол спокойно может пропустить пакетик хакеров...

не согласен фаэрвол у которого драйвер на нижнем уровне блокирует работу сетевого интерфейса при такой атаке только и всего. Например Инфотекс или ОКБ САПР, у них последняя разработка вообще на своей операционной системе, микроконтроллер доверенной загрузки, правда это уже аппаратный сетевой экран - но атаки такого рода ему не страшны и шнур сетевой вытягивать не надо.
Кстати об очень интересном новшестве слышал, что подобные сетевые экраны будут модифицировать обратно отправляемые пакеты от атак, вводя какой-то свой hash code в структуру пакета, не знаю как, но смысл в том, что этот сигнал будет улавливаться в России на всех пунктах прохода Сорм, и таким образом однозначно вычислять исходный host независимо от proxy и т.д, т.е если хакер не использует host жертвы его вычислят, а так вычислят только жертву, но как сказал один знающий человек и над этим работы ведутся, чтобы через жертву вычислить инициатора, вот только как они это делают не знаю, но вот так, но это относится только к сертифицированным ФСТЭК и ФСБ сетевым экранам - Ибо Инфотекс и ОКБ САПР.

gstmes

Цитата:

Всё вышенаписаное сказано с сарказмом

и вообще вы похоже говорите про аппаратные...

брандмауэр windows7 в режиме повышенной безопасности и прямые руки вне конкуренции

Цитата:

канал забивается, и фаервол спокойно может пропустить пакетик

по логике, этого быть не должно. если все же такие фаерволы есть, то выходит что придется их все тестировать на "пробиваемость снаружи", а не прошедших - сразу отбраковывать.

Если фаервол не может корректно отфильтровать входящие пакеты, вообще лучше ничего не ставить, нормальные фаерволы таким не страдают.

в этом то и вопрос, %имяфаера% может или не может. как бы считается что может, но кто это проверяет?)

redwhiterus

Цитата:

Если фаервол не может корректно отфильтровать входящие пакеты, вообще лучше ничего не ставить, нормальные фаерволы таким не страдают.

Читайте написанное мелким шрифтом.

Цитата:

Всё вышенаписаное сказано с сарказмом

tahomavlz

Цитата:

в этом то и вопрос, %имяфаера% может или не может. как бы считается что может, но кто это проверяет?)

лучше попросить друга-линуксоида проверить вас nmap-ом.
Или попросить другого друга (виндоноида) поDoSить вас (такие проги есть).

ну вот не вижу там сарказма.. а возможность пропуска пакетов и правда есть) помнится, про оутпост такое читал, давно..

Цитата:

лучше попросить друга-линуксоида проверить вас nmap-ом.
Или попросить другого друга (виндоноида) поDoSить вас (такие проги есть).

да уж.. проще на виртуалках всё поднять. (тестовые сооружения, в смысле..)

Споры глупые что хуже что лучше.

Считай целесобразным даже в домашних условиях делать на компе шлюз посредству vmware server (другие продукты сложны в освоении, либо требуют отдельное железо под себя (Esxi сервер) либо то и другое))

В качестве шлюза может выступать две вещи: Если очень грамотный в unix системах, совет ставить шлюз на юниксе - минимум оперативки сьест.

Если хочется надежности, мощности рещения (минимум 384мб оперативки выделения под эту виртуалку, лучше 512), наилучшей в мире маршрутизации (программной), защиту от ддос (конечно если будет динамическое выделение оперативки до 512 - 4 гигов хватит на вполне такой нормальный ddos ) ну а главное простоту в освоении -

то ставьте ISA server 2006 enterprise (на платформе windows server 2003 enterprise).

Сейчас сижу на win 7 server (с дополнением sphinx-soft Windows 7 Firewall Control free (для контроля программ) и шлюзом на ISA server 2006. Считаю это самым лучшим решинием, если конечно не лень поразбираться в настройках всего и всея (проброс портов на основной хост и тд).

К сожалению vmware server 2.0++ Еще не имеет официальной поддержки win 7, поэтому вижу некоторые глюки с которыми приходиться считаться. Но на общую работу они не сказываются. Зато все порты находятся в состоянии close. + чтобы пробить основной host, надо сначала взломать виртуальный шлюз и только потом после взлома 20 символьного пароля (рандом с разными раскладками), выходить host с доступом к жесткому диску.

Естественно тру хакер ломанет шустро)) Но тут речь идет о своем удобстве (например маршрутизация у ISA лучшая в мире эт точно...) и оставления с носом всяких умников, которые решили пойти по ступеням тру хакеров)))

P.S. Естественно считаю все выше сказанное ИМХО, но доля правды в этом есть. Продвинутые пользователи не должны юзать дырки под названием nod32 "firewall" или ему подобные продукты.

tysovwik

Цитата:

nod32 "firewall"

такого не существует в природе.
Возможно вы имели ввиду "ESET Firewall" - это програмно-аппаратный фаервол. Про остальное не слышал, и врядли буду интересоваться.

Цитата:

Возможно вы имели ввиду "ESET Firewall"

Я поэтому его и взял в " ", т.к. такого продукта не существует)) Nod32 как антивирус весьма неплох... Но знаете.. Это из серии, был отличный home продукт outpost firewall.. К нему прикрутили аутпост "Антивирус".. Ну вообще ни о чем))) Здесь тоже самое..

Хотя я пользуюсь 2 мя ядрами касперского на шлюзе прикрученного к ISA серверу. Не вижу смысла загружать железку постоянной проверкой на вирусы. А шлюз мониторить нужно.

P.S. ДА вообще мало кто будет заморачиваться с созданием шлюза на home Пк, даже без наворотов по типу ISA сервера.. Люди настолько глупы, что не смогут даже настроить маршрутизацию инета с виртуалки на хост))))

Цитата:

Люди настолько глупы, что не смогут даже настроить маршрутизацию инета с виртуалки на хост))))

это ирония?

Kirpits
кого я вижу... Старик с темы ZA
tysovwik

Цитата:

P.S. ДА вообще мало кто будет заморачиваться с созданием шлюза на home Пк, даже без наворотов по типу ISA сервера.. Люди настолько глупы, что не смогут даже настроить маршрутизацию инета с виртуалки на хост))))

ну не все мы такие умные...

PC Tools Firewall Plus 6 убил минимализмом фейса. На семерке (win7) при попытке закрыть его из под админа из диспетчера задач (типа проверка на самозащиту) трижды выдал BSOD. Пока распрощались. Правила для приложений абсолютно неинформативны. Чем-то похожи на правила в Анти-Хакере Касперского. Просто называются Правило #1 и т.п. в то время как в комоде в назавании правила-его суть. В PC Tools Firewall Plus 6 в принципе тоже увидеть можно суть правила, но как-то пока не лег он.
Вцелом фаер неплох, принцип тот же что и у комода Приложения -Пакеты. Но есть что-то в нем далеко запрятанное от пользователя. Не хватает чего-то.
Мож просто к Комоду привык. Вернулся на CIS - радуюсь всяко.
Да, отсутствие контрольных сумм это проблема Комодовского фаера. Но на то и HIPS там веселенький.

Цитата:

Свеженькие ежемесячные тесты MatouSec

ESET вообще в трубе ))) а насколько можно верить тесту???

Цитата:

ESET вообще в трубе

потому что у есета нет хипса.

Цитата:

а насколько можно верить тесту???

слепо верить - ни насколько. и уж тем более не стоит на его основе говорить, что "синий" продукт хороший а "красный" говно. хотя большинство так и делает, даже не ознакомившись с самим тестом и подробными результатами.

tahomavlz

так я и смотрю на это:
----
Jetico Personal Firewall 2.0.2.8.2327    89%    10+    Very good
----
в первых строках нет ((

Цитата:

и уж тем более не стоит на его основе говорить, что "синий" продукт хороший а "красный" говно

Именно на это и ориентирована эта табличка.

Цитата:

ESET вообще в трубе ))) а насколько можно верить тесту???

А чего там удивляться? Он и как антивирус - говно, а их не совсем профильный продукт - фаерволл - и подавно.

Цитата:

А чего там удивляться? Он и как антивирус - говно, а их не совсем профильный продукт - фаерволл - и подавно.

ESET На максимальных настройках уделывает каспера как в производительности так и в отлове вирусни. Если у вас нету желания потыкать кнопки меню, для перехода в максимальные настройки, то это ваши проблемы.

Хотя каспер тоже неплох. Для шлюза с ISA сервером я бы даже сказал что их продукт один из лучших на рынке.

tysovwik
О, да мосье телепат. Занятно.

Dead_Moroz
tysovwik
может харе уже? про антивирусы-то в топике по стенкам.
mleo
у джетики в 3 версии (как обещал один из разработчиков) будет более улучшенный контроль программ (ну неймётся финским парням тесты матусека!) А комодовский CLT он проходит с результатами 290/340.

Цитата:

Именно на это и ориентирована эта табличка.

"хипс в красном продукте говно" - вот так будет корректнее.

Цитата:

Да, отсутствие контрольных сумм это проблема Комодовского фаера.

И далеко не единственная

KUSA

Цитата:

И далеко не единственная

Если вы про его тяжелый GUI, то полностью с вами согласен - ни логи посмотреть, ни настройки подправить... (до того тормозит). Именно из-за этот пока от него отказался (именно от тройки).

Цитата:

PC Tools Firewall Plus 6 убил минимализмом фейса. На семерке (win7) при попытке закрыть его из под админа из диспетчера задач (типа проверка на самозащиту) трижды выдал BSOD.

Специально раз 10 пробовал - не падает...

Цитата:

Правила для приложений абсолютно неинформативны. Чем-то похожи на правила в Анти-Хакере Касперского. Просто называются Правило #1 и т.п. в то время как в комоде в назавании правила-его суть. В PC Tools Firewall Plus 6 в принципе тоже увидеть можно суть правила, но как-то пока не лег он.

Скорее всего именно "не лёг", сама по себе софтина вполне достойная.
А учитывая бесплатность и русский гуй вполне имеет право быть рекомендованной к применению.