» NVIDIA Firewall - ActiveArmor system.

NVIDIA решила разгрузить процессор, поэтому часть работы по анализу сетевых пакетов выполняет набор логики, специальный блок чипсета ActiveArmor. Этот высокопроизводительный аппаратно оптимизированный сетевой фильтр, интегрирован в отдельные MCP процессоры NVIDIA nForce с Gigabit Ethernet. ActiveArmor Firewall защищает ПК от хакеров и программ-шпионов и поддерживает передовые антихакерские технологии, обеспечивая критически важную защиту системы.



Программной часть брандмауэра, является ПО NVIDIA Firewall 2.0. Теоретически, при работе "ActiveArmor" и NVIDIA Firewall 2.0 центральный процессор лишь выполняет подстройку параметров аппаратного ActiveArmor, что позволяет значительно разгрузить центральный процессор.





Управление NVIDIA Firewall 2.0 осуществляется программой Network Access Manager. Программный интерфейс и возможности Network Access Manager довольно неплохи. Интерфейс удобен и понятен. Помимо этого Network Access Manager позволяет удалённо администрировать NVIDIA Firewall 2.0. Реализация удалённого администрирования стала возможна благодаря наличию web-сервера Apache, который устанавливается при инсталляции программного обеспечения.



Техническое описание: http://www.nvidia.ru/files/tech_pdf/Firewall_w-edits.pdf
ПО NVIDIA Firewall, входит в состав унифицированного пакта для nForse4 http://nvidia.ru/drivers/nforce/Stand_Kit/XP.shtml 38,7 МБ

---

NVIDIA Firewall работает на более низком уровне, чем Outpost Firewall, например при несанкционированной попытке выхода в сеть, сначала реагирует NVIDIA Firewall, а потом уже Outpost. Но при их совместной работе происходят некоторые глюки, через некоторое время (1-5ч) отваливается VPN соединение, причина пока не выявленна.

По всей видимости, NVIDIA Firewall это прекрасное решение для построения защищенной сетевой инфраструктуры, вэб интерфейс и удаленное администрирование очень удобны.

Интересно то, что NVIDIA Firewall работает и при неактивном сетевом соединении встроенного Ethernet. Проверено на такой системе: ASUS A8N-E, Windows XP SP2, кабельный модем Motorolla SB5100. Модем подключался как к встроенному Ethernet, так и по USB, фаерволл работает в обоих случаях. В настройках фаервола пока еще разбираюсь, планирую провести тесты. Предлагаю делиться впечатлениями и обсуждать особенности.

Lomster
Как насчёт надёжности? Имеет ли смысл ставить тот-же Outpost (и тем самым
дополнительно нагружать систему) или же можно обойтись одним nVidia Firewall?

Цитата:

Имеет ли смысл ставить тот-же Outpost

- если правильно понял, нвидиа в большей степени пакетный файер, а пост - больше по контролю приложений.. Но будут ли мешать друг другу - пусть Lomster выясняет (сам такого железа не имею пока )

Во кто-то пытается Nvidia Firewall настроить.

У меня MSI Platinum Nforce4SLi файреволл то пашет, но приложения им отслеживать не ахти, потому как если приложение начало вдруг ломится по другим портам то Нвидии уже похрену если стоит разрешать , а не спрашивать , потому как тупит на раз приложение.
А вот толком с Аутпостом ёщё не тестил.

Вышли новые драва для АМД64 Нфорсе4 6.66....

GeMir

Цитата:

Как насчёт надёжности? Имеет ли смысл ставить тот же Outpost (и тем самым
дополнительно нагружать систему) или же можно обойтись одним nVidia Firewall?

Пока не проведу комплексный тест не скажу, модуль контроля приложений в NVIDIA Firewall есть, но похоже что он уступает Outpost-y, хотя Nvidia задекларировала что:

Цитата:

ActiveArmor Firewall защищает ПК от хакеров и программ-шпионов и поддерживает передовые антихакерские технологии, обеспечивая критически важную защиту системы.

без реальных тестов это только слова, но основательность системы в общем на лицо. Скоро закончу тесты, тогда смогу сказать что-то опредёленное.

bredonosec

Цитата:

нвидиа в большей степени пакетный файер

модуль контроля приложений присутствует(Intelligent Application Manager(IAM)), вот на сколько именно он использует аппаратную часть сказать не могу.

Цитата:

будут ли мешать друг другу

У меня пока проблемы с VPN при их совместном использовании, локалка же и диалап, работают нормально. Нужно только оба фаера настроить так, чтобы не дублировались функции, а то немного раздражает, например когда приложение лезет в сеть и нужно последовательно настраивать ему правило сначала в NVIDIA Firewall, а потом в Outpost. Хотя может две стенки лучше чем одна?

Jamicon

У тебя какой тип соединения с сетью?

------

Еще радует что NVIDIA Firewall работает в Windows XP x64, для которой пока вообще нет нормального фаервола.

Значится так.

У меня есть локалка ip там типа 192.168.ххх.ххх , и есть анлим интернет в этой же локалке через vpn соединение.
Установлены как Nvidia firewall так и Outpots last Reliz.
При работе в инете Outpost пишет что внешний IP 10.10.xx.xxx ? хотя на самом деле он в инете видит как 212.247.ххх.ххх.

И если Outpost пишет и реагирует мол приложение имееющее такое то правило стало ломится уже по другому порту, то вроде Nvidia если указал при запросе allow пипец уже не будет спрашивать, ну если ask то вроде бы постоянно спрашивает одно и тоже.
Пока юзаю совместно смотрю как видёт себя и тот и другой фаэр, вот статитстики наберу можно будет тест провести.
Могу тоже провести тестирование системы, если есть чем.
Прикольный режим high очень вроде бы неплохо справляется с задачами.
Outpost у меня пока следит за Nvidia как сторож, чтобы а нука поймать кого.
Хочу позже на днях как нибудь немного поатаковать свой комп по сети и посмотреть, как же в натуре защишает этот Active Armor by Nvidia.

Тут ёщё наконец-то на моей матери MSI 7100 SLI Nforce4 Platinum бивис хороший слепили без глюков вроде даже, так что теперь тестировать по проще будет.

Если что что могу сюда отписать про новости...

Add Lomster
Про отвал vpn соединения, у меня тоже бывает, но вот сейчас при новых настройках проверяю пока вроде бы ничего, хотя может мой пров тупит Нортнет.Надо побольше по тестить.
Если чего можешь писать в асю.

Add
Предположительно обрыв связи на vpn может вызывать смена профиля фаэра Nvidia.

Цитата:

а то немного раздражает, например когда приложение лезет в сеть и нужно последовательно настраивать ему правило сначала в NVIDIA Firewall, а потом в Outpost. Хотя может две стенки лучше чем одна?

- Только если ооочень боишься чего-то забыть прописать Иначе каждый пакет, каждое соединение проходит через 2 идентичных фильтра, прежде чем пойти по делу.
Цитата:

только оба фаера настроить так, чтобы не дублировались функции

Вопрос в том, КАК их лучше разделить - что железный выполняет лучше и с меньшими глбками/грузами, а что выгоднее оставить посту (или даже сменить на там, зону какую-нить - если исключительно контроль приложений).
А вот для этого и треба испытаний..

Давайте соберём команду или скажем группу людей от 3 и более, чтобы более менее качественно и адекватно протестить фаэр Nvidia (Active Armor).
Можно пока на первых порах определится чем и как каждый будет тестить и по каким правилам , куда сливать отчеты и в какой форме.
Вот тут можно кое что надыбать для тестов.
http://www.firewallleaktester.com

Провозившись достаточно долго, но так и не настроив ActiveArmor (даже если "разрешить" абсолютно всё, firewall продолжает блокировать весь входящий траффик) - решил
удалить сабж...

GeMir

Гм, доступ в сеть только через локалку, или что-то ещё? (VPN?) Кабельный модем?

У меня на стандартных профилях все работает, но как только создаю custom профиль, начинается полный улёт. Пока еще мучаю его...

Lomster
ADSL. Машина соединена с модемом в локальную сеть (оригинально, не спорю).
Траффик блокируется в не зависимости от выбранного профиля.

GeMir
Вроде бы , есть одна фэня сработала какая то настройка в опциях armor'a стоит болкировать всё , у меня такое было.
Попробуй :
1- Установить последний версии дров и самого фаэра(позже), а сначала перед деиснталяцией старого или нерабочего , выставь в настройках фаэра выкл режим активности или как его профиля.
Потом удали прогу, сотри все хвосты и поставь снова желательно ничего не меняй всё сделай по умолчанию и перезагрузка .
Внимательно смотри какие приложения стартуют и кому что разрешаешь.
Не работает только входящий трафик для активного соединения или вообще ничего не пускает и не выпускает , то есть ничего нет мертво?

2- Снести нахрен все дрова от Нвидии и фаэр после установить заново, желательно сделать вообще на чистую машину ...

этот фаервол работает же только на интерфейсе встроенной сетевой nvidia , там еще в настройках есть работать совместно со встроенным виндовым фаерволом или нет или работать только интерфейсу nvidia

testguest

Цитата:

этот фаервол работает же только на интерфейсе встроенной сетевой nvidia , там еще в настройках есть работать совместно со встроенным виндовым фаерволом или нет или работать только интерфейсу nvidia

Хм... Ты это о чём...?

У меня после прочтения информации о NVFirewall возник вопрос. Он работает только для встроенного сетевого соединения?(того разъема Gigabit Ethernet, который интегрирован на Mainboard) То есть если я выхожу в Интернет через dial-up modem вставленный в PCI-разъем на плате, то NVFirewall меня не спасет?

Ksaltotun

Его установить можно только при задействованном(включенном в BIOS) LAN.
Если его установить, но ЛАН-ом не пользоваться, модуль Intelligent Application Manager(IAM) точно будет активен, а остальное, нужно проверять на практике.
В моём случае (см. в шапке) NVFirewall работает при альтернативном способе соединения (подключение к USB), но ведёт себя непредстказуеммо...
Несмотря на то, что железная часть, используется только для акселерации пакетной фильтрации, лучше мне кажется использовать его только со встроенным LAN. Т.к. основная выгода от использования NVFirewall, как раз в этой акселерации, т.е. в уменьшении нагрузки на CPU. Нет снижения нагрузки, нет и смысла его использовать, т.к. есть более мощные и удобные, классические программные фаерволы.

Lomster

Цитата:

Его установить можно только при задействованном(включенном в BIOS) LAN.

У меня есть локальная сеть, но без Интернет соединения, поэтому LAN всегда включен. И если честно мне никогда не приходило в голову выключить в BIOS какие-то функции mainboard .

Цитата:

Нет снижения нагрузки, нет и смысла его использовать, т.к. есть более мощные и удобные, классические программные фаерволы.

Да, IAM что-то не впечатляет по программной части (кроме IAM использую Outpost). Есть только allow и deny опции для приложений. Никаких портов или еще чего-нибудь. Я как-то большего ожидал, прочтя громкие заявления.

P.S. Плата ASUS A8N-E, Athlon64 3000+.

Ksaltotun

Cкорее всего это проба пера от Нвидии , потом если попрёт то могут и все произв. мат.плат такие шняги делать, а пока обкатывают .

Вот если бы Аутпост как то привязать программно к аппаратной части Армора было дело.
Совместитить так сказать вместе в один механизм , вот штука была получилась мощная.

Ну хоть где-то обсуждается этот гребанный файервол.

В общем конфигурация компа:

Epox EP-9NPA+ Ultra
BIOS самый последний - 9npa5804.bin
дрова на чипсет nForce4 AMD Edition 6.66 в составе которых Network Access Manager (NAM) 4.88
CPU AMD Athlon 3000+ Winchester
OS Windows XP with SP2
Выход во внешку через каблеьный модем: входящий поток 51 Мб/с, исходящий поток 10 Мб/с

Я поигрываю в quake3 и после установки NAM началась следущая ерунда.
В quake есть консольная переменная cl_maxpackets, которая устанавливает максимальное количество пакетов от клиента на сервер. Трафик в кваке не большой, имеющейся пропускной способности хватает за глаза. Эта переменная у меня имеет значение 60, всегда с таким значением играл и без проблем. Так вот после установки NAM пинг в quake вдруг вырос до предела, игра встает колом - пинг 999. Начал мурыжить этот Firewall, и отключаю его (профиль OFF), и другие профили ставлю, ни фига не помагает. Затем снес вообще NAM из системы все OK, поставил снова, опять та же ерунда. Решил в кваке с настройками поиграться. И выяснилось, что когда ставлю макспакет = 30 все приходит в норму, 40 тоже нормально, а вот как только больше, то пинг подлетает до бесконечности. В общем сначала так и не смог это объяснить, поставил макспакет в 30 и успокоился. Но проблема на этом не закрылась, как-то поставил два фильма на скачку по фтп и зашел в кваку, оп опять пинг не реальный (хоть и стоит макспакет 30), хотя раньше всегда так делал - качаю фильмы, играю, канала хватает, а тут траблы. Еще заметил, что у меня стал как тормознуто работать remote desktop когда на работу цепляюсь, раньше такого не было. В общем явно видно, что при интенсивном трафике nVidia Firewall не справляется с обработкой пакетов. В общем опять полез разбираться с этим файерволом и увидел там раздел EtherSetup в котором есть параметр Perfomance Profile, там есть 3 готовых профиля и можно закастомайзить свой. По умолчанию стоит profile CPU Utilization цель которого максимально разгрузить CPU освободив его от обработки пакетов, есть профиль расчитанный на большой трафик и есть профиль Multimedia оптимизированный на минимальное время обслуживания вот его-то я и поставил. И все стало в порядке, ну или почти в порядке, дело в том, что когда вообще сносишь NAM, то изменения значения макспакетс в пределах от 30 до 60 почти ни как не сказывается, да и вообще на соединениях от 10 Мб/c я не видел что бы этот параметр как-то заметно влиял на пинг, а вот при установленном Network Access Manager, даже если ставишь профиль Multimedia или прифиль расчитанный на большой трафик, то все равно заметна разница в пинге при макспакетс 30 и макспакетс 60, в последнем случае пинг возрастает на 15-20 единиц, еще раз повторю после сноса NAM этого нет.

Как вывод для себя я сделал, что ActiveArmor не справляется с интенсивным трафиком он дает дополнительную задержку при прохождении пакета, и при чем, чем интенсивней трафик тем больше становятся задержки (по идеи если очередь пакетов будет увеличиваться то пинг должен лавино образно возрасти до огромных значений), а в играх через интернет пинг является критичным показателем.
У меня до этого стоял OutPost. Я раньше когда его устанавливал специально проверял увеличивает он пинг или нет - вообще не чувствуется, что он включен, что он выключен пинг не меняется. Хоть он и потребляет дополнительные ресурсы больше, чем nVidia Firewall, все равно это лучше, чем большой пинг. Хотя тут еще надо посмотреть, в случае если меняешь профиль CPU Utilization на профиль Multimedia на сколько сильнее загружается проц и на сколько ощутима разница по сравнению с Outpost.

В общем нужны полномасштабные тесты этой фичи от nVidia. Пока я не в восторге.

Scuderija

Цитата:

отключаю его (профиль OFF), и другие профили ставлю, ни фига не помагает.

Тут уже были сообщения от пользователей, у которых что ни ставь, трафик все равно как-то слабо идет. А я если ставлю profile OFF все работает как будто без NVFirewall. Конфигурация ASUS A8N-E, Athlon64 3000+ Venice, драйвера nForce4 AMD Edition 6.66, Windows XP SP1. Разница у нас только в том, что у меня до сих пор SP1. Я не пробовал скачивать и играть одновременно, но просто скачивать при активизированном Custom Profile (Я там ставлю Antihacking only) пробовал. Правда доступ в инет я по Ethernet не осуществляю, у меня только сеть на два компа, а в инет я пробираюсь через модем. А ты пробовал другие игры например UT2004 (Q3 уже как-то не актуален)?

а отчего бы тут не проверить?
http://www.pcflank.com/about.htm
http://www.leader.ru/secure/who.html

тормозит зараза... профиль "low", но даж на нем все под контр-ем, но рекламу не режет и прочее, прочее, прочее... все таки интересно, тот же оутпост сможет ли уравлять или задействовать возможности этого активармора в обозримом будующем

Профиль самого фаервола в принципе не влияет на скорость, он только влияет на жесткость условий фильтрации, т.е. условия то всегда проверяются, но только на самом жестком профиле большинство условий запретных, а на более мягком разрешающих.

А там есть еще есть профиль производительности ethrnet'та, в них настраивается количество буферов на прием их размер, допустимая задержка при обработке пакетов. Саммый медленный из них CPU Utilization, там к примеру задержка в 425мс, поменяв его на Мультимедийный профиль, который обеспечивает минимальные задержки, мне удалось добиться более быстрой работы сети, я так понял за счет более сильной нагрузки на процессор.


Еще подскажите в NAM есть раздел Firewall в котром настраивается список приложений, которым разрешен сетевой доступ, и которым запрещен. И там есть еще ветка ActiveArmor в котрой есть так же таблица приложений, в которой указывается приложение и правило для входящего и исходящего коннекта, а правило offloadable и not offloadable. Так вот кто-нибудь разобрался для чего эта таблица и в принципе раздел ActiveArmor. У меня есть предположение, что приложения указанные в этой таблице либо обрабатываются либо в не обрабатываются в принципе системой AA. Так или нет ?

Ни кто не знает ?

up

С Visnetic'ом это чудо кто нибудь сравнивал?

Цитата:

С Visnetic'ом это чудо кто нибудь сравнивал?

Так ведь тут железный, а там программный.. Разноплановые продукты...

Scuderija, тот же вопрос привёл меня сюда , действительно, есть ветка ActiveArmor и в ней опять же список для приложений.
На одной машине крутится 2 операц. Win XP pro sp1 Rus и Win XP х64 pro sp1 En.
Содержимое веб интерфейса настройки фаера в них немного отличается (в Win XP х64, в визарде меньше пунктов, может ещё где... не особо затачивал внимание), дык вот, под Win XP х64 не мог радмином приконектится к удалённой машине, перегружаюсь под Win XP pro - коннектится без проблем.... всё облазил, настройки сверял... поборол добавлением радмина в список этой самой ветки ActiveArmor... причём наугад... в Win XP pro список пуст и всё работает ((

PS Где достать подробное описалово всех функций Этого фаера? Желательно на русском. Спасибо.

шапку поднял

с модемом на PCI у меня сабж не работает (ничего не блокирует) фтопку

А как этот Network Access Manager завется в русской винде и где его искать? И есть ли он там вообще, если система WinXP Home?