» Firewall (фаерволл) для Windows server, что выбрать?

naPmu3aH
Пасибо, пользователи ходят только через прокси. Как я понял - это делается прямо в роутере, но может есть какие нить приблуды с наглядным интерфейсом, типа того - галочку поставил - аудитория работает, снял - не работает. Ессно, мне это не надо, для тетушек.

kroka
Насчет ISA - вопрос спорный, так как вопрос решается на уровне системы.

Народ легко критиковать и увольнять . Но в данном случае не всегда админ может решать будет ли фаерволл на отдельном компе стоять. А если хозяин не хочет покупать отдельный комп. В идеале вообще все разнести по одельным компам. И я думаю что любои сисадмин прекрасно это знает . И идет на такие решения не от хорошей жизни, прекрасно понимая какими неприятносями это ему обернется. Так что наверное лучше просто посоветовать что нибудь толковое. Или предупредить с какими подводными камнями человек может столкнуться. Думаю инересно будет многим.
PS
kroka
кстати маикрософт в своих книгах по ISA
допускает такое решение как установку ISA на DC
. И если я не ошибаюсь смолл бусинес сервер 2000 идет вместе с ISA. маикрософт Не советует но прекрассно понимает что не каждая фирма будет раскошеливатья на дополнительный сервер и лицензию.

kroka
если такой умный скажи че на DС ставить

поставил ты ISA на DC и выставил его в inet .Это просто опупительное решение.Если еще туда поставить почту то будет вообще прекрасно ,какая экономия на железе и мозгах.
Это все равно что поставить на окнах решетки но сэкономить на замке для двери.

kroka
кто тебе сказал что я на DC интернет ставлю?
тебе по делу вопрос задали че в локалке на ДС ставить (какой фаирвол) а ты все пальцы только гнеш

begem0t
если твой DC не смотрит жопой в inet то IMHO [censored by lynx] его защищать такими фаерволами.
Делай защиту на уровне опреационной системы , убирая ненужные services , веди логи, ставь вовремя patches.Если тебя ломают изнутри то поздно пить боржоми.Ставте IDS systems,vlans .Пользуйте всякие scaners для проверки своей внутренней сети ну и умных книг читайте больше.

kroka

kroka
все щас так и есть, тока вот тема про фаирволы серверные.
и советую свой пост подредактировать пока модераторы не увидели...

begem0t
Что значит серверные?Это которые защищают сервера?Тогда это должен быть standalone gateway типа MS ISA , CP-1,Gauntlet,Iptables, or cisco pix,netscreen, watchguard ,etc . Таких в небольших сетях больше одного-двух небывает.Или ты про personal firewall? которые народ ставит себе на домашние компы. А тот чувак (первый пост) помоему сам не понял какой зоопарк устроил на своем DC. У него этот комп небось вместо workstation на рабочем столе стоит.

Ну ладно, хватит. Тема просто видимо некорректно поставлена, или я не так спросил.
Я спрашивал, и тут идет речь, про w2k как платформу, а не как DС.
Во общем вот - http://stophack.net/download/index.shtml

А в этой теме нельзя создать опрос - кто какой фаерволол юзает?
я пробовал - меня что-то кинули - сказали такая тема уже есть ?

Создаете кто-нибудь опрос - посмотрим какое будет распределение.
Я бы предложил :
ISA Server
Winroute
Wingate
Norton Internet Security
Symantec Firewall
+что-нибудь еще

Может я и не туда спрашиваю, но у меня такая проблема. Есть сервак на W2k который напрямую смотрит в инет, и все через него ходят тудаже (прокса). Но на этом же серваке имеются расшаренные папки для юзверей и есть проги сетевые (типа консультанта). На нём стоит 2 сетевухи, через одну юзвери с ним, а другая в инет. Так вот, нужна стена, которая сможет на одну сетевуху вообще ничего не делать, а на второй только выпускать проксу и всё...
Я уже пробовал агнитум, но он ни в какую не согласился работать так как я хочу. Может где то криво смотрел,но перечитал весь мануал и весь топик на форуме.
За раннее благодарен..

Я бы покапался для начала в активном сетевом оборудовании на наличие такой штуки как Cisco PIXFirewall. А вообще легче резать траффик на канальном уровне. Если есть маршрутизаторы Layer 3,4, можно очень круто порезать весь трафик. Далее, если все же, душа лежит к софту, а на железке болтается котроллер домена в придачу с кучей FSMO(физмо) ролей, есть очень изящный выход - разбить машину на две виртуальные машины. Есть такой продукт WMware GSX Server или WMware ESX Server, лезь на сайт www.wmware.com и читай описашки. В кратце, что это такое за продукты ... Поверх операционки ставиться GSX Server(ESX вообще ставиться на голую желеку, но определенной конфигурации), создаются виртульные машины с реальными ip адресами и с реальными операционными системами(они будут называться гостевые) и в твоем арсенале куча виртуальных тачек. Короче, делаешь на одной желзке одну вирьтульную машину с домен контроллером и вторую с firewall.

Morgi
Спасибо за вариант и предложение! Но, поднимать на тачке лишний софт, зачем?? нужна просто стена и всё!!! Только что бы могла делать то что я хочу!! Жду ещё вариантов, зараннее благодарен!!

Други!
Тема форума: firewall для w2k SERVER. Чего копья то ломать? Разговор о СЕРВЕРЕ!

Вот, к чему это я? Да.. Злобный и жадный хозяин не дает бедному админу еще одного компа, никак не дает... А на сервере уже стоит AD. И что-то надо делать, и в инет надо ходить, и каждому пайку дать.

Давайте упростим задачу: на серванте контроллер AD, прокси и мэйл-сервер. Пусть это не есть хорощо, но это так есть. Так какой же FW поставить?

И не надо меня клеймить позором и увольнять без системной дискеты. У многих такая ситуация.

Угх! привет народ!
что-то я устал лазить по поиску на форумах!
Итак проблема:
Есть сетка 192.168.0.xxx есть роутер Cisco 17xx под ВНЕШНИМ управлением (т.е. локально к нему не подступиться) его адрес (врнутренний) 192.168.0.1
на Киске поднят NAT но никаких "стен".
Надо поставить "стенку" с фильтрами, учетом траффика и т.д.
Нарыл, что это относительно легко делается под ххnix-ами с помощью мостов. А под Win2k/2k3 ничего подобного нет? Пробовал ИСУ, ВыньРоут...
Последний шанс Sygate?

capteen
А чем ISA не понравилась???

А она позволяет решить эту задачку? Если знаешь, подскажи настройки.
Основная проблема в том, что граничник находится в той-же подсети, что и локальные абоненты, соотвессно роутинг не катит (если только НАТ с двух сторон поднимать, но это изврат ИМХО). Задача стенки просто контроль проходящего трафика.

Kamerton
Kerio Winroute попробуй. Делает все что хочешь. Прога просто сказка и процессы мало потребляет.

Добавлено
muzzle

Цитата:

на серванте контроллер AD, прокси и мэйл-сервер. Пусть это не есть хорощо, но это так есть. Так какой же FW поставить?

Kerio Winroute попробуй можешь и почту и проксю настроить в нем. Все юзает.

Добавлено
capteen

Цитата:

Надо поставить "стенку" с фильтрами, учетом траффика

Цитата:

ВыньРоут

А Винроут чем не устраивает. Все что написал он делает. И фильтры и трафик считает. К нему только одну прогу поставить надо. Если надо скину ссілку.

To uzkhadmin

а как в Winroute СЧИТАТЬ трафик?

Таки винроут и стоит, но в итоге для тех кому нужен и-нет приходится держать левую подсеть иначе винроут клинит и ничего не роут...

Ответов было много, но определиться по ним я не смог... Если оставить вингейт, потом под него вируснетинг антивирус, то нужен ли мне вообще фаервол, учитывая то что в вингейте уже он есть??? Как работает вингейт меня вполне устраивает...

Добавлено
Ответов было много, но определиться по ним я не смог... Если оставить вингейт, потом под него вируснетинг антивирус, то нужен ли мне вообще фаервол, учитывая то что в вингейте уже он есть??? Как работает вингейт меня вполне устраивает...

не захотел новую тему поднимать.
а что уважаемые скажут про встроенную защиту в 2003 серваке, я усебя тестил хпадером вроде нормально, говорит пингов нет значит и сканить не буду, у меня две карты одна под защитой другая в локалку смотрит

может кто предложет вариант 2003 сервак + стена + антивирь на трафик (каспера для фаервола так и непонял)

Если пингов нет, а ip знают всеравно отсканят.

VadITC если не секрет чем, и какой вариант защиты
у меня два разных провайдера и я сканю свои машины в перекрест, правдо пользую тока хпайдер, в обзорах читал что он остальные перекрывает по возможностям, если фаерволы убираю то переодически замечаю трояна, во сновном из новах по которым идет топ по всему миру.

VadITC да проверил действительно сканится, лажа

У меня на w2kSrv две сетевухи одна в локалку другая в Инет(NAT), стоит winroute(Proxy+MailSrv) статистику считаю с помощью Internet Access Monitor, и вроде все Ok!
WinGate и ISA не пробовал, почитал обзоры и сразу остановился на WinRoute и пока не пожалел...

В этой же теме полтора года назад я писал про Norton Internet Security. Раньше, при установке версии 2002 (или 2003) на Server 2000 вылезало сообщение, что "...работать будет, но не гарантировано, и поддержки нет, и свой страх и риск...:" и т.д. А сегодня, NIS 2004 + Server 2003 oтлично пашет и никаких проблем... Установка проходит гладко, без единого упоминания. Я просто так, из интереса поставил - пашет! И отлично пашет!

shiko3000

Цитата:

У меня на w2kSrv две сетевухи одна в локалку другая в Инет(NAT), стоит winroute(Proxy+MailSrv) статистику считаю с помощью Internet Access Monitor, и вроде все Ok!

У мення почти такой же набор, только не включал его почтарь, но вот сейчас уже не нравится WR тем, что не все проги по нормальному через него идут
Какие именно? надоест перечислять.....
Раньше когда-то стоял WinGate но тогда безопасность не настроена была
ИМХО в WinGate больше средств для настройки и полета админской мысли по безопасности (антивирь траффика,VPN ....)
Но для небольших сетей WinRoute тоже неплох....а воообще - все сугубо индивидуально, пока сам не попробуешь поюзать сложно сделать окончательный выбор

А аппаратные решения почему не рассматриваются?
У меня, например установлен 3Com OfficeConnect Internet Firewall 25 и нормально работает.