Брандмауэры. Какой брандмауэр лучше?
Здравствуйте!
Еще раз задумался о юстировке своей системы под более безопасную работу в интернет. В связи с этим вновь встал вопрос. Какой брандмауэр лучше?
Мое внимание сосредоточено на 2 альтернативах – ZA или Outpost.
Я хотел бы разбить данный вопрос (если это возможно) на 2 части:
1. Какой из них более надежен и более гибок в настройках в конечном счете (вопрос более теоретический).
2. Какой из них проще использовать и легче настроить, не являясь при этом профессиональным знатоком всех тонкостей сетевой активности (т.е. вопрос уже чисто практический).
Заранее благодарен за ответы.
1. Outpost
2. говорят ZoneAlarm
Еще стоит качественно определиться. Есть серверные файрволы (типа WinRoute), есть персональные (типа Outpst). В некоторых случаях всё же лучше серверный, даже если компьютер вовсе не сервер.
ZA во вкладке ProgramControl имеет поля Server. Значит ли это, что ZA является серверным файрволом?
Надёжность имеет две стороны. OP теоретически более непробиваем и практически более гибок в настройках. БОльшая непробиваемость – соответствует бОльшей вероятности не вызванного атакой отказа системы, содержащей персональный файрвол. Ошибкой в более гибких настройках тоже легче вызвать отказ системы.
Неискушённому я бы посоветовал ZA. Если не напрягает то, что он втихаря пытается соединяться с сеткой Zone Labs-а. 10-15 килобайт в час, если ему позволить.
Под серверным обычно понимают сетевой FW. Порты, протоколы, адреса, их сочетания, изоляция "неправильных" пакетов. Персональный FW беззащитен от атак на уровне сетевых драйверов, зато, в отличие от сетевого, позволяет контролировать доступ программ к сети и доступ из сети к программам. Значения в поле "Server" определяют поведение файрвола в отношении программ, доступ к которым происходит "снаружи". Если на сетевом уровне PFW порт открыт, но программе явно не разрешено отвечать на запросы снаружи, то PFW обязан прореагировать (спросить, что предпринять, или молча добавить запись о блокировке в лог).
<Linux only>
А это какой файрволл интересно – сетевой или персональный?
</Linux only>
Еcли мы вернёмся в виндовый контекст, то можно сказать, что модуль OWNER, позволяющий идентифицировать процесс и пользователя, придаёт iptables свойства персонального (локального) FW.
Вообще Оутпост, хваленый на многих сайтах, тормозит канал. Даже модем
ный. Не держит высокочастотное сканирование. Считается фаером средней руки.
Лучший Look n stop.
Ну он Gzip трафик не пускает, только «расжатый»; это поправимо.
Кто-нибудь пользуется Sygate Personal Firewall Pro?
Пользовался когда-то. Очень неудобен в настройках, даже для подготовленного пользователя.
У меня celeron 1.7, канал 100Мегабит, аптайи 24x7, outpost 3, ничего не тормозит.
Значит хороший файрволл должен уметь делать и то и другое. Или пользователь должен установить персональный firewall, сетевой файрволл, IDS, антивирус и еще массу программ, которые не выдержит ни его голова, ни операционная система.
Для Windows такого нет. Я правда не смотрел малораспространённые файрволы, т.к. с ними может случиться всё что угодно. Можно попробывать Outpost + WIPFW. WIPFW сейчас сделал не как NDIS драйвер, следовательно не должен конфликтовать с Outpost. Так то два фарвлола ставить нельзя. Еще можно outpost + аппартаный файрвол (какой нибудь DLink 604+).
Стоит ли при настройке брандмауэра отсеивать запросы команды ping, посылаемые с удаленной машины? Может ли это угрожать какой-либо опасностью? Или при правильной настройке брандмауэра это не представляет опасности?
Лучше всего игнорировать все входящие соединения и запросы, попадающие на Вашу машину, если только в них нет явной потребности (терминальный доступ, например). Так у потенциального нападающего не будет даже простой возможности установить, когда Вы подключены к Сети.
http://www.firewallleaktester......ination_overview.php[link1]
(внизу страницы нажать на кнопку "view results")
Rabby
2. Какой из них проще использовать и легче настроить, не являясь при этом профессиональным знатоком всех тонкостей сетевой активности (т.е. вопрос уже чисто практический).
OpenBSD Packet Filter (PF) – однозначно. Вообще, OpenBSD – лучший файероволл из возможных. Его ставят даже на магистральный каналах между сранами, по рассказам. Простейший конфиг могу скинуть кто пожелает если... (без NATa)
Ай-яй-яй, какая досадная опечатка...
Outpost (он же Аутглюк) – ацтой чистейшей воды. За несколько лет "совершенствования" он так и не научился не глючить, не вызывать синие экраны и т.п. Это не только моё мнение – походите по форумам.
ZA – и вовсе детская игрушка для тех, кто хочет выглядеть круто.
Если хотите раз и навсегда избавиться от проблем защиты и глюков – тогда вам подойтет, например, вот это[link2]к
IMHO, аппаратный брандмауэр не есть альтернатива программному, это только дополнение.
Наоборот – когда есть аппаратный, вся сеть может чувствовать себя спокойно и без програмных примочек
За много лет (с 1985 г.) "совершенствования" :-) _я_ научился не вызывать синие экраны в любых ситуациях у любой машины (был бы нормальный хард и свежие дрова), и тем более – моделировать ситуации, приводящие к глюкам... Надеюсь, огромный список беспроблемно работающего друг с другом софта в качестве дальнейшей доказательной базы приводить не стоит? :-)
... Так что дело явно "не в дрезине"! :-)
С Новым годом всех участников форума!
Кроме всего прочего, совет «походить по форумам» некорректен. Личный опыт приобретается при решении своих проблем, на той машине, которую я сам сейчас настраиваю, а не при чтении стонов и возмущенных воплей других пользователей, о степени компетентности которых ты судить и не можешь... Целенаправленные поиски по форумам (не путать с детальным изучением полезной информации на них!) действенны лишь тогда, когда я сам столкнулся с проблемой, которую не можешь разрешить. Тогда и смотришь – не было ли подобного у других пользователей. Но ДО этого (обязательно) – RTFM!
-offtop-
Вот, не поленился, скопировал с одного из достаточно толковых форумов с нормальной техподдержкой следующие темы обсуждений (и это только за сутки!):
- Проблема при работе с Firefox и 1С
- звук не работает. freebsd6.2
- FF и Hotbox.ru не дружат
- Проблемы с IMAP-протоколом на mail.ru и Thunderbird 1.5.0.7
- Слетела адресная книга
- Почему тормозит Лис?
- Проблема с addons.mozilla.org
- Ff2.0 зависает в день по ...надцать раз
- Проблема с обновлением FF2.0
- Firefox тормозит из-за Flash'a
- FF не понимает высоту в процентах!?
- Проблема с декодировкой при отображении тем писем (скажете баян)
- Не встраивается Download Master в Лисицу 2.0.0.1
- Portable FF2. Не запускается после вчерашнего обновления.
- Не отправляется почта.
- Не работает то, что работает в любом другом браузере!!!
- Трабл при восстановлении сессии
- Удалила Java, как вернуть?
- FF 2 не видит обновлений
- странный глюк
- (...)
... И так – каждый день. А я сижу и удивляюсь – где они все эти траблы себе выкапывают?! :-) Сам я при этом активно работаю с FF и TB, стараюсь протестировать почти все addons, многие повседневно использую... и ни с какими трудностями (что удивительно!) не сталкиваюсь. Равно как и у Agnitum Outpost разных версий, кстати.
Так что негодующих возгласов о «синих экранах» можно много найти – практически для любой мало-мальски широко используемой программы. Вот только вопрос – как оценить степень работоспособности device/head+hands/ :-) у этих пользователей...? И потом сравнить: а были ли такие глюки на моей личной машине(-ах)? И все встанет на свои места!
-offtop-
И еще – выше налицо ошибка в терминологии :-)
"Аутглюк" – это MS Outlook, а отнюдь НЕ Agnitum Outpost!
Я не зря упомянул Аутглюк. Действительно, ранее этот термин употреблялся исключительно для Outlook.
Но сейчас, в связи с широким распространением Outpost, широкием массы же стали называть этим нелицеприятным прозвищем и Outpost, в связи с чем я и порекомендовал походить по форумам, что бы самому в этом убедится.
Что до синих экранов – да, у многих Оутпост работает, но в целом эта программа – "ПРОБЛЕМНАЯ", водится за ней такое.
Хотите – юзайте, ваше дело. Но мне было весьма приятно, когда потратил $100 на вышеупомянутую ссылку и забыл о всех проблемах, получив защиту, Шлюз, DHCP, QoS, WiFi и мн.др. для всех компьютеров сети на разных осях.
Это великолепно, когда у каждого есть свобода выбора – право использовать именно то, что подходит для конкретной цели и конкретного человека.
Мне на многих компьютерах с Windows приходилось ставить Outpost, и ни на одном из них синих экранов не было. Ставил и ZA, за которым иногда такой грешек наблюдался. Одако причина проблем чаще на мой взгляд в конфигурации ПО, например иногда такие брандмауэры не очень дружат с некоторыми видами антивирусного ПО. Кроме того, очень важно суметь настроить сам брандмауэр, а это делать умеют очень не многие пользователи.
ps Я недавно практически повесил свой Linux неправильными правилами настройки iptables. Пришлось перезагружаться с помощью reset, и загружать машину пошагово, давая разрешение или запрет на запуск каждой из служб. После решения проблемы брандмауэр заработал. Но ведь это совсем не значит, что iptables это глюковатая вещь.
А владельцам лаптопов тоже маршрутизатор с собой повсюду таскать?
Мне лично понравились следующие фишки вышеупомянутого девайса:
Вопрос: не очень ли много ...м-м-м... позволено пользователям этого хардового брандмауэра?
-offtop-
(уж извините за малоприличную цитату из известного анекдота):
[Медведь]: "Мужик, так я не понял, ты охотник или п...ст?"
Я сразу заметил, но браузер часто так тормозит, что исправлять я поленился... :(
Обладатели АДСЛ линий могут просто купить "LAN модем" или как его правильно назвать,"АДСЛ РОУТЕР"? Какой нибудь дешевый длинк 500Т(1000руб.) или 504Т. На них установлена ОС линукс и есть iptables. Помоему очень не плохое решение.
И как быстро выходит обновление прошивки от производителя при нахождении уязвимости? Как легко её установить?
Хотя это вопрос рекламы/антирекламы и больше для обсуждения на железячных форумах.
Ну помоему уязвимостий именно в айпитейблс не так уж и много и находят их далеко не каждый день и даже не каждый месяц. Честно говаря я вообще не видел за последний год-два уязвимостей в айпитейблс. Хотя специально не искал.
Прошивки ставятся элементарно, либо "инсталятор" из виндовс либо веб интерфейс. оба способа занимают около 5 минут.
Также имеются альтернативные прошивки...
Или же думаю для любова типа соединения можно в качестве фаервола использовать старую машину с линукс или бсд на борту, в режиме роутера. Скажем какойнить пентиум 100 с 16\32 мегабайтами оперативы. Хотя про это наверно уже тут написали...