— Гость (08/11/2005 15:03)   
1. Outpost
2. говорят ZoneAlarm

Еще стоит качественно определиться. Есть серверные файрволы (типа WinRoute), есть персональные (типа Outpst). В некоторых случаях всё же лучше серверный, даже если компьютер вовсе не сервер.

— Вий (08/11/2005 19:57)   
ZA во вкладке ProgramControl имеет поля Server. Значит ли это, что ZA является серверным файрволом?

— Elk (11/11/2005 12:55)   
Надёжность имеет две стороны. OP теоретически более непробиваем и практически более гибок в настройках. БОльшая непробиваемость – соответствует бОльшей вероятности не вызванного атакой отказа системы, содержащей персональный файрвол. Ошибкой в более гибких настройках тоже легче вызвать отказ системы.

Неискушённому я бы посоветовал ZA. Если не напрягает то, что он втихаря пытается соединяться с сеткой Zone Labs-а. 10-15 килобайт в час, если ему позволить.

Под серверным обычно понимают сетевой FW. Порты, протоколы, адреса, их сочетания, изоляция "неправильных" пакетов. Персональный FW беззащитен от атак на уровне сетевых драйверов, зато, в отличие от сетевого, позволяет контролировать доступ программ к сети и доступ из сети к программам. Значения в поле "Server" определяют поведение файрвола в отношении программ, доступ к которым происходит "снаружи". Если на сетевом уровне PFW порт открыт, но программе явно не разрешено отвечать на запросы снаружи, то PFW обязан прореагировать (спросить, что предпринять, или молча добавить запись о блокировке в лог).

— unknown (12/11/2005 15:17)   

Под серверным обычно понимают сетевой FW. Порты, протоколы, адреса, их сочетания, изоляция "неправильных" пакетов. Персональный FW беззащитен от атак на уровне сетевых драйверов, зато, в отличие от сетевого, позволяет контролировать доступ программ к сети и доступ из сети к программам.

<Linux only>

А это какой файрволл интересно – сетевой или персональный?

iptables -A OUTPUT -m OWNER --cmd-owner $badprogramm -j DROP

</Linux only>

— Elk (14/11/2005 14:51)   
Еcли мы вернёмся в виндовый контекст, то можно сказать, что модуль OWNER, позволяющий идентифицировать процесс и пользователя, придаёт iptables свойства персонального (локального) FW.

— Гость (14/11/2005 17:00)   
Вообще Оутпост, хваленый на многих сайтах, тормозит канал. Даже модем
ный. Не держит высокочастотное сканирование. Считается фаером средней руки.
Лучший Look n stop.

— Lustermaf (14/11/2005 17:29)   

Donald:
Вообще Оутпост, хваленый на многих сайтах, тормозит канал. Даже модемный.

Ну он Gzip трафик не пускает, только «расжатый»; это поправимо.
Кто-нибудь пользуется Sygate Personal Firewall Pro?

— Kent (14/11/2005 18:00)   

Lustermaf:
Кто-нибудь пользуется Sygate Personal Firewall Pro?

Пользовался когда-то. Очень неудобен в настройках, даже для подготовленного пользователя.

— Гость (14/11/2005 19:32)   

Donald:
Вообще Оутпост, хваленый на многих сайтах, тормозит канал. Даже модем
ный. Не держит высокочастотное сканирование. Считается фаером средней руки.
Лучший Look n stop.

У меня celeron 1.7, канал 100Мегабит, аптайи 24x7, outpost 3, ничего не тормозит.

— unknown (15/11/2005 14:50)   

Еcли мы вернёмся в виндовый контекст, то можно сказать, что модуль OWNER, позволяющий идентифицировать процесс и пользователя, придаёт iptables свойства персонального (локального) FW.

Значит хороший файрволл должен уметь делать и то и другое. Или пользователь должен установить персональный firewall, сетевой файрволл, IDS, антивирус и еще массу программ, которые не выдержит ни его голова, ни операционная система.

— Гость (15/11/2005 17:25)   
Для Windows такого нет. Я правда не смотрел малораспространённые файрволы, т.к. с ними может случиться всё что угодно. Можно попробывать Outpost + WIPFW. WIPFW сейчас сделал не как NDIS драйвер, следовательно не должен конфликтовать с Outpost. Так то два фарвлола ставить нельзя. Еще можно outpost + аппартаный файрвол (какой нибудь DLink 604+).

— Вий (25/12/2006 18:42)   
Стоит ли при настройке брандмауэра отсеивать запросы команды ping, посылаемые с удаленной машины? Может ли это угрожать какой-либо опасностью? Или при правильной настройке брандмауэра это не представляет опасности?

— SATtva (25/12/2006 19:33)   
Лучше всего игнорировать все входящие соединения и запросы, попадающие на Вашу машину, если только в них нет явной потребности (терминальный доступ, например). Так у потенциального нападающего не будет даже простой возможности установить, когда Вы подключены к Сети.

— Rabby (26/12/2006 10:24)   
http://www.firewallleaktester......ination_overview.php^[link1]

(внизу страницы нажать на кнопку "view results")

Rabby

— spinore (27/12/2006 19:46)   

2. Какой из них проще использовать и легче настроить, не являясь при этом профессиональным знатоком всех тонкостей сетевой активности (т.е. вопрос уже чисто практический).

OpenBSD Packet Filter (PF) – однозначно. Вообще, OpenBSD – лучший файероволл из возможных. Его ставят даже на магистральный каналах между сранами, по рассказам. Простейший конфиг могу скинуть кто пожелает если... (без NATa)

— SATtva (27/12/2006 21:04)   

Его ставят даже на магистральный каналах между сранами

Ай-яй-яй, какая досадная опечатка...

— omni (28/12/2006 02:16, исправлен 28/12/2006 02:18)   
Outpost (он же Аутглюк) – ацтой чистейшей воды. За несколько лет "совершенствования" он так и не научился не глючить, не вызывать синие экраны и т.п. Это не только моё мнение – походите по форумам.

ZA – и вовсе детская игрушка для тех, кто хочет выглядеть круто.

Если хотите раз и навсегда избавиться от проблем защиты и глюков – тогда вам подойтет, например, вот это^[link2]к

— SATtva (28/12/2006 15:27)   
IMHO, аппаратный брандмауэр не есть альтернатива программному, это только дополнение.

— omni (29/12/2006 01:07)   
Наоборот – когда есть аппаратный, вся сеть может чувствовать себя спокойно и без програмных примочек

— Гость (29/12/2006 08:13)   
За много лет (с 1985 г.) "совершенствования" :-) _я_ научился не вызывать синие экраны в любых ситуациях у любой машины (был бы нормальный хард и свежие дрова), и тем более – моделировать ситуации, приводящие к глюкам... Надеюсь, огромный список беспроблемно работающего друг с другом софта в качестве дальнейшей доказательной базы приводить не стоит? :-)

... Так что дело явно "не в дрезине"! :-)
С Новым годом всех участников форума!

— Rabby (29/12/2006 09:11, исправлен 29/12/2006 09:25)   
Кроме всего прочего, совет «походить по форумам» некорректен. Личный опыт приобретается при решении своих проблем, на той машине, которую я сам сейчас настраиваю, а не при чтении стонов и возмущенных воплей других пользователей, о степени компетентности которых ты судить и не можешь... Целенаправленные поиски по форумам (не путать с детальным изучением полезной информации на них!) действенны лишь тогда, когда я сам столкнулся с проблемой, которую не можешь разрешить. Тогда и смотришь – не было ли подобного у других пользователей. Но ДО этого (обязательно) – RTFM!

-offtop-

Вот, не поленился, скопировал с одного из достаточно толковых форумов с нормальной техподдержкой следующие темы обсуждений (и это только за сутки!):

- Проблема при работе с Firefox и 1С
- звук не работает. freebsd6.2
- FF и Hotbox.ru не дружат
- Проблемы с IMAP-протоколом на mail.ru и Thunderbird 1.5.0.7
- Слетела адресная книга
- Почему тормозит Лис?
- Проблема с addons.mozilla.org
- Ff2.0 зависает в день по ...надцать раз
- Проблема с обновлением FF2.0
- Firefox тормозит из-за Flash'a
- FF не понимает высоту в процентах!?
- Проблема с декодировкой при отображении тем писем (скажете баян)
- Не встраивается Download Master в Лисицу 2.0.0.1
- Portable FF2. Не запускается после вчерашнего обновления.
- Не отправляется почта.
- Не работает то, что работает в любом другом браузере!!!
- Трабл при восстановлении сессии
- Удалила Java, как вернуть?
- FF 2 не видит обновлений
- странный глюк
- (...)

... И так – каждый день. А я сижу и удивляюсь – где они все эти траблы себе выкапывают?! :-) Сам я при этом активно работаю с FF и TB, стараюсь протестировать почти все addons, многие повседневно использую... и ни с какими трудностями (что удивительно!) не сталкиваюсь. Равно как и у Agnitum Outpost разных версий, кстати.

Так что негодующих возгласов о «синих экранах» можно много найти – практически для любой мало-мальски широко используемой программы. Вот только вопрос – как оценить степень работоспособности device/head+hands/ :-) у этих пользователей...? И потом сравнить: а были ли такие глюки на моей личной машине(-ах)? И все встанет на свои места!

-offtop-

И еще – выше налицо ошибка в терминологии :-)
"Аутглюк" – это MS Outlook, а отнюдь НЕ Agnitum Outpost!

— omni (29/12/2006 18:32)   
Я не зря упомянул Аутглюк. Действительно, ранее этот термин употреблялся исключительно для Outlook.
Но сейчас, в связи с широким распространением Outpost, широкием массы же стали называть этим нелицеприятным прозвищем и Outpost, в связи с чем я и порекомендовал походить по форумам, что бы самому в этом убедится.
Что до синих экранов – да, у многих Оутпост работает, но в целом эта программа – "ПРОБЛЕМНАЯ", водится за ней такое.
Хотите – юзайте, ваше дело. Но мне было весьма приятно, когда потратил $100 на вышеупомянутую ссылку и забыл о всех проблемах, получив защиту, Шлюз, DHCP, QoS, WiFi и мн.др. для всех компьютеров сети на разных осях.

— Гость (29/12/2006 23:36)   
Это великолепно, когда у каждого есть свобода выбора – право использовать именно то, что подходит для конкретной цели и конкретного человека.

— Вий (30/12/2006 13:15, исправлен 30/12/2006 13:18)   
Мне на многих компьютерах с Windows приходилось ставить Outpost, и ни на одном из них синих экранов не было. Ставил и ZA, за которым иногда такой грешек наблюдался. Одако причина проблем чаще на мой взгляд в конфигурации ПО, например иногда такие брандмауэры не очень дружат с некоторыми видами антивирусного ПО. Кроме того, очень важно суметь настроить сам брандмауэр, а это делать умеют очень не многие пользователи.
ps Я недавно практически повесил свой Linux неправильными правилами настройки iptables. Пришлось перезагружаться с помощью reset, и загружать машину пошагово, давая разрешение или запрет на запуск каждой из служб. После решения проблемы брандмауэр заработал. Но ведь это совсем не значит, что iptables это глюковатая вещь.

— SATtva (30/12/2006 17:28)   

Наоборот – когда есть аппаратный, вся сеть может чувствовать себя спокойно и без програмных примочек

А владельцам лаптопов тоже маршрутизатор с собой повсюду таскать?

— Rabby (30/12/2006 23:11)   
Мне лично понравились следующие фишки вышеупомянутого девайса:

После подключения компьютеров к маршрутизатору и к Интернету возможна также прямая связь между этими компьютерами, совместный доступ к ресурсам и файлам. Со всех компьютеров возможен совместный доступ к принтеру, который может располагаться в любом месте дома. Кроме того, со всех компьютеров возможен совместный доступ ко всем видам файлов — музыке, цифровым изображениям и документам. Это позволяет хранить всю музыкальную коллекцию на одном компьютере и слушать музыку, находясь в любой точке дома. Можно организовать хранение всех семейных цифровых фотографий на одном компьютере, чтобы упростить поиск нужных снимков и упростить копирование на компакт-диски CD-R. Когда на диске какого-либо компьютера заканчивается свободное место, можно воспользоваться свободным местом на диске другого компьютера.

Вопрос: не очень ли много ...м-м-м... позволено пользователям этого хардового брандмауэра?

-offtop-

(уж извините за малоприличную цитату из известного анекдота):
[Медведь]: "Мужик, так я не понял, ты охотник или п...ст?"

— spinore (31/12/2006 16:33)   


Я сразу заметил, но браузер часто так тормозит, что исправлять я поленился... :(

— Серый (22/01/2007 12:29)   
Обладатели АДСЛ линий могут просто купить "LAN модем" или как его правильно назвать,"АДСЛ РОУТЕР"? Какой нибудь дешевый длинк 500Т(1000руб.) или 504Т. На них установлена ОС линукс и есть iptables. Помоему очень не плохое решение.

— unknown (22/01/2007 12:58)   

На них установлена ОС линукс и есть iptables.

И как быстро выходит обновление прошивки от производителя при нахождении уязвимости? Как легко её установить?

Хотя это вопрос рекламы/антирекламы и больше для обсуждения на железячных форумах.

— Серый (23/01/2007 17:00)   
Ну помоему уязвимостий именно в айпитейблс не так уж и много и находят их далеко не каждый день и даже не каждый месяц. Честно говаря я вообще не видел за последний год-два уязвимостей в айпитейблс. Хотя специально не искал.
Прошивки ставятся элементарно, либо "инсталятор" из виндовс либо веб интерфейс. оба способа занимают около 5 минут.
Также имеются альтернативные прошивки...

Или же думаю для любова типа соединения можно в качестве фаервола использовать старую машину с линукс или бсд на борту, в режиме роутера. Скажем какойнить пентиум 100 с 16\32 мегабайтами оперативы. Хотя про это наверно уже тут написали...