id: Гость   вход   регистрация
текущее время 00:35 29/03/2024
Автор темы: Вий, тема открыта 07/11/2005 20:53 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/БрандмауэрыКакойБрандмауэрЛучше
создать
просмотр
ссылки

Брандмауэры. Какой брандмауэр лучше?


Здравствуйте!
Еще раз задумался о юстировке своей системы под более безопасную работу в интернет. В связи с этим вновь встал вопрос. Какой брандмауэр лучше?
Мое внимание сосредоточено на 2 альтернативах – ZA или Outpost.
Я хотел бы разбить данный вопрос (если это возможно) на 2 части:
1. Какой из них более надежен и более гибок в настройках в конечном счете (вопрос более теоретический).
2. Какой из них проще использовать и легче настроить, не являясь при этом профессиональным знатоком всех тонкостей сетевой активности (т.е. вопрос уже чисто практический).
Заранее благодарен за ответы.


 
На страницу: 1, 2 След.
Комментарии
— Гость (08/11/2005 15:03)   <#>
1. Outpost
2. говорят ZoneAlarm

Еще стоит качественно определиться. Есть серверные файрволы (типа WinRoute), есть персональные (типа Outpst). В некоторых случаях всё же лучше серверный, даже если компьютер вовсе не сервер.
— Вий (08/11/2005 19:57)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
ZA во вкладке ProgramControl имеет поля Server. Значит ли это, что ZA является серверным файрволом?
— Elk (11/11/2005 12:55)   профиль/связь   <#>
комментариев: 73   документов: 1   редакций: 0
Надёжность имеет две стороны. OP теоретически более непробиваем и практически более гибок в настройках. БОльшая непробиваемость – соответствует бОльшей вероятности не вызванного атакой отказа системы, содержащей персональный файрвол. Ошибкой в более гибких настройках тоже легче вызвать отказ системы.

Неискушённому я бы посоветовал ZA. Если не напрягает то, что он втихаря пытается соединяться с сеткой Zone Labs-а. 10-15 килобайт в час, если ему позволить.

Под серверным обычно понимают сетевой FW. Порты, протоколы, адреса, их сочетания, изоляция "неправильных" пакетов. Персональный FW беззащитен от атак на уровне сетевых драйверов, зато, в отличие от сетевого, позволяет контролировать доступ программ к сети и доступ из сети к программам. Значения в поле "Server" определяют поведение файрвола в отношении программ, доступ к которым происходит "снаружи". Если на сетевом уровне PFW порт открыт, но программе явно не разрешено отвечать на запросы снаружи, то PFW обязан прореагировать (спросить, что предпринять, или молча добавить запись о блокировке в лог).
— unknown (12/11/2005 15:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Под серверным обычно понимают сетевой FW. Порты, протоколы, адреса, их сочетания, изоляция "неправильных" пакетов. Персональный FW беззащитен от атак на уровне сетевых драйверов, зато, в отличие от сетевого, позволяет контролировать доступ программ к сети и доступ из сети к программам.

<Linux only>

А это какой файрволл интересно – сетевой или персональный?



</Linux only>
— Elk (14/11/2005 14:51)   профиль/связь   <#>
комментариев: 73   документов: 1   редакций: 0
Еcли мы вернёмся в виндовый контекст, то можно сказать, что модуль OWNER, позволяющий идентифицировать процесс и пользователя, придаёт iptables свойства персонального (локального) FW.
— Гость (14/11/2005 17:00)   <#>
Вообще Оутпост, хваленый на многих сайтах, тормозит канал. Даже модем
ный. Не держит высокочастотное сканирование. Считается фаером средней руки.
Лучший Look n stop.
— Lustermaf (14/11/2005 17:29)   профиль/связь   <#>
комментариев: 225   документов: 8   редакций: 2
Donald:
Вообще Оутпост, хваленый на многих сайтах, тормозит канал. Даже модемный.

Ну он Gzip трафик не пускает, только «расжатый»; это поправимо.
Кто-нибудь пользуется Sygate Personal Firewall Pro?
— Kent (14/11/2005 18:00)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
Lustermaf:
Кто-нибудь пользуется Sygate Personal Firewall Pro?

Пользовался когда-то. Очень неудобен в настройках, даже для подготовленного пользователя.
— Гость (14/11/2005 19:32)   <#>
Donald:
Вообще Оутпост, хваленый на многих сайтах, тормозит канал. Даже модем
ный. Не держит высокочастотное сканирование. Считается фаером средней руки.
Лучший Look n stop.

У меня celeron 1.7, канал 100Мегабит, аптайи 24x7, outpost 3, ничего не тормозит.
— unknown (15/11/2005 14:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Еcли мы вернёмся в виндовый контекст, то можно сказать, что модуль OWNER, позволяющий идентифицировать процесс и пользователя, придаёт iptables свойства персонального (локального) FW.

Значит хороший файрволл должен уметь делать и то и другое. Или пользователь должен установить персональный firewall, сетевой файрволл, IDS, антивирус и еще массу программ, которые не выдержит ни его голова, ни операционная система.
— Гость (15/11/2005 17:25)   <#>
Для Windows такого нет. Я правда не смотрел малораспространённые файрволы, т.к. с ними может случиться всё что угодно. Можно попробывать Outpost + WIPFW. WIPFW сейчас сделал не как NDIS драйвер, следовательно не должен конфликтовать с Outpost. Так то два фарвлола ставить нельзя. Еще можно outpost + аппартаный файрвол (какой нибудь DLink 604+).
— Вий (25/12/2006 18:42)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Стоит ли при настройке брандмауэра отсеивать запросы команды ping, посылаемые с удаленной машины? Может ли это угрожать какой-либо опасностью? Или при правильной настройке брандмауэра это не представляет опасности?
— SATtva (25/12/2006 19:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Лучше всего игнорировать все входящие соединения и запросы, попадающие на Вашу машину, если только в них нет явной потребности (терминальный доступ, например). Так у потенциального нападающего не будет даже простой возможности установить, когда Вы подключены к Сети.
— Rabby (26/12/2006 10:24)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
http://www.firewallleaktester......ination_overview.php

(внизу страницы нажать на кнопку "view results")

Rabby
— spinore (27/12/2006 19:46)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

2. Какой из них проще использовать и легче настроить, не являясь при этом профессиональным знатоком всех тонкостей сетевой активности (т.е. вопрос уже чисто практический).

OpenBSD Packet Filter (PF) – однозначно. Вообще, OpenBSD – лучший файероволл из возможных. Его ставят даже на магистральный каналах между сранами, по рассказам. Простейший конфиг могу скинуть кто пожелает если... (без NATa)
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3