# Форум на русском языке  > Решения по информационной безопасности  > Межсетевые экраны (firewall)  >  Обсуждение статьи "Как работает сеть и что такое межсетевой экран (firewall)"

## spitamen

мда... без него сегодня никак нельзя обойтись....
Но сегодня уже огненная стена тоже рушется из за того что все хакеры и взломщики изучили принцип работы этих стен и нападают уже с помощи пожарных машин чтоб сначала потушить эту стену а потом уже перелесть  :Smiley: 

Пора уже переходить с огненнего на ледовую стену ( ICEWALL)  :Smiley: 
А что я подсказал кое кому можно даже так сказать бросил пищу для размешление  :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## orvman

Точно, все Все покупаем Пожарные машины..............
переходим на ICE....

P.S. Комментировать не буду...

----------


## Algris

В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна...

----------


## SDA

> В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна...


Во внешнем выходе да, но внутри локалки(выделенная сеть) недоделанных "кулхацкеров" и сетевых вирусов хоть отбавляй.

----------


## Algris

> Во внешнем выходе да, но внутри локалки(выделенная сеть) недоделанных "кулхацкеров" и сетевых вирусов хоть отбавляй.


Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-), файер нужен для блокирования доступа в сеть зараженных приложений. Но в случае одного или двух домашних пользователей, подключённых к сети через DSL модем настроенный как Router, файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря.

----------


## Geser

> Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-), файер нужен для блокирования доступа в сеть зараженных приложений. Но в случае одного или двух домашних пользователей, подключённых к сети через DSL модем настроенный как Router, файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря.


А что, раутеры теперь осуществляют контроль апликаций?

----------


## RiC

> А что, раутеры теперь осуществляют контроль апликаций?


ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению. Больше "удовольствий" чем результата  :Sad:

----------


## Algris

А причём здесь 


> А что, раутеры теперь осуществляют контроль апликаций?


Если пользователь подключён к и-нету через роутер, то из и-нета за НАТом его не видать, т.е. одна из функций файера по защите от атак из и-нета остаётся невостребованной.
Если у пользователя установлен *качественный антивирь*, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера.

----------


## SDA

Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил), остается только контроль компонентов на стенке. Можно пользоваться и Adifom, но это на любителя.

----------


## Geser

> Если у пользователя установлен *качественный антивирь*, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера.


Даже теоретически самый качественнтй антивирус далёк от 100% защиты. Так что какой-бы антивирус не был - это не исключает появления "зверей" (особенно если человек лазит по всяким порно и крякосайтам). А потому нужен контроль приложений. 
Другое дело что средний пользователь не умеет им пользоваться.

----------


## Algris

*Geser, SDA*, согласен с вами в том, что 100% защиты не существует и, в случае "усреднённого" пользователя, избыточная защтита предпочтительна.
Но что мешает проверить скачанный файл антивирем или он-лайновым DrWeb?
Ну а в случае 


> Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил)


"усреднённого" пользователя и файер не спасёт, ибо 


> Другое дело что средний пользователь не умеет им пользоваться

----------


## orvman

*Algris* 


> В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна...


 Да, смысл в твоих словах есть, согласен - согласно модели оси - и соответственно есть вывод - конечные пользователи - вот, где это нужно, впрочем, в основном для этого и сделаны фаеры... - тема обширная...



> Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-),


А мне больше понравилось следующее: 


> файер нужен для блокирования доступа в сеть зараженных приложений.


 Много, что можно сказать, прикольно просто. Комментировать не буду... 


> файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря.


 ???? . Анитивирь? Ну, если может смотреть пакеты NAT на шлюзе.... Долго объяснять.... И правильно то, что сказал Geser: 


> А что, раутеры теперь осуществляют контроль апликаций?


 Вот!!!! Правильные слова. Читаем модель оси - все уровни, хотя бы в общих чертах...

*RiC* 


> ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению.


 В смысле? А порты настроить на конкретный IP (in - out) и т.д.? Или ты про что? Хотя, согласен в другом - продукт Микра.... - поэтому и выводы делаем....

*Algris* 



> Если пользователь подключён к и-нету через роутер, то из и-нета за НАТом его не видать, т.е. одна из функций файера по защите от атак из и-нета остаётся невостребованной.


Согласен. Но сначала нужно определиться - железо или софт... и т.д. и т.п.....



> Если у пользователя установлен качественный антивирь, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера.


 Согласен. Есть смысл в твоих словах. Но, как сказали SDA и Geser: 


> Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил), остается только контроль компонентов на стенке. Можно пользоваться и Adifom, но это на любителя.


 


> Даже теоретически самый качественнтй антивирус далёк от 100% защиты. Так что какой-бы антивирус не был - это не исключает появления "зверей" (особенно если человек лазит по всяким порно и крякосайтам). А потому нужен контроль приложений.


 Вот...

----------


## RiC

> ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению.
> 			
> 		
> 
> *RiC*  В смысле? А порты настроить на конкретный IP (in - out) и т.д.? Или ты про что?


Я про контроль приложений на раутере - когда ISA стоит как раутер, она умеет "iexplore.exe" *на клиенте* пускать в Инет а "eexplore.exe" на том-же клиенте спускать в канализацию. Но контроль основывается только на имени файла приложения которое лезет в Инет,  поэтому сразу и сказал что примитивно и настраивать замучаешься а эффект того не стоит. Хотя в комплекте с цифровой подписью и центрами сертификации можно попытаться смутить что-нибудь более прикольное - типа цифровой подписи для приложений которым можно работать в Inet, но насколько это окажется работоспособным я так сразу не скажу - надо проверять.




> Хотя, согласен в другом - продукт Микра.... - поэтому и выводы делаем....


А выводы каждый делает сам для себя  :Smiley:

----------


## kirs

Есть комп. Он висит в сети через NAT. Отсюда логический вывод -> от  атак из вне он защищен. Однако бывают еще и нежелательные соединения инициируемые прогами с самого компа. 
Задача: присекать попытки таких соединений, т.е. разрешить доступ одним и запретить другим приложениям. А какую стенку,Вы могли бы посоветовать? 
Нужна программа по сути аналогична стандартному виндовому фаеру.Убивающая именно попытки программ которые лезут в сеть сами.

----------


## RiC

> Нужна программа по сути аналогична стандартному виндовому фаеру.Убивающая именно попытки программ которые лезут в сеть сами.


Попробуйте Sygate.

----------


## kirs

Если не трудно,пошлите на нужную ссылку,ато я точно напутаю..)

----------


## RiC

> Если не трудно,пошлите на нужную ссылку,ато я точно напутаю..)


http://www.simtel.net/product.downlo...s.php?id=53687

----------


## kirs

Спасибо! Очень выручили-)

----------


## RiC

> Спасибо! Очень выручили-)


Инструкция - http://www.inetcomm.ru/articles.php?page=sygate

----------


## Alfiya

> http://www.simtel.net/product.downlo...s.php?id=53687


Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?

----------


## Geser

> Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
> я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?


Это реклама

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## 1serg

Огромное спасибо Вам за статью ,очень познавательно и понятно написано .

----------


## asd911

Спасибо за статью.
Что такое файервол - понятно.
Но вот как он работает, по прежнему не ясно. :-) 
Тоесть, нужно обладать дополнительными знаниями, помимо основных юзерских. 
"Интуитивно" настроить файрвол, как это можно сделать с большинством других програм, тоже не получиться.
Поставил R-Firewall, потому, что к нему дается руководство.
Если есть еще материалы по работе стенок, буду благодарен.

----------


## Moonlight Rambl

работает - он "стоит" между тобой и интернетами, выполняет роль таможни на границе, всяких моджахедов останавливает  :Smiley: 
----------
интуитивно настроить - ну, скажем, в Outpost'е есть режим обучения. Так как обычно пользователь знает какие проги ему нужны для инета (почтовик, аська, браузер итд, набор зачастую невелик) то им можно доступ разрешать. А что полезло непонятное - запретить. А через недельку другую можно поставить режим block most (блокировка всего что явным образом не разрешено). Это что касается блокировки исходящих. Защита от атак снаружи выражается в закрытии/сокрытии портов, блокировки доступа извне (прямое назначение). Собственно, заклинание Firewall (огненная стена) в играх видели? Ну вот как-то так оно и работает. Некоторые навороченные виды стенок умеют еще и осуществлять мониторинг приложений, если что-то изменилось в наборе dll или запускаемом exe они тут же об этом и сообщают, мол, так и так, чего делать. По поводу детальных настроек надо смотреть на саму стенку, они заметно отличаются, хотя принципы схожи. Но интерфейсы...  :Smiley:

----------


## Макcим

> Если есть еще материалы по работе стенок, буду благодарен.


Таких материалов как таковых нет. Для того чтобы понимать принцип работы файрвола, нужно знать принцип работы протокола TCP/IP. Основы основ *Geser* изложил в этой статье.

----------


## Moonlight Rambl

Смотря как писать  :Smiley:  По сути разница ведь только в gui. Если взять "примерную" информацию каким программам/соединениям что разрешать то это вполне пойдет для всех стенок. Главная проблема - найти где это все задавать  :Smiley:  Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080... Но запретить отсылать какое-либо инфо на ip ***.***.***.*** так так там сидят злые люди. Как-то так.

----------


## Макcим

> Если взять "примерную" информацию каким программам/соединениям что разрешать то это вполне пойдет для всех стенок.


"Примерная" информация это понятие о-о-очень растяжимое. Проще пользоваться шаблонами правил, встроенных в файрвол. Если я расскажу о своих настройках файрвола, то все банально просто - удаляю все правила созданные по умолчанию и создать только нужные в режиме обучения. Посмотрите раздел "Помогите", столько напуганных людей непонимающих алретов Аутпоста. Криво настроенный файрвол хуже, чем его отсутствие. При неправильной настройке может пропасть связь с интернет. Правила для каждого индивидуальные. Говоря о себе, меня не устроило ни одно правило созданное в файрволе по умолчанию. 



> Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080...


Впервые слышу, чтобы браузерам разрешали локальные порты только определенного диапазона.

----------


## Numb

> Впервые слышу, чтобы браузерам разрешали локальные порты только определенного диапазона.


Строго говоря, такое правило может иметь место быть, поскольку 1024-4999 - диапазон значений локальных портов, используемых ОС по умолчанию.

----------


## Макcим

> Строго говоря, такое правило может иметь место быть, поскольку 1024-4999 - диапазон значений локальных портов, используемых ОС по умолчанию.


Ну, а зачем тогда использовать правило файрвола, если один из этих портов итак будет задействован по умолчанию?

----------


## orvman

> Ну, а зачем тогда использовать правило файрвола, если один из этих портов итак будет задействован по умолчанию?


 Совершенно верно. Это касаемо браузера. Идем далее. 


> Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080...


 Многие браузеры и софт иногда еще юзают и UDP + TCP, потом ответы ICMP и т.д. А еще есть замечательная вещь - сам localhost, либо весь диапазон 127.0.0.0. Ну и т.д. 
Поэтому: 


> Для того чтобы понимать принцип работы файрвола, нужно знать принцип работы протокола TCP/IP.


 Не факт. Обычно народу это не нужно. Ну уж если на то пошло, то необходимо знать еще и принцип работы самого фаера. А вообще скрытые техи работы фаеров известны только самим разработчикам.



> Таких материалов как таковых нет.


 Ну например для Outpost есть. 


> Проще пользоваться шаблонами правил, встроенных в файрвол.


 Не факт. Шаблоны создаются именно для юзеров. Дабы у всех работало. И дабы кривыми ручками своими они потом не заваливали письмами техподдержку и т.д.  


> Правила для каждого индивидуальные. Говоря о себе, меня не устроило ни одно правило созданное в файрволе по умолчанию.


 Согласен - на 100%. При одном условии - если знаешь и четко понимаешь, что делаешь.

----------


## Макcим

> Не факт. Обычно народу это не нужно. Ну уж если на то пошло, то необходимо знать еще и принцип работы самого фаера. А вообще скрытые техи работы фаеров известны только самим разработчикам.


Я говорю об основах. Я тоже не знаю глубоко TCP/IP, но для настройки файрвола и подключения к сети мне хватает  :Smiley:  Ну кроме того, что изложил *Geser*, важно ещё знать какие порты, каким программам нужны для нормальной работы. 



> Не факт. Шаблоны создаются именно для юзеров.


Так мы и говорим о юзерах.

----------


## asd911

Например можно пойти на этот сайт http://tools-on.net/privacy.shtml?2
Просканировать порты и если выявятся открытые - закрыть.
Но это капля в море.
Наверняка, должныбіть наработаные схемы, обобщенный опыт как настраивать огнестены.

Скачал pcaudit и проверил в какие дырки может еще сунуться исходящая информация.

----------


## Макcим

> Ну например для Outpost есть.


Ссылка в этой теме.

----------


## DISEPEAR

Хотел бы поинтерсоватся.. Сейчас у меня стоит  официальный *Outpost* *Firewall Pro* 
 версия 6.5.4 с пожизненной лицензией.
  При этом в интернет вхожу через провайдера, модем *D-Link 2540U/BRU/D* *ADSL2/2+PortEthernetRouter*. Но при этом когда я его покупал, в телекомункационной компании где и предоставляет услугу провайдер. То у меня его взяли минут на 15, а потом вернули и сказали что драйвера устанавливать не надо. Просто включил и всё.
  До этого был модем Asus USBшный. Много было с ним мороки и с драйверами, часто вылитал.
  Вот я и хотел спросить у знающих. Есть ли у меня Router без установленных драйверов? И нужен ли мне в дальнейшем такой жёсткий фаер как *Outpost Firewall Pro* ? Что то он тяжеловатый какой то, и пакеты не фильтрует.. На запрос не поставишь, как например в Eset Smart Security. Там было проще..
  Если у меня уже есть Router то быть может мне лучше тогда остаться на ESS или на каком нибудь подобном, более мягком - чисто для фильтра пакетов? Как вы считаете? Или всё же Router не даёт полной защиты?

----------


## Helgin

Господа забывают, что существуют ещё программы которые лезут в инет при установке - отправить информацию об установке, проверить валидность цифровой подписи, и пр. Зарегистрироваться....обновления скаячать. 
Фаервол генерирует на этих этапах большое количество непонятных среднему пользователю сообщений. Запрещать. "Почему у меня не устанавливается"
А в режиме block most -пользователь не поймет почему у не работает какой то функционал программ (на собственном опыте).
Конечно приятно запретить фаером программе лезть куда-то к создателю на сайт, особенно если она используется скажем так не будучи купленной...но в остальном получается фаер позади NAT не очень и нужен. 
Всё равно квалификации отличить нужный от ненужного трафика как правило- нет. И справочной литературы в инете тоже нет на эту тему, не говоря уж о сайтах производителей.
"если вы доверяете этой программе"
Как я могу доверять или не доверять какому нить mgvfc.exe ? Откуда я знаю что он хочет?

----------


## DISEPEAR

> А в режиме block most -пользователь не поймет почему у не работает какой то функционал программ (на собственном опыте).
> Конечно приятно запретить фаером программе лезть куда-то к создателю на сайт, особенно если она используется скажем так не будучи купленной...но в остальном получается фаер позади NAT не очень и нужен.


  Ну почему же не нужен.. ну например для экономии трафика. В ESS очень удобно это было, там можно было поставить все нужные приложения на запрос. И каждый раз при попытке вылезти в инет вылезало окошечко с запросом. Можно было временно запретить - на сеанс. Или вообще временно запретить всем программам выход в инет кроме браузера и почтового клиента. Скорость инета улучшалась естественно.

----------


## syneus

сегодня файрвол блокировал атаку троянского коня Master Paradise,Просканировал компьютер  на этом сайте http://tools-on.net/privacy.shtml?2 открытых портов не обнаружено,значит есть открытые порты,нужно ли их закрывать ,или достаточно ,что файрвол блокирует атаки?

----------


## craftix

> сегодня файрвол блокировал атаку троянского коня Master Paradise,Просканировал компьютер  на этом сайте http://tools-on.net/privacy.shtml?2 открытых портов не обнаружено,значит есть открытые порты,нужно ли их закрывать ,или достаточно ,что файрвол блокирует атаки?


Я конечно поздновато отвечаю, но в описанной выше ситуации скорее всего нужно просто установить все последние обновления для операционной системы и тогда скорее всего никакие атаки фаерволу блокировать больше не надо будет. Если только эти атаки не идут с вашего собственного компьютера. Ну и еще несколько "если", о которых думаю обычному пользователь знать не обязательно.

----------


## valho

> Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
> я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?




Видимо паталогия там уже давно.
(вставил картинку, а там она чёт пропала)

----------


## штушакутуша

Здравствуйте. А у меня вообще засада какая-то. Включаю встроенный брандмауэр виндоуз, utorrent вообще удаляю из списка исключений, запускаю utorrent , выскакивает окошко: блокировать-разрешить, нажимаю "блокировать", utorrent появляется в списке исключений, но галочка напротив него не стоит. Вроде всё, как и должно быть. И в самом utorrent " разрешить брандмауэром виндоуз" галочка снята. Но utorrent как качал-раздавал, так и продолжает качать-раздавать. Мне кажется нездоровая какая-то канитель. Может знает кто-нибудь? Подскажите пожалуйста. :Shocked:

----------


## jeekaservis

ето всё туфта

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Zoric

а нужен ли файрволл на спутниковом интернете у меня радуга интернет?

----------

