Просмотр полной версии : Обсуждение статьи "Как работает сеть и что такое межсетевой экран (firewall)"
spitamen
09.07.2005, 09:19
мда... без него сегодня никак нельзя обойтись....
Но сегодня уже огненная стена тоже рушется из за того что все хакеры и взломщики изучили принцип работы этих стен и нападают уже с помощи пожарных машин чтоб сначала потушить эту стену а потом уже перелесть :)
Пора уже переходить с огненнего на ледовую стену ( ICEWALL) :)
А что я подсказал кое кому можно даже так сказать бросил пищу для размешление ;)
Точно, все Все покупаем Пожарные машины..............
переходим на ICE....
P.S. Комментировать не буду...
В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна...
В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна...
Во внешнем выходе да, но внутри локалки(выделенная сеть) недоделанных "кулхацкеров" и сетевых вирусов хоть отбавляй.
Во внешнем выходе да, но внутри локалки(выделенная сеть) недоделанных "кулхацкеров" и сетевых вирусов хоть отбавляй.
Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-), файер нужен для блокирования доступа в сеть зараженных приложений. Но в случае одного или двух домашних пользователей, подключённых к сети через DSL модем настроенный как Router, файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря.
Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-), файер нужен для блокирования доступа в сеть зараженных приложений. Но в случае одного или двух домашних пользователей, подключённых к сети через DSL модем настроенный как Router, файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря.
А что, раутеры теперь осуществляют контроль апликаций?
А что, раутеры теперь осуществляют контроль апликаций?
ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению. Больше "удовольствий" чем результата :(
А причём здесь
А что, раутеры теперь осуществляют контроль апликаций?
Если пользователь подключён к и-нету через роутер, то из и-нета за НАТом его не видать, т.е. одна из функций файера по защите от атак из и-нета остаётся невостребованной.
Если у пользователя установлен качественный антивирь, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера.
Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил), остается только контроль компонентов на стенке. Можно пользоваться и Adifom, но это на любителя.
Если у пользователя установлен качественный антивирь, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера.
Даже теоретически самый качественнтй антивирус далёк от 100% защиты. Так что какой-бы антивирус не был - это не исключает появления "зверей" (особенно если человек лазит по всяким порно и крякосайтам). А потому нужен контроль приложений.
Другое дело что средний пользователь не умеет им пользоваться.
Geser, SDA, согласен с вами в том, что 100% защиты не существует и, в случае "усреднённого" пользователя, избыточная защтита предпочтительна.
Но что мешает проверить скачанный файл антивирем или он-лайновым DrWeb?
Ну а в случае
Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил)"усреднённого" пользователя и файер не спасёт, ибо
Другое дело что средний пользователь не умеет им пользоваться
Algris
В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна... Да, смысл в твоих словах есть, согласен - согласно модели оси - и соответственно есть вывод - конечные пользователи - вот, где это нужно, впрочем, в основном для этого и сделаны фаеры... - тема обширная...
Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-),
А мне больше понравилось следующее:
файер нужен для блокирования доступа в сеть зараженных приложений. Много, что можно сказать, прикольно просто. Комментировать не буду...
файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря. ???? . Анитивирь? Ну, если может смотреть пакеты NAT на шлюзе.... Долго объяснять.... И правильно то, что сказал Geser:
А что, раутеры теперь осуществляют контроль апликаций? Вот!!!! Правильные слова. Читаем модель оси - все уровни, хотя бы в общих чертах...
RiC
ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению. В смысле? А порты настроить на конкретный IP (in - out) и т.д.? Или ты про что? Хотя, согласен в другом - продукт Микра.... - поэтому и выводы делаем....
Algris
Если пользователь подключён к и-нету через роутер, то из и-нета за НАТом его не видать, т.е. одна из функций файера по защите от атак из и-нета остаётся невостребованной.
Согласен. Но сначала нужно определиться - железо или софт... и т.д. и т.п.....
Если у пользователя установлен качественный антивирь, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера. Согласен. Есть смысл в твоих словах. Но, как сказали SDA и Geser:
Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил), остается только контроль компонентов на стенке. Можно пользоваться и Adifom, но это на любителя.
Даже теоретически самый качественнтй антивирус далёк от 100% защиты. Так что какой-бы антивирус не был - это не исключает появления "зверей" (особенно если человек лазит по всяким порно и крякосайтам). А потому нужен контроль приложений. Вот...
ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению.
RiC В смысле? А порты настроить на конкретный IP (in - out) и т.д.? Или ты про что?
Я про контроль приложений на раутере - когда ISA стоит как раутер, она умеет "iexplore.exe" на клиенте пускать в Инет а "eexplore.exe" на том-же клиенте спускать в канализацию. Но контроль основывается только на имени файла приложения которое лезет в Инет, поэтому сразу и сказал что примитивно и настраивать замучаешься а эффект того не стоит. Хотя в комплекте с цифровой подписью и центрами сертификации можно попытаться смутить что-нибудь более прикольное - типа цифровой подписи для приложений которым можно работать в Inet, но насколько это окажется работоспособным я так сразу не скажу - надо проверять.
Хотя, согласен в другом - продукт Микра.... - поэтому и выводы делаем....
А выводы каждый делает сам для себя :)
Есть комп. Он висит в сети через NAT. Отсюда логический вывод -> от атак из вне он защищен. Однако бывают еще и нежелательные соединения инициируемые прогами с самого компа.
Задача: присекать попытки таких соединений, т.е. разрешить доступ одним и запретить другим приложениям. А какую стенку,Вы могли бы посоветовать?
Нужна программа по сути аналогична стандартному виндовому фаеру.Убивающая именно попытки программ которые лезут в сеть сами.
Нужна программа по сути аналогична стандартному виндовому фаеру.Убивающая именно попытки программ которые лезут в сеть сами.
Попробуйте Sygate.
Если не трудно,пошлите на нужную ссылку,ато я точно напутаю..)
Если не трудно,пошлите на нужную ссылку,ато я точно напутаю..)
http://www.simtel.net/product.download.mirrors.php?id=53687
Спасибо! Очень выручили-)
Спасибо! Очень выручили-)
Инструкция - http://www.inetcomm.ru/articles.php?page=sygate
http://www.simtel.net/product.download.mirrors.php?id=53687
Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?
Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?
Это реклама
Огромное спасибо Вам за статью ,очень познавательно и понятно написано .
Спасибо за статью.
Что такое файервол - понятно.
Но вот как он работает, по прежнему не ясно. :-)
Тоесть, нужно обладать дополнительными знаниями, помимо основных юзерских.
"Интуитивно" настроить файрвол, как это можно сделать с большинством других програм, тоже не получиться.
Поставил R-Firewall, потому, что к нему дается руководство.
Если есть еще материалы по работе стенок, буду благодарен.
Moonlight Rambl
04.05.2007, 09:26
работает - он "стоит" между тобой и интернетами, выполняет роль таможни на границе, всяких моджахедов останавливает :)
----------
интуитивно настроить - ну, скажем, в Outpost'е есть режим обучения. Так как обычно пользователь знает какие проги ему нужны для инета (почтовик, аська, браузер итд, набор зачастую невелик) то им можно доступ разрешать. А что полезло непонятное - запретить. А через недельку другую можно поставить режим block most (блокировка всего что явным образом не разрешено). Это что касается блокировки исходящих. Защита от атак снаружи выражается в закрытии/сокрытии портов, блокировки доступа извне (прямое назначение). Собственно, заклинание Firewall (огненная стена) в играх видели? Ну вот как-то так оно и работает. Некоторые навороченные виды стенок умеют еще и осуществлять мониторинг приложений, если что-то изменилось в наборе dll или запускаемом exe они тут же об этом и сообщают, мол, так и так, чего делать. По поводу детальных настроек надо смотреть на саму стенку, они заметно отличаются, хотя принципы схожи. Но интерфейсы... :)
Если есть еще материалы по работе стенок, буду благодарен.Таких материалов как таковых нет. Для того чтобы понимать принцип работы файрвола, нужно знать принцип работы протокола TCP/IP. Основы основ Geser изложил в этой статье.
Moonlight Rambl
04.05.2007, 13:36
Смотря как писать :) По сути разница ведь только в gui. Если взять "примерную" информацию каким программам/соединениям что разрешать то это вполне пойдет для всех стенок. Главная проблема - найти где это все задавать :) Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080... Но запретить отсылать какое-либо инфо на ip ***.***.***.*** так так там сидят злые люди. Как-то так.
Если взять "примерную" информацию каким программам/соединениям что разрешать то это вполне пойдет для всех стенок."Примерная" информация это понятие о-о-очень растяжимое. Проще пользоваться шаблонами правил, встроенных в файрвол. Если я расскажу о своих настройках файрвола, то все банально просто - удаляю все правила созданные по умолчанию и создать только нужные в режиме обучения. Посмотрите раздел "Помогите", столько напуганных людей непонимающих алретов Аутпоста. Криво настроенный файрвол хуже, чем его отсутствие. При неправильной настройке может пропасть связь с интернет. Правила для каждого индивидуальные. Говоря о себе, меня не устроило ни одно правило созданное в файрволе по умолчанию.
Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080...Впервые слышу, чтобы браузерам разрешали локальные порты только определенного диапазона.
Впервые слышу, чтобы браузерам разрешали локальные порты только определенного диапазона.Строго говоря, такое правило может иметь место быть, поскольку 1024-4999 - диапазон значений локальных портов, используемых ОС по умолчанию.
Строго говоря, такое правило может иметь место быть, поскольку 1024-4999 - диапазон значений локальных портов, используемых ОС по умолчанию.Ну, а зачем тогда использовать правило файрвола, если один из этих портов итак будет задействован по умолчанию?
Ну, а зачем тогда использовать правило файрвола, если один из этих портов итак будет задействован по умолчанию? Совершенно верно. Это касаемо браузера. Идем далее.
Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080... Многие браузеры и софт иногда еще юзают и UDP + TCP, потом ответы ICMP и т.д. А еще есть замечательная вещь - сам localhost, либо весь диапазон 127.0.0.0. Ну и т.д.
Поэтому:
Для того чтобы понимать принцип работы файрвола, нужно знать принцип работы протокола TCP/IP. Не факт. Обычно народу это не нужно. Ну уж если на то пошло, то необходимо знать еще и принцип работы самого фаера. А вообще скрытые техи работы фаеров известны только самим разработчикам.
Таких материалов как таковых нет. Ну например для Outpost есть.
Проще пользоваться шаблонами правил, встроенных в файрвол. Не факт. Шаблоны создаются именно для юзеров. Дабы у всех работало. И дабы кривыми ручками своими они потом не заваливали письмами техподдержку и т.д.
Правила для каждого индивидуальные. Говоря о себе, меня не устроило ни одно правило созданное в файрволе по умолчанию. Согласен - на 100%. При одном условии - если знаешь и четко понимаешь, что делаешь.
Не факт. Обычно народу это не нужно. Ну уж если на то пошло, то необходимо знать еще и принцип работы самого фаера. А вообще скрытые техи работы фаеров известны только самим разработчикам.Я говорю об основах. Я тоже не знаю глубоко TCP/IP, но для настройки файрвола и подключения к сети мне хватает :) Ну кроме того, что изложил Geser, важно ещё знать какие порты, каким программам нужны для нормальной работы.
Не факт. Шаблоны создаются именно для юзеров.Так мы и говорим о юзерах.
Например можно пойти на этот сайт http://tools-on.net/privacy.shtml?2
Просканировать порты и если выявятся открытые - закрыть.
Но это капля в море.
Наверняка, должныбіть наработаные схемы, обобщенный опыт как настраивать огнестены.
Скачал pcaudit и проверил в какие дырки может еще сунуться исходящая информация.
Ну например для Outpost есть.Ссылка в этой (http://virusinfo.info/showthread.php?t=9503) теме.
DISEPEAR
06.07.2009, 01:00
Хотел бы поинтерсоватся.. Сейчас у меня стоит официальный Outpost Firewall Pro
версия 6.5.4 с пожизненной лицензией.
При этом в интернет вхожу через провайдера, модем D-Link 2540U/BRU/D ADSL2/2+PortEthernetRouter. Но при этом когда я его покупал, в телекомункационной компании где и предоставляет услугу провайдер. То у меня его взяли минут на 15, а потом вернули и сказали что драйвера устанавливать не надо. Просто включил и всё.
До этого был модем Asus USBшный. Много было с ним мороки и с драйверами, часто вылитал.
Вот я и хотел спросить у знающих. Есть ли у меня Router без установленных драйверов? И нужен ли мне в дальнейшем такой жёсткий фаер как Outpost Firewall Pro ? Что то он тяжеловатый какой то, и пакеты не фильтрует.. На запрос не поставишь, как например в Eset Smart Security. Там было проще..
Если у меня уже есть Router то быть может мне лучше тогда остаться на ESS или на каком нибудь подобном, более мягком - чисто для фильтра пакетов? Как вы считаете? Или всё же Router не даёт полной защиты?
Господа забывают, что существуют ещё программы которые лезут в инет при установке - отправить информацию об установке, проверить валидность цифровой подписи, и пр. Зарегистрироваться....обновления скаячать.
Фаервол генерирует на этих этапах большое количество непонятных среднему пользователю сообщений. Запрещать. "Почему у меня не устанавливается"
А в режиме block most -пользователь не поймет почему у не работает какой то функционал программ (на собственном опыте).
Конечно приятно запретить фаером программе лезть куда-то к создателю на сайт, особенно если она используется скажем так не будучи купленной...но в остальном получается фаер позади NAT не очень и нужен.
Всё равно квалификации отличить нужный от ненужного трафика как правило- нет. И справочной литературы в инете тоже нет на эту тему, не говоря уж о сайтах производителей.
"если вы доверяете этой программе"
Как я могу доверять или не доверять какому нить mgvfc.exe ? Откуда я знаю что он хочет?
DISEPEAR
06.07.2009, 13:38
А в режиме block most -пользователь не поймет почему у не работает какой то функционал программ (на собственном опыте).
Конечно приятно запретить фаером программе лезть куда-то к создателю на сайт, особенно если она используется скажем так не будучи купленной...но в остальном получается фаер позади NAT не очень и нужен.
Ну почему же не нужен.. ну например для экономии трафика. В ESS очень удобно это было, там можно было поставить все нужные приложения на запрос. И каждый раз при попытке вылезти в инет вылезало окошечко с запросом. Можно было временно запретить - на сеанс. Или вообще временно запретить всем программам выход в инет кроме браузера и почтового клиента. Скорость инета улучшалась естественно.
сегодня файрвол блокировал атаку троянского коня Master Paradise,Просканировал компьютер на этом сайте http://tools-on.net/privacy.shtml?2 открытых портов не обнаружено,значит есть открытые порты,нужно ли их закрывать ,или достаточно ,что файрвол блокирует атаки?
сегодня файрвол блокировал атаку троянского коня Master Paradise,Просканировал компьютер на этом сайте http://tools-on.net/privacy.shtml?2 открытых портов не обнаружено,значит есть открытые порты,нужно ли их закрывать ,или достаточно ,что файрвол блокирует атаки?
Я конечно поздновато отвечаю, но в описанной выше ситуации скорее всего нужно просто установить все последние обновления для операционной системы и тогда скорее всего никакие атаки фаерволу блокировать больше не надо будет. Если только эти атаки не идут с вашего собственного компьютера. Ну и еще несколько "если", о которых думаю обычному пользователь знать не обязательно.
Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?
http://img31.imageshack.us/img31/9841/simtelnet1.th.png (http://img31.imageshack.us/img31/9841/simtelnet1.png)
Видимо паталогия там уже давно.
(вставил картинку, а там она чёт пропала)
штушакутуша
08.04.2010, 12:16
Здравствуйте. А у меня вообще засада какая-то. Включаю встроенный брандмауэр виндоуз, utorrent вообще удаляю из списка исключений, запускаю utorrent , выскакивает окошко: блокировать-разрешить, нажимаю "блокировать", utorrent появляется в списке исключений, но галочка напротив него не стоит. Вроде всё, как и должно быть. И в самом utorrent " разрешить брандмауэром виндоуз" галочка снята. Но utorrent как качал-раздавал, так и продолжает качать-раздавать. Мне кажется нездоровая какая-то канитель. Может знает кто-нибудь? Подскажите пожалуйста.:O
jeekaservis
01.10.2010, 18:26
ето всё туфта
а нужен ли файрволл на спутниковом интернете у меня радуга интернет?
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot