Рейтинг межсетевых экранов. Каким брандмауэром Вы пользуетесь?

сабж...

Долго пользовался Аутостом. Считаю что самый удобный из существующих. Сейчас стоит встроенный в KIS

Пользовался честно купленным Аутпостом. Сейчас присматриваюсь к сигейту. КИС не катит в настоящее время.

С удовольствием пользую ZoneAlarm.
До него довольно долго пользовался Outpost,
но глюки, подлянка с GZIP и некоторая назойливость заставили отказаться от него.

Outpost, мне нравится в нем удобный интерфейс и возможность подключения доп. модулей. Хороший уровень защиты.

Я выбрал Outpost из-за русского интерфейса(я инглиш плоховато знаю и ваще меня бесят проги с английским фейсом).

Я ещё Agava Firewall недавно ставил. В правилах без бутылки не разберёшся.

Раньше был NIS. Хорош, но тяжеловат. Потом Kerio Personal Firewall, а сейчас Outpost

Мне в данном случае хорошо - между мной и Инет несколько аппаратных Firewall :) А так по опыту могу сказать, что для начального уровня хорош встроенный в XP SP2 (его кстати нет в списке) - прост до безобразия и настроки не требует

[QUOTE=Зайцев Олег]Мне в данном случае хорошо - между мной и Инет несколько аппаратных Firewall :) А так по опыту могу сказать, что для начального уровня хорош встроенный в XP SP2 (его кстати нет в списке) - прост до безобразия и настроки не требует[/QUOTE]
А как же контроль апликаций?:)

[QUOTE=Geser]А как же контроль апликаций?:)[/QUOTE]
В случае аппаратного Firewall - с помощью автоматических систем (естественно, с ним не связанных и приенимых только для больших корпоративных сетей), а в случае встроенного в XP SP2 - тут похуже, но на типовые вещи он реагирует и выдает запросы (хотя с тем же Outpost способности встроенного Firewall XP не сравнить).

ZoneAlarm. Все в нем устраивает да и привык к нему.

Agnitum Outpost Firewall - forever. Рулит он сильно и это надо признать. Хотя с тем же успехом надо признать и некоторые глюки программы. Перепробовал кучу фаеров. Зина и Керио понравились, но не более. У остальных вообще совсем все не то, что хотелось бы. Вот поэтому-то и остановился на нем. Куча наворотов, настроек + плагины + контроль компонентов + внутренние настройки Детектора атак и т.д. Еще бы какой-нибудь плагин-антивирусник, работающий в потоках, придумали бы. Вот тогда вообще цены бы не было.

[QUOTE=orvman] Еще бы какой-нибудь плагин-антивирусник, работающий в потоках, придумали бы. Вот тогда вообще цены бы не было.[/QUOTE]
Год назад говорил с гендиректором ДрВеб. Ещ тогда предложил им скооперироваться с Агнитум. Сказал мол уже занято. Правда пока не понятно кем. Может в версии 3 что-то появится.

ISS BlackICE PC Protection

Перепробовал почти все, остановился на Sygate, использую уже болеее года (глюков пока не видел в отличе от Оутпоста, хотя Оутпост очень не полх, если б не глюки с локальной сетью..) + DrWEB

[QUOTE=Alex100]Перепробовал почти все, остановился на Sygate, использую уже болеее года (глюков пока не видел в отличе от Оутпоста, хотя Оутпост очень не полх, если б не глюки с локальной сетью..) + DrWEB[/QUOTE]

Аналогично, после очередного голубого экрана начал искать альтернативу и наткнулся на Sygate, в принципе доволен, а "рюшки" мне особо не нужны, тем паче из полезных там только кэш DNS да резалка баннеров, 1-я есть в Sygate, а с рекламой Proxomitron справляется не хуже, да и gzip`ом у него проблем нет. В отличии от Outpost`a в Sygate правила можно делать не только для IP адресов, но и для MAC, что позволяет нормально фильтровать любой IP Based траффик, а не только TCP/UDP.
Скажу так для пользователя Outpost хорош, когда становиться нужно что-то больше - увы ква.

Agnitum Outpost Firewall RULE!!!До этого пользовался Нортоновским,ну о качестве не буду говорить,хотя мой знакомый от него просто в восторге,вот тут упоминались глюки Аутпоста,тьфу тьфу тьфу я пока их пачти не имел,один раз что то не то случилось и он что то потtрял(подозреваю что не без помощи из вне)я его переставил и все хорошо.Остальные пока не пробовал надеюсь мне не придется этого делать.

Сейчас стоит AGAVA Firewall. Какое то время пользовался Outpost, но задолбал его корявый интерфейс и синие экраны. Новым файрволом доволен, есть все что нужно, интерфейс удобный.

на некоторых машинах стоит wipfw ([url]http://wipfw.sourсeforge.net)[/url], а в основном - iptables

[QUOTE=Зайцев Олег]В случае аппаратного Firewall - с помощью автоматических систем (естественно, с ним не связанных и приенимых только для больших корпоративных сетей)[/QUOTE]

По своему опыту могу сказать, что качество определения приложений в таких системах оставляет желать лучшего.

чтобы не офтопать, я использую честно купленную тиньку (tiny personal firewall pro)

Контроль приложений обычно обходится через длл инджектинг разного характера...

outpost лучше нет!!!

outpost, мне нравится, о другом пока не думаю.

[B]ZoneAlarm[/B]. Привык к нему.

Были Sygate, ZA(all), BlackIce(all), Look`n`Stop, AGAVA, EZ, ArcaVir, BitDefender,Visnetic, OutPost, AVG, Kaspersky - либо глючат, ругаются с антивирями,много жрут и не любят когда их из автозагрузки убирают, либо дырявые, кроме L`n`S. Сейчас работаю с 8Signs (четкая прога, можно тонко настроить,у меня стоит автоБАН, так она забанила DNSы. Конечно это только фильтр, но крепкий и хорошо затачиваемый.
Хочу попробовать Rising Firewall китайский, но нет в свободной продаже, нигде.

[QUOTE]Были Sygate, ZA(all), BlackIce(all), Look`n`Stop, AGAVA, EZ, ArcaVir, BitDefender,Visnetic, OutPost, AVG, Kaspersky - либо глючат, ругаются с антивирями,много жрут и не любят когда их из автозагрузки убирают[/QUOTE] Все правильно, а как же они будут контролировать систему и сетевой траффик в реальном режиме времени? И при чем тут автозагрузка? Например, тот же Outpost можно ручками запускать. А прописываются они в автозагрузку специально для того, чтобы защищать всю систему не в процессе входа/выхода пользователя, а на стадии загрузки драйверов и служб Винды для полного сетевого контроля.
[QUOTE]либо дырявые, кроме L`n`S.[/QUOTE] Хе. А откуда такая конкретная инфа? [QUOTE]много жрут [/QUOTE] А что скажешь насчет Outpost? Тоже много отжирает?

[QUOTE=orvman]А что скажешь насчет Outpost? Тоже много отжирает?[/QUOTE]
На 100 мегабитах ставит колом даже 4-й пень. Память почти не жрёт, а вот процессор только давай.
Чем и удивил Sygate, при том-же копании в содержимом пакетов комп грузит раза в 3 меньше чем Outpost.
Мой комп - P4 2.8 100 Мегабит Full Duplex - прокачка файла соседу -
Outpost - загрузка процессора - 80-100% скорость перекачки - 50/60 мегабит,
Sygate - загрузка процессора - 30-40% скорость перекачки - 70-90 мегабит.

[b]RiC[/b] Элементарно. Берем соседнюю организацию, где я ставил ОР на шлюз.
~40 машин, сетка 100Mbit, свичи естественно, от разных производителей, но не в этом дело. Подсетей нет, сеть стандартная виндовая 192.168.0.0. DHCP на шлюзе на XP. Машины от 98 до XP (серверов типа 2000 или 2003 нет, юниксовых машин тоже, только Винда). Внутренняя сетка юзается интенсивно. Типа 1С и других БД, даже не разбирался какие, каспер, банк-клиент, несколько модемов в локали + ОР на этих машинах, естественно. + выделенка на самом шлюзе. ОР не везде, а только там, где нужно. ~20 станций с ОР. Режимы и политики ОР разные и фоновый тоже есть. На многих машинах есть FUS.
В общем, много можно говорить об этом, я о конфиге сетки, машин и т.д.
Вернемся к шлюзу. Версия ОР 2.5. Тамошний админ уже обновил до 2.7.
Падений и глюков сетки нет. Скорость стабильная. Внешняя и внутренняя локаль работает нормально. Загрузка процессора при одновременном юзании локали + инета (я имею ввиду не только пакеты NAT, но и локальные ресурсы машины-шлюза) на шлюзе 10%. А вот насчет оперативочки на шлюзе, да. При интенсивном юзании возрастает до 50 MB. Если брать во внимание, что ранее у ОР были траблы при интенсивном IGMP-флуде, что приводило к 100% нагрузке процессора и заниманию всей доступной оперативочки, а затем и стабильное падение системы, то это уже давным давно выправили (это потом и стали называть утечкой памяти, уже писал об этом на разных форумах). Так вот. Вернемся к той сетке. В сетке аппаратные части машин самые разные. Начиная от первых пней и заканчивая четвертыми. Ну как?
А теперь вдогонку с чем я сам сталкивался у себя в организации. Там же стоял ОР версии 2.5. Пишу по памяти, т.к. недавно эту машину отдал. Внимание!
Конфигурация следующая:
[b]АМВ-К5-PR100 + 32 MB (SIMM)[/b], (были такие лет десять назад) сетка 100Mbit. Кроме 1С, ОР и старого офиса там ничего не стояло. Все работало без проблем! Был лишь тайм-аут с загрузкой ОР при старте винды. (либо с загрузкой офиса, но не об этом речь).
А ты говоришь о четвертом пне...
Повторяю. ОР - это самый неприхотливый фаер. Ставится куда угодно. На любую старую машину.
Теперь, возьмем вторую организацию. Опять виндовый шлюз. ОР 2.6. Все летает на ура. Но не в этом дело. Ты говоришь о скорости перекачки. Хе, в жизнь не поверю в такую разницу. Дело в том, что ОР практически не оказывает влияние на скорость локальной сети, тем более в работе с пакетами NetBios. При правильной настройке, даже и неправильной, разницу в скорости сетки ты не увидишь и не почувствуешь, т.к. она составляет не более 0,5%-1%. Об этом, ты можешь узнать у самих производителей. Есть незначительный тормоз при работе. Но на это влияют уже встроенные модули ОР. Например, при работе по http есть задержки и тайм-ауты при передаче гипертекста, затем его анализа в плагинах и распаковки уже в браузере. Но все это зависит от самих настроек, например, модуля "Интерактивные элементы". А влокали на скорость единственное, что может влиять, это модуль "Детектор атак". Далее. Если в системных настройках ОР стоит галка Нетбиоса на конретный IP или диапазон, а это будет в 99%, то повторяю - на скорость соединения это не влияет. Поясню почему.
Дело в том, что при установке канала связи (надеюсь, этот обычный трехэтапный процесс с сылками на RFC описывать не нужно) ОР делает также поэтапный анализ заголовков пакетов. Когда одна машина ответит другой, что уже готова к установлению канала связи, ОР тупо увидев в заголовке пакета конкретный IP и сравнив его со своими данными, разрешает [b]сеанс[/b] связи по этому IP, порту и т.д. (может другими критериями) и далее [b]до полного окончания канала связи[/b] (по этим критериям) [b]не оказывает уже никакого влияния на эти пакеты[/b]. Надеюсь смысл ясен.
Теперь далее, насчет скорости. Ты не задумываешься о том, что дело может быть еще и в постороннем софте? Например, мониторы системы, реестра, антивирусы, шум сетки и т.д. и т.п. + другой постороний софт на той или другой машине? А обращений других машин к твоей? Например, те же банальные многочисленные броадкасты или обращения по ICMP? (кстати, все неизвестные протоколы и весь ICMP желательно вообще всегда отключать).

P.S.
Напоследок. То, что у меня. Шлюз. протокол NetBios для локальной сети включен.
Конфигурация:
Intel(R) Pentium(R) 4 CPU 2.80GHz
Mainboard : Intel Corporation D865PERL
Installed Memory : 512MB
Microsoft Windows XP Professional Ver 5.01.2600 Service Pack 2
Внутренняя локаль : Realtek RTL8139 Family PCI Fast Ethernet NIC
Выделенная линия : Intel(R) PRO/100 VE Network Connection
Outpost Firewall Pro ver. 2.7.492.5421 (416)
Идет скачка через Total Commander на шлюзе. Пять клиентов на выделенке (инет) качают данные. Посторонний софт, типа монитора KAV, 1с и т.д. и т.п. в расчет не берем.
Загрузка OP - 1%, Общая загрузка процессора машины 7%.
В общем, вот скрин.
Без комментариев.

P.P.S. Что на это скажешь :)

Кстати, при использовании П2П программ которые постоянно создают кучу соединений отключение ведения лога снижает загрузку процессора, а так же дёрганье диска (как следствие и его продолжительность жизни :))

Agnitum Outpost Firewall v 2.1. Давно юзаю (с 1.0 начинал), ни разу он меня не подводил ни на работе, ни дома. Для меня важен его удобный интерфейс, особенно в части создания правил для новых прог, которые частенько приходится устанавливать для ознакомления либо тестирования. При этом использую его широкие возможности процентов на 20, не более...

Все они фороши для домашних юхверей... но все бесполезны против некоторых методик обхода файрваллов (даже Tiny не спасет ;) )

[B]Geser[/B] [QUOTE]Кстати, при использовании П2П программ которые постоянно создают кучу соединений отключение ведения лога снижает загрузку процессора, а так же дёрганье диска[/QUOTE] Подтверждаю. Т.к. данные постоянно скидываются в логи на жесткий диск. При интенсивном юзании p2p-приложений, логи вообще лучше отключать, либо править конфиги ОР ручками, типа эту статистику вести, эту не вести, тайм-ауты отображения открытых портов и т.д. и т.п.

[B]Granat[/B] старовата версия, недочеты и дыры в ней, например тот же IGMP-флуд, см. мой пост выше. Нет контроля компонентов и другие фичи и нововведения и т.д. и т.п. Но это твое дело.

[B]Sanja[/B] [QUOTE]все бесполезны против некоторых методик обхода файрваллов[/QUOTE] А ну-ка, просвяти меня, недоумка, насчет этого. Какие еще методики? Давай подробности, конкретную инфу. Или есть ссылки на первоисточники и т.д. и т.п.? Потестируем на примере Agnitum Outpost Firewall v2.5.-2.7. А просто говорить можно все, что угодно.
[QUOTE]даже Tiny не спасет[/QUOTE] Видимо, ты его считаешь лучшим, это твое право.

Нахождение оригинального адреса функций CreateProcess + WriteProcessMemory -> запуск trusted applicationa -> путь в и-нет свободен

>Видимо, ты его считаешь лучшим, это твое право.
Не в этом дело.. все они перехватывают API.. для контроля инжектирования к примеру.. если вызвать эти API в обход перехватчика.. то все они в пролете..

реализацию показывать небуду.. не в моих интересах что-либо доказывать :)

[QUOTE=Sanja]Нахождение оригинального адреса функций CreateProcess + WriteProcessMemory -> запуск trusted applicationa -> путь в и-нет свободен
[/QUOTE]
Да уж, методика... :) И что с того? А если эти сервисы перехвачены файерволлом на уровне ядра, и файерволл не дает вам никакой возможности загрузить собственный kernel-mode драйвер (плюс контролирует методы типа обращения к PhysicalMemory и прочую ерунду подобного рода), тогда как?

На самом деле я вполне могу допустить, что такой метод сработает для каких-нибудь туповатых файерволлов, которые по-прежнему не могут толком пройти ни одного leak-теста, но я уверяю вас - это все очень и очень временно! Сейчас только ленивый не ставит в свой фаейрволл какой-нибудь вариант проактивной/превентивной защиты (даже в горячо любимом народом Оутпосте кое-что появилось, правда до последнего времени обходилось влегкую, т.к. в первую очередь преследовало цель именно прохождения возможно бОльшего количества leak-тестов, а не реальную борьбу с "умными" средствами обхода), в связи с чем в ближайшем времени, полагаю, все "лазейки" такого рода будут закрыты (тем более, что это не очень сложно в реализации).

[QUOTE=Sanja]
>Видимо, ты его считаешь лучшим, это твое право.
Не в этом дело.. все они перехватывают API.. для контроля инжектирования к примеру.. если вызвать эти API в обход перехватчика.. то все они в пролете..
[/QUOTE]
"Все они в пролете" - это какие файерволлы конкретно ("огласите, пожалуйста, весь список!" :))?

[QUOTE=Sanja]реализацию показывать небуду.. не в моих интересах что-либо доказывать :)[/QUOTE]
В реализации этого метода нет большого смысла, ибо, повторюсь, все это настолько временно, что даже не хочется париться на эту тему...

1. драйвер для этого ненужен
2. все что на firewallleaktester.net :) могу зделать copy / paste ;)

На самом деле я вполне могу допустить, что такой метод сработает для каких-нибудь туповатых файерволлов,

Outpost -> туповатый ФВ если так рассуждать

а вобще... если уж на то пошло - былобы желание - я файрвалл аккуратно из реестра вычещу и после 1 рестарта информация уйдет :)

[quote]реализацию показывать небуду.. не в моих интересах что-либо доказывать[/quote]

реализация достаточно проста и местами элементарна =)) и даже этим трюком обходится подавляющее большинство современных ФВ. будущее внатуре за системами, контролирующими подгрузку любых драйверов и перехватывающих CreateRemoteThread(), WriteProcessMemory() и прочую байду.

[quote]а вобще... если уж на то пошло - былобы желание - я файрвалл аккуратно из реестра вычещу и после 1 рестарта информация уйдет[/quote]

пока юзеры будут сидеть под админами, никуда они от спайваря не денутся :)))

дык уже перехватывают...

CreateRemoteThread(), WriteProcessMemory() и прочую байду.
:)