Показано с 1 по 14 из 14.

Как прожть без firewall'a?!

  1. #1
    Junior Member Репутация
    Регистрация
    18.08.2007
    Адрес
    КМВ
    Сообщений
    30
    Вес репутации
    61

    Как прожть без firewall'a?!

    Вот уже несколько лет наша корпоративная сеть (три компа и ADSL ) живет без фаервола... А всё потому, что сотрудники постоянно умудряются зарубать им полезные процессы (Особенно шеф). Возможно кто-нибудь тоже так мучается и может поделиться опытом.
    Не знать - не позор, позор - не хотеть знать!
    (Арабская пословица)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Можно решить вопрос
    1.Программно, сделать 1 компьютер шлюзом и настроить на нём фаервол,например kerio winroute firewall.
    2.Аппаратно,приобрести роутер с встроенным фаерволом и настроить всё там.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75
    HSH, мне, честно говоря непонятно, как можно "зарубать им полезные процессы", если файрвол стоит не в режиме обучения... А зачем в корпоративной сети ставить режим обучения для файрвола - мне тоже непонятно... Нужно один раз настроить файрвол, отключить режим обучения и закрыть настройки паролем... Тогда никто ничего "зарубать" не будет...

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Я бы все-таки советовал вам приобрести аппаратный ADSL-маршрутизатор и фаервол в одном флаконе (и плюс еще встроенный NAT), они сейчас стоят совсем недорого, меньше 100 долларов (от 3Com, D-Link или TRENDnet - там вариантов много). Программный тоже можно, но, во-первых, вам придется его поставить на один из компьютеров и, соответственно, немного нагрузить компьютер ненужной работой, а во-вторых, придется купить его, что иногда недешево (ну, или "украсть", тогда надо думать о том, как правильно его "вылечить" от желания проверять лицензии - а это может оказаться геморроем). Программные фаерволы как правило немного сложнее в настройке, чем аппаратные (там элементарно больше "свободы", т.е. опций настройки). Зато у программных фаерволов есть большой плюс - как правило, они поддерживают плагины для проверки трафика на вирусы (и не только, а еще кучу всего), что тоже немаловажно (плюс вы покупаете лицензию на один компьютер с тремя пользователями, нежели чем три отдельных лицензии на каждое клиентское место). Там, конечно, есть варианты, это уже надо смотреть в зависимости от конкретного решения.

    В общем, надо выбрать, что именно вам нужно: попроще (поставить и забыть) или погибче (и потом всем этим "управлять"). =)

    PS. Да, забыл сказать: совсем без фаервола плохо - так жить не надо! =)

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Поддерживаю aintrust . Програмно аппаратным комплексом это все наиболее удобно и достаточно надежно решить... хотя все что делают люди можно взломать, но данный вариант гораздо сложнее... а рядовой юзверь дык вообще ни чего не сможет сделать а в частности нагадить! ИМХО
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Jolly Rojer Посмотреть сообщение
    хотя все что делают люди можно взломать, но данный вариант гораздо сложнее
    Взломать можно, но сложно Например, если даже не использовать фичи Firewall в железяке, а только активировать NAT - это уже мощная защита сети (снаружи по крайней мере никто к ПК в сети подключиться не сможет). А если еще Firewall настроить - вообще замечательно. Я игрался на прошлой неделе с дорогими роутерами (в частности топовым Zyxel Prestige - цена порядка 200$), так там на борту даже антивирус есть для испектирования пакетов

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Олег а озвуч железки полностью думаю человек малоразбирающийся в железяках будет рад полному названию модели железяки хоть чтоб было на что смотреть
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Left home for a few days and look what happens...

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Jolly Rojer Посмотреть сообщение
    Олег а озвуч железки полностью думаю человек малоразбирающийся в железяках будет рад полному названию модели железяки хоть чтоб было на что смотреть
    Я экспериментировал с разными железками:
    P-662HW EE. Хорошая железка, но дорогая. Там ADSL+WiFi+Firewall/Router. Много наворотов, в частности бортовой антивирусник. Немного задумчивая и слегка чудная (особенно когда WiFi + ADSL работают, коннектится и перезагружается сравнительно долго). Мне лично не совсем понравились его настройка и задумчивость... в работе мало греестся, это плюс
    P-660RT EE. Если P-662HW шибко навороченный, то этот шибко примитивный. Всего один порт Ethernet, в режиме роутера не захотел работать с первого раза, пришлось ему "руки выламывать"
    Acorp 420. Недорогой, греется мало, работает шустро. Порадовал тем, что позволяет для каждого из 4х LAN портов задавать отдельные настройки (разные IP, параметры DHCP и т.п.) с возможностью объединить порты в группу и ограничить обмен между ними (своеобразный "WLAN" получается). Без проблем пошел в режиме роутера, у меня он сейчас для тестов ADSL инета от местного провайдера стоит, я его купил в местной лавке как модем
    Dlink 500. Этого я мучал недолго, шустрый, греется также мало, с настройками проблем не обнаружено
    Я не тестил еще тренднета, хочу для полноты картины такой раздобыть и поиздеваться над ним ... Вообще все перечисленные модемы уже дают защиту - есть резон перевести модем в режим роутера, поднять NAT (он обычно врубается по умолчанию в режиме роутера и включить DHCP (чтобы не настраивать ПК вручную). За счет NAT все входящие коннекты будут рубиться... общий минус - крайне куцая документация. Т.е. если человек хорошо разбирается в сетях и точно знает, что он хочет - проблем у него не будет. А вот если не знает ... Причем если дока и есть, то она обычно примерно такого типа Параметр "Настройка дивергенции хренотронного поля" позволяет настроить дивергенцию хренотронного поля. Допустимы значения от 0 до 100 Т.е. что это за параметр, для чего он нужен, примеры его применения - такого почти нет.
    Последний раз редактировалось Зайцев Олег; 22.08.2007 в 19:37.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    общий минус - крайне куцая документация. Т.е. если человек хорошо разбирается в сетях и точно знает, что он хочет - проблем у него не будет. А вот если не знает ...
    Это "особенность" практически всей документации для сетевых девайсов - от самого простейшего до многих довольно навороченных. Я думаю, что производители оборудования рассуждают примерно так: всю теорию работы сетей мы в своей доке все равно не расскажем, поэтому не стоит и начинать. Это примерно то же самое, что и с описаниями материнок - никто и никогда вам не станет рассказывать и разжевывать подробности настроек. "Ищите и обрящете", в общем.

    В этом есть свой резон, естественно: любой девайс должен настраивать специалист (или тот, кто таковым себя считает), а специалисту не надо с нуля рассказывать, что такое DHCP, VLAN или VPN, и чем отличается NAT от PAT, и что такое статическая или динамическая маршрутизация, и, уж тем более, как и зачем они настраиваются в каждом конкретном случае. В общем, идея простая: если же ты не понимаешь, о чем идет речь - позови специалиста, он все настроит! =)

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от aintrust Посмотреть сообщение
    В общем, идея простая: если же ты не понимаешь, о чем идет речь - позови специалиста, он все настроит! =)
    Согласен на все 100%. Обратная сторона - из-за отстутствия доки и непонимания пользователем сути процесса (а того хуже - если еще у провайдера глюки) к специалисту выстроится очередь страждущих с модемами
    Кстати, я забыл упомянуть в моем описании еще два момента:
    1. Некоторые провайдеры публикуют список протестированных ими модемов, нередко с описанием их настройки - начинающему пользователю полезно ознакомиться с таковым списком, если он есть.
    2. Некоторые модемы-роутеры содержат полезную фичу "DNS Proxy" - она позволяет задать в настройке роутера несколько DNS серверов, а в настройках компьютера в качестве DNS сервера указать адрес роутера, который выступит в роли DNS прокси. Это удобно, но мои изыскания показали, что реализация зачастую бывает куцая - т.е. в минимуме это обычно работает отменно и очень удобно, но в ответ на DNS запрос мой Acorp к примеру дает минимум - только определенный им IP адрес. Следовательно, если у меня на ПК установлен скажем антиспам, то он не сможет получить от такого "DNS" расширенные данные типа SPF записей и прочего.
    3. Почти во всех модемах есть бортовая статистика и отчеты для диагностики. Как минимум отображается скорость обмена (TX, RX), количество принятых/переданных пакетов и ошибок, информация о состоянии ADSL модема и LAN ... В идеале модем еще умеет писать логи (локально в память или на удаленный ПК через SYSLOG), рассказывая в них много полезного о процессе соединения и ошибках
    Последний раз редактировалось Зайцев Олег; 22.08.2007 в 23:26.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Покупали для своих удаленных офисов SMC Barricade.
    Навороченная железка. Много настроек, во всех даже поковыряться не успел.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    17.08.2007
    Сообщений
    3
    Вес репутации
    61
    Цитата Сообщение от HSH Посмотреть сообщение
    Вот уже несколько лет наша корпоративная сеть (три компа и ADSL ) живет без фаервола... А всё потому, что сотрудники постоянно умудряются зарубать им полезные процессы (Особенно шеф). Возможно кто-нибудь тоже так мучается и может поделиться опытом.
    Таже тема! Решение пришло случайно. У Олега Зайцева читал на сайте описание различных Firewalls. Они там и сейчас есть, но старые, но когда я читал это было новым. Обратил внимание на WinRouter.
    (Общая оценка:
    Winroute - это серьезный продукт, гибрид Firewall, прокси сервера, NAT транслятора, простого почтаря …, он требует настройки и понимания принципов работы сети.)

    + Не надо отвечать на глупые вопросы(пользователям типа пропустить или не пропустить), встроеный антивирус, всё делается руками админа на сервере.

    Нашёл в загашнике компании старый комп, Пень 300 помоему, накатил на него винду со всеми обновлениями поставил тогда ещё варезный WinRouter и лицензионный DrWeb. Естественно в компе две карты одна на провайдера другая в локалку. В Winroutere выставил все правила, инет через нат. Всё все довольны и счастливы. Потом шло время и понадобились VPN тунели и т.д. и т.п. и это всё реализовалось на WinRouter, а потом его просто купили.

    Недостатки есть:
    - ни одна новая версия программы не выходила без ошибок, но DrWeb тоже не выпустил сходу правильную версию, вспомним 4.33.
    -огромное колличество настроек, без знания сети или помощи из вне трудно разбираться самому.

    Достоинства:
    -один раз настроил и забыл
    -при правильной настройке проникновение затруднительно
    -стоит дорого, но стоит того с времён Tiny Software, ныне скончавшейся
    -получается двойной антивирусный контроль, McAfee + DrWeb, и должен сказать доктору иногда и перепадает, но редко...
    -полный контроль за посещением инета сотрудниками, да, просто так порнуху, смотреть затруднительно, потом её и вовсе можно запретить встроеным средством контроля за содержанием посещаемых ресурсов ISS OrangeWeb filter, так называемым в народе Кабаном. Но в нашей компании, так никто не зверствует.

    P.S.
    Мой ответ, лишь подтверждение работоспособности способа 1) от Muzzle, на практике, всей этой байде уже несколько лет, точно не вспомнить.
    Последний раз редактировалось motor2hg; 07.09.2007 в 18:35.

  15. #14
    Junior Member Репутация
    Регистрация
    08.09.2007
    Адрес
    Vladivostok
    Сообщений
    2
    Вес репутации
    61
    Цитата Сообщение от HSH Посмотреть сообщение
    Вот уже несколько лет наша корпоративная сеть (три компа и ADSL ) живет без фаервола... А всё потому, что сотрудники постоянно умудряются зарубать им полезные процессы (Особенно шеф). Возможно кто-нибудь тоже так мучается и может поделиться опытом.
    Да собсно если совсем файер не подходит и вариант роутера отпадает, могу посоветовать только одно: настроить политики IPSec, хоть какой-то намек на "безопасность" появится

Похожие темы

  1. NetworkShield Firewall
    От SDA в разделе Межсетевые экраны (firewall)
    Ответов: 2
    Последнее сообщение: 13.04.2008, 16:23
  2. Comodo Firewall Pro 2.4 под w2k
    От amrin в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 17.05.2007, 13:49
  3. Ответов: 8
    Последнее сообщение: 01.05.2007, 18:01
  4. Lan2net NAT Firewall 1.5
    От HATTIFNATTOR в разделе Межсетевые экраны (firewall)
    Ответов: 0
    Последнее сообщение: 02.12.2005, 12:01
  5. Где firewall?
    От mike в разделе Межсетевые экраны (firewall)
    Ответов: 3
    Последнее сообщение: 26.01.2005, 15:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00186 seconds with 19 queries