win 2003 serv firewall

Обсуждение проблем, связанных с ПО для компьютеров

Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

Ответить
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

win 2003 serv firewall

Сообщение Al_lexx »

Вопрос по сабжевому фаеру.
Имеет ли смысл ставить специализированный фаер, при наличии сабжевого. Если да, то какие замечания по совместимости тех или иных фаеров. Если нет, то на что стоит обратить особое внимание при настройке. Сервер работает как NAT (прокси). Фаервол встроенный трудится. Пока замечаний к нему не имел. На клиентских машинах стоит свой фаерволл.
Изображение
Что то ищете? В GOOGLE!
Аватара пользователя
Sharp
Сетевых дел мастер
Сообщения: 1217
Зарегистрирован: 28 июн 2006, 21:11
Откуда: Москва, Восток (дело тонкое :)) )

Сообщение Sharp »

Это тот, что Basic Firewall?
Фаерволл как фаерволл, ничего хорошего/плохого про него сказать не могу. На одном из серверов его тоже юзаю, замечаний нет.
Скажу только, что это фаерволл уровня пакетов, т.е. от попавшего на сервер трояна он не защитит, так как анализирует только заголовки IP и иже с ними пакетов. Еще в нем можно задавать статические правила, но имхо они не удобные - есть только 2 варианта - отбрасывать всех, кроме тех, что в списке, или пропускать всех, кроме тех, что в списке.

По поводу установки спец железки в роли фаерволла скажу одно: необходимость ее установки прямо зависит от ценности сервера. Так как в реализации фаервола от MS могут быть уязвимости - следовательно существует теоритическая вероятность поиметь тот же RDP на сервере в обход фаерволла, или элементарно его заDDoSить, но, повторюсь, теоритическая.
ИМХО железный фаер против атак разного рода в теории должен быть поустойчивей, но здесь тоже многое зависит от конкретной реализации фаера......
If you f**k up OpenBSD it gets unsecure. Linux must be f**ked up to be secure. Windows must be secure erased to be secure.
Изображение
Аватара пользователя
MegaAf
Сообщения: 772
Зарегистрирован: 06 ноя 2006, 00:44

Сообщение MegaAf »

А кака раздница... в железке тоже софт стоит - его также можно ломануть. только к MS хоть заплатку можно или патч найти - а с железкой всё сложнее..
У желания 1000 возможностей, у нежелания 1000 причин!!! :: AMD Athlon XP 2500+ GF5200 -> ATi-AMD Athlon 64 X2 5200+ Ati Radeon 3850
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Сообщение Al_lexx »

Sharp
Я хотел спросить о дополнительном софтовом фаере на той же машине. Т.е. можно ли вообще его поставить на 2003 сервер. Не будет ли ругани в коммуналке? И если ставить, то какие стенки на нём (на сервере) уживутся.
Или скажем: насколько фаер в 2003 серв., эффективнее, чем в WInGate ( http://www.wingate.ru/ )? Последний - отработал почти полгода (ещё полгода лицензии), но мне не понравилось как от организует сетевое окружение и раздаёт IP (сервер DNS). Т.е. - ни как... Случайно упал, авторизовывать не было времени да и возможности (одновременно была авария у провайдера :lol2:). Поставил вместо связки WinGate+ХР, 2003server interp. Сразу всё "ожило". :).... Но настройки файрвола, там действительно убогие, потому и беспокоюсь, что нее могу видеть и управлять некоторыми (привычными) ситуациями. :?
Вот и подумалось: железку конечно можно купить, заодно получим роутер... , но может имеет смысл посмотреть на софтовые решения для сервера 2003, ежели таковые имеются... Лишний канал выхода в инет можно купить и на прямую у совинтел, так как все ихние интерфейсы (оптика и конвертер, который отдаёт порты) стоят в моей стойке ;)). Т.е. даже в случае с железкой, можно запитать резервный канал с грошовым тарифом (хоть на железном фаере, хоть на NAT сервере 2003).
Есть ли спецовые решения, или "обычный" фаер привинчивается, с некоторыми нюансами, или вообще тупо (в чём сомневаюсь) ставится что есть? И какой из тех, что в ходу пробовался и удовлетворял кого нить?
Возможно, что и вернусь к первоначальной схеме NAT, но поставлю отдельный 2003 сервер под DNS, почту, антивирь, может что нить ещё. Но не факт, тьак как ни что не мешает поставить ещё один 2003, в довесок к тому, что уже есть.
Вот такие размышления...
:smoking:
MegaAf писал(а):А кака раздница...
Есть некоторая. Программно аппаратная часть отлична от х86 и винды. Там обычно клон линукса, заточенный под некий проц.
http://www.nix.ru/autocatalog/networkin ... 67663.html
http://www.nix.ru/autocatalog/zyxel/ZyX ... 48315.html
http://www.nix.ru/autocatalog/d_link/D- ... 50124.html
http://www.nix.ru/autocatalog/zyxel/ZyX ... 48054.html


З.Ы.
По поводу железного - тут более-менее всё ясно. Есть деньги, хотим - покупаем/ставим, нет - нет. Скорее всего да, но пока то же не факт.
Читаю подпись. :lol2:
Изображение
Что то ищете? В GOOGLE!
Аватара пользователя
Sharp
Сетевых дел мастер
Сообщения: 1217
Зарегистрирован: 28 июн 2006, 21:11
Откуда: Москва, Восток (дело тонкое :)) )

Сообщение Sharp »

Хм.... Обычно для руления интернетом на 2003 serv ставиться ISA, но это даже больше чем фаер, я не знаю как это обозвать. Про ISA надо бы конечно тов. VPoluektov'а поспрашивать, сам я с ней не знаком, но как то раз поставив ISA 2006 поэксперементировать, был сильно ей удивлен :D Целый час думал, как же мне доступ к серверу хотя бы из локалки организовать. Потом дошло :D . Это я к тому, что если все же решитесь на ISA - хорошо бы мануальчик сразу по ее настройке.

По поводу WinGate vs. Basic Firewall скажу, что настройки у Wingate-то все же побогаче, да и слежение за трафиком Wingate обеспечивает. И по моему при установке Wingate на 2003 она деактивирует Basic Firewall, поэтому 2 фаерволла юзать не получиться. Да и вообше использовать 2 фаерволла - это черевато конфликтами. Про стабильность wingate - информации не имею. Про недоступность сетевого окружения - нужно смотреть настройки.
Еще например для организации общего доступа в инет и учета траффика можно WinRoute попробоать - сам ее юзал на 2003 serv, там даже проверка авторизации пользователей в AD есть. Да и по настройке WinRoute мне показался понятнее WinGate. Из "чисто" фаерволлов мне что то вспомнился один WinIpFw :D
Данных о том, что лучше, а что хуже, я не имею. ИМХО все они хороши для своих задач.
По поводу того, что обычный фаер поставиться на 2003 win - то надо смотреть на конкретный фаер, тот же Outpost не встает на win 2003, хотя мож в 2008-м что-то и сделали для совместимости. Да и ставить на сервер фаерволл уровня приложений - как то не комильфо.
В обшем сделаю такой вывод - для простого расшаривания инета и защиты сервера от подключений извне - достаточно встроенного фаера. Дальше - зависит от требований.

З.Ы. Подпись конечно не лишена смысла, но все в мире относительно :D
If you f**k up OpenBSD it gets unsecure. Linux must be f**ked up to be secure. Windows must be secure erased to be secure.
Изображение
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Сообщение Al_lexx »

Sharp писал(а):Про недоступность сетевого окружения
Оно не недоступно. Оно обновляется только при прикосновении к машине (серверу), а так всё видно, всё есть. Но если какой ресурс изменился или удалён, то всё остаётся как есть на сервере и на клиентах. Руками же постоянно править - тупо. Это я про связку ХР+WG. На 2003 - вся информация о структуре рабочей группы - обновляется почти сразу, после внесения каких либо изменений.

Про ISA пробежал по диагонали - интересно. Пудем почитать. :roll:
Спасибо.
Изображение
Что то ищете? В GOOGLE!
Ответить