Tomsk Sysadmins Forum

Windows => Разное => Topic started by: roman on November 16, 2005, 10:11:36

Title: Выбор FireWall для сервера Win 2003
Post by: roman on November 16, 2005, 10:11:36
Посоветуйте, какой файрвол выбрать для сервера.

Был OutPost, но он провоцировал ошибку Userenv.
Это когда "Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена"

Title: Выбор FireWall для сервера Win 2003
Post by: stranger on November 16, 2005, 10:42:13
NetBios на локальном ифэйсе разреши и днс-резолвинг - возможно дело в этом...

Title: Выбор FireWall для сервера Win 2003
Post by: deepwalker on November 16, 2005, 20:28:54
Outpost?? Даже если это серверный вариант - выкини и забудь. Смотри в сторону всяких там *GATE, ISA (майкрософтофская приблуда - работает если что, возможностей некоторых конечно не хватает, но уж в гейте тогда их точно нет), Kerio, Linux с IPtables в конце концов, cisco pix. Но не надо пользовать такие поделки как оутпост имхо<-
Title: Выбор FireWall для сервера Win 2003
Post by: VLAD on November 17, 2005, 12:10:27
Попробуй wipfw. (FreeBSDюшный ipwf, портированый под винду).
У меня уже год стоит. От вирусов из Телекомовской сети закрывает  :ujasnah:
Title: Выбор FireWall для сервера Win 2003
Post by: deepwalker on November 17, 2005, 23:18:23
Хорошо портировали? Баги замечены? Просто для отметки у себя в мозгу : )) Не всегда можно unix like поставить. Не так это просто править рабочие сети...
Title: Выбор FireWall для сервера Win 2003
Post by: Unit on November 18, 2005, 04:05:28
Quote
Попробуй wipfw. (FreeBSDюшный ipwf, портированый под винду).
У меня уже год стоит. От вирусов из Телекомовской сети закрывает  :ujasnah:
[snapback]5449[/snapback]
Не поддерживает GRE -> VPN соединения перестают работать. Не обновляется уже более полугода.
Title: Выбор FireWall для сервера Win 2003
Post by: ConstB on November 19, 2005, 00:47:10
вполне обновляется.

0.2.6 вот недавно вышел.

ссылка в п2п: magnet:?xt=urn:tree:tiger:W3FPLUPXIASC47MKWD6JI6CYR443UXH3C4HQT7Y&dn=wipfw-0.2.6%2Bsh.zip
Title: Выбор FireWall для сервера Win 2003
Post by: Unit on November 19, 2005, 09:21:29
Проблему, описаную мною выше исправили?
Title: Выбор FireWall для сервера Win 2003
Post by: deepwalker on November 19, 2005, 22:33:54
Я вот не пойму зачем портировать что то. Пакет был написан с учетом архитектуры одной операционки, потом портируется на другую. А вы уверены что это пройдет без косяков? Программисты являются мега доками в обеих архитектурах? Если уж стоит винда, то ставить ISA по моему. Кто как не МС может для своей операционки толковый файрвол написать? Причем вполне толковая вещь. Дыры в нем, насколько я знаю, залатанны. Конечно присутствует эта, появившаяся в последнее время у Майкрософт, пароноидальность, последствия от которой сложно потом выправлять... Но если не сильно круто настраивать надо, то как раз ништяк : )) Максимум паранои по дефолту : ))
Прошу не считать рекламой продукта : )), предпочитаю cisco pix. Не так давно познакомился - мне нравится.
Title: Выбор FireWall для сервера Win 2003
Post by: visual on November 19, 2005, 22:53:42
Quote
Я вот не пойму зачем портировать что то. Пакет был написан с учетом архитектуры одной операционки, потом портируется на другую. А вы уверены что это пройдет без косяков? Программисты являются мега доками в обеих архитектурах?
imho портируют часто из личного интереса или под заказ. примеров полно. архитектуру нескольких ОС imho вполне реально держать в голове. тем более в данном случае достаточно знать ньюнсы при реализации стека протоколов.

Quote
предпочитаю cisco pix. Не так давно познакомился - мне нравится.
[snapback]5473[/snapback]
если не секрет, какой из пиксов (модель/версия ОС)?
Title: Выбор FireWall для сервера Win 2003
Post by: deepwalker on November 19, 2005, 23:46:10
Quote
архитектуру нескольких ОС imho вполне реально держать в голове. тем более в данном случае достаточно знать ньюнсы при реализации стека протоколов.
Что то сомнения берут что этого будет достаточно... Если знать только это, то вполне возможно напороться на проблемы. И опять же - ну не реально знать все нюансы так как это знают МСники, ОС то закрытая : )) Да ну в общем я бы поставил на винду ISA, так как не считаю его глюкавным зверем. Множество примеров прошло перед глазами, множество эксплоитов на него натравливали - результаты нас удовлетворили.
А про модель наших пиксов я промолчу если разрешите, скажу только что не сильно мощная - SOHO, но скоро будем заменять более мощными вариантами - выросли уже из small : ))
Title: Выбор FireWall для сервера Win 2003
Post by: visual on November 20, 2005, 01:40:35
Quote
Что то сомнения берут что этого будет достаточно... Если знать только это, то вполне возможно напороться на проблемы. И опять же - ну не реально знать все нюансы так как это знают МСники, ОС то закрытая : ))
в принципе техническая документация в частности на WinSock у них на высоте. те же итальянцы из Politecnico di Torino ведут неплохие проекты. WinPcap один из тех, что на слуху. да и лицензировать исходники вполне реально. кому ломы лицензировать, обойдется исходниками, которые ушли в инет.

Quote
А про модель наших пиксов я промолчу если разрешите, скажу только что не сильно мощная - SOHO, но скоро будем заменять более мощными вариантами - выросли уже из small : ))
[snapback]5475[/snapback]
да мне было интересно на 6.3 сидите или на сразу 7.0 сели. как оно по стабильности? а модель интересовала в том плане, какой у вас пиковый cpu usage на 100мбит дает пикса. 36xx легко загоню в 100% cpu usage и на десятке, повесив не самый сложный access list, не считая ip inspect.
Title: Выбор FireWall для сервера Win 2003
Post by: deepwalker on November 20, 2005, 01:59:57
Ну у нас только по филиалам через них в инет ходят. А так - 501, 6.3.
Для них семерки нету насколько я понял. Думаем заменить это хозяйство на 18xx или на 28xx Кстати интересно твое мнение на этот счет. Я пока с этими зверьми не очень разобрался, в процессе.
Title: Выбор FireWall для сервера Win 2003
Post by: visual on November 20, 2005, 02:44:47
Quote
Ну у нас только по филиалам через них в инет ходят. А так - 501, 6.3.
Для них семерки нету насколько я понял. Думаем заменить это хозяйство на 18xx или на 28xx Кстати интересно твое мнение на этот счет. Я пока с этими зверьми не очень разобрался, в процессе.
[snapback]5477[/snapback]
зверьки нормальные, только ты проанализируй нагрузку хотя бы за последний месяц-два, тогда будет понятно справятся они или нет. производительность без учета наворотов (access list-ы, FW/IDS, VPN, компрессия на PPP, и т.д.) прикинуть еще можно (http://www.cisco.com/warp/public/765/tools/quickreference/routerperformancerus.pdf). а вот сколько сверх того планировать, вопрос неоднозначный. я выбираю как минимум с двойным запасом производительности. касательно замены пиксы на IOS FW, в большинстве случаев они равнозначны. только у рутера с интерфейсами гораздо разнообразнее чем у пиксы, с её ethernet-ами. единственное на вскидку не помню, а смотреть сейчас ломы, можно ли на 18xx и 28xx поднять IPS... если тебе оно конечно надо.