Author Topic: Выбор FireWall для сервера Win 2003  (Read 6610 times)

0 Members and 1 Guest are viewing this topic.

Offline roman

  • Newbie
  • *
  • Posts: 33
  • Karma: +0/-0
Выбор FireWall для сервера Win 2003
« on: November 16, 2005, 10:11:36 »
Посоветуйте, какой файрвол выбрать для сервера.

Был OutPost, но он провоцировал ошибку Userenv.
Это когда "Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена"


Offline stranger

  • Hero Member
  • *****
  • Posts: 922
  • Karma: +0/-0
    • http://
Выбор FireWall для сервера Win 2003
« Reply #1 on: November 16, 2005, 10:42:13 »
NetBios на локальном ифэйсе разреши и днс-резолвинг - возможно дело в этом...

[span style='font-family:Geneva'][span style='font-size:8pt;line-height:100%'][span style='color:gray']Единственное условие, от которого зависит успех, есть терпение.   Л.Н.Толстой
[/span][/span][/span]

Offline deepwalker

  • Hero Member
  • *****
  • Posts: 766
  • Karma: +8/-6
Выбор FireWall для сервера Win 2003
« Reply #2 on: November 16, 2005, 20:28:54 »
Outpost?? Даже если это серверный вариант - выкини и забудь. Смотри в сторону всяких там *GATE, ISA (майкрософтофская приблуда - работает если что, возможностей некоторых конечно не хватает, но уж в гейте тогда их точно нет), Kerio, Linux с IPtables в конце концов, cisco pix. Но не надо пользовать такие поделки как оутпост имхо<-

Offline VLAD

  • Newbie
  • *
  • Posts: 26
  • Karma: +0/-0
    • http://
Выбор FireWall для сервера Win 2003
« Reply #3 on: November 17, 2005, 12:10:27 »
Попробуй wipfw. (FreeBSDюшный ipwf, портированый под винду).
У меня уже год стоит. От вирусов из Телекомовской сети закрывает  :ujasnah:

Offline deepwalker

  • Hero Member
  • *****
  • Posts: 766
  • Karma: +8/-6
Выбор FireWall для сервера Win 2003
« Reply #4 on: November 17, 2005, 23:18:23 »
Хорошо портировали? Баги замечены? Просто для отметки у себя в мозгу : )) Не всегда можно unix like поставить. Не так это просто править рабочие сети...

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Выбор FireWall для сервера Win 2003
« Reply #5 on: November 18, 2005, 04:05:28 »
Quote
Попробуй wipfw. (FreeBSDюшный ipwf, портированый под винду).
У меня уже год стоит. От вирусов из Телекомовской сети закрывает  :ujasnah:
[snapback]5449[/snapback]
Не поддерживает GRE -> VPN соединения перестают работать. Не обновляется уже более полугода.

Offline ConstB

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • http://
Выбор FireWall для сервера Win 2003
« Reply #6 on: November 19, 2005, 00:47:10 »
вполне обновляется.

0.2.6 вот недавно вышел.

ссылка в п2п: magnet:?xt=urn:tree:tiger:W3FPLUPXIASC47MKWD6JI6CYR443UXH3C4HQT7Y&dn=wipfw-0.2.6%2Bsh.zip
« Last Edit: November 19, 2005, 00:48:37 by ConstB »

Offline Unit

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1263
  • Karma: +9/-1
Выбор FireWall для сервера Win 2003
« Reply #7 on: November 19, 2005, 09:21:29 »
Проблему, описаную мною выше исправили?

Offline deepwalker

  • Hero Member
  • *****
  • Posts: 766
  • Karma: +8/-6
Выбор FireWall для сервера Win 2003
« Reply #8 on: November 19, 2005, 22:33:54 »
Я вот не пойму зачем портировать что то. Пакет был написан с учетом архитектуры одной операционки, потом портируется на другую. А вы уверены что это пройдет без косяков? Программисты являются мега доками в обеих архитектурах? Если уж стоит винда, то ставить ISA по моему. Кто как не МС может для своей операционки толковый файрвол написать? Причем вполне толковая вещь. Дыры в нем, насколько я знаю, залатанны. Конечно присутствует эта, появившаяся в последнее время у Майкрософт, пароноидальность, последствия от которой сложно потом выправлять... Но если не сильно круто настраивать надо, то как раз ништяк : )) Максимум паранои по дефолту : ))
Прошу не считать рекламой продукта : )), предпочитаю cisco pix. Не так давно познакомился - мне нравится.

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
Выбор FireWall для сервера Win 2003
« Reply #9 on: November 19, 2005, 22:53:42 »
Quote
Я вот не пойму зачем портировать что то. Пакет был написан с учетом архитектуры одной операционки, потом портируется на другую. А вы уверены что это пройдет без косяков? Программисты являются мега доками в обеих архитектурах?
imho портируют часто из личного интереса или под заказ. примеров полно. архитектуру нескольких ОС imho вполне реально держать в голове. тем более в данном случае достаточно знать ньюнсы при реализации стека протоколов.

Quote
предпочитаю cisco pix. Не так давно познакомился - мне нравится.
[snapback]5473[/snapback]
если не секрет, какой из пиксов (модель/версия ОС)?

Offline deepwalker

  • Hero Member
  • *****
  • Posts: 766
  • Karma: +8/-6
Выбор FireWall для сервера Win 2003
« Reply #10 on: November 19, 2005, 23:46:10 »
Quote
архитектуру нескольких ОС imho вполне реально держать в голове. тем более в данном случае достаточно знать ньюнсы при реализации стека протоколов.
Что то сомнения берут что этого будет достаточно... Если знать только это, то вполне возможно напороться на проблемы. И опять же - ну не реально знать все нюансы так как это знают МСники, ОС то закрытая : )) Да ну в общем я бы поставил на винду ISA, так как не считаю его глюкавным зверем. Множество примеров прошло перед глазами, множество эксплоитов на него натравливали - результаты нас удовлетворили.
А про модель наших пиксов я промолчу если разрешите, скажу только что не сильно мощная - SOHO, но скоро будем заменять более мощными вариантами - выросли уже из small : ))

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
Выбор FireWall для сервера Win 2003
« Reply #11 on: November 20, 2005, 01:40:35 »
Quote
Что то сомнения берут что этого будет достаточно... Если знать только это, то вполне возможно напороться на проблемы. И опять же - ну не реально знать все нюансы так как это знают МСники, ОС то закрытая : ))
в принципе техническая документация в частности на WinSock у них на высоте. те же итальянцы из Politecnico di Torino ведут неплохие проекты. WinPcap один из тех, что на слуху. да и лицензировать исходники вполне реально. кому ломы лицензировать, обойдется исходниками, которые ушли в инет.

Quote
А про модель наших пиксов я промолчу если разрешите, скажу только что не сильно мощная - SOHO, но скоро будем заменять более мощными вариантами - выросли уже из small : ))
[snapback]5475[/snapback]
да мне было интересно на 6.3 сидите или на сразу 7.0 сели. как оно по стабильности? а модель интересовала в том плане, какой у вас пиковый cpu usage на 100мбит дает пикса. 36xx легко загоню в 100% cpu usage и на десятке, повесив не самый сложный access list, не считая ip inspect.

Offline deepwalker

  • Hero Member
  • *****
  • Posts: 766
  • Karma: +8/-6
Выбор FireWall для сервера Win 2003
« Reply #12 on: November 20, 2005, 01:59:57 »
Ну у нас только по филиалам через них в инет ходят. А так - 501, 6.3.
Для них семерки нету насколько я понял. Думаем заменить это хозяйство на 18xx или на 28xx Кстати интересно твое мнение на этот счет. Я пока с этими зверьми не очень разобрался, в процессе.

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
Выбор FireWall для сервера Win 2003
« Reply #13 on: November 20, 2005, 02:44:47 »
Quote
Ну у нас только по филиалам через них в инет ходят. А так - 501, 6.3.
Для них семерки нету насколько я понял. Думаем заменить это хозяйство на 18xx или на 28xx Кстати интересно твое мнение на этот счет. Я пока с этими зверьми не очень разобрался, в процессе.
[snapback]5477[/snapback]
зверьки нормальные, только ты проанализируй нагрузку хотя бы за последний месяц-два, тогда будет понятно справятся они или нет. производительность без учета наворотов (access list-ы, FW/IDS, VPN, компрессия на PPP, и т.д.) прикинуть еще можно. а вот сколько сверх того планировать, вопрос неоднозначный. я выбираю как минимум с двойным запасом производительности. касательно замены пиксы на IOS FW, в большинстве случаев они равнозначны. только у рутера с интерфейсами гораздо разнообразнее чем у пиксы, с её ethernet-ами. единственное на вскидку не помню, а смотреть сейчас ломы, можно ли на 18xx и 28xx поднять IPS... если тебе оно конечно надо.