Выбор FireWall для сервера Win 2003

[roman]

Посоветуйте, какой файрвол выбрать для сервера.

Был OutPost, но он провоцировал ошибку Userenv.
Это когда "Не удалось получить имя контроллера домена в этой сети. (Непредвиденная сетевая ошибка. ). Обработка групповой политики прекращена"

[stranger]

NetBios на локальном ифэйсе разреши и днс-резолвинг - возможно дело в этом...

[deepwalker]

Outpost?? Даже если это серверный вариант - выкини и забудь. Смотри в сторону всяких там *GATE, ISA (майкрософтофская приблуда - работает если что, возможностей некоторых конечно не хватает, но уж в гейте тогда их точно нет), Kerio, Linux с IPtables в конце концов, cisco pix. Но не надо пользовать такие поделки как оутпост имхо<-

[VLAD]

Попробуй wipfw. (FreeBSDюшный ipwf, портированый под винду).
У меня уже год стоит. От вирусов из Телекомовской сети закрывает  :ujasnah:

[deepwalker]

Хорошо портировали? Баги замечены? Просто для отметки у себя в мозгу : )) Не всегда можно unix like поставить. Не так это просто править рабочие сети...

[Unit]

Попробуй wipfw. (FreeBSDюшный ipwf, портированый под винду).
У меня уже год стоит. От вирусов из Телекомовской сети закрывает  :ujasnah:

[snapback]5449[/snapback]

Не поддерживает GRE -> VPN соединения перестают работать. Не обновляется уже более полугода.

[ConstB]

вполне обновляется.

0.2.6 вот недавно вышел.

ссылка в п2п: magnet:?xt=urn:tree:tiger:W3FPLUPXIASC47MKWD6JI6CYR443UXH3C4HQT7Y&dn=wipfw-0.2.6%2Bsh.zip

[Unit]

Проблему, описаную мною выше исправили?

[deepwalker]

Я вот не пойму зачем портировать что то. Пакет был написан с учетом архитектуры одной операционки, потом портируется на другую. А вы уверены что это пройдет без косяков? Программисты являются мега доками в обеих архитектурах? Если уж стоит винда, то ставить ISA по моему. Кто как не МС может для своей операционки толковый файрвол написать? Причем вполне толковая вещь. Дыры в нем, насколько я знаю, залатанны. Конечно присутствует эта, появившаяся в последнее время у Майкрософт, пароноидальность, последствия от которой сложно потом выправлять... Но если не сильно круто настраивать надо, то как раз ништяк : )) Максимум паранои по дефолту : ))
Прошу не считать рекламой продукта : )), предпочитаю cisco pix. Не так давно познакомился - мне нравится.

[visual]

Я вот не пойму зачем портировать что то. Пакет был написан с учетом архитектуры одной операционки, потом портируется на другую. А вы уверены что это пройдет без косяков? Программисты являются мега доками в обеих архитектурах?

imho портируют часто из личного интереса или под заказ. примеров полно. архитектуру нескольких ОС imho вполне реально держать в голове. тем более в данном случае достаточно знать ньюнсы при реализации стека протоколов.

предпочитаю cisco pix. Не так давно познакомился - мне нравится.

[snapback]5473[/snapback]

если не секрет, какой из пиксов (модель/версия ОС)?

[deepwalker]

архитектуру нескольких ОС imho вполне реально держать в голове. тем более в данном случае достаточно знать ньюнсы при реализации стека протоколов.

Что то сомнения берут что этого будет достаточно... Если знать только это, то вполне возможно напороться на проблемы. И опять же - ну не реально знать все нюансы так как это знают МСники, ОС то закрытая : )) Да ну в общем я бы поставил на винду ISA, так как не считаю его глюкавным зверем. Множество примеров прошло перед глазами, множество эксплоитов на него натравливали - результаты нас удовлетворили.
А про модель наших пиксов я промолчу если разрешите, скажу только что не сильно мощная - SOHO, но скоро будем заменять более мощными вариантами - выросли уже из small : ))

[visual]

Что то сомнения берут что этого будет достаточно... Если знать только это, то вполне возможно напороться на проблемы. И опять же - ну не реально знать все нюансы так как это знают МСники, ОС то закрытая : ))

в принципе техническая документация в частности на WinSock у них на высоте. те же итальянцы из Politecnico di Torino ведут неплохие проекты. WinPcap один из тех, что на слуху. да и лицензировать исходники вполне реально. кому ломы лицензировать, обойдется исходниками, которые ушли в инет.

А про модель наших пиксов я промолчу если разрешите, скажу только что не сильно мощная - SOHO, но скоро будем заменять более мощными вариантами - выросли уже из small : ))

[snapback]5475[/snapback]

да мне было интересно на 6.3 сидите или на сразу 7.0 сели. как оно по стабильности? а модель интересовала в том плане, какой у вас пиковый cpu usage на 100мбит дает пикса. 36xx легко загоню в 100% cpu usage и на десятке, повесив не самый сложный access list, не считая ip inspect.

[deepwalker]

Ну у нас только по филиалам через них в инет ходят. А так - 501, 6.3.
Для них семерки нету насколько я понял. Думаем заменить это хозяйство на 18xx или на 28xx Кстати интересно твое мнение на этот счет. Я пока с этими зверьми не очень разобрался, в процессе.

[visual]

Ну у нас только по филиалам через них в инет ходят. А так - 501, 6.3.
Для них семерки нету насколько я понял. Думаем заменить это хозяйство на 18xx или на 28xx Кстати интересно твое мнение на этот счет. Я пока с этими зверьми не очень разобрался, в процессе.

[snapback]5477[/snapback]

зверьки нормальные, только ты проанализируй нагрузку хотя бы за последний месяц-два, тогда будет понятно справятся они или нет. производительность без учета наворотов (access list-ы, FW/IDS, VPN, компрессия на PPP, и т.д.) прикинуть еще можно. а вот сколько сверх того планировать, вопрос неоднозначный. я выбираю как минимум с двойным запасом производительности. касательно замены пиксы на IOS FW, в большинстве случаев они равнозначны. только у рутера с интерфейсами гораздо разнообразнее чем у пиксы, с её ethernet-ами. единственное на вскидку не помню, а смотреть сейчас ломы, можно ли на 18xx и 28xx поднять IPS... если тебе оно конечно надо.