Форум: "Прочее";
Текущий архив: 2009.04.12;
Скачать: [xml.tar.bz2];
ВнизПро стандартный FireWall Windows Найти похожие ветки
← →
KSergey © (2009-02-11 13:16) [0]Подскажите: за что люди не любят стандартный FireWall из Windows?
Он не позволяет сделать какие-то настройки или есть много известных непочиненых уязвимостей?
Сколько мне попадалось криков - толком никто сказать не может, только плюются, а от чего конкретно - не говорит никто.
Меня вот он полностью устраивает функционалом в отличии от некоторых других, ест ьровно что нужно; правда про уязвимости не знаю.
← →
Эстет (2009-02-11 13:25) [1]Очень хорошая аналогия напрашивается с машинами. Проанализируй кто и почему меняет стандартную комплектацию/конфигурацию новой машины и понимание вопроса придет само.
← →
dmk © (2009-02-11 13:36) [2]>Подскажите: за что люди не любят стандартный FireWall из Windows?
Тут уместен вопрос наверно другого характера:
Почему он не такой навороченный как Outpost или другие?
Ведь если MS будут писать столь навороченные программы,
то о конкурентноспособности и рынке можно будет забыть.
Такая у MS политика. Пишут минимум, чтобы дать покушать и другим.
← →
Плохиш © (2009-02-11 13:40) [3]
> dmk © (11.02.09 13:36) [2]
>
> >Подскажите: за что люди не любят стандартный FireWall из
> Windows?
>
> Тут уместен вопрос наверно другого характера:
> Почему он не такой навороченный как Outpost или другие?
"Вам шашечки или ехать?" (c) народный анекдот...
← →
Сергей М. © (2009-02-11 13:47) [4]
> за что люди не любят стандартный FireWall из Windows?
Ну хотя бы за то что он бессилен в борьбе против ряда известных сетевых атак.
Внутрь себя не пускает, мол, не лезь, я сам справлюсь, а чуть запахло жареным, так сразу и лапки кверху)
← →
Anatoly Podgoretsky © (2009-02-11 13:53) [5]> KSergey (11.02.2009 13:16:00) [0]
Или сексуально озабоченые или им нужен не персональный файрвол.
Если проанализировать обсуждения, то первое, второе редкость.
← →
wql (2009-02-11 13:53) [6]У меня стандартный виндовый.
Устраивает. Никаких вирусов и троянов отродясь не было...
А навороты и тормоза ОутПоста раздражают.
Отказался от него когда появилась 4я версия...
← →
Anatoly Podgoretsky © (2009-02-11 13:55) [7]> Сергей М. (11.02.2009 13:47:04) [4]
Неправда, он может полность закрыть машину, что даже пинги не пойдут.
← →
KSergey © (2009-02-11 13:56) [8]> dmk © (11.02.09 13:36) [2]
> Почему он не такой навороченный как Outpost или другие?
Окей, переформулирую вопрос: что есть такого в том же Outpost, без чего использование стандартного невозможно?
Подчеркиваю, мне хочется конкретный примеров того, что что делает невозможным применение стандартного файервола в конкретной ситуации.
← →
Anatoly Podgoretsky © (2009-02-11 13:57) [9]> wql (11.02.2009 13:53:06) [6]
У меня от ОутПоста только отрицательные впечатления.
Когда еще не было встроеных, то я его заменил на бесплатный ZoneAlarm - того же класса файрвол, что и встроеный.
← →
KSergey © (2009-02-11 13:59) [10]> Сергей М. © (11.02.09 13:47) [4]
Т.е. фактически в нем есть уязвимости (баги/ошибки архитектуры), я правильно понимаю? А это точно? Нелья ли конкретных примеров, правда видимо это недопустимо правилами :(
> Anatoly Podgoretsky © (11.02.09 13:53) [5]
> или им нужен не персональный файрвол.
А можно назвать конкретную функцию не персонального файервола, которой нет в виндовом??
← →
Anatoly Podgoretsky © (2009-02-11 14:04) [11]> KSergey (11.02.2009 13:59:10) [10]
Ну например нестандартные SSL протоколы.
← →
Anatoly Podgoretsky © (2009-02-11 14:09) [12]> Anatoly Podgoretsky (11.02.2009 14:04:11) [11]
Кстати мы (разработчики) всегда в состояние сделать такую фичу, которой нет в других файрволах.
Так что ответ одназначный.
Надо подходить к вопросу по другому, делает ли встроеный файрвол то что мне надо или пора покупать другой и вообще нужен ли другой файрвол, не является ли
это колокольчиком и хватит обычного Интернет защитника, которых антивирусные фирмы наплодили, поскольку запрашиваемые функции относились к Папа контроль, а не к файрволам, особенно персональным.
Кстати в Виндоус стандартных файрволов было несколько, сейчас уже третье поколение, но только в Виста.
← →
boa_kaa © (2009-02-11 14:12) [13]
> Anatoly Podgoretsky © (11.02.09 13:55) [7]
>
> Неправда, он может полность закрыть машину, что даже пинги
> не пойдут.
>
и что потом с ней делать, если не секрет? дурное дело-то нехитрое...
> KSergey © (11.02.09 13:16)
если комп выходит в сеть через небольшую локалку, тогда хватит и виндовского
а вот если напрямик подключен к и-нету или в большую подсеть провайдера, то там всегда найдется N имбецилов, которые очень любят устраивать разного рода атаки, которые в свою очередь никак не блокируются
← →
Сергей М. © (2009-02-11 14:23) [14]
> Anatoly Podgoretsky © (11.02.09 13:55) [7]
А мне не надо "полностью", мне надо так как я хочу.
А он, зараза, мне не дает этого сделать.
И как мне с ним дружит после этого ?
Мне проще отключить его к едренифени, что я собственно и делаю всякий раз при инсталляции системы)
← →
KSergey © (2009-02-11 14:35) [15]> boa_kaa © (11.02.09 14:12) [13]
> которые очень любят устраивать разного рода атаки, которые в свою
> очередь никак не блокируются
Т.е.вы хотите сказать, что есть известные уязвимости в виндовом файерволе, позволяющие его обойти, правильно?
> Сергей М. © (11.02.09 14:23) [14]
> мне надо так как я хочу. А он, зараза, мне не дает этого сделать.
Что именно, уточните, плиз. Я не смог ничего такого придумать и комплексую.
← →
Anatoly Podgoretsky © (2009-02-11 14:35) [16]> boa_kaa (11.02.2009 14:12:13) [13]
Ты можешь продолжать работать, а для внешних врагов ты недоступен.
Компьютер не только будет закрыт, но и не будет виден в сети.
← →
Anatoly Podgoretsky © (2009-02-11 14:37) [17]> Сергей М. (11.02.2009 14:23:14) [14]
Что именно ты не можешь делать?
Ты можешь открыть любой порт или приложение, и тогда будешь не полностью закрыт.
← →
KSergey © (2009-02-11 14:41) [18]> boa_kaa © (11.02.09 14:12) [13]
> а вот если напрямик подключен к и-нету
вот это и имею :)
причем уже 8 лет как.
Файервол когда-то давно был, потом надоел. Но за последние пол-года (после смены провайдера) состояние пациента сильно ухудшилось, вплоть до ужасного.
Вот я и забеспокоился о презервативах. Вернее аутпост уже назад поставил (т.к. Win2k, стандартного нет), но будет Win2003, вот и думаю какой маркой резинок пользоваться.
На другом подобном сервере с 2003 включил стандартный, функционально устраивает полностью, но может ячего недогоняю, в частности по поводу уязвимостей?
← →
Правильный$Вася (2009-02-11 14:52) [19]
> для внешних врагов ты недоступен.
а для внутренних?
> не будет виден в сети.
это не всегда удобно
← →
KSergey © (2009-02-11 15:03) [20]> Правильный$Вася (11.02.09 14:52) [19]
> > для внешних врагов ты недоступен.
> а для внутренних?
Тоже, в чем беда?
К стати, это мне как раз понравилось в стандартном - рулится свое на сетевые интерфейсы, именно в такой терминологии. Для аутпоста, например, рулится только в терминах IP-адреса. Хотя если несколько IP на интерфейсе - то может оно и гибче, да и интерфейсы меняться могут (физически), так что не понятно что удобнее.
← →
Сергей М. © (2009-02-11 15:08) [21]
> Anatoly Podgoretsky © (11.02.09 14:37) [17]
Хочу, например, иметь надежную, гибко настраиваемую и контролируемую защиту от SYN-флада и от порт-сканирования)
> KSergey © (11.02.09 14:35) [15]
см. тут же ответ для АП
← →
Anatoly Podgoretsky © (2009-02-11 15:18) [22]> KSergey (11.02.2009 14:41:18) [18]
Сервер? Тогда корпоративный файрвол ISA 200x
Встроеный в систему все же персональный файрвол, его может не хватить.
← →
Anatoly Podgoretsky © (2009-02-11 15:21) [23]> Правильный$Вася (11.02.2009 14:52:19) [19]
Те кто в сети есть внутренние враги, как то не замечаю никаких проблем, кроме того ты читал, что файрвол полностью настраиваемый на входящие соединения, а в Висте и на исходящие. Зачем тебе нужно в локальной сети, чтобы к тебе кто то лазил, для этого существуют сервера. На серверах у меня этот файрвол отключен, проблем нет.
← →
Сергей М. © (2009-02-11 15:24) [24]
> Anatoly Podgoretsky
Самая лучшая оборона - это эшелонированная оборона.
← →
iZEN (2009-02-11 15:25) [25]
> KSergey © (11.02.09 13:16)
>
> Подскажите: за что люди не любят стандартный FireWall из
> Windows?
Настройки не такие гибкие. Инструменты для настройки ужасают. Фильтрация трафика — вообще в "Дополнительных настройках TCP/IP" и никаким боком к файерволу не относится. :O
← →
KSergey © (2009-02-11 15:50) [26]> Сергей М. © (11.02.09 15:08) [21]
> защиту от SYN-флада и от порт-сканирования)
ну про первое почитаю, а про второе не очень понятно: что тут нужно-то? Закрыл все порты для входящих соединений (если какие нужны - открыл индивидуально) - вот и все. И хоть засканируйся.
Или подразумевается "интеллектуальный" антисканер, который при попытках перебирания портов блокирует все соединения от "плохого" хоста?
← →
Anatoly Podgoretsky © (2009-02-11 15:52) [27]> Сергей М. (11.02.2009 15:08:21) [21]
Да без проблем, не синронизированые пакеты блокируются по определению и без вмешательства персоны, не надо тут контролируемости никаой.
Сканирование порта чем тебя так волнует, ну запрети сканирование совсем. Пока все в рамках любого персонального файрвола.
← →
Anatoly Podgoretsky © (2009-02-11 15:54) [28]> Сергей М. (11.02.2009 15:24:24) [24]
ИСА это позволяет и бастион и периметр и DMZ и на любую глубину.
Равноценной замены ИСА просто нет, но он очень сложный, не любой сисадмин с ним справится.
← →
Anatoly Podgoretsky © (2009-02-11 15:54) [29]> iZEN (11.02.2009 15:25:25) [25]
Потому там и находится, а вот ее реализация редко позволяет ее применить, хотя нужна иногда.
← →
Сергей М. © (2009-02-11 16:00) [30]
> KSergey © (11.02.09 15:50) [26]
Не только и не столько блокирует, сколько ведет протокол и выполняет заданные мной действия при заданных правилах обнаружения.
> Anatoly Podgoretsky © (11.02.09 15:52) [27]
> не синронизированые пакеты блокируются по определению
А подхват ожидаемых not-SYN-пакетов ?
Такая задача тоже имеет право на жизнь и не так уж редка.
> Сканирование порта чем тебя так волнует
Тем же чем и тебя - потенциальной атакой вслед за сканированием)
← →
Anatoly Podgoretsky © (2009-02-11 16:05) [31]> KSergey (11.02.2009 15:50:26) [26]
Блокировка, неуправляемая, тоже есть, по каким правилам работает неизвестно, файрвол персональный.
← →
Anatoly Podgoretsky © (2009-02-11 16:07) [32]> Сергей М. (11.02.2009 16:00:30) [30]
> А подхват ожидаемых not-SYN-пакетов ?
> Такая задача тоже имеет право на жизнь и не так уж редка.
Задача файрвола бороться с хакерами, а не содействовать им.
Если такая задача есть, то решаться она другими средствами, а не файрволом.
← →
Сергей М. © (2009-02-11 16:15) [33]
> Anatoly Podgoretsky © (11.02.09 16:07) [32]
> решаться она другими средствами, а не файрволом
В любых "средствах", тем более автономных, эти ф-ции возлагаются именно на файрвол, тесно взаимодействующий с подсистемами трансляции и маршрутизации.
← →
KSergey © (2009-02-11 16:27) [34]чета или вы тут через чур умные, ил ия на столько темный :)
Лана, если нет явных неустраняемых уязвимостей - меня устраивает вроде как. А тама посмотрим :)
← →
dmk © (2009-02-11 16:31) [35]>Окей, переформулирую вопрос: что есть такого в том же Outpost,
>без чего использование стандартного невозможно?
Не знаю насчет outpost"a, я использую интернет секьюрити касперского.
Во-первых — касперский более оперативно реагирует на дырки в системе чем MS.
Во-вторых — гибкая система настроек и уведомлений.
В-третьих — сколько еще дырок найдут и когда неизвестно (нет должного доверия).
← →
Сергей М. © (2009-02-11 16:35) [36]
> KSergey © (11.02.09 16:27) [34]
> если нет явных неустраняемых уязвимостей
Вот ты сам рассуди - что ни день, то мелкомягкие плодят очередные затычки в системе безопасности, и конца-края этому не видно)..
А касается каждая из этих затычек в частности файрвола (и каким боком) или не касается - про то простому смертному юзеру довольно сложно понять)
← →
dmk © (2009-02-11 16:42) [37]>Сергей М. © (11.02.09 16:35) [36]
Вот-вот. Только сегодня 5 обновлений через windows update пришло.
Все 5 заплатки и средства удаления вредоносных программ ;-)
А совокупный траффик по обновлениям уже за 1 Гб перевалил.
← →
Anatoly Podgoretsky © (2009-02-11 17:11) [38]> Сергей М. (11.02.2009 16:35:36) [36]
Ну не надо, за данный месяц всего 48, количество постоянно снижается. При том иэ этих 48 часть относится к определениям, а не затычки и часть это разные редакции - для ХР, для Висты, для 2003/2008. Ранее приходило не менее 100, обычно по 150 за раз. А еще часть это не дырки как токовые, примерно так, кто то блокнотом исправил ИНИ файл, блокноту запретили писать - вот такого класса. Из этих 48 обновлений, что пришли вчера потребовалось только 9, по всем трем ОС и по двум языка. Можно сказать что всего 3/4 за месяц, смешно даже.
Для файрвола не припомню ни одной затычки, стабилен.
← →
Anatoly Podgoretsky © (2009-02-11 17:12) [39]> dmk (11.02.2009 16:42:37) [37]
Чего у тебя так мало? Наверно отказался от некоторых важных и не получаешь их?
← →
Сергей М. © (2009-02-11 17:20) [40]
> Anatoly Podgoretsky © (11.02.09 17:11) [38]
> Для файрвола не припомню ни одной затычки, стабилен
Ну эт кому как повезет)
Хацкеры тоже ведь не дремлют)
Страницы: 1 2 вся ветка
Форум: "Прочее";
Текущий архив: 2009.04.12;
Скачать: [xml.tar.bz2];
Память: 0.56 MB
Время: 0.007 c