Выбор Firewall для локальной сети

B

Bull-Star

Народ! Поделитесь мнениями (а еще лучше - ссылками ;) ), какой FireWall с централизованным управлением выбрать для локальной сетки и где найти?
Премного благодарен :frendz: !
 
S

sett

что такое фаерволл с централизованным управлением? хочешь управлять им со всего мира? :) это не очень секьюрно, но можешь в конце концов поднять iptable на любую линух машину и открыть на ней ssh как доступ.
 
B

Bull-Star

--> sett
Увы, линух не интересует. Интересует уиндух. FireWall с централизованным управлением - это когда сидишь за своей тачкой и управляешь с нее FireWall-ами на других тачках (меняешь настройки, правила, а также получаешь различные отчеты). Другими словами - это удаленное администрирование FireWall-а. Простой и самый отстойный пример - Kerio Personal Firewall.

P.S.
---
"...хочешь управлять им со всего мира?..." См. ТЕМУ ("...для локальной сетки...")
 
D

diSmiSS

ex-Team DUMPz
Joined
Nov 28, 2003
Messages
1,823
Reaction score
302
Age
46
Location
Königsberg
Bull-Star, ну если ты сам знаешь ответ на свой вопрос, цитирую:
Простой и самый отстойный пример - Kerio Personal Firewall.
Click to expand...
зачем спрашиваешь совета? :)
ИМХО файрвол в сети должен быть один, которые стоит на пороге локалки - глобальной сети.
А ставить пользователям файрвол это помойму лишнее. Хотя согласен что отдельные машины необходимо защищать.
Я в свое время обращал взгляд в сторону решения от Symanteca.
 
S

sett

Bull-Star said:
--> sett
Увы, линух не интересует. Интересует уиндух. FireWall с централизованным управлением - это когда сидишь за своей тачкой и управляешь с нее FireWall-ами на других тачках (меняешь настройки, правила, а также получаешь различные отчеты).
Click to expand...
какова цель такой штуки? в конце концов можно управлять удаленными компами radminом. имхо это бесцельная трата времени, лучше ставить фаервол на пути к глобальной сети. локально никакие фаерволы не нужны, достаточно поставить нормальный софт не такой баговый как ие и аутлук. кроме того наличие лишней проги локально - это еще один метод повысить права :)
 
R

Rogolenkov

Свавь на машину юзер гайт - пиши права - создавай юзеров - и на свою машину свавь фаерволл - и все будет ок
 
B

Bull-Star

--> Rogolenkov
Уже интересней! Если можно, по-подробнее. Что такое "юзер гайт" и с чем его едят?
Спасибо!
 
S

sett

Bull-Star said:
--> Rogolenkov
Уже интересней! Если можно, по-подробнее. Что такое "юзер гайт" и с чем его едят?
Спасибо!
Click to expand...
обычный прокси-сервер :)))
 
B

Bull-Star

Пардон, не понял. Ибо "юзер гайт" - и не по-русски и не по-английски. Да, идея интересная, но альтернативная. Проксик, ИМХО, нужен, если есть выход в Интернет. Но выхода в Интернет нет и не будет.
Обрисую ситуацию подробней. Есть большая ЛОКАЛЬНАЯ сеть с кучей компов БЕЗ выхода в Интернет. В этой куче около сотни машин, за которые я отвечаю. Хочу оградить свои машины от разных посягательств и дуракаваляний (этого добра у нас полно) с чужих машин, а также ограничить своих юзеров от походов куда не надо (за что недобрые дяди-начальники шибко ругаются). FireWall, на мой взгляд, самая лучшая таблетка от всей этой чумы. С другой стороны, сотня компов, это уже много для установки персональных FireWall-ов (запаришься обслуживать). Вот и хотелось бы админить все эти FireWall-ы удаленно со своей тачки. Я знаю, что такие софтины есть, но личный опыт был только с Kerio Personal Firewall. Kerio Personal Firewall не годится. Из персональных для ЛОКАЛЬНЫХ сетей мне больше всех нравится Sygate Personal Firewall. Вот бы такими управлять удаленно - и счастью быть!
Еще одна подробность. Наши машины живут без сервера. Не буду объяснять, почему (слишком долго, основная причина - одна из вечных - "деньги и начальники").
Люди добрые! Не предлагайте, плз, альтернативы.
Моя скромная просьба-предложение звучит в теме.
Спасибо!
 
S

SpiderZlyuka

Member
Joined
Jan 2, 2004
Messages
92
Reaction score
2
Age
42
Не знаю, меня в моей сетке полностью устраивает Kerio Winroute Firewall. Есть консоль администрирования, через которую можно подключатся к удаленным Winroute Firewall. Есть блокировка определенных портов, можно заблокировать icq, edonkey - например у меня заблокировано, можно заблокировать сайты. Встроенный cobion блокирует порносайты, варезники, сайты с крэками (не все конечно, но процентов 70-80%), по логам можно посмотреть кто где ходит и т.д. Меня с моей сеткой полностью устраивает (правда стоит на серваке, но принцип тотже).
 
M

myafik

Member
Joined
Jun 7, 2004
Messages
443
Reaction score
27
Age
42
Location
Москва
Если я правильно понял, может попробовать разделить сетку на 2 подсетки и собственно выделить отдельный компутер для маршрутизации между 2-мя сетями или аппаратно с помощью роутера. Есть также решения на базе управляемых свичей когда можно назначит жестко кто куда ходить будет. А насчет фаевролла то я пользуюсь у себя в локалке MS ISA 2004 а сервера защищаю (если нужно) outpostом. В ИСЕ вожно грамотно все настроить особенно если есть отлаженная система. Я имею ввиду AD и DC т.к Иса туда очень хорошо интегрируется. И можно правами доступа рулить прямо из ИСЫ.
 
M

mrak

Bull-Star,
myafik говорит правильно - необходимо отделить твою часть сети от остальной и в этом месте ставить фаервол который будет ограничевать выход "твоих" юзверей в остальную сеть и защищать от атак от туда.
Тогда "централизованное управление" сведется к управлению этим самым фаерволом.
По мне так лутше под это дело выделить какунить старенькую машинку, настроить на ней iptables и админить через ssh. В случае с виндой присмотреться к продуктам Symantec. Symantec’s Norton Internet Security™ 2004 Professional если не ошибаюсь как раз для данного случая. В общем нужен НЕ ПЕРСОНАЛЬНЫЙ фаервол типа Оутпоста.
 
Last edited by a moderator:
B

Bull-Star

--> myafik & mrak
Насчет отделения сетки с вами полностью согласен. Более того, моя сетка географически разнесена на несколько зон. Так вот одну из зон мне удалось прикрыть управляемым switch-ом. Для других зон пока не могу выпросить железки (денег нет! :)).
Вот и приходится изобретать...
Если кто сталкивался с "Sygate Secure Enterprise", "Symantec Enterprise Firewall", "Check Point Firewall-1" или с чем-то подобным, поделитесь опытом, плз.
Спасибо всем откликнувшимся!
 
G

GreenUkr

Member
Joined
Oct 5, 2004
Messages
29
Reaction score
2
Age
57
Location
Simferopol
если нет средств

Если нет денег, по моему, лучшей альтернативы линуксу просто не найти.
В любой большой организации найдется парочка старйх 486.
Не нужно даже винты ставить, есть трех дискетные версии именно для фаервола. Лучше конечно сделать на СД и поставить загрузку с СД.
16 мег памяти скорее всего хватит. Правил настройки в инете полно.
Дешево, сердито и надежно.
А то админить срузу 100 персональных фаеров крышу может сорвать ))
 
A

admin_triada

Member
Joined
Oct 21, 2005
Messages
55
Reaction score
0
Age
49
Location
Odessa UA
Проверять - не проверял, но есть мнение, что поставив Kerio WinRoute Firewall не персональный, а нормальный - ты сможешь роутить всю сетку так как тебе вздумается... :) К примеру ставишь на свой комп и с него управляешь всей сеткой... может я и ошибся, но если и ошибся - то ненамного, т.к. на крайняк тебе просто нужно будет в каждой подсети поставить Винроут на одну тачку и управлять ими со своей - добавляешь свой комп в хосты с которых осуществляется управление и вперед к звездам ;)
 
You must log in or register to reply here.
Top