autoua
×
Autoua.netФорумІнформатика та побутова електроніка

Насоветуйте firewall для Windows 2003

энтузиаст ****
Киев
Сообщения: 347
С нами с 28.03.2004

Насоветуйте firewall для Windows 2003
      27 декабря 2012 в 09:34 Гілками

Добрый день.
Никогда не заворачивался подобным, так как фильтровал трафик до интерфейса винды. Но появился серверок на хостинге и его нужно защищать от нехороших людей извне. Смотрел на продукты wingate, winroute. Они в основном заточены для обеспечения доступа офиса в интернет. Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100). Посмотрел на ipfw для windows, из это пакета драйвер на 2003-x64-R2 не хочет устанавливаться. Посоветуйте, плиз, фаирвольчик. Заранее благодарен.

Змінено Ticon (10:09 27/12/2012)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
аццкая сотона **
25 лет за рулем, Киев
Сообщения: 17630
С нами с 23.04.2007

Re: Насоветуйте faerwall для Windows 2003 [Re: Ticon]
      27 декабря 2012 в 09:48 Гілками

а ты попробуй погуглить слово не faerwall а firewall - гляди, может получится?

З.Ы. как-то лет 5 назад юзал outpost - ничё так вроде


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
энтузиаст ****
Киев
Сообщения: 347
С нами с 28.03.2004

Re: Насоветуйте firewall для Windows 2003 [Re: AL®]
      27 декабря 2012 в 10:07 Гілками

AL® 27.12.2012 09:48 пишет:

а ты попробуй погуглить слово не faerwall а firewall - гляди, может получится?




Подколол

Змінено Ticon (10:09 27/12/2012)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (27 лет за рулем), Мюнхен
Сообщения: 18435
С нами с 23.08.2001

Re: Насоветуйте firewall для Windows 2003 [Re: Ticon]
      27 декабря 2012 в 10:26 Гілками

Учитывая, что все сторонние файерволы все равно работают поверх дырявого виндового ядра - лучше чем встроенный файервол виндоуз они все равно работать не будут. В лучшем случае - предоставят больше настроек и доставят больше проблем, пока все настройки не будут вычуханы. Так что разницы по степени защищенности разных файерволов и встроенного файервола я лично не вижу.

А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
важничающий писатель **
Киев
Сообщения: 2474
С нами с 19.10.2002

Re: Насоветуйте firewall для Windows 2003 [Re: Ticon]
      27 декабря 2012 в 10:29 Гілками

Ticon 27.12.2012 09:34 пишет:

winroute.




Kerio Control
Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
энтузиаст ****
Киев
Сообщения: 347
С нами с 28.03.2004

Re: Насоветуйте firewall для Windows 2003 [Re: Sanya]
      27 декабря 2012 в 10:32 Гілками

Sanya 27.12.2012 10:26 пишет:


А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.




Это конечно да, зачастую так и поступаю (в частности запускаю под Citrix_Xen). Но тут на машинке хорошо нагруженный MSSQL


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
важничающий писатель **
Киев
Сообщения: 2474
С нами с 19.10.2002

Re: Насоветуйте firewall для Windows 2003 [Re: Ticon]
      27 декабря 2012 в 10:33 Гілками

Ticon 27.12.2012 10:32 пишет:


Это конечно да, зачастую так и поступаю (в частности запускаю под Citrix_Xen). Но тут на машинке хорошо нагруженный MSSQL




тогда за апппаратный firewall ИМХО лучше будет его спрятать


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский ***
Сообщения: 7258
С нами с 18.01.2008

Re: Насоветуйте firewall для Windows 2003 [Re: Krokokot]
      27 декабря 2012 в 10:34 Гілками

Krokokot 27.12.2012 10:29 пишет:

Ticon 27.12.2012 09:34 пишет:

winroute.




Kerio Control
Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)




+ за Керио.
Удобный и простой в настройке)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (27 лет за рулем), Мюнхен
Сообщения: 18435
С нами с 23.08.2001

Re: Насоветуйте firewall для Windows 2003 [Re: Krokokot]
      27 декабря 2012 в 10:49 Гілками

Krokokot 27.12.2012 10:29 пишет:

Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)



Ага... именно через ISA лет 10 назад на наш корпоративный сервак и пролез червяк, который выжирал инет-трафик круглосуточной рассылкой спама


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (27 лет за рулем), Мюнхен
Сообщения: 18435
С нами с 23.08.2001

Re: Насоветуйте firewall для Windows 2003 [Re: Ticon]
      27 декабря 2012 в 10:51 Гілками

Ticon 27.12.2012 10:32 пишет:

Sanya 27.12.2012 10:26 пишет:


А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.




Это конечно да, зачастую так и поступаю (в частности запускаю под Citrix_Xen). Но тут на машинке хорошо нагруженный MSSQL



В 21-м веке на хостах, которые имеют аппаратную поддержку виртуализации, накладные расходы на эту самую виртуализацию - мизерны. Так что что там высоконагружено - в нынешнее время практически пофиг.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
ids   1
Скандалист **
Kiev
Сообщения: 22391
С нами с 11.06.2005

Re: Насоветуйте firewall для Windows 2003 [Re: Ticon]
      27 декабря 2012 в 11:02 Гілками
важничающий писатель **
Киев
Сообщения: 2474
С нами с 19.10.2002

Re: Насоветуйте firewall для Windows 2003 [Re: Sanya]
      27 декабря 2012 в 11:08 Гілками

Sanya 27.12.2012 10:49 пишет:

Krokokot 27.12.2012 10:29 пишет:

Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)



Ага... именно через ISA лет 10 назад на наш корпоративный сервак и пролез червяк, который выжирал инет-трафик круглосуточной рассылкой спама




А может он изнутри пролез , а не с наружи?


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
энтузиаст ****
Киев
Сообщения: 347
С нами с 28.03.2004

Re: Насоветуйте firewall для Windows 2003 [Re: ids]
      27 декабря 2012 в 11:25 Гілками

ids 27.12.2012 11:02 пишет:

http://wipfw.sourceforge.net/index-ru.html




Это первое, что я посмотрел. На 2003-R2-X64 не устанавливается (проблема добавления сервиса к сетевой карте)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (27 лет за рулем), Мюнхен
Сообщения: 18435
С нами с 23.08.2001

Re: Насоветуйте firewall для Windows 2003 [Re: Krokokot]
      27 декабря 2012 в 12:45 Гілками

Krokokot 27.12.2012 11:08 пишет:

Sanya 27.12.2012 10:49 пишет:

Krokokot 27.12.2012 10:29 пишет:

Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)



Ага... именно через ISA лет 10 назад на наш корпоративный сервак и пролез червяк, который выжирал инет-трафик круглосуточной рассылкой спама




А может он изнутри пролез , а не с наружи?



Не, он пролез через дырку стека протоколов TCP/IP, которая чуть позже была опубликована и "зашита" мелкософтом. Там до файервола просто не дошло (т.е. именно то, о чем я говорил в первом ответе в этой теме - пофиг какой файервол, потому что они ВСЕ работают поверх дырявого виндового ядра).


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
энтузиаст ****
Киев
Сообщения: 347
С нами с 28.03.2004

Re: Насоветуйте firewall для Windows 2003 [Re: Ticon]
      8 января 2013 в 15:25 Гілками

Всем спасибо.
Таки удалось запустить winipfw.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P *
37 лет (20 лет за рулем), Киев
Сообщения: 11222
С нами с 11.07.2012

Re: Насоветуйте firewall для Windows 2003 [Re: Ticon]
      8 января 2013 в 23:26 Гілками

Ticon 27.12.2012 09:34 пишет:

Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100).


Так а чем не устраивает? Типа в виндовом фаерволе нельзя загнать 100 айпишек в правило?

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (27 лет за рулем), Мюнхен
Сообщения: 18435
С нами с 23.08.2001

Re: Насоветуйте firewall для Windows 2003 [Re: Mad Dog]
      9 января 2013 в 11:45 Гілками

Mad Dog 08.01.2013 23:26 пишет:

Ticon 27.12.2012 09:34 пишет:

Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100).


Так а чем не устраивает? Типа в виндовом фаерволе нельзя загнать 100 айпишек в правило?



Типа незнание матчасти явлется основанием для того, чтобы отказаться от продукта


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
старожил *
110 лет (111 лет за рулем), Киев
Сообщения: 679
С нами с 11.05.2012

Re: Насоветуйте firewall для Windows 2003 [Re: Ticon]
      9 января 2013 в 12:06 Гілками

Ticon 27.12.2012 09:34 пишет:

Добрый день.
Никогда не заворачивался подобным, так как фильтровал трафик до интерфейса винды. Но появился серверок на хостинге и его нужно защищать от нехороших людей извне. Смотрел на продукты wingate, winroute. Они в основном заточены для обеспечения доступа офиса в интернет. Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100). Посмотрел на ipfw для windows, из это пакета драйвер на 2003-x64-R2 не хочет устанавливаться. Посоветуйте, плиз, фаирвольчик. Заранее благодарен.



kerio winroute года 2007


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P *
37 лет (20 лет за рулем), Киев
Сообщения: 11222
С нами с 11.07.2012

Re: Насоветуйте firewall для Windows 2003 [Re: Sanya]
      9 января 2013 в 13:20 Гілками

Sanya 09.01.2013 11:45 пишет:

Типа незнание матчасти явлется основанием для того, чтобы отказаться от продукта


Но сомнения меня таки взяли.

Добавил больше сотни адресов, работает

Код:
netsh firewall>show portopening enable
...

Конфигурация порта для профиля Обычный:
Порт Протокол Режим Имя
-------------------------------------------------------------------
5985 TCP Disable Удаленное управление Windows
Область: *
80 TCP Disable Удаленное управление Windows - режим совместимости (HT
TP - входящий трафик)
Область: *
3306 TCP Enable mysql
Область: *
1111 TCP Enable 1111
Область: 192.168.1.1/255.255.255.255,192.168.1.2/255.255.255.255,192.168
.1.3/255.255.255.255,192.168.1.4/255.255.255.255,192.168.1.5/255.255.255.255,192
.168.1.6/255.255.255.255,192.168.1.7/255.255.255.255,192.168.1.8/255.255.255.255
,192.168.1.9/255.255.255.255,192.168.1.10/255.255.255.255,192.168.1.11/255.255.2
55.255,192.168.1.12/255.255.255.255,192.168.1.13/255.255.255.255,192.168.1.14/25
5.255.255.255,192.168.1.15/255.255.255.255,192.168.1.16/255.255.255.255,192.168.
1.17/255.255.255.255,192.168.1.18/255.255.255.255,192.168.1.19/255.255.255.255,1
92.168.1.20/255.255.255.255,192.168.1.21/255.255.255.255,192.168.1.22/255.255.25
5.255,192.168.1.23/255.255.255.255,192.168.1.24/255.255.255.255,192.168.1.25/255
.255.255.255,192.168.1.26/255.255.255.255,192.168.1.27/255.255.255.255,192.168.1
.28/255.255.255.255,192.168.1.29/255.255.255.255,192.168.1.30/255.255.255.255,19
2.168.1.31/255.255.255.255,192.168.1.32/255.255.255.255,192.168.1.33/255.255.255
.255,192.168.1.34/255.255.255.255,192.168.1.35/255.255.255.255,192.168.1.36/255.
255.255.255,192.168.1.37/255.255.255.255,192.168.1.38/255.255.255.255,192.168.1.
39/255.255.255.255,192.168.1.40/255.255.255.255,192.168.1.41/255.255.255.255,192
.168.1.42/255.255.255.255,192.168.1.43/255.255.255.255,192.168.1.44/255.255.255.
255,192.168.1.45/255.255.255.255,192.168.1.46/255.255.255.255,192.168.1.47/255.2
55.255.255,192.168.1.48/255.255.255.255,192.168.1.49/255.255.255.255,192.168.1.5
0/255.255.255.255,192.168.1.51/255.255.255.255,192.168.1.52/255.255.255.255,192.
168.1.53/255.255.255.255,192.168.1.54/255.255.255.255,192.168.1.55/255.255.255.2
55,192.168.1.56/255.255.255.255,192.168.1.57/255.255.255.255,192.168.1.58/255.25
5.255.255,192.168.1.59/255.255.255.255,192.168.1.60/255.255.255.255,192.168.1.61
/255.255.255.255,192.168.1.62/255.255.255.255,192.168.1.63/255.255.255.255,192.1
68.1.64/255.255.255.255,192.168.1.65/255.255.255.255,192.168.1.66/255.255.255.25
5,192.168.1.67/255.255.255.255,192.168.1.68/255.255.255.255,192.168.1.69/255.255
.255.255,192.168.1.70/255.255.255.255,192.168.1.71/255.255.255.255,192.168.1.72/
255.255.255.255,192.168.1.73/255.255.255.255,192.168.1.74/255.255.255.255,192.16
8.1.75/255.255.255.255,192.168.1.76/255.255.255.255,192.168.1.77/255.255.255.255
,192.168.1.78/255.255.255.255,192.168.1.79/255.255.255.255,192.168.1.80/255.255.
255.255,192.168.1.81/255.255.255.255,192.168.1.82/255.255.255.255,192.168.1.83/2
55.255.255.255,192.168.1.84/255.255.255.255,192.168.1.85/255.255.255.255,192.168
.1.86/255.255.255.255,192.168.1.87/255.255.255.255,192.168.1.88/255.255.255.255,
192.168.1.89/255.255.255.255,192.168.1.90/255.255.255.255,192.168.1.91/255.255.2
55.255,192.168.1.92/255.255.255.255,192.168.1.93/255.255.255.255,192.168.1.94/25
5.255.255.255,192.168.1.95/255.255.255.255,192.168.1.96/255.255.255.255,192.168.
1.97/255.255.255.255,192.168.1.98/255.255.255.255,192.168.1.99/255.255.255.255,1
92.168.1.100/255.255.255.255,192.168.1.101/255.255.255.255,192.168.1.102/255.255
.255.255,192.168.1.103/255.255.255.255,192.168.1.104/255.255.255.255
139 TCP Enable Служба сеанса NetBIOS
Область: *
445 TCP Enable SMB поверх TCP
Область: *
137 UDP Enable Служба имени NetBIOS
Область: *
138 UDP Enable Служба датаграмм NetBIOS
Область: *
1900 UDP Disable SSDP-компонент UPnP-инфраструктуры
Область: LocalSubNet
2869 TCP Disable UPnP-инфраструктура поверх TCP
Область: LocalSubNet
3389 TCP Disable Дистанционное управление рабочим столом
Область: *
...
Правда проверил на winXP, но те же яйца...


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Autoua.netФорумІнформатика та побутова електроніка
Додаткова інформація
3 користувачів і 12 що побажали залишитися невідомими читають цей форум.

Модератор:  AlMat, Yorc, moderator 

Роздрукувати всю тему

Права
      Ви не можете створювати нові теми
      Ви не можете відповідати на повідомлення
      HTML дозволений
      UBBCode дозволений

Рейтинг:
Переглядів теми: 2593

Оціните цю тему

Перейти в

Правила конференції | Календар | FAQ | Карта розділу | Мобільна версія