Добрый день. Никогда не заворачивался подобным, так как фильтровал трафик до интерфейса винды. Но появился серверок на хостинге и его нужно защищать от нехороших людей извне. Смотрел на продукты wingate, winroute. Они в основном заточены для обеспечения доступа офиса в интернет. Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100). Посмотрел на ipfw для windows, из это пакета драйвер на 2003-x64-R2 не хочет устанавливаться. Посоветуйте, плиз, фаирвольчик. Заранее благодарен.
Учитывая, что все сторонние файерволы все равно работают поверх дырявого виндового ядра - лучше чем встроенный файервол виндоуз они все равно работать не будут. В лучшем случае - предоставят больше настроек и доставят больше проблем, пока все настройки не будут вычуханы. Так что разницы по степени защищенности разных файерволов и встроенного файервола я лично не вижу.
А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.
А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.
Это конечно да, зачастую так и поступаю (в частности запускаю под Citrix_Xen). Но тут на машинке хорошо нагруженный MSSQL
А в целом, если виндовый сервер "на хостинге" - возникает вопрос: у тебя выделенный сервер? Если выделенный, и процессор поддерживает виртуализацию - я бы поставил туда какой-нибудь ESXi или просто линух с VMWare Server и запустил бы винду в виртуалке, поместив ее за NAT. Соответственно, файервол настраивался бы на линухе.
Это конечно да, зачастую так и поступаю (в частности запускаю под Citrix_Xen). Но тут на машинке хорошо нагруженный MSSQL
В 21-м веке на хостах, которые имеют аппаратную поддержку виртуализации, накладные расходы на эту самую виртуализацию - мизерны. Так что что там высоконагружено - в нынешнее время практически пофиг.
Krokokot 27.12.2012 10:29 пишет: Microsoft ISA (Microsoft Forefront Threat Management Gateway 2010 только на 2008 становится)
Ага... именно через ISA лет 10 назад на наш корпоративный сервак и пролез червяк, который выжирал инет-трафик круглосуточной рассылкой спама
А может он изнутри пролез , а не с наружи?
Не, он пролез через дырку стека протоколов TCP/IP, которая чуть позже была опубликована и "зашита" мелкософтом. Там до файервола просто не дошло (т.е. именно то, о чем я говорил в первом ответе в этой теме - пофиг какой файервол, потому что они ВСЕ работают поверх дырявого виндового ядра).
Ticon 27.12.2012 09:34 пишет: Добрый день. Никогда не заворачивался подобным, так как фильтровал трафик до интерфейса винды. Но появился серверок на хостинге и его нужно защищать от нехороших людей извне. Смотрел на продукты wingate, winroute. Они в основном заточены для обеспечения доступа офиса в интернет. Штатный не устраивает, так как нужно добавлять правила разрешающие доступ к ресурсам определенным айпишникам (~100). Посмотрел на ipfw для windows, из это пакета драйвер на 2003-x64-R2 не хочет устанавливаться. Посоветуйте, плиз, фаирвольчик. Заранее благодарен.