Aughitum Outpost не предлагать- опыт показывает, что гавно полное!
Собственно, нужно на небольшую сеть из 7 компов, у которой есть один недостаток- почтовый сервер находиться на шлюзе. [Ответ]

Agnitum Outpost 2.1 вижу не смотрел........а зря....у мя 15 компов с ним.....и все там прекрасно разруливается [Ответ]

Den я юзаю с давних времен маленький и простенький AtGuard [Ответ]

Pashok пользуюсь этим файрволом, но он требует точечных настроек.
Использую прекрасный сканер из этой серии LanGuard. [Ответ]

ISA Server 2000 [Ответ]

Den может стоит посмотреть на вингада? Народ, а как Вы думаете?
Bambarbia не, ISA громоздкий какий-то, на мое имхо. Тем более для 7 машин такого монстра поднимать
Den, а как же *NIX-ы??? может линуховый все-таки поставишь? сорри за мааленький оффтопик. [Ответ]

Bambarbia
Уже есть ISA2004.
Скачал Standard-версию. Могу поделиться. [Ответ]

Если верить сайту www.ixbt.com , то после установки Агнитум Аутпост были ликвидированы все известные слабые места в Винде.
Я сам пробовал Касперского, из разряда "Покрасил и забыл"
Есть еще НортонИнтернетСекьюрити2003 (файервол+антивирус) - вещь прикольная, но мне сложно разобраться без аглицкого языка. Показалось, что он плохо запоминает разрешения на активность в сети. [Ответ]

Сообщение от :
Первоначальное сообщение от ZEUS
Den, а как же *NIX-ы??? может линуховый все-таки поставишь? сорри за мааленький оффтопик. [/B]

поставлю, работа в этом направлении уже ведется (в том числе и с начальством), сейчас просто работаю с конфигурацией почтовика.

DonVitaly, ixbt.com не следует верить [Ответ]

я бы посмотрел на продукты F-Secure

Bambarbia правильно и в домен их загнать нах..
[Ответ]

zic F-Secure Distributed Firewal? [Ответ]

ZEUS
ы [Ответ]

ZEUS

не, ISA громоздкий какий-то, на мое имхо. Тем более для 7 машин такого монстра поднимать

под винду - лучший прокси/файрвол, который я встречал

Kliv

Уже есть ISA2004.
Скачал Standard-версию. Могу поделиться.


поделись ссылкой

zic

правильно и в домен их загнать нах..

домен оправдан на количестве машин более 5 штук [Ответ]

Bambarbia
на взоре есть
в общем мелкомягкие обычно говорят о 10 машинах
но в наших условиях такое бывает редко
работодатели предпочитают тратить деньги на периоды неработоспособности ЛВС чем покупать технику и нанимать приличных администраторов [Ответ]

zic Bambarbia буду вам обоим очень признателен, если просветите, чем же ISA и F-Secure лучше/превосходят winGate. В части стенки,а не прокси. Без шуток! [Ответ]

Bambarbia
Брал со взора.

Еще есть в ISO-имиджах
Symantec Enterprise Firewall v8.0
Symantec Client Security Corporate Edition v1.1
Symantec Enterprise Security Manager v6.0
McAfee Personal Firewall Plus 2004

А также по мелочи:
8Signs Firewall 2.8
Agnitum Outpost Pro 2.1
Armor2Net Personal Firewall 3.12
Kerio Personal Firewall 4.0.8
Kerio Winroute Firewall 6.01
McAfee Desktop Firewall 8.0
Sygate Personal Firewall Pro 5.5
Tiny Personal Firewall 5.5
BlackICE PC Protection 3.6
BlackICE Server Protection 3.6
....
Сам не пользовал - нет надобности... [Ответ]

ZEUS
"firewall" встроенный в wingate абсолютно не контролирует прикладной уровень, тобишь с машины на которой установлен этот самый вингад можно творить все что угодно .

нельзя сравнивать Wingate, Outpost, F-Secure Distributed Firewall c ISA это продукты принципиально разного класса.
Последний представляет собой замашку мелкомягких на небезизсвестные продукты checkpoint . [Ответ]

являюсь фриком в этом плане, поэтому лучше использовать файрвол железный. pix или watchguard firebox [Ответ]

yujanin ну куда нам до крутых ))
zic абсолютно согласен, что я некорректно выразился. Разное назначение ПО. А вот если вингад стоит отдельно и к доступ к его локальной контролируется /скажем имеет доступ только админ вингада/, удаленное администрирование -тоже зарезано. Тогда как?

ZEUS добавил [date]1090561258[/date]:
Outpost и множество из перечисленных уважаемым Kliv - это собсно personal-ы. И они зачастую имхо просто не рассчитаны на использование в качестве FW для защиты подсетки. [Ответ]

yujanin
железка тоже совершенно не от чего не страхует , именно по тому что она собственно и не железка совсем .

zic добавил [date]1090572797[/date]:
ZEUS
до очередного бластера или сасслера [Ответ]

zic имхо железка гарантирует определенную пропускную способность при соблюдении определенных условий эксплуатации. [Ответ]

ZEUS
какая разница все эти железки это суть одно и тоже несколько исковеркованный ПК , может на архитектуре отличной от x86 под управлением несколько кастрированной freebsd /
Да и мало у кого поруху хватит приобрести железку дающую такие же функциональные возможности как и ISA /
А верить что дерьмо до пяти килобаксов может заменить грамотно построенную систему безопасности мне как то не хочется . [Ответ]

zic по крайней мере, эта железка создавалась специально для этой цели, а софтина стоит на компе, на котором еще до хера сервисов может быть (и бывает практически всегда).... понятное дело, что и железка из коробки защитит не полностью, и нужна кропотливая настройка.

yujanin добавил [date]1090599532[/date]:
zic ах, да... если ты не знал, в цивилизованном мире компании покупают лицензионный софт. и лицензионный isa сервер (standard edition, даже не ентерпрайз) стОит под три тысячи долларов. прибавь к этому стоимость железа, на котором всё это будет стоять (еще как минимум тысячи три, если хочешь нормальный стабильный сервак) и еще стоимость самой оси (еще тысячи две-три, в зависимости от конфигурации и того, есть у тебя уже CALs или нет). вот тебе и дешевая функциональность.

yujanin добавил [date]1090599613[/date]:
ну и последнее... думать, что один компьютер с шестью сетевыми карточками и установленным и полностью сконфигенным isa тебе даст "грамотно построенную систему безопасности" глупо. [Ответ]

yujanin ну мне кажется, zic имел в виду, что железом, даже брэндовым и лицензионным голову не заменишь. Уважающая себя фирма будет пытаться закрыть все обнаруженные дыры, приниматЬ меры к оперативной поддержке, удобству юзания и изменению настройек продаваемой ею продукции. А когда все на ПиСишке - все ложится мерtвым грузом на админа этой самой персоналки. Да, там софта может быть много, а может и не быть Смотря как настроить. все это мое имхо.

ZEUS добавил [date]1090607612[/date]:
на одной персоналке грамотную СБ не сделаешь. Народ, а что если тут же в темке пофантазируем на темку: какой Вам видится грамотно организованная СБ? состав железа/софта.... ну и протча на ваше усмотрение
Очень надеюсь, что Den не будет сильно против?
Поfantaзируем? [Ответ]

yujanin
цивилизованный мир ?
ну ну
видно всю цивилизованность в Ираке


по крайней мере, эта железка создавалась специально для этой цели, а софтина стоит на компе, на котором еще до хера сервисов может быть (и бывает практически всегда).... понятное дело, что и железка из коробки защитит не полностью, и нужна кропотливая настройка
те фактически получается железка хороша тем что страхует от тупорылого админа который просто не сможет запихать на неё дополнительный софт?



zic ах, да... если ты не знал, в цивилизованном мире компании покупают лицензионный софт. и лицензионный isa сервер (standard edition, даже не ентерпрайз) стОит под три тысячи долларов. прибавь к этому стоимость железа, на котором всё это будет стоять (еще как минимум тысячи три, если хочешь нормальный стабильный сервак) и еще стоимость самой оси (еще тысячи две-три, в зависимости от конфигурации и того, есть у тебя уже CALs или нет). вот тебе и дешевая функциональность.
хороший спец стоит гораздо дороже [Ответ]

yujanin

и лицензионный isa сервер (standard edition, даже не ентерпрайз) стОит под три тысячи долларов.

1499$ если верить microsoft.com

к этому стоимость железа, на котором всё это будет стоять (еще как минимум тысячи три, если хочешь нормальный стабильный сервак) и еще стоимость самой оси (еще тысячи две-три, в зависимости от конфигурации и того, есть у тебя уже CALs или нет).

если тебя это настолько тяготит - поставь себе любую бесплатную ось и бесплатный же софт, недостатка ни в осях ни в софте нет
насчет железа - любой современный комп начального уровня под юнихоподобной осью легко справится с этой задачей, чего нельзя сказать о решениях на базе Windows

zic

железка на самом деле надежнее - это специализированное устройство со специализированным заточенным именно под эти задачи софтом [Ответ]

zic при чем тут ирак? я вообще-то не про войну и не про политику, и не про государства, а про этику бизнеса. про то, что если ты хочешь, чтобы за тсделанные тобой продукты тебе платили, то соизволь платить авторам других продуктов, которые ты используешь. ну да ладно.

а специалист, способный настроить isa, стоит, значит, гораздо дешевле, ага? или isa такой весь самонастраивающийся? думаю, ты не будешь спорить, что настраивать его надо как минимум столько же, что и любую железку, а в большинстве случаев - больше.

я говорю о том, что ставить софтверный файрвол по периметру - это самоубийство, как в плане производительности на сетевом и траспортном уровне (железки лучше настроены пакеты сортировать), так и в плане безопасности (т.к. довести любой сервер до уровня безопасности, сопоставимого с изначальными настройками во многих железках - дело намного более кропотливое, чем настроить эти самые железки - хотя бы потому, что тебе нужно закрывать сервисы на всех этих серваках, а потом, если на серваке стоит не только файрвол, смотреть еще, чтобы не поломались существующие приложения).

в этом плане, isa как файрвол можно и нужно устанавливать как дополнительный слой защиты, например, прослойкой между dmz и внутренней сетью (для слежения за атаками на уровне приложений), и для дальнейшего разграничения внутренней сети на три подсети - сеть конечных пользователей, сеть администрации (с которой возможен доступ обслуживать серваки) и самая бронированная подсеть с самими серваками.

плюс, распространено использование isa как бастиона в самой dmz в качестве обратного прокси для веб сервера и, например, outlook web access сервера, которые тем самым еще больше обезопаси(ши?)ваются и переносятся в серверную подсеть.

нужно еще иметь в виду, что если речь действительно идет о безопасности, то нужно ставить кластер, против всяких ддосов и т.д.

для достижения этого, isa требует действительно филигранной настройки (но и дает великолепные результаты), и в цене по настройке и поддержке не то, что не уступает, но и заметно превышает железные файрволы во временнЫх затратах на действительно хорошую конфигурацию.

резюме: "система безопасности" на то и система, что состоит из многих элементов. ни один продукт, даже очень хорошо настроенный, не станет панацеей. хорошие корпоративные софтовые файрволы (как isa) отлично подходят на дальнейшее разделение внутренней сети на несколько подсетей, на дополнительную прослойку между бастионом (dmz) и внутренней сетью (хотя практически все файрволы, ставящиеся по периметру, имеют как минимум три интерфейса - внешний, внутренний, dmz, советуется не использовать внутренний, а поставить еще один файрвол между дмз и внутренней сетью), и также для функций реверс-прокси для вебсерверов в зоне dmz.

в то же время, железные файрволы лучше справляются с обработкой пакетов на сетевом и сегментов на транспортном уровне, лучшей безопасностью оси (я говорю, например, про специально настроенные версии той же бзди, или, как у cisco pix, специально созданные для этого оси), лучшей защитой от ddos и т.д....

надеюсь, дискуссия о софт vs. железо на сем закончится, т.к. каждое выполняет свою роль. в любом случае,
об этом и многом другом - очень интересное чтиво на http://www.sans.org/rr

автору же топика я посоветую взять недорогую железку класа soho (small office - home office) - её будет гораздо легче и быстрее настроить (знаю на практике) более-менее безопасно для сетки из семи компов. удачи! [Ответ]

а про этику бизнеса. про то, что если ты хочешь, чтобы за тсделанные тобой продукты тебе платили, то соизволь платить авторам других продуктов, которые ты используешь. ну да ладно.
вот только медведей с улиц прогоним и начнем платить за все продукты



а специалист, способный настроить isa, стоит, значит, гораздо дешевле, ага? или isa такой весь самонастраивающийся? думаю, ты не будешь спорить, что настраивать его надо как минимум столько же, что и любую железку, а в большинстве случаев - больше.
дело в том что поддержка такой железки стоит в год около 80% ее стоимости что значительно дешевле чем услуги специалиста соответсвующего класса
я говорю о том, что ставить софтверный файрвол по периметру - это самоубийство, как в плане производительности на сетевом и траспортном уровне (железки лучше настроены пакеты сортировать)
аппаратно реализуются разве что некоторые криптоалгоритмы используемые при органицации VPN ? впрочем подобные аппаратные расширения доступны и для платформы pc
что тебе нужно закрывать сервисы на всех этих серваках, а потом, если на серваке стоит не только файрвол, смотреть еще, чтобы не поломались существующие приложения).
зачем закрывать сетевые сервисы почему бы их просто не устанавливать ?
кто тебе мешает установить голую систему ?

ты несколько не оцениваешь ситуацию здесь,работодатели очень часто ломаются из за 500-600 баксов на выделенный шлюз [Ответ]

Bambarbia профессионалы выбирают гораздо тщательнее в зависимости от задач и приоритетов бизнеса. поверь мне, не всё так просто и на рынке существует не два перечисленных тобой пакета. а если уж говорить о доли в серьезном корпоративном рынке, то профессионалы выбирают файрволы на базе checkpoint firewall 1.

yujanin добавил [date]1090814549[/date]:
zic я думал мы с тобой говорили о "хорошо продуманной системе безопасности", а ты свёл разговор к особенностям русских шефов. к сожалению, за 500 долларов стабильную и устойчивую сеть, способную поддерживать критические бизнесс-процессы даже в самых суровых условиях за 500-600 баксов не построишь даже в зимбабве. [Ответ]

yujanin

спасибо что просветил насчет задач и приоритетов бизнеса и насчет того, что на рынке существуют не два перечисленных мною пакета

а если уж говорить о доли в серьезном корпоративном рынке, то профессионалы выбирают файрволы на базе checkpoint firewall 1

если говорить о "серьезном корпоративном рынке", то профессионалы выбирают вот это:
CISCO PIX 535 FIREWALL http://www.cisco.com/en/US/products/...119/index.html [Ответ]