| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
wildwind
Зарегистрирован: 03.02.2004
Сообщения: 268
Откуда: Москва
|
 Добавлено: Вт Фев 17 2004 21:22 Заголовок сообщения: Где поставить фаервол? |
 |
|
Господа админы! хватит работать бесплатной техподдержкой и заниматься ликбезом  . Предлагаю обсудить вопрос, который является, как мне кажется, далеко не праздным.
Принято считать, что в локальной сети фаервол должен стоять на том узле, который является шлюзом в глобальную, то есть в Интернет, опасный и враждебный ко всем . И это правильно. Однако в последнее время появились т.н. персональные фаерволы, предлагающие упрощенную настройку, GUI и прочие прелести, однако по заложенным возможностям уже приближающиеся к "промышленным образцам". Давайте сравним их по степени защиты и надежности этой защиты для конкретного пользователя. Вот несколько моментов, которые увидел я.
1. При настройке общесетевого фаервола мы задаем правила, по каким портам, адресам и направлениям через шлюз может идти трафик. В фаерволе, работающем на клиентском компе, мы можем задать все то же самое, но для конкретных приложений. То есть мы не просто открываем порт SMTP, а разрешаем соединяться по нему, скажем, только OE, Мозилле и Бату, и никому больше! То есть какой-нибудь червяк, даже если и просочится на машину (как - другой вопрос) то дальше уже никуда ничего послать не сможет. Общесетевой же фаервол не может узнать, кто пытается послать почту из внутренней сети.
2. Клиентский компьютер это точка, где раздробленные входящие пакеты вновь собираются в одно целое сообщение. Это дает фаерволу дополнительные возможности анализировать их в зависимости от структуры. Например, переименовать опасные почтовые вложения (.exe, .bat, .scr). Или вырезать рекламу из веб-страниц. И т.д.
3. Если вирус все-таки проник во внутреннюю сеть, то общий фаервол никак не сможет помешать его деструктивным действиям. А персональные - смогут.
Получается, персональный фаервол на каждом компе надежнее, чем один мощный на шлюзе? Если так, то логично будет ставить фаерволы на клиентов и централизованно их админить. Однако морока это небось недетская - на каждом компе все настраивать через этот GUI интерфейс! Может, уже есть какие-то решения для удаленного управления этим хозяйством? Или, как у антивирусов, какая-то серверная часть, которая за всем следит и распространяет по клиентам новые настройки?
У кого есть соображения или опыт - поделитесь! |
|
| Вернуться к началу |
|
 |
ALEX_SE
Зарегистрирован: 30.11.2003
Сообщения: 1043
Откуда: Энгельс, Саратовская обл.
|
| Добавлено: Ср Фев 18 2004 01:34 Заголовок сообщения: |
|
|
| Клиентский компьютер - это клиентский компьютер. К которому у клиента есть локальный доступ, который (часто) может его настраивать, который может (при соотвествующих дырах в защите, а они есть у многих файрволах) их отключать, где машина может просто повиснуть вместе с процессом, и так далее... И этим все сказано имхо. |
|
| Вернуться к началу |
|
|
MiK
Зарегистрирован: 03.04.2002
Сообщения: 333
Откуда: пос. Ново-%буново
|
| Добавлено: Ср Фев 18 2004 14:49 Заголовок сообщения: Такое вот мнение |
|
|
Полагаю, что в организациях, которые нуждаются в подобном уровне безопасности:)) примерно так и настроено.
В нортоновской административной консоли есть возможность централизованного управления клиентскими firewall' ами. Но рассуди сам, сколько времени будет занимать удовлетворение пользовательских запросов в, даже в небольшом офисе, к примеру, 100 рабочих станций. Что хорошо одному человеку, может быть слишком мало, другому, по каким-либо причинам временно работающим за его машиной, да и тебе, как админу, бывают нужны нестандартные порты и протоколы временно открытые на этой же рабочей станции. В итоге ты или запутаешься в настройках или, что вероятнее всего, откажешься от своей затеи, станет нехватать, или просто жалко рабочего времени. К тому же кто гарантирует отсутствие ошибок в программном коде самого firewall 'а с вытекающими последствиями.
Немного сумбурно, но думаю общая мысль понятна. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Фев 18 2004 15:04 Заголовок сообщения: |
|
|
Ну уж нет. Ликбез продолжается.
Персональные firewall-системы с корпоративным управлением существуют несколько лет.
Сейчас их не делает только ленивый.
Обзор этих систем регулярно публикуется в журналах, например "Сети и системы связи", LAN.
Пройдитесь по сайтам крупных антивирусных компаний и компаний, специализирующихся на защите информации, и сами убедитесь. Тенденция сращивания антивируса и персонального FireWall на лицо.
Однако не надо вдаваться в крайности и делать все только на персональных системах. Централизованный контроль на шлюзе должен быть обязательно. Иначе можно огрести много проблемм. |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Сб Фев 21 2004 01:01 Заголовок сообщения: |
|
|
Достаточно выдать клиентским машинам IP-номера 192.168.*.* и выпускать их наружу только через Proxy, Relay и т.п. А входящие соединения извне вообще запретить.
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Пн Фев 23 2004 16:38 Заголовок сообщения: |
|
|
Дмитрий Карпов что-то не допонял?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Вт Фев 24 2004 00:18 Заголовок сообщения: |
|
|
| TechNoir писал(а): | | Дмитрий Карпов что-то не допонял? |
Ну чего тут непонятного? Использование адресов типа 192.168.*.* не позволяет осуществить входящие извне соединения, т.к. провайдер их не роутит к тебе. А всё общение этих машин с внешним миром пусть происходит через Proxy.
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
