Какой лучше применить? Или как грамотно настроить свой? Заранее спасибо.
Землю - крестьянам, фазу - электрикам!!
|
|
|
 |
|
НГС.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /
Файервол для MS Server 2003
Ответ на сообщение Файервол для MS Server 2003 пользователя Электроник
Если прятать сетку - неплохо пойдет MS ISA Server 2004. Если персонально - Agnitum Outpost Pro.Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя PN
Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита. Только мне не удалось подружить его с Agnitum Outpost Pro. Использовалась версия 2.5. Видимо я неправильно его настраиваю, так как после установки файепвола сервер "уходит в себя". Нет доступа к политикам домена, бесконечно долго загружается.Землю - крестьянам, фазу - электрикам!!
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
Рекомендую вам для себя ответить четко на вопрос "Зачем вам фаервол?". Если сервер раздает инет и должен разделять 2 сети - это одно. Если сервер только продвинутая рабочая станция - это другое. Если сервер находится в локальной сети и вы хотите просто повысить его защиту - третье.
А то фразаПока на нем планируется запускать Active Directory, т. е. требуется персональная защита.
на мой взгляд выдает нечеткое понимание того, что вам надо. Типа "слышали что фаервол вешь нужная и без него никуда, так во какой бы нам поставить?"
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
>>>Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита.
а каким образом это связано ???? или я чего-то недопонял....
как уже было сказано выше, MS ISA Server 2004.- NNP
Анонимный пользователь
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Baal
>>>Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита.
Персональная защита на AD........ Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Barlog
Непонимание есть. Оттого и спрашиваю. Скорее третий вариант.Землю - крестьянам, фазу - электрикам!!
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
Итак, рекомендую Вам следующий порядок действий:
1) Внятно опишите, что у вас за сеть и какова в ней будет роль сервера (не надо приводить конфиги, достаточно указать, на какой винде работают станции, ну, и топологию сети)
2) Не менее внятно объясните, от чего Вы планируете защитить сервер
3) Почитайте полученные адекватные советы
4) Уточните, что непонятно
5) Выберите понравившийся чем-либо вариант
6) Спросите совета, как проще всего воплотить выбранный вариант в жизнь
ВотЪ...
А то "персональная защита Активной Папки"... :-)
ЗЫ. Блин, я с этой работой по переводу мануала по ИСЕ на русский уже сам стал выражаться степ-бай-степ волктрутами... :-) Все, не буду больше переводить - учите английский :-)Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
Если третий вариант (сервер внутри локальной сети) то ИМХО фаерволом озадачиватся тут надо в последнюю очередь. В первую очередь тут нужно озаботится корректной настройкой сервера: отрубанием ненужных сервисов, конфигуриованием нужных и установкой необходимых заплат. И уж потом для пущего контроля сетевых подключений можно озаботится фаерволом.
Ведь в первую очередь уязвимостям будут подвержены именно сервисы. Допустим закроете вы фаером порты 135-139 и 445 для защиты от бластеров.. И что? В результате никто не сможет работать с AD, которое стоит на этом сервере.. Тогда какой прок от AD? И т.д. и т.п.-
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
"Если сервер находится в локальной сети и вы хотите просто повысить его защиту", то фаервол вам не друг и не брат. Основная его функция -- это фильтрация пакетов на уровне ай-пи адресов и портов (иногда пользователей). Он смотрит только на заголовки, а не на содержание пакетов. Таким образом, фаервол пропустит любую атаку из внутренней сети по разрёшённому порту...
Если нужна персональная защита домен контроллера, копать стоит в сторону host-based IDS.
Впрочем, я только предложил возможное направление для копания. Ничего конкретного не подскажу за полным отсутствием опыта работы с HIDS. Вроде бы вышеупомянутая ISA 2004 поддерживала функции системы обнаружения вторжений, но это скорее уже относится к network-based IDS. NetPatrol ещё есть, но это тоже туда же.
PS. А вообще, если у вас не секретная организация, то ИМХО не стоит и заморачиваться на тему IDS. Вполне хватит антивирусника, феарвола на шлюзе в инет, грамотной раздачи прав юзерам, свежих заплаток и настроенных политик.
(Всё ИМХО)all people should try new diet pepsi
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя PN
1. Кофигурация сетки типа "звезда" - в hub воткнуто 7 рабочих станций - XP prof SP1 + сервер с 2003 server enterprise. В одной из РС стоит еще одна сетевая карта, подключенная к локалке провайдера. На ней же бегает Usergate.
2. Сервер защищается от всякой Internet-нечисти + от внешнего доступа к его расшареным ресурсам (если таковой доступ возможен)
3. Почитал
4, 5 Непонятно - нужен ли файервол в принципе? Вроде нет.
6. В процессе..Землю - крестьянам, фазу - электрикам!!
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
Хороший фаервол нужен на машине, которая инет раздает.Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
Вот на машину, где две сетевки и над оставить файрволл... Можно ISA Server, снеся UserGate. Он спрячет за собой сеть и будет раздавать инет юзерам согласно ограничений для их групповой принадлежности... Для совсем правильного положения, можно будет поднять RADIUS на домен контроллере... Если решишь, что будешь делать так, здесь есть кому тебе помочь стаффом и советами...
А контроллер домена от внутренних пользователй надо защищать грамотно настроенными политиками...Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя PN
Итог:
1. На сервере файервол не обязателен (или даже вреден?).
2. Хороший файервол нужен для машины с подкляченим в инет - какой (какие)?
3. А UsegGate разве не прячет сеть? Его обязательно менять?Землю - крестьянам, фазу - электрикам!!
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
В принципе, может...Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя PN
Это по пункту #3?Землю - крестьянам, фазу - электрикам!!
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
Да, по пункту 3.Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя PN
А по остальным?Землю - крестьянам, фазу - электрикам!!
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
>> 1
Необязателен, хоть и не вреден.
>> 2
Я обеими руками за Kerio WinRoute Firewall 6+.
to PN:
>> можно будет поднять RADIUS на домен контроллере
Нагуя?
Если мне не изменяет память, RADIUS -- это remote authentication dial-in user service, т.е. база данных учётных записей для удалённых входящих подключений. Зачем он обычным смертным и как он повысит безопасность домен контроллера?
Или я чего-то путаю?all people should try new diet pepsi
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Nestеr
Ты ничего не путаешь... Он повысит безопасность, если будет запользован дайл-ин... Но это уже нюансы...
WinRoute - тоже хорошо, особенно при таком небольшом числе пользователей... :-)
И на домен-контроллере файволл ИМХО не нужен. Снаружи он спрятан за шлюзом. Изнутри его безопасность прекрасно обеспечивается правильно настроенными политиками...Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
Ответ на сообщение Файервол для MS Server 2003 пользователя Электроник
Не стоит изобретать велосипед.
Встроенный в винду XP -SP2 и 2003(+SP1) FireWall + GPO на AD для управления ими для внутренней безопасности хватит за-глаза.
Во-первых меньше левого софта - меньше гемороя.
Во-вторых надо уважать производителей софта, если уже стыбрили винду, то и пользуетсь, зачем еще-то наворовывать добра. А тем более если все куплено.../Нет денег на Зубару?! Зубилы - дёшево, 2км вперед по трассе!!!
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя ViT
Меня получившаяся конфигурация вполне устраивает.
Просто удалил из 2003 файервол плюс RADMIN и все работает как задумано.
На мой взгляд WINDOWS сама недалеко ушла от "левого" софта.Землю - крестьянам, фазу - электрикам!!
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Электроник
ну как сказать... Так мысли вслух.
если микроскопом забивать гвозди, то конечно потребуется снять с него линзы и зеркала - это верно.
Токма нахрена забивать микроскопом гвозди?
А по-существу, заказчик всегда прав... на то он и деньги платит.
А на счет "левого" софта - левого, в смысле лишнего и дублирующего основную функциональность. Меньше софта (любого, хоть виндовых компонент и сервисов) - меньше проблем, больше надежность./Нет денег на Зубару?! Зубилы - дёшево, 2км вперед по трассе!!!
Исправлено пользователем ViT (28.03.05 09:20)
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя ViT
у меня стоит Kerio WinRoute FireWall 6.0.11 пашет супер ... крутая вещь !!!В наше ненормальное время, любой нормальный человек ненормален уже тем, что он нормален
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя PN
Если прятать сетку - неплохо пойдет MS ISA Server 2004. Если персонально - Agnitum Outpost Pro.
А ты Аутпост пробовал на 2003 ставить? У меня он на ней работать напрочь отказался. Орал что-то вроде "Драйвер не работает", точно уже не помню. Вроде в трее висит, а пропускает весь траффик, независимо от настроек.Отсутствие вариантов – тоже вариант, но самый худший.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Deft
Пробовал. У меня одно время 2.5 стоял на 2003 Standart - работал нормально...Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя PN
Странно. У меня тоже 2.5 и тоже на 2003 Sandart.Отсутствие вариантов – тоже вариант, но самый худший.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя Deft
А может, ему что-то мешает запуститься... Например, если рискнуть и поставить Аутпост туда, где стоит ИСА, то сервер весело показывает синее...Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.
Ответ на сообщение Re: Файервол для MS Server 2003 пользователя PN
Система была чистая. Да и если б там ИСА стояла, нафига бы мне туда Аутпоста ставить?Отсутствие вариантов – тоже вариант, но самый худший.
Перейти в форум
Знакомства в Новосибирске
Погода в Новосибирске
Пробки в Новосибирске
Форумы в Новосибирске
Телепрограмма в Новосибирске
Афиша в Новосибирске
Гороскоп
Курсы валют в Новосибирске
Туризм в Новосибирске
Промокоды в Новосибирске
Сетевое издание «НГС.НОВОСТИ» (18+)
Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации СМИ ЭЛ № ФС 77—84683
Учредитель: Общество с ограниченной ответственностью «ИНТЕРНЕТ ТЕХНОЛОГИИ»
Главный редактор: Громкова Елена Александровна
Адрес редакции: 630099, Россия, Новосибирск, ул. Ленина, д. 12, 6 этаж, телефон 8 (383) 212-52-52, 8 (923) 157-00-00 (круглосуточно)
Электронный адрес редакции: ngs@shkulev.ru
Контактные данные для Роскомнадзора и государственных органов: juristnsk@shkulev.ru
Техподдержка: help@shkulev.ru, 8 (800) 200-03-83 (доб.3)
Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации СМИ ЭЛ № ФС 77—84683
Учредитель: Общество с ограниченной ответственностью «ИНТЕРНЕТ ТЕХНОЛОГИИ»
Главный редактор: Громкова Елена Александровна
Адрес редакции: 630099, Россия, Новосибирск, ул. Ленина, д. 12, 6 этаж, телефон 8 (383) 212-52-52, 8 (923) 157-00-00 (круглосуточно)
Электронный адрес редакции: ngs@shkulev.ru
Контактные данные для Роскомнадзора и государственных органов: juristnsk@shkulev.ru
Техподдержка: help@shkulev.ru, 8 (800) 200-03-83 (доб.3)
Связаться с отделом продаж: 8 (383) 212-52-52, 8 (800) 200-03-83 (звонок с сотового бесплатный), reklamangs@shkulev.ru
Публикации с пометкой «На правах рекламы», «Партнёрский проект», «Новости телекома», «Открытая трибуна», «Выборы-2019» и «Выборы-2020» оплачены рекламодателем. Редакция сайта не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях.
Информация об ограничениях
Политика использования cookies
Политика конфиденциальности и обработки персональных данных и правила использования сайта
Публикации с пометкой «На правах рекламы», «Партнёрский проект», «Новости телекома», «Открытая трибуна», «Выборы-2019» и «Выборы-2020» оплачены рекламодателем. Редакция сайта не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях.
Информация об ограничениях
Политика использования cookies
Политика конфиденциальности и обработки персональных данных и правила использования сайта