[vasketsov]

vot
1) Сорри.

2) Вот и надо решить, ЧТО ИМЕННО будет тестить. Кстати, почему про Windows только? Предлагается тестить только программные файрволы (большинство посетителей форума аппаратные файрволы в глаза не видели, а там где такие используются, все равно это строго регламентировано), а из програмных - все.

Цена в России - это не критерий, разве что параметр.
Параметры завтра предложу.

Еще раз прошу прощения за тон.

[vot]

Принято....))))
Да, ещё один вспомнил - WinGate (в четвёртой и пятой версиях есть встроенный firewall).....

[APOSTOL]

vot
vasketsov
Тут простые пользователи про простые файеры читали, а вы перепалку профессиональную устроили. Затеяли бы новую тему. И чайникам меньше шума, и профам - отдельно.

[Maxvell]

vot
Интересно а кто и каким образом будет тестить? И на овновании чего будут выводы?

[vot]

Maxvell
Главное начАть, или нАчать... Если очень хочется - всё получится...

[Maxvell]

vot
Это я понимаю, просто, допустим мы с тобой решили их потестить - у меня вышел один результат, у тебя - другой. У меня одно впечатление о брендмауере, у тебя совсем другое.

[vot]

Так для того, чтобы получился результат людей должно быть как можно больше, и условия должны быть оговоренны стандартные...

[ArtemD]

APOSTOL

поддерживаю... надо рассмотреть относительно простые фаеры, которые сможет использовать ЛЮБОЙ пользователь, ознакомившись со справкой по брандмауере.

итак, предлагаю оставить две номинации:
1. Пресональный фаервол.
- OutPost
- ZoneAlarm
- AtGuard
- ...
2. Фаервол для маленькой сети.
- MS ISA
- WinRoute
- ...
или оставим только одну номинацию - "Персональный фаервол", то есть для защиты себя любимого?

по поводу версий... однозначно надо смотреть самую свежую на момент тестирования... это будет правильно

[vasketsov]

ArtemD

Цитата:

однозначно надо смотреть самую свежую на момент тестирования

В том то и дело, что не так все просто. Kerio 2,15 и 3.X - это СОВСЕМ разные вещи.

По поводу номинаций.
Это лишнее потому что задача файрвола в обоих случаях одна и та же, тот же ISA можно поставить и локально. А то что ты имеешь в виду - это работа в режиме шлюза, то есть, фильтрование пакетов для разных сетей, тот же Kerio это умеет, хотя и Personal Firewall считается.

Кстати, WinRoute или WinGate или что-то там еще - здравая идея. Хотя, я с ними не общался, но там Firewall - только для PROXY или вообще всего траффика?

По поводу простоты.
Имхо знать, что такое адрес и порт и какие бывают протоколы - просто необходимо, не знаешь - зови друга пить пиво. Так что возможность настройки исключительно на основе дружелюбных правил не должна отнимать возможность настройки любого типа соединения ручками. То есть, это параметры "Наличие предустановленных правил", "Возможность создания своих правил" и некий критерий тонкости самого правила (это, кстати, основное требование к файрволу, но чаще всего тут они и проигрывают, например, некоторые отдельно управляют всем Netbios-ом, не буду до тестирования раскрывать, что за всеми любимый продукт так делает, если кто еще сам не догадался/напоролся на это).

Тестировать советую на совсем чистой машине, но с заплатками. Без VMWare и аналогичных систем. После тестирования ОДНОГО файрвола система обязательно переставляется.

Я могу предложить свои услуги для тестирования на NT4WKS RUS + SP6a, 2000PRO RUS + SP3 и 2000AS ENG + SP3, XP и выше сейчас нету.

О параметрах давайте думать, что ли. То есть, фактически, что именно будет тестироваться.

Добавлено:

Пример - http://www.agnitum.com/php_scripts/compare.php
Но версия Kerio такая старая, что просто жуть, 3-х версий ни его ни Tiny нет, по остальным видимо тоже старье тестируют.

Потом, вот что еще дошло, глядя на табличку.

Фильтрация веба, кэш днс, запрет ActiveX-ов и контроль за запуском файлов - это все круто, но к непосредственно FIREWALL-у никакого отношения не имеет. Кто-то против и это тоже тестироваться будет? То есть, мы будет тестировать ПРОДУКТЫ (лично мне неясно зачем) или только сами FIREWALL-ы в них (лично я за это)?

Добавлено:

Кстати, кэш DNS есть в самих NT-системах (про остальные не знаю, но думаю, тоже) - в драйвере Tcpip.sys. Так что он нафиг не нужен, а по ресурсам - даже вреден. Это к вопросу о компетентности разработчиков OutPost-a, чья табличка и приведена выше, из их списка только они догадались сделать этот кэш.

Добавлено:

И еще мысль.
В NT системные потоки ядра и все драйвера находятся формально в адресном пространстве псевдопроцесса System. Потому разделять трафик (и, вследствие этого, правила) на системный и для приложений - неправильно. То есть, системный траффик - это траффик для процесса System, и не более. Про другие тестируемые системы (какие еще будут?) можно это утверждать?

Добавлено:

По поводу проверки хэшей для приложений.
1) Практически везде это есть.
2) Это к работе Firewall-а не относится.
3) Это легко обходится внедрением потока в аутентифицированное приложение.
Предлагаю это НЕ УЧИТЫВАТЬ.
Если все же рискнем - не писать ДА/НЕТ, как в табличке выше, а что именно за алгоритм (например, MD5)

По поводу логов. Логи бывают разные.
Но полный лог (данные пакетов) - это большое количество данных, в которых не разобраться без знания протоколов. То есть, имеется в виду лог только соединений?

Под Trusted Zone в разных файерах понимается разное. Либо это доверенная зона без правил (как в OutPost-е), либо просто как одна из зон, для которой также можно создать при необходимости правила (как в Kerio). Второе вроде гибче. Так как?

Еще параметры - какие протоколы фильтруются. Например, Tcp, Udp, Icmp - обычно все, но RawIp, Igmp - тоже желательно.

[vot]

Ребята, ну куда вас опять понесло???
Давайте с начала?? Что есть firewall??? Дословный перевод - огненая стена (правильно же???). Т.е. эта такая штука, за которой находишься аки за стеной. И не важно один ли это комп или вся сетка. Теперь про разделения - защита сети и защита себя - любимого... Чего то я опять не вижу разницы... Потому как, если ты защищаешь сеть - то автоматом и себя - любимого, и наоборот - можешь на свой вонючий комп установить а-ля CheckPoint (стоимостью в 5000 вечнозелённых (это на одну лицензию, на сотню, например, это будет стоить 20 000) Так что тестить (по моему мнению) надо просто в номинации - firewall. Теперь о том что именно надо тестить...
Давайте отталкиваться от протокольных дел, т.е. протокол глобальной сети???? - правильно - TCP/IP... Какие ещё могут быть вопросы? Т.е. надо определиться, как какой firewall может проводить вивисекцию над стеком протокола на всех семи уровнях (ну или хотя бы пяти)... Или я не прав?
Теперь в отношении WinRoute и WinGate и WinProxy.... Данные проги являются проксями и ничем более (ну может быть за исключением WinGate, потому как он единственный из этого класса программ, на ком можно юзать свой!!!!! VPN, т.е. если определить способ работы в локальной сети по методу авторизации (не по IP) то можно рулить всем)...
Теперь что такое MD5 - это алгоритм шифрования пакетов по методу двойного ассинхронного ключевания... Т.е. первый ключ может быть известен, но алгоритм шифрования - нет, потому как при установки криптозащиты, ты от балды забиваешь некие символы (которые и сам потом не помнишь (обычно 16)) и на их основе он составляет ключи для шифрования, которые с каждой сесией изменяются... Угнать в этом случае сесию ТЕОРЕТИЧЕСКИ можно (при основном условии перехватить самую первую)... Но ежели упустил самую первую, то всё остальное теряет всяческий смысл....
Т.е. как это выглядит в работе... Есть две точки и VPN канал. На обоих точках хранятся два ключа. При установки сессии происходит аутенфикации двух точек происходит сличение этих двух клучей, ура - совпали. Тут же выдаются вторые - рабочие ключи, которые шифруются на основание тех симолов, кторые ты забивал кооооооооогда то настолько давно, что и сам уже не помнишь..... Т.е. как только произошла аутенфикация по первой паре ключей - погнался шифрованный траффик.

Теперь в отношении на чём.... В принципе у меня единственное возвражение вызывает (и очень серъёзное) ServicePack 3 for W2k.
Т.е. уже мною проверенно, при установки в систему ServicePack 3, в системе возникают такие траблы, что приходится переустанавливать..... Кому интересно - могу ответить отдельно...