Использование файрвола рутера вместо програмного файрвола
 

Доброго дня.

Использование файрвола Zone Alarm прилично грузит мой процессор.
Во время скачиваний с торрентов, файрвол вообще приходится выключать, иначе все тормозит.
Есть идея - повырубать все файрволы на компьютерах домашней сети, а взамен использовать рутер с хорошим файлволом.

В связи с этим несколько вопросов:

1) Может ли встроенный в рутер файрвол полностью заменить программный?
2) Можно ли с его помощью создавать правила для каждого отдельного компьютера домашней сети?
3) Как правильно выбрать такой рутер?
4) Какие минимальные функции файрвола рутера необходимы для безопасной работы?
5) Не могли бы вы дать примеры таких рутеров.

Спасибо.

Естественно. Это большая глупость в локальной сети за NAT-ом ещё и файрволлы на каждой машине ставить.

Что именно вы хотите "создавать"?

См. предыдущий ответ.

Блокировать все входящие соединения.

Позволю себе не согласиться с уважаемым Angry Demon. Межсетевой экран маршрутизатора в принципе не может обладать всеми теми же возможностями, что и экран ПК.
Простейший пример: блокировка отдельных пользователей или процессов. Межсетевой экран ПК может заблокировать доступ к сети на уровне процесса. Экран маршрутизатора этого сделать не может, поскольку не имеет информации о том, какой из процессов генерировал данный пакет.
В то же время, в реальной жизни достаточно часто возникает необходимость закрыть доступ к сети, допустим, какой-нибудь конкретной игре. При отсутствии локального брандмауэра Вам придется полностью отключать сеть на время игры.
Это одно соображение. Но есть и второе. Вы говорите, что Ваш межсетевой экран "прилично грузит процессор".
Прилично грузит сверхмощный (по сравнению с процессорами других устройств) процессор ПК! Как Вы считаете, возможно ли запустить аналогичную программу на слабеньком процессоре маршрутизатора?

Маршрутизатор различает компьютеры только по IP адресу их сетевых интерфейсов. Вы можете задавать правила для пакетов исходящих с конкретных IP. Если в Вашем локальном сегменте все адреса будут статическими, это и будет означать "создание правил для каждого отдельного компьютера домашней сети".

Извиняюсь, но опять-таки не могу согласиться. Эта функция для маршрутизатора практически бесполезна.
Давайте рассмотрим три возможных варианта:
1. Пакет поступает на порт, для которого не выполнена "проброска" (forwarding) и которого нет в таблице NAT маршрутизатора. Тогда он будет адресован на сам маршрутизатор и, естественно, отброшен, поскольку маршрутизатор для самого себя входящих соединений не принимает. Если, конечно, не разрешен доступ к его web-интерфейсу из сети. Но надо быть идиотом, чтобы сначала разрешать маршрутизатору принимать внешние запросы, а потом закрывать эту возможность брандмауэром.
2. Попытка установить входящее соединение поступает на порт для которого есть запись в таблице трансляции адресов. Тогда она будет отвергнута в любом случае: если пакет приходит с IP не совпадающего с IP удаленного узла из таблицы, ситуация сводится к предыдущему пункту. Если пакет приходит с того IP и порта, которые есть в таблице NAT, это означает, что соединение уже было установлено ранее и пакет пересылается на указанный в этой таблице ip и порт узла локальной сети.
3. Если пакет приходит на порт для которого выполняется статическая переадресация на узел локальной сети, он пропускается и его судьбу дальше будет решать тот компьютер, на который его переадресовали.
В данной ситуации "блокировка входящих соединений" не требуется. Ведь порт именно для того и пробрасывают, чтобы дать возможность эти самые соединения устанавливать.

- правила для регулирования доступа программ в интернет
- открывать\закрывать порты (к примеру 3389 чтобы позволить удаленный доступ)
- открывать\закрывать диапазоны IP для домашней сети
- блокировать входяшие по IP

Только локально.

Пожалуйста.

Пожалуйста. Только смысла в этом нет, ибо IP-адрес (и даже MAC-адрес) можно сменить.

Пожалуйста.

В домашней сети, где живых злоумышленников быть не может по определению, беспокоиться о несанкционированной смене ip адреса обычно не приходится. Зато можно блокировать некоторые узлы сети, закрывая им доступ в интернет. Это может быть полезно и как неполноценная замена блокированию доступа в интернет определенного процесса (скажем, steam), и для тестирования стороннего ПО, которое может содержать вредоносный код, и для запрета на передачу в сеть информации устройствам с сетевым подключением (таким как сетевые принтеры). В последнем случае это делается исключительно из соображений конфиденциальности и безопасности, хотя потенциальный риск от таких устройств минимален - мне неизвестен ни один случай успешной реальной атаки на сетевые принтеры. Однако есть множество примеров демонстрации подобных атак. И куча информации о "черных ходах" (backdoor), которые разработчики встроенного ПО оставляют для удаленного контроля и управления подобными устройствами.

Ой, ладно, пионэры ещё те перцы. ;)

кроме, пожалуй, печати 10000 тестовых страниц. :)

Не совсем понимаю, "локально" - то есть вы имеете ввиду, что это можно сделать только на конкретном компьютере средствами програмного файрвола.

Или я что-то не так понял?

Да, еще забыл о возможности разрешать/запрещать установку, изменение реестра и т.д, такое врядле будет на рутере?

Я прихожу к тому, что неплохо было бы как-то комбинировать эти два вида файрволов, чтобы немного разгрузить процессор.
Но пока слабо представляю, как распределить их работу.

AMDBulldozer, интересно узнать, а вы лично комбинируете эти два файрвола, или полностью отключаете тот что на рутере?

Да. То, о чём говорил AMDBulldozer:
Это, пардон, каким боком к файрволлу?

Я имею ввиду, что при запуске программ, установке, изменениях в системе, Zone Alarm спрашивает каждый раз
- разрешить ли такому-то процессу данное действие или нет.

Как мне кажется, через файрвол рутера такое невозможно?

"локально" - в смысле "только средствами экрана работающего на ПК, а не на маршрутизаторе"

Совершенно невозможно.
Некоторый примитивный контроль можно осуществлять и с помощью межсетевого экрана маршрутизатора (или специализированного аппаратного брандмауэра), но для этого он должен инспектировать содержимое каждого пакета и распознавать заголовки известных ему протоколов 7-го (прикладного) уровня модели OSI (application level firewall).
Но, во-первых, возможности такого контроля очень ограничены, а во-вторых, стоят такие маршрутизаторы столько, что проще купить несколько новых компьютеров.

У меня на маршрутизаторе используется написанный мной самим набор правил доступа + программная IDS (intrusion detection system) встроенная в прошивку маршрутизатора.
Но, учитывая то, что у меня Linux, а не Windows (это можно увидеть в конфигурации моего компьютера), бОльшая часть всей массы вредоносного ПО, которое можно подцепить в сети, для меня не опасна.

Мне кажется, что эту часть работы (Base Firewall) можно переложить на файрвол рутера, как вы считаете?



Ниже снимки настроек Base Firewall:





Вот ссылка на разъянение настроек Base Firewall:

http://download.zonealarm.com/bin/in...nter/93094.htm

Запросто! Мало того, можно её вообще ни на что не перекладывать. Судя по описанию, она для компьютера в локальном сегменте за маршрутизатором на фиг не нужна.

(если Вам интересно, могу разобрать по пунктам и разъяснить почему даннач функция бесполезна. Но это будет длинно, нудно, неинтересно и, я уверен, совершенно Вам не нужно)

Очень интересно!

Не вопрос!
Берем информацию по Вашей ссылке на разъянение настроек Base Firewall и разбираем по пунктам:

1. Блокировка фрагментов.
IP-пакеты поступают на Ваш компьютер по сети ethernet. Для доставки пакета на компьютер с заданным ip-адресом узел-отправитель пакета (в нашем случае это маршрутизатор, который получил пакет от шлюза провайдера и должен передать его дальше по цепочке) этот пакет дополняют заголовком и, в ряде случаев, "хвостом" протокола более низкого уровня. Например, кадра ethernet. Если пакет не помещается в кадр, его режут на несколько кусочков, каждый из которых представляет собой кадр содержащий фрагмент пакета.
Любой узел, через который происходит передача, включая маршрутизатор, может собрать ip-пакет из кусочков обратно.
На моем маршрутизаторе такая "обратная сборка" включается командой "ip virtual-reassembly".
Резюме: компьютеру, находящемуся за маршутизатором (тем более, с включенной трансляцией адресов) блокировка фрагментов не требуется - её может выполнить маршрутизатор.

2. Блокировка доверенных серверов.
На мой взгляд, абсолютно бесполезная функция. Маршрутизатор не может помешать компьютерам локального сегмента служить серверами друг для друга, но это и никому не нужно. Зато ни один локальный сервер не будет виден в интернете - запросы к нему не будут переадресовываться, если обратное прямо не указано в конфигурации маршрутизатора.

3. Блокировка публичных серверов.
Аналогично указанному выше. Чтобы сервер в локальной сети за NAT'ом был доступен из интернет необходимо задать "проброску" или, правильнее сказать, "переадресацию" (forwading) портов на маршрутизаторе. По умолчанию маршрутизатор в высшей степени эффективно блокирует локальные серверы от доступа извне. Причем для достижения этого эффекта даже не надо ничего делать.

4. Блокировка входящих ARP запросов, кроме широковещательных.
Протокол ARP служит для определения MAC-адреса по IP-адресу. Он действует в пределах одного сегмента сети. Какие бы ARP запросы не посылались извне в Вашу сеть - они не смогут пройти через маршрутизатор. Причем, этот эффект опять-таки достигается автоматически.

5. Фильтрация трафика передающегося по протоколу IEEE 1394.
Это нужно только тем, у кого компьютеры соединены не сетевым кабелем и не беспроводной сетью, а кабелем FireWire. Этот протокол одно время Apple пыталась продавить как альтернативу USB, но, как обычно, безуспешно и на современных материнских платах порты этого протокола уже начали исчезать.
Резюме: у Вас нет соединения ethernet поверх IEEE 1394, поэтому данная функция Вам не нужна. Мало того, такого соединения вообще ни у кого нет, поэтому для меня остается загадкой на кой черт эту функциональность вообще включили в "базовые функции".

6. Разрешение протокола поддержки виртуальных сетей (VPN)
Начнем с того, что эта функция Вам не нужна просто по причине отсутствия у Вас на ПК этих самых виртуальных сетей.
Те, кому VPN всё-таки необходима, организуют её на маршрутизаторе, а не на ПК. Чтобы ей могли пользоваться все компьютеры локального сегмента (или те из них, кому это разрешено).

7. Разрешение пользоваться необычными протоколами в режиме повышенной безопасности.
Необычная функция. Не нужна Вам хотя бы потому, что Вы вряд ли пользуетесь необычными протоколами. Если Вы ими всё-таки пользуетесь, не включайте режим повышенной безопасности.

8. Защита файла hosts от изменений
Это вторая функция из вышеперечисленных, которая не может быть выполнена маршрутизатором (первой была блокировка серверов от доступа из локального сегмента). Опять-таки, на мой взгляд, бесполезна. Почему я считаю её бесполезной? Потому что мониторинг файлов, особенно важных системных, это важная и нужная задача, но она должна решаться комплексно при помощи ПО специально ориентированного на эти цели. Защита одного файла из сотен тысяч аналогична жесткому диску, у которого только одна дорожка защищена контрольными суммами, а все остальные блоки никакой защиты не имеют.

9. Отключение встроенного межсетевого экрана Windows.
Без комментариев. Думаю, название говорит само за себя (понятно, что когда работает один межсетевой экран - ZoneAlarm, второй ему становится уже не нужен).

AMDBulldozer, благодарю за труд, думаю это будет интересно не только для меня.