|
Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Router - Использование файрвола рутера вместо програмного файрвола |
|
Router - Использование файрвола рутера вместо програмного файрвола
|
Старожил Сообщения: 160 |
Профиль | Отправить PM | Цитировать
Доброго дня.
Использование файрвола Zone Alarm прилично грузит мой процессор. Во время скачиваний с торрентов, файрвол вообще приходится выключать, иначе все тормозит. Есть идея - повырубать все файрволы на компьютерах домашней сети, а взамен использовать рутер с хорошим файлволом. В связи с этим несколько вопросов: 1) Может ли встроенный в рутер файрвол полностью заменить программный? 2) Можно ли с его помощью создавать правила для каждого отдельного компьютера домашней сети? 3) Как правильно выбрать такой рутер? 4) Какие минимальные функции файрвола рутера необходимы для безопасной работы? 5) Не могли бы вы дать примеры таких рутеров. Спасибо. |
|
Отправлено: 23:07, 05-03-2013 |
Ветеран Сообщения: 2029
|
Профиль | Отправить PM | Цитировать Цитата adgeuk:
Цитата adgeuk:
Некоторый примитивный контроль можно осуществлять и с помощью межсетевого экрана маршрутизатора (или специализированного аппаратного брандмауэра), но для этого он должен инспектировать содержимое каждого пакета и распознавать заголовки известных ему протоколов 7-го (прикладного) уровня модели OSI (application level firewall). Но, во-первых, возможности такого контроля очень ограничены, а во-вторых, стоят такие маршрутизаторы столько, что проще купить несколько новых компьютеров. Цитата adgeuk:
Но, учитывая то, что у меня Linux, а не Windows (это можно увидеть в конфигурации моего компьютера), бОльшая часть всей массы вредоносного ПО, которое можно подцепить в сети, для меня не опасна. |
|||
------- Отправлено: 14:22, 06-03-2013 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 160
|
Профиль | Отправить PM | Цитировать Мне кажется, что эту часть работы (Base Firewall) можно переложить на файрвол рутера, как вы считаете?
Ниже снимки настроек Base Firewall: Вот ссылка на разъянение настроек Base Firewall: http://download.zonealarm.com/bin/in...nter/93094.htm |
Последний раз редактировалось adgeuk, 06-03-2013 в 16:32. Причина: дополнение Отправлено: 14:52, 06-03-2013 | #12 |
Ветеран Сообщения: 2029
|
Профиль | Отправить PM | Цитировать Цитата adgeuk:
(если Вам интересно, могу разобрать по пунктам и разъяснить почему даннач функция бесполезна. Но это будет длинно, нудно, неинтересно и, я уверен, совершенно Вам не нужно) |
|
------- Отправлено: 09:20, 07-03-2013 | #13 |
Старожил Сообщения: 160
|
Профиль | Отправить PM | Цитировать Цитата AMDBulldozer:
|
|
Отправлено: 12:03, 07-03-2013 | #14 |
Ветеран Сообщения: 2029
|
Профиль | Отправить PM | Цитировать Не вопрос!
Берем информацию по Вашей ссылке на разъянение настроек Base Firewall и разбираем по пунктам: 1. Блокировка фрагментов. IP-пакеты поступают на Ваш компьютер по сети ethernet. Для доставки пакета на компьютер с заданным ip-адресом узел-отправитель пакета (в нашем случае это маршрутизатор, который получил пакет от шлюза провайдера и должен передать его дальше по цепочке) этот пакет дополняют заголовком и, в ряде случаев, "хвостом" протокола более низкого уровня. Например, кадра ethernet. Если пакет не помещается в кадр, его режут на несколько кусочков, каждый из которых представляет собой кадр содержащий фрагмент пакета. Любой узел, через который происходит передача, включая маршрутизатор, может собрать ip-пакет из кусочков обратно. На моем маршрутизаторе такая "обратная сборка" включается командой "ip virtual-reassembly". Резюме: компьютеру, находящемуся за маршутизатором (тем более, с включенной трансляцией адресов) блокировка фрагментов не требуется - её может выполнить маршрутизатор. 2. Блокировка доверенных серверов. На мой взгляд, абсолютно бесполезная функция. Маршрутизатор не может помешать компьютерам локального сегмента служить серверами друг для друга, но это и никому не нужно. Зато ни один локальный сервер не будет виден в интернете - запросы к нему не будут переадресовываться, если обратное прямо не указано в конфигурации маршрутизатора. 3. Блокировка публичных серверов. Аналогично указанному выше. Чтобы сервер в локальной сети за NAT'ом был доступен из интернет необходимо задать "проброску" или, правильнее сказать, "переадресацию" (forwading) портов на маршрутизаторе. По умолчанию маршрутизатор в высшей степени эффективно блокирует локальные серверы от доступа извне. Причем для достижения этого эффекта даже не надо ничего делать. 4. Блокировка входящих ARP запросов, кроме широковещательных. Протокол ARP служит для определения MAC-адреса по IP-адресу. Он действует в пределах одного сегмента сети. Какие бы ARP запросы не посылались извне в Вашу сеть - они не смогут пройти через маршрутизатор. Причем, этот эффект опять-таки достигается автоматически. 5. Фильтрация трафика передающегося по протоколу IEEE 1394. Это нужно только тем, у кого компьютеры соединены не сетевым кабелем и не беспроводной сетью, а кабелем FireWire. Этот протокол одно время Apple пыталась продавить как альтернативу USB, но, как обычно, безуспешно и на современных материнских платах порты этого протокола уже начали исчезать. Резюме: у Вас нет соединения ethernet поверх IEEE 1394, поэтому данная функция Вам не нужна. Мало того, такого соединения вообще ни у кого нет, поэтому для меня остается загадкой на кой черт эту функциональность вообще включили в "базовые функции". 6. Разрешение протокола поддержки виртуальных сетей (VPN) Начнем с того, что эта функция Вам не нужна просто по причине отсутствия у Вас на ПК этих самых виртуальных сетей. Те, кому VPN всё-таки необходима, организуют её на маршрутизаторе, а не на ПК. Чтобы ей могли пользоваться все компьютеры локального сегмента (или те из них, кому это разрешено). 7. Разрешение пользоваться необычными протоколами в режиме повышенной безопасности. Необычная функция. Не нужна Вам хотя бы потому, что Вы вряд ли пользуетесь необычными протоколами. Если Вы ими всё-таки пользуетесь, не включайте режим повышенной безопасности. 8. Защита файла hosts от изменений Это вторая функция из вышеперечисленных, которая не может быть выполнена маршрутизатором (первой была блокировка серверов от доступа из локального сегмента). Опять-таки, на мой взгляд, бесполезна. Почему я считаю её бесполезной? Потому что мониторинг файлов, особенно важных системных, это важная и нужная задача, но она должна решаться комплексно при помощи ПО специально ориентированного на эти цели. Защита одного файла из сотен тысяч аналогична жесткому диску, у которого только одна дорожка защищена контрольными суммами, а все остальные блоки никакой защиты не имеют. 9. Отключение встроенного межсетевого экрана Windows. Без комментариев. Думаю, название говорит само за себя (понятно, что когда работает один межсетевой экран - ZoneAlarm, второй ему становится уже не нужен). |
------- Отправлено: 15:34, 07-03-2013 | #15 |
Старожил Сообщения: 160
|
Профиль | Отправить PM | Цитировать AMDBulldozer, благодарю за труд, думаю это будет интересно не только для меня.
|
Последний раз редактировалось adgeuk, 07-03-2013 в 16:59. Отправлено: 15:41, 07-03-2013 | #16 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Firewall - Подбор файрвола | StasStryukov | Защита компьютерных систем | 3 | 20-09-2012 01:23 | |
как посмотреть настройки файрвола RRAS | kwinto | Microsoft Windows NT/2000/2003 | 1 | 22-02-2008 18:28 | |
порт общего ресурса: настройка файрвола | rivera | Сетевые технологии | 2 | 05-03-2007 10:22 | |
Выбор простого и необходимого файрвола | kazarkin | Сетевые технологии | 9 | 22-12-2006 21:44 | |
Настройки файрвола | Surround | Сетевые технологии | 2 | 10-01-2006 14:37 |
|