Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

WinCity.Ru _ Microsoft Windows Server 2003 _ Нужно ли ставить дополнительно брандмауэр

Автор: GenaPL Четверг, 21 Октября 2004, 17:43

У меня W2003 serv стоит на двух сетевых картах. Одна подключена к сегменту сети с выделенным каналом к интернет, другая к локалке нашего офиса. Для защиты локалки нашего офиса достаточно ли предлогаемой w2003 serv маршрутизации и брандмауэра. Или всетаки брандмауэр лучше поставить другой? (Какой?)

Автор: Барэль Четверг, 21 Октября 2004, 20:11

GenaPL, А разве в 2003 брандмауэр по умолчнию включен? Если да, то вполне можно оставить и его... Если не устраивает, то можно WinRoute Firewall или ISA. Все зависит только от твоих потребностей.

Автор: GluckSoft Пятница, 22 Октября 2004, 6:53

Вообще не советую ставить Winдовые серваки наружу, тем более в качестве брэндмуэра!!! Как файловый сервер, контроллер домена -> пожалуйста, а вот шлюзом ни за что!!! Лучше туда на linux-е, а еще лучше на FreeBSD сервак воткнуть, куда приятнее, и благо навороченного железа не требуется PII хватит с верхом!!!

Автор: mokc0der Пятница, 22 Октября 2004, 9:54

GluckSoft, так вроде у Вас совета по поводу ОС не спрашивали smile.gif

Хорошо настроенная винда всегда надежнее абы как настроенного *nix или *bsd

Автор: bug Пятница, 22 Октября 2004, 10:01

Если использовать AD на полную катушку, то как раз виндовый сервер в качестве шлюза (прокси etc.) самое то... абсолютная защищенность и надежность *nix систем - миф...глючат и ломают их на раз...

Автор: Egor Воскресенье, 24 Октября 2004, 12:08

Барэль
В 2003 есть встроенный брэндмуэр. Не такой как в XP SP2, но похожий. Подними в системе RRAS, и ты приятно удивишься. smile.gif

Автор: Барэль Понедельник, 25 Октября 2004, 10:40

Egor, Я не говорил что его там нет smile.gif Я просто не помню, он там запущен с самого начала или нет smile.gif

Автор: GluckSoft Четверг, 11 Ноября 2004, 7:51

mokc0der
Цитата
GluckSoft, так вроде у Вас совета по поводу ОС не спрашивали
Хорошо настроенная винда всегда надежнее абы как настроенного *nix или *bsd
Интересное замечание!!! Чем-то "Get the facts" попахивает!!! Мелкомягкие тоже примерно так же сравнивали хорошо настроенную винду на мощьной и дешевой аппаратной платформе с не настроенным линухом на более тормознутой и дорогой платформе. Оттуда и такие выводы!!!

С кривыми руками ни винда, ни линух нормально работать не будут, это и так ясно!
Или вы считаете, что у тех, кто ищет решения на данном форуме, в том числе (или в особенности) у GenaPL, проблемы с руками???

В любом случае, будь это винда или линух, то не рекомендуется, чтобы на шлюзе, используемом для доступа в ынтырнет, стояло что-либо еще более серьезное. Т.е. компутер, выполняющий роль шлюза, должен исполнять только эту роль, из соображений безопасности. А как я понимаю, скорее всего он используется и как AD и как файловый сервер (возможно еще что либо, ибо не разумно его использовать только как шлюз).

Если ставить на шлюз win2k3, то это приведет к увеличению аппаратных требований в сравнении с FreeBSD, при том что, эти требования не увеличивают сами возможности и производительность шлюза. А больше ресурсов будет тратится на работу графического интерфейса и прочих служб, без которых сам сервак работать не может, а для работы шлюза они вобщем-то не нужны!!!

Автор: bug Четверг, 11 Ноября 2004, 10:06

GluckSoft
Цитата
В любом случае, будь это винда или линух, то не рекомендуется, чтобы на шлюзе, используемом для доступа в ынтырнет, стояло что-либо еще более серьезное. Т.е. компутер, выполняющий роль шлюза, должен исполнять только эту роль, из соображений безопасности.

А если на этом шлюзе установлена ISA Server 2k/2k4? По своему опыту могу сказать надежная и граммотная штука эта ISA Server...и почему то работает только под Windows wink.gif . Так, что советы по выбору ОСи тут как то неуместны... читаем внимательней
Цитата
GenaPL
У меня W2003 serv стоит на двух сетевых картах. Одна подключена к сегменту сети с выделенным каналом к интернет, другая к локалке нашего офиса. Для защиты локалки нашего офиса достаточно ли предлогаемой w2003 serv маршрутизации и брандмауэра. Или всетаки брандмауэр лучше поставить другой? (Какой?)


Автор: GluckSoft Четверг, 11 Ноября 2004, 10:24

Вопрос уместен,
Цитата
Или всетаки брандмауэр лучше поставить другой? (Какой?)

так как вот одним из ответов на этот вопрос может быть перенос функий шлюза на другой компутер. Хотя вопрос уместности в данном случае может решить только GenaPL
Цитата
...и почему то работает только под Windows

А когда M$ что-либо творило под линух или Novell??? Естественно им и надо творить все под винду и только под винду, дабы увеличить покупаемость своей ОС!!!

Автор: bug Четверг, 11 Ноября 2004, 10:36

GluckSoft, вопрос был о брандмауэре, а не шлюзе...не надо путать эти понятия.

Автор: GluckSoft Четверг, 11 Ноября 2004, 11:16

Давайте не будет разводить возьню из-за идейной несовместимости!!!
Предложил такой вариант решения данной проблемы, что тут такого??? Или раз форум о винде, то и о других ОС тут надо забывать??? Что такое брэндмауэр и что такое шлюз я прекрасно понимаю, но там говорилось о защите локалки!!!
Так как все-равно используется w2k3 в том числе в качестве шлюза, либо прокси-сервера то вариант данный вполне может быть рассмотрен, ибо он применяется довольно широко. К тому же вопрос тут стоит о чистом w2k3 сервере, (на сколько я понимаю ISA сервер за отдельную плату) поэтому это не всегда приминимо, в отличии от FreeBSD, как представителя свободного ПО.
Сложного ПО без дыр не бывает, это относится и к FreeBSD и к винде. Основной объект атак - это шлюз, а теперь представим, по чьему-то злому умыслу падает шлюз, с ним летит и AD и все данные на файловом сервере... и что тогда??? Причем чем больше всего весит на шлюзе, то к дырам этого шлюза добавляются дыры того, что на нем висит, поэтому он становится менее защищенным.
А если упадет шлюз, а больше ролей он и не играет, то поднять его заново не составит большого труда!!!

Автор: mpa Четверг, 11 Ноября 2004, 12:30

biggrin.gif а по-моему они одинаковые.
1) Не часто человек, специализирующийся на Винде так же хорошо занет Линух и наоборот.
Цитата
У меня W2003 serv

2) Интернет идёт не от провайдера, а
Цитата
Одна подключена к сегменту сети с выделенным каналом к интернет

Посему логично предположить, что защита "извне" уже есть в том сегменте.
3) Нужна ли защита от этого сегмента с точки зрения безопастности?
4) biggrin.gif По-моему, GenaPL, спросил и забыл, а у вас прям "идёт война бобра с козлом", опять споры что лучше.
Вы хотите знать что лучше? Читайте п.1 ....wink.gif)) Лучше то, в чём ты сам лучше разбираешься.

Автор: Барэль Четверг, 11 Ноября 2004, 12:37

GluckSoft, всем понятны ваши ратования за nix. А если человек админит только Windows? Что, ему ставить nix?

Автор: GluckSoft Четверг, 11 Ноября 2004, 12:49

Расширять кругозор и свою универсальность wink.gif Либо искать другие пути исходя из того, в чем он силен.
Извините, что обсуждение уходит в оффтопик, но ведь я не выступаю с лозунгом: Windows Must Died Linux rulezzzz!!!
Есть задачи в которых использование винды - это самый лучший путь, но есть задачи, в которых винда уступает другим ОС и естественно в данных задачах лучше использовать те, которые справляются лучше, в том числе и для рационального использования ресурсов.

Автор: mpa Четверг, 11 Ноября 2004, 13:49

офф
Предлагаю переехать в раздел поговорим biggrin.gif

Автор: Барэль Четверг, 11 Ноября 2004, 14:05

mpa, абсолютно верное замечание.

Всем кто запостит не по теме (в т.ч. будет советовать перейти на альтернативные ОС) - предупреждение в личное дело.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)