A_Max писал(а):
Для домашнего пользования в принципе все подходят, но для выделенной машины пришлось повыбирать.
если используется что-то типа WinGate/Winroute, то можно либо встроенное, либо посмотреть на сайте производителя.
Вообще неплохо себя зарекомендовал
Kerio Personal Firewall. Правда последняя версия мне нравится меньше чем предыдущая.
Критерии:
* Запускается как служба NT
конкретно под NT не пробовал, под 2K именно так и работает
* Раздельные правила для разных интерфейсов
прямо так нету
Есть разделение на Trusted Area, которая привязывается к конкретному интерфейсу, и Itnernet. Еще есть возмоность задать группы ip адресов (без привязки к интерфейсам).Правила можно привязывать к Trusted Area, к прочему, к группам.
* Контроль не только TCP/UDP, а всех протоколов
TCP и UDP можно задать номер протокола
ICMP можно задать номер протокола и Codes. К примеру конкретно Echo Reply, Redirect, Echo Request (и др).
IGMP также можно задать номер протокола
* Контроль броадкастов (обязательно!)
есть. но подозреваю что надо внутри локалки висящей на одном интерфейсе разрешить, а снаружи запретить. В Trusted Area = Permit, в Internet = Deny.
умеет также контролировать приложения, выходящие в инет и сравнивать их контрольные суммы с первоначально рассчитанными. А также вести всяческие логи. Новая версия (30 дней trial после которого остаются только функции пакетного фильтра) умеет также защищать от кукесов, попапов, и прочего. Отключается и настраивается.
A_Max писал(а):
пока остановился на Sygnal9,
McAfee?
A_Max писал(а):
но есть неприятная особенность. При запуске програмы (чтобы поменять правила) сбрасываются все подключения.
такого нету. Но есть тоже неприятная особенность - в новой версии Керио по умолчанию стоит в режиме Ask Me First. В старой версии это переключалось тремя щелчками мыши, в новой надо самостоятельно вписать правило которое либо прямо запрещает либо прямо разрешает неизвестным приложениям выход в инет и потом его тоже можно тремя щелчками переключать
. При обращении неизвестного приложения в инет и отсутствии для него правил он спрашивает: такое-то приложение ломится туда-то с такого-то локального порта на такой-то удаленный по протоколу ХХХ. Разрешить/запретить/создать правило? Так вот пока он это спрашивает - фильтр стоит и траффик не идет. Хотя всё это тоже настраивается после беглого просмотра интересующей инфы в мануале.
Короче... поскольку в критериях я не вижу контроля целостности приложений, а вижу только пакетный фильтр, то по предъявленным критериям: берешь машину типа P-233MMX, две (или сколько надо) сетевухи, FreeBSD/Linux/MikroTik/любую другую *nix ОС (можно в принципе даже найти однодискетную ос, бо их хватает и обойтись без винта). Запускаешь все это хозяйство в качестве роутера и творишь на нем всё что угодно. Вплоть до логов когда откуда куда и сколько траффика прокачано, контроля MAC и запуска VPNов в шифрованием и авторизацией для выхода в инет. Поверь на слово - FreeBSD на такая страшная вещь как ее малюют
Разобраться как ее поставить и начать писать правила в ipfilter можно за неделю-две. Конечно, процесс настройки там не аля-виндовс, зато продолжает работать, работать и работать
MikroTik - это програмный роутер на Linux, имеющий удаленное управление с виндовой машины. Также можно поискать инфу по теме программных роутеров на форуме у
НАГаA_Max писал(а):
Кстати, а у Вас вообще не рагламентировано, что можно отправлять в сеть?
в договоре есть пункт 5.2.
A_Max писал(а):
А то тут куча разного ходит (DHCP, NetBIOS...).
подробности можно на
security@maxnet.ru либо на
techsup@maxnet.ru.
A_Max писал(а):
Прямо как-то за людей страшно становится
это всё потому, что в некоторых организациях (по России в целом, и по Калужской области в частности) даже админа нормального нету
(например приходит раз в месяц, когда че-нить упадет). А сетка сводится к объединению двух-трех разношерстных компов в рабочую группу, среди которых W98/W2KPro+Wingate/Winroute, WXP (нужное подчеркнуть) гордо называется "роутер" или "сервер".
Не привыкли еще люди ценить электронную информацию. О какой безопасности тут вообще может идти речь?
О "домашних" пользователях вообще молчу....