Имеется корпоративная сеть на основе домена с кучей расшаренных папок, общими принтерами и так далее. Имеется подсеть нашей организации. Также имеются компы вне этой подсети, к которым также идет подключение по определенным портам: обновление антивируса, почта и так далее. Подскажите, как оптимально настроить фаервол в этом случае.
Я в глобальных настройках сделал полный доступ внутри подсети всем и всюду за исключением входящего ICMP, а единичные адреса вне подсети организации прописал на уровне приложений. Это правильный подход?
В глобал рулес имеет больший приоритет чем правила для приложений. отсюда и “пляшите”.
вы ставите файерволл на каждый компьютер, либо шлюз?
razve eto tak? spasibo neznal!
dumal pri vhodyaschih soedineniyah snachalo srabatyvayut global’nye a pri ishodyaschih - prilojenii…
Вы правильно думали.
При исходящих порядок просмотра Приложения, потом Глобальные
При вхоящих порядок просмотра Глобальные, потом Приложения.
В любом случае, если в глобальных есть запрет а в приложениях разрешено, то произойдет запрет. Разве нет?
Также верно и обратное: если в глобальных есть разрешение, а в приложениях запрещено, то произойдет запрет…И это не делает правила для приложений более приоритетными.
И это не делает правила для приложений более приоритетными.:) Не с той стороны смотрите на вопрос. Если привязать к [u]теме поста[/u] мою мысль,то выходит что если в приложениях разрешено, например, ICMP, а в глобальных этот протокол запрещен-протокол работать не будет, пока не разрешим его. Вот в каком контексте приоритет. Можно запретить для каждого приложения какой нибудь протокол, но все равно протокол будет функционален в системе. И при не совсем грамотной конфигурации фаера есть вариант некорректной работы сети или бреши в защите... Вы согласны?
Можно запретить для каждого приложения какой нибудь протокол, но все равно протокол будет функционален в системе.Согласен.
И при не совсем грамотной конфигурации фаера есть вариант некорректной работы сети или бреши в защите...Философский вопрос. "Не совсем грамотная" уже в себе содержит заложенность на неполную функциональность. КОМОДО один из тех продуктов, который работает исключительно на мозгах пользователя и ничего не додумывает. Именно поэтому он и хорош и плох одновременно, т.к. в нём всё зависит от пользователя. У меня на работе есть человек, который даже очень хорошо настроенный компьютер умюдряется "убивать" раз в 2-3 недели. При этом человек в компах абсолютный ноль %)
Если так посмотреть на вопрос, то да, так и есть.
net… my icho ne doshli do globalnyx a v prilojenijax crabotalo “razreshenie”… uje net neobxodimocti sherctit’ global’nye - my uje “na cvobode” a vot ecli coedinenio obratnoe (vxodjahee) zana4it ran’she crabotaet “zapret” v global’nyx… cictema nippel’
Хорошие сайты: