А так хотелось рыбки поесть... (нужен корп. файерволл)

Обратил внимание на Comodo, как альтернативу Kerio Winroute Firewall на торговых точках моей компании.
Всем нравится мне Kerio (удобный принцип сетевых правил, группировка адресов, понятие локального хоста - “Firewall”- сюда входят все локальные адреса машины с файевроллом, не надо их отслеживать, ежели изменятся; SPI; NAT; фильтрация http по url и тп), кроме цены (от ~13 тр) и периодических проблем с получением адреса в openvpn-клиенте.
Большинство торговых точек оснащено одним компьютером. Все что нужно на рабочем месте торговой точки от файерволла - дать доступ к серверу компании, ограничить доступ в интернет по http/https-протоколу набором в ~10 url-адресов. Пользователь компьютера не должен иметь доступа к настройкам файрволла.
Вот придумалась схема:
Наличие файервола приложений плюс локальный прокси-сервер (ежели файерволл не умеет фильтровать url). Тогда задача файерволла приложений (именно) сводится в разрешении выхода в интернет по http/https только прокси-серверу, остальные ограничения/разрешения не относятся к конкретным приложениям - остается только доступ по набору портов к серверу компании.
В качестве прокси с возможностью ограничения доступных url идеально подходит порт squid под windows.
Comodo, как файерволл. Устраивает - есть блокировка настроек паролем. Есть возможность отключения всплывающих сообщений (не нужно это продавцу, админ должен настроить все). Выгрузка/загрузка конфигураций. Некое средство для удаленного администрирования можно скачать (на 5 компов, при необходимости докупить). Поддержка ICS/
По идее, создаем сетевые правила, выставляем пользовательский режим, блокируем настройки и все ок. Вопрос в сетевых настройках. Ну не нужно мне прописывать правило доступа для каждого приложения. Только одному - прокси. По идее, думал, глобальные правила без привязок к приложениям должны разрешать/запрещать все остальное. Ан нет. Двойная проверка. И в приложении должно быть разрешено и в глобальных правилах. Зачем?? Защита от “дурака”, что случайно повелся и дал доступ приложению? а Глобальные правила его не дадут? Не ясно.
Пробовал Outpost Free (бесплатен только для дом. пользователей, но думал, ежели что, можно Pro закупить), тоже не задалось…
Может подскажет кто, есть ли возможность обойти двойную проверку? галка где какая, аль режим?
Спасибо!

Здравствуйте tcup!
Ответ на Ваш вопрос содержится в справке CIS - “Сетевые политики безопасности”.
Цитата:
Comodo Фаервол анализирует каждый пакет данных, используя комбинацию глобальных правил и правил приложений.

При исходящем соединении, правила приложения имеют больший приоритет.

При входящем соединении, глобальные правила имеют больший приоритет.

Следовательно, исходящему трафику приходится ‘проходить’ и через правила приложений, и через глобальные правила прежде, чем ему будет позволено пройти через вашу систему. Аналогично, входящий трафик также ‘пропускается’ через оба типа правил.

Т.е невозможно обойти двойную проверку т.к это принцип работы фаервола.

Всем привет!
А зачем обходить правила приложений, просто ставьте фаер в режим обучения(правила для приложений создаются автоматически), а в глобальных правилах запретить все входящие кроме разрешенных.

DENjA тут дело не том, что можно включить режим обучения, а втом, что конкретно требуется -
“Большинство торговых точек оснащено одним компьютером. Все что нужно на рабочем месте торговой точки от фаервола - дать доступ к серверу компании, ограничить доступ в интернет по http/https-протоколу набором в ~10 url-адресов. Пользователь компьютера не должен иметь доступа к настройкам фаервола.”

А Вам tcup, если Вы решили переходить на CIS, однозначно придётся потратить энное количество времени на построение конфигурации защиты и правил, которые будут справедливы для всех Ваших торговых точек независимо от местоположения при условии одинаковой конфигурации подключения к сети.
Принимать решение работать с CIS только Вам.
Со своей стороны могу лишь рекомендовать воспользоваться данным продуктом т.к я внедрил данный продукт у себя в компании и очень доволен результатами его работы - отсутствие проблем с вирусными атаками, ограничение интернет ресурсов, ограничение самостоятельной установки ПО, ну и конечно же Экономия времени, что в свою очередь приводит к результативной работе компании в целом.

Чёт я не пойму? Обучение не влияет на глобальные правила. В глобальных правилах разрешаешь доступ к десяти адресам, остальные запрещаешь. Ставишь пароль на изменение правил и выключаешь всплывающие сообщения и запросы. В режиме обучения всем запускаемым приложениям будет автоматически предоставлен доступ по всем адресам, но пройти они смогут только по тем, которые разрешены в глобальных правилах. Или я опять чего-то не понял?

skt-maksim, DENjA спасибо за ответы!
skt-maksim, вот и не ясен этот самый принцип двойной проверки сетевых правил, для меня логичней кажется дополнение одних правил другими.
DENjA, буду пробовать этот режим. Привык в kerio использовать правила для фильтрации http по url, нежели по ip/имя хоста. Хотя вопрос, допустимы ли знаки “*” в определении хоста, дабы фильтровать субдомены? Я так понимаю, способ с использованием дополнительного локального прокси не применим, ибо автоматом все программы получат неограниченный доступ к http.

Принцип двойной проверки сетевых правил очень наглядно описан в справке, почитайте.
Прокси тоже можно использовать - имеется в настройках программы - “Разное”-“Настройки”-“Прокси”

справку читал, объяснения “идеологии” двойной проверки не видел (может плохо смотрел), только объяснение принципа работы. Настройки про прокси нужны для нужд самого Comodo - он должен знать как ему лазить в инет на всякие Threatcast-ы, отношения к фильтрации url это не имеет

Ок. Вот принцип работы из справки

[attachment deleted by admin]

Еще раз. Справку читал. Объясняется в ней “КАК”, а “ЗАЧЕМ ТАК” и “ПОЧЕМУ” нет. Мне не ясно.
PS Увидел в правилах приложений выбор “Всех приложений”. Будет проще следовать непонятной мне двойной проверке глобальных правил и правил приложений.

Здесь я уже показывал логику работы при исходящих.
В основном, режим работы сразу двух “списков” необходим при режимах, отличных от Custom.

Много есть вариаций, почему предпочтительно использование сразу двух “списков”.
Например, если необходимо временно (а может и потом постоянно) запретить всем идти на какой-то адрес… проще сделать через Глобальные правила. Хотя можно и через “Все приложения”, но тогда надо посмотреть, а что раньше сработает - разрешение для конкретного приложения, или же запрет для “всех приложений”. Я могу ошибаться, но там порядок тоже влияет.
Так же Глобальные Правила скорее работают больше для Входящих соединений. ИМХО - там это нужнее.

Отдельно замечу ветки с неимеющимся правилом в Приложениях. Если при этом нет Блокирующего правила в Глобальных, то в зависимости и от режима работы и от “безопасности” приложения, будут разные варианты. Где-то автоматическое разрешение (с запоминанием), а где-то будет предложено пользователю принять решение.

Не забывайте - Комодо разрабатывается как индивидуальное средство защиты. Т.е. всё же предполагает настройку правил пользователем и в течение “жизни” компьютера. Именно период обучения или подстройки и автоматизируется за счёт использования двух списков, чтоб и не вносить кучу правил для КАЖДОГО приложения. (Т.к. они хранятся в реестре, то чем меньше правил, тем лучше производительность).

Здесь я уже показывал логику работы при исходящих.
Спасибо за ссылку! Увидел полезное, например, можно не дублировать разрешающие исходящие правила приложений глобальными
Например, если необходимо временно (а может и потом постоянно) запретить всем идти на какой-то адрес... проще сделать через Глобальные правила...
А разве не проще это сделать через "Мои заблокированные сетевые зоны?"
Не забывайте - Комодо разрабатывается как индивидуальное средство защиты...
Ну а зачем тогда разработчику делать средство для управления множеством файерволлов Comodo Endpoint Security Manager? Наверно они все-таки предполагают использование продукта в корпоративном секторе. P.S Для входящих соединений достаточно глобального разрешающего правила, без правил приложений. Отлично) буду пробовать CESM...

Ничего не понимаю…(c) Решил подключить cdma-модем, протестировать на реальном внешнем ip (до этого тестировал в локальной сети через роутер), пока не продублировал все исходящие правила приложений глобальными исходящими и входящие глобальные входящими приложений, ничего не пропускалось… Абидна.
—врезка—
Починилось! В IE не был прописан прокси на соединении cdma-модема. Comodo честно не пускал ie в инет мимо прокси. Надеюсь, именно в этом было дело
—врезка—
Пломалось( По крайней мере входящие рубятся без дубляжа… Наверно “тупо” нужно все-таки дубляж сделать…
—врезка—
CESM - это, я так понимаю, хорошо, но громоздко. Достаточно было бы небольшой оснастки для удаленного доступа к настройкам файервола по ip адресу…
Пробовал экспортировать/импортировать настройки. Получилось с сетевыми, а настройки, что через “Разное->Настройки” не импортирует…
Плохо, что файерволл не отслеживает сетевые интерфейсы - в плане локального адреса файерволла (адрес м.б. динамическим и т.п.)…

После импорта настроек они сразу не применяются. Нужно поменять конфигурацию, т.е. выбрать другую, а потом опять необходимую.
Проверено - работает! 8)

Нет, вроде проще получилось - импорт, а затем правой кнопкой - “Активировать”