Добрый день. Уже давно есть идея зафайерволить рабочие станции пользователей файрволом уровня приложений, написать (скачать) достаточно универсальные правила типа "запретить всё" (за исключением тех портов, которые требуются для работы приложений - например исх. 80,21,443 для браузера, 23 для телнет-клиента и т.п.)
1. Хотелось бы иметь в сетевом экране 2 зоны - локальная сеть и интернет и чтобы наборы правил для двух этих зон отличались. Такое было когда-то реализовано в Kerio Personal Firewall, там можно было запретить любую активность для сети интернет, но разрешить для локалки или задать правила для локалки, например. Какие брэндмауэры сейчас дают возможность настроить политику в таком виде?
2. вместо написания правил самому с отловом всех портов, которые нужны для работы винды с эктив директори, смб, службы сетевой печати и прочих, было бы неплохо иметь сайт, где публикуются настройки к конкретным файрволам, которые можно импортировать, или хотя бы подробно описаны все необходимые службы винды, а также порты различных популярных приложений. настройки для работы по-умолчанию с системными службами не всегда хороши (смб открыт с внешнего интерфейса и т.п.)
есть ли уже решения вышеуказнных проблем или надо всё писать самому и никто нигде не обменивается своими наработками?
1. Хотелось бы иметь в сетевом экране 2 зоны - локальная сеть и интернет и чтобы наборы правил для двух этих зон отличались. Такое было когда-то реализовано в Kerio Personal Firewall, там можно было запретить любую активность для сети интернет, но разрешить для локалки или задать правила для локалки, например. Какие брэндмауэры сейчас дают возможность настроить политику в таком виде?
2. вместо написания правил самому с отловом всех портов, которые нужны для работы винды с эктив директори, смб, службы сетевой печати и прочих, было бы неплохо иметь сайт, где публикуются настройки к конкретным файрволам, которые можно импортировать, или хотя бы подробно описаны все необходимые службы винды, а также порты различных популярных приложений. настройки для работы по-умолчанию с системными службами не всегда хороши (смб открыт с внешнего интерфейса и т.п.)
есть ли уже решения вышеуказнных проблем или надо всё писать самому и никто нигде не обменивается своими наработками?