Перейти к содержимому


Фото
- - - - -

Как настроить Fierwall централизованно в Dr.Web Enterprise Suite

Fierwall Dr.Web Enterprise Suite

  • Закрыто Тема закрыта
41 ответов в этой теме

#1 loganchik

loganchik

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 15 Январь 2013 - 06:40

Доброго времени суток! Раньше пользовался Kaspersky Security Center, после него сложновато с освоением Dr.Web Enterprise Suite. Руководство администратора прочел, но не увидел там ни единого упоминания о настройках Fierwall. Поставил примерно на 20 машин юзеров напрягают постоянные завпросы Fierwall. Подскажите пожалуйста как настроить Fierwall централизованно.



#2 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 15 Январь 2013 - 07:02

Нету пока у него централизованных настроек.
Почтовый сервер Eserv тоже работает с Dr.Web

#3 loganchik

loganchik

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 15 Январь 2013 - 07:25

pig, "Обрадовал" ты меня. К сожалению вынужден констатировать что от KSC, Dr.Web Enterprise Suite безнадежно отстал. Едиственный плюс Dr. Web не так сильно грузит систему на слабых машинах просто сказка. Но интуитивно понятный интерфейс извините но это не про Dr. Web.



#4 Dmitry Volkov

Dmitry Volkov

    Poster

  • Dr.Web Staff
  • 1 047 Сообщений:

Отправлено 15 Январь 2013 - 13:07

Мне было бы интересно услышать ваши продуманные конструктивные предложения. Можно в личку.



#5 mordarenkoas

mordarenkoas

    Member

  • Posters
  • 336 Сообщений:

Отправлено 15 Январь 2013 - 14:37

Ну хотя бы как в винде настройки файрвола в ГП - выгрузка настроек с готового ПК в файл и запихивание его в консоль



#6 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 15 Январь 2013 - 14:54

Для того, чтобы понять, какие настройки необходимы и необходимы ли для фаерволла в корпоративной редакции,

зададим себе вопрос - при каких условиях (то есть, для чего и когда) целесообразно использование персонального фаерволла?

 

Имхо, персональных фаерволл нужен только в редких случаях, когда станция бОльшую часть времени находится в отрыве от корпоративной сети во всяких там сетях общественных мест (кафе, гостиницы, сторонние бизнес-центры), то есть, на ноутбуке командированного или менеджера-переговорщика. В таком случае - настройка фаерволла индивидуальна. То есть это очень нишевое решение.

 

Во всех остальных случаях - лучшим решением будет единый фаерволл на входе-выходе во внутреннюю сеть.

Ко всему прочему решаются многочисленные проблемы конфликтов персонального фаерволла с программами, неаккуратно работающими с сетью. сетевым стеком и прочими несовместимостями, удаленным администрированием, и т.п..

 

Для персональной редакции, если пользователь не разбирается (не хочет разбираться) с тонкой настройкой фаерволла, его вполне удовлетворит встроенный windows firewall, для опытных пользователей - отдельной висящий роутер с функциями фаерволла, никаких проблем с совместимостью.

 

P.S.: Мнение редакции может не совпадать (и скорей всего не совпадает) с мнением автора :)


(exit 0)

#7 tiffon

tiffon

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 15 Январь 2013 - 17:12

Мнение редакции может не совпадать

Господа! Не кажется ли Вам, что с момента выхода 6_и вопросов и пожеланий по поводу централизованого управления firewall_ом слишком много?



#8 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 925 Сообщений:

Отправлено 15 Январь 2013 - 17:52

Мнение редакции может не совпадать

 

Господа! Не кажется ли Вам, что с момента выхода 6_и вопросов и пожеланий по поводу централизованого управления firewall_ом слишком много?

Нет...


Sergey Komarov
R&D www.drweb.com

#9 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 15 Январь 2013 - 21:16


Мнение редакции может не совпадать

Господа! Не кажется ли Вам, что с момента выхода 6_и вопросов и пожеланий по поводу централизованого управления firewall_ом слишком много?
Я - так вообще не понимаю, как можно управлять персональным фаером централизованно ;)
Разве что уведомления администратору отсылать, а тот разрешает/запрещает, список запросов, допустим, обнуляемый раз в сутки, отдельный пункт в настройках с запросами разрешений от станций. Но так и потонуть можно.

#10 loganchik

loganchik

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 16 Январь 2013 - 06:56

Foxes, Это не просто прихоть, в моем случае это необходимость. У меня около 300 клиентов в 60 филиалах, где сеть одноранговая, и к сети подключенны наши партнеры, у которых вообще нет антивруса. Организационные вопросы практически не решаемы и остается вся надежда только на персональные файрволы и антивирус, управляемые централизованно.

Каналы свзи, с филиалами и за требований ФСТЭК шифрованные, и из за шифрования шрина канала состовляет не более 64 кб, ахота плакать и смеяться диалап одним словом.



#11 Bigmax

Bigmax

    Newbie

  • Posters
  • 31 Сообщений:

Отправлено 16 Январь 2013 - 07:12

 


Мнение редакции может не совпадать

Господа! Не кажется ли Вам, что с момента выхода 6_и вопросов и пожеланий по поводу централизованого управления firewall_ом слишком много?
Я - так вообще не понимаю, как можно управлять персональным фаером централизованно ;)
Разве что уведомления администратору отсылать, а тот разрешает/запрещает, список запросов, допустим, обнуляемый раз в сутки, отдельный пункт в настройках с запросами разрешений от станций. Но так и потонуть можно.

BitDefender, NOD и Касперский не потонули же. Централизованный фаервол - это настройка профилей со своими правилами для сети и приложений. Далее профиль назначается группе станций или даже отдельным станциям - и все. Ну и плюс мелкие детали - вроде разрешения самовольно отключать фаервол на некоторое время, принудительное применение правил...


Сообщение было изменено Bigmax: 16 Январь 2013 - 07:13


#12 Disaron

Disaron

    Member

  • Posters
  • 123 Сообщений:

Отправлено 16 Январь 2013 - 07:13

Нет...

К сожалению это "Нет" приводит к отказу в использовании продукта в не маленьких масштабах. Вы живете в конкурентной среде, и если у двух других монстров типа каспера и симантека (к примеру) эти плюшки есть, то выбор не в вашу пользу.

Речь не только о стенке, но и о офисном контроле, например, в части блокировки носителей.

Если отказался домашний пользователь - потеряли 1 лицензию, а от недовольства корпов можно потерять 10К и больше одним махом.



#13 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 16 Январь 2013 - 11:33

Это не просто прихоть, в моем случае это необходимость. У меня около 300 клиентов в 60 филиалах, где сеть одноранговая, и к сети подключенны наши партнеры, у которых вообще нет антивруса. Организационные вопросы практически не решаемы и остается вся надежда только на персональные файрволы и антивирус, управляемые централизованно.
Каналы свзи, с филиалами и за требований ФСТЭК шифрованные, и из за шифрования шрина канала состовляет не более 64 кб, ахота плакать и смеяться диалап одним словом.

 

То есть, у вас партнеры (так понимаю, чужая фирма/организация), без антивируса, вот так вот запросто воткнуты в вашу одноранговую сеть, однако каналы с вами шифрованные?

Простите, но я сомневаюсь, что ФСТЭК требует 64Кб-ного шифрованного канала, разрешая кому угодно, без антивируса присутствовать в вашей одноранговой сети.


(exit 0)

#14 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 16 Январь 2013 - 11:44

 

 


Мнение редакции может не совпадать

Господа! Не кажется ли Вам, что с момента выхода 6_и вопросов и пожеланий по поводу централизованого управления firewall_ом слишком много?
Я - так вообще не понимаю, как можно управлять персональным фаером централизованно ;)
Разве что уведомления администратору отсылать, а тот разрешает/запрещает, список запросов, допустим, обнуляемый раз в сутки, отдельный пункт в настройках с запросами разрешений от станций. Но так и потонуть можно.

BitDefender, NOD и Касперский не потонули же. Централизованный фаервол - это настройка профилей со своими правилами для сети и приложений. Далее профиль назначается группе станций или даже отдельным станциям - и все.

Приложения у всех разные...

Они могут быть разными, даже, если имена файлов совпадают.

+ Вы предлагаете отказаться от контроля изменения приложений?


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#15 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 16 Январь 2013 - 11:45

К сожалению это "Нет" приводит к отказу в использовании продукта в не маленьких масштабах. Вы живете в конкурентной среде, и если у двух других монстров типа каспера и симантека (к примеру) эти плюшки есть, то выбор не в вашу пользу.
Речь не только о стенке, но и о офисном контроле, например, в части блокировки носителей.
Если отказался домашний пользователь - потеряли 1 лицензию, а от недовольства корпов можно потерять 10К и больше одним махом

 

Что проще и надежней контролировать и настраивать - 100 _различающихся_ экземпляров (как вы понимаете, маловероятно, что на всех машинах все правила и ограничения фаервола будут абсолютно идентичны) или 1 экземпляр?

 

Фаерволл на каждой рабочей станции - это - или "фолл последней надежды", или применим в контексте ситуаций, о которых я говорил выше, а централизованное управление персональными фаерволлами - маркетинговая фича, дескать, смотрите, у нас оно есть. Неважно, как оно работает.

 

Дело в том, что без персонального антивируса, на каждой станции, на данный момент не обойтись, в виндовс :) А коли так, то и централизованное управление ими - логичное развитие удобства управления, мониторинга и все такое.

 

В отношении фаерволла - это не так однозначно (я про необходимость его наличия на каждой рабочей станции).


(exit 0)

#16 Disaron

Disaron

    Member

  • Posters
  • 123 Сообщений:

Отправлено 16 Январь 2013 - 12:26

В отношении фаерволла - это не так однозначно (я про необходимость его наличия на каждой рабочей станции).

 

Если у вас территориально распределенная сеть с парой админов в центре, то каким образом настраивать необходимый компонент? Например есть 50 машин в инете, которые сами удаленно не администрируются, у каждой свой канал выхода в интернет, и персональная стенка является единственным способом ограничения доступа к конкретным IP-адресам. Ездить ручками и при добавлении адреса править правила? А если между точками 200км?

 

Я повторю - работа идет в конкурентной среде, и если продукт не дает необходимого функционала, то продукт не нужен.

 

Первая заповедь работы на клиента - клиент всегда прав. И если клиенту нужен функционал, то нет смысла убеждать его в обратном - при наличии минимального количества мозгов, убедить не получится.

 

100 - мелко берете. А если корпоративная сеть из 2К машин на сегмент и в нее проникла вирусня, с функционалом TCP флуда? Спасет пограничная стенка от падения локалки? Нет - спасет персональная на каждой машине, с удаленным управлением.

 

Ксательно единых правил - у крупняка как раз среда более-менее гомогенная. Приложения одинаковые и исключения редки.


Сообщение было изменено Disaron: 16 Январь 2013 - 12:27


#17 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 16 Январь 2013 - 12:39

Ксательно единых правил - у крупняка как раз среда более-менее гомогенная. Приложения одинаковые и исключения редки.

И версии этих приложений везде одинаковы (и каталоги их установки), и обновления этих приложений тоже у всех установлены одинаково?

И версии Windows везде одинаковы, и обновления Windows везде одинаковы (то бишь в один и тот же момент времени у всех установлены одни и те же обновления)?


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#18 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 16 Январь 2013 - 12:43

Disaron, давайте не будем измерять здесь кол-во мозгов и заповеди маркетолога цитировать? Это ветка технической направленности.

 

Если у вас территориально распределенная сеть с парой админов в центре, то каким образом настраивать необходимый компонент? Например есть 50 машин в инете, которые сами удаленно не администрируются, у каждой свой канал выхода в интернет, и персональная стенка является единственным способом ограничения доступа к конкретным IP-адресам. Ездить ручками и при добавлении адреса править правила? А если между точками 200км?

 

Вы читали http://forum.drweb.com/index.php?showtopic=312351#entry646241 ? Там в общих чертах написано - как.

Я понимаю, что вы хотите кнопку "Сделать красиво!" и все. Но так не бывает в более-менее сложных системах.

 

100 - мелко берете. А если корпоративная сеть из 2К машин на сегмент и в нее проникла вирусня, с функционалом TCP флуда? Спасет пограничная стенка от падения локалки? Нет - спасет персональная на каждой машине, с удаленным управлением.

 

Может спасет, а может и не спасти, зависит от настроек и множества др. факторов. Тогда вы будете возмущаться, что у вас фаерволл, а он не спас.

А если вы допустите одну маленькую ошибку в настройках фаерволла, ехать за 200 км все равно придется :) То есть вам надо строго настрого настроить абсолютно точно и правильно 2000 машин, ни ошибившись ни разу, иначе из-за одной единственной придется ехать. Причем вы можете заблокировать и антивирус. Сравните это с ситуацией, когда у вас один фаер на входе в эту удаленную сеть. Достаточно 1 (один) раз все правильно сделать, а не 2000 раз.


(exit 0)

#19 Disaron

Disaron

    Member

  • Posters
  • 123 Сообщений:

Отправлено 16 Январь 2013 - 12:56

давайте не будем измерять здесь кол-во мозгов

 

И не собирался. А заповедь - так она не маркетолога, она в любой более-менее известной литературе по принципам разработки приложений есть, в той или иной форме. Причем обычно в начале книги, потому как ключевая.

 

Там в общих чертах написано - как.

 

Неа, для данного конкретного случая не связанных в единую сеть, но нуждающихся в удаленном конфигурировании, машин - нет. А случай встречается практически во всех гос конторах и крупняке, имеющем отделенный физически от ЛВС сегмент интернета.

 

Что касается кривых ручек админа - они всегда имеют место быть, только почему-то у пользователей конкурирующих продуктов с упомянутым функционалом проблем не возникает, а здесь считают, что необходимо думать за других и беречь их юродивых.

Просто (понимаю, что не просто :) ) надо обеспечить корректность работы с технической стороны, а за свои руки пусть отвечают админы.


Сообщение было изменено Disaron: 16 Январь 2013 - 12:58


#20 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 16 Январь 2013 - 12:57

VVS правильно говорит, шлепать оптом на все машины схожие настройки - проблемы с работой таких систем и пользователей на них.

 

Ну хорошо, вот появилось у вас удаленное управление фаерволлом. Скопом их настраивать нельзя, надеюсь, это понятно. 99,(9)% что хоть одна машина да отвалится от сети после такой настройки. Значит - настраивать индивидуально. Так подключитесь удаленно к ОС и настройте. 2000 машин - много? Так поставьте один фаерволл на входе в сеть и настройте только его.

 

Если есть решения, которые позволяют задавать поведение фаерволла для групп машин - будьте уверены, такие фаерволлы будут сифонить, как старый водопроводный кран... Их защита не более, чем профанация.


Сообщение было изменено Foxes: 16 Январь 2013 - 12:58

(exit 0)



Also tagged with one or more of these keywords: Fierwall, Dr.Web Enterprise Suite

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых