Вася писал(а):
Кстати, просветите насчёт:
Дмитрий писал(а):
На самом деле много я их видел программных, но ни один мне доверия не внушил. Даже убогий аппаратный часто оказывается полезнее навороченного программного. Хотя в идеале лучше иметь оба. То есть защищаемое и защищающее должны быть разными железяками.
Имел ввиду железяки.
Как правило, небольшая коробочка с несколькими сетевыми дырками. В самом простом случае - с двумя. Одна смотрит в Инет, а другая - в локалку. Иногда к этому прикручивают небольшой 4-8-портовый свич со стороны локалки, чтобы проще было подключать несколько компов. Иногда - WiFi для аналогичных целей, чтобы дать связь ноутам и прочим мобильным устройствам. Хотя безопасность WiFi - отдельная песня, тоже не зная лучше не браться.
Внешний, инетовский интерфейс обычно подключают к тому, что предоставил провайдер. Правда поскольку это практически всегда Ethernet, то обычный модем с com-портом подключить просто не получится. А вот ADSL - очень даже. В хороших модемах ADSL это дело совмещают, то есть прямо в настройках модема можно задавать правила фильтрации.
В любом случае внешнему интерфейсу даётся тот IP, что предоставляетп провайдер (возможно динамический), а внутреннему - что-нибудь на свой вкус из "локальных" диапазонов (10.*, 192.168.*, 172.16-32.*). И дальше настраиваешь правила, кому и как можно ходить в Инет. А всё остальное соответственно нельзя.
Внешне оно может быть и похоже на программные фаерволы, и даже выглядит менее удобно (да и денег требует). Но зато все неприятности из Инета падают уже на эту коробочку, а не на компы. А коробочка начинена узкоспециализированным софтом. Который:
* Проще, чем универсальная ОС. На порядки. А значит в нём во столько же раз меньше дыр.
* Спроектирован именно с ориентацией на безопасность. Винда, что бы там ни говорили мелкомягкие, в первую очередь спроектирована, чтобы неквалифицированный пользователь не почувствовал никаких неудобств. На этой почве в ней слишком много компромиссов в области безопасности. Отсюда кстати и импотентность встроенного фаерволла в XP SP2.
* Держит внешний адрес у себя. Внутренние компы из Инета просто невозможно адресовать. Конечно, NAT можно и отключить, но как правило нет никакого смысла это делать.
* В отличие от Винды, среди аппаратных фаерволов нет доминирующего монополиста. Много разнообразных версий - универсального взломщика не напишешь. А платформами, занимающими какие-то ничтожные проценты от общего количества никто заниматься не станет. Почти никто, если только он не нацелен специально на вас и у него не куча денег. Что для простого смертного маловероятно.
Ну если совсем живые примеры. Чуть-чуть.
Сейчас я из дома работаю через вот такое:
http://zyxel.ru/content/catalogue/class ... /11/32/288
Там правила совсем примитивные, но всё-таки есть.
На работе в ходу линейка ZyWall той же фирмы. Правда в основном старшие модели. Но среди самых мелких есть вот такое:
http://zyxel.ru/content/catalogue/classifier/7/23/364
По-серьёзнее. И возможности не ограничиваются защитой одной локалки. Но и дороже соответственно.
Чтобы не зацикливаться на одной фирме.
http://www.nix.ru/autocatalog/trendnet/ ... 24441.html
Правда, когда помучил собственными руками, оно мне не очень понравилось после Зухелей.
Есть и куча других моделей от других фирм, это всего лишь примеры, с чем мне приходилось работать в последнее время. О чём считаю своим долгом предупредить, так это о Cisco. Ничего технически выдающегося они не делают, но раздули важность своей торговой марки до невероятного уровня, в результате впаривают аналогичные вещи в разы дороже, чем у других производителей. Продавцы этим активно пользуются, так как марка раскрученная, а при большой цене и навар большой. Не следует им поддаваться. Сталкиваюсь с Цисками на протяжении многих лет, но ни разу не видел случая, чтобы затраты оправдались. Чаще такие истории происходят с более "старшим" оборудованием, то и персональные фаерволы у Циски тоже есть.