← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #19277

Re: Firewall i Linux vs NT.

  Thread PreviousDate PreviousThread Next 
In <38B641E6.E0048BD2@xxxxxxxxxxxxxxxxxxxx> Leslie Jensen <leslie@xxxxxxxxxxxxxxxxxxxx> writes:

>Skall sätta upp en firewall och har tittat på en programvara för NT
>http://www.netguard.com/ som heter guardian. Den verkar kunna det mesta
>och är "lätt" att konfigurera.

Jeg kender den ikke, men den information de har på deres web-site
tyder på at det er en relativt standard firewall.

Personligt bryder jeg mig ikke om Windows baserede firewalls, men det
er nok en personlig antipati. Men nogle grundlæggende problemer i Windows'
IP stak er simpelthen for vanskelige at arbejde sig udenom, og firewalls
baseret på Windows har derfor ofte nogle problemer, som ikke ses på 
andre typer af firewalls. F.eks. TCP sequence prediction.

Jeg har dog bemærket, at de fleste firewalls jeg ser - og det er en del - 
ikke bruger Windows som underliggende operativsystem. Det er som regel 
en unix-baseret kerne (som regel en eller anden BSD variant), eller en 
helt proprietær kerne (f.eks. Cisco's IOS).

Jeg foretrækker egentlig en dedikeret stand-alone box til at være
firewall - jo mindre software der kører på sådan en, jo sværere er
den at bryde igennem. Min personlige favorit-firewall booter fra en
skrive-beskyttet floppy, og der er ingen harddisk i maskinen. Så
er det rimelig besværligt at gøre noget, selv om man skulle få adgang
til selve firewall'en.

Men al erfaring viser, at de stort set alle firewalls kan gøres
sikre og give en solid sikkerhed - det afhænger udelukkende af, om 
de er konfigureret korrekt.

(Og så vil jeg da tilføje, at der findes firmaer som kan teste om
din firewall er så sikker, som du regner med. Jeg arbejder for et
sådant, så jeg vil naturligvis anbefale dig at kigge på www.n-m.com)

>Kan man med Linux uppnå samma funktionalitet, och isåfall vad behöver
>man för detta?

Den grundlæggende firewall-funktionalitet med trafik-filtrering og
"address translation" (også kaldet "NAT") er indbygget i Linux
kernen - se på http://www.sslug.dk/sikkerhed/ hvordan du konfigurerer
det med ipchains kommandoen.

VPN funktionalitet kræver et add-on, som dog også fås som Open Source, 
nemlig FreeS/Wan (www.xs4all.nl/freeswan).

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."

References

  Thread PreviousDate PreviousThread Next