Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > BETA секция > Kerio Winroute Firewall

Важная информация

Ответ
 
Опции темы
Старый 11.07.2008, 14:35   #21
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Цитата:
Сообщение от Babah22 Посмотреть сообщение
если же сервисы разнести разными процессами, то падения скорости, характерное для одного сервиса не наблюдается.

Есть же процесс aveserver Mcafee, который якобы независимо отвечает за проверку трафика на лету, чтобы ускорить процесс проверки.

При подключении сторонних антивирусов через плагины нагрузка на фильтрацию ложится на процессы успользуемых антивирусов.

Ну и наконец самый главный вопрос - а как быть с безопасностью? Проще убедить людей, что нужно держать на защите периметра так же и антивирусный фильтр, и так чаще всего народ и делает. Вход в периметр сторожит что-то вроде Cisco или Juniper, а периметр и ЛАН охраняет что-то программное вроде ISA, squid и чего-то помельче вроде KWF)))) Про такую систему tripod (тренога) рассказывают на мелкософтовских курсах по защите периметра - ISA 2006 например, на котором мне удалось побывать.

Вы прекрасно понимаете, что Керио - это не MS и не Google ресурсы разработчиков все давно подсчитаны и выпуск сборки без антивирусных плагинов скорее всего туда не войдет еще и по причине дефицита человекочасов. Там за этим жестко следят.


Цитата:
Сообщение от Babah22 Посмотреть сообщение
антивирус - антивирить и не нада совмещать в одном продукте совершенно разные задач
А куда тогда девать Сisco PIX например и вообще все железные решения со вшитыми антивирусными ядрами? И все почти все продукты компании GFI и Zone Alarm? Не говоря уже про "замечательный" продукт ЛК KAV for ISA 2006, с которым у меня был опыт работы.

Последний раз редактировалось Engine; 11.07.2008 в 14:48.
Engine вне форума   Ответить с цитированием Вверх
Старый 11.07.2008, 14:50   #22
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,193
По умолчанию

А может сделать не релиз, а отключаемые плагины? Как опцию
Donkey вне форума   Ответить с цитированием Вверх
Старый 11.07.2008, 14:51   #23
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Engine, не убедили )))) И вот почему, смотрите есть драйвер нода, загружающийся при старте системы (рассмотрим на примере нода), есть родной сервис (фоновый процесс) нода, стартующий при загрузки системы, в комплексе эти два компонента достаточно шустро работают, теперь появляетца ещё ависервер - некий процесс инициированный при запуске керио фаервола, не родной ноду, а за связь между ядром нода и этим процессом отвечат некая длл, входящая в состав керио, не буду смотреть какая именно - не важно.
Т.е. Вы хотите меня убедить в том что такая связка работает значительно быстрее чем, связка родного сервиса и родных дров нода?
Теперь к вопросам безопасности, вообще то я всегда считал и продолжаю считать что уровень защиты своей сети каждый администратор выбирает исходя из своих знаний и разработчику программного продукта не зачем в свой продукт добавлять лишний код, вот смотрите - опять нод, аймон отключён, потому что с керио не дружит, а встроенный антивирус несчадно тормозит и ... каков вывод, отказывайтесь от нода, ставьте симантек или ещё что то, но нод я купил он меня устраивает и за ним тормозов не замечано.....
Я бы очень не хотел бы чтобы будущие версии Керио чем то напоминали висту или 2008, что пока на стадии инсталляции (!!!) 3х заглавных букв минимум в твоём пароле не будет, дальнейшая инсталляция невозможна ))))) Вывод был очивиден и решение пришло очень быстро, нету у меня щаз ни висты ни 2008 и долгое время не будет ))))
Далее по поводу человеко часов, попробуйте проведите на этом форуме опрос, сколько бы людей вышло из тени с палёнными продуктами ака керио, если бы в керио отключили тормозящие плагины и соотвественно усекли бы версии до специал эдишн?
А ведь на самом деле это прибыль компании - или я опять не прав? )))))

Добавлено через 2 минуты
Engine, а речь не о циско тут и не о каве, не уподобляйтесь мне (я ж исправился таки)))))))

Последний раз редактировалось Babah22; 11.07.2008 в 17:09. Причина: Добавлено сообщение
Babah22 вне форума   Ответить с цитированием Вверх
Старый 11.07.2008, 15:10   #24
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,193
По умолчанию

между прочим модульность продукта расширила бы асортимент и позволила бы снизить цену на него, а собственно повысить продажи
Donkey вне форума   Ответить с цитированием Вверх
Старый 11.07.2008, 15:12   #25
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

я бы не говорил о модульности, но над этим тоже стоит подумать, потому что возникает множественные связи между модулями, которые опять тормозят процесс фаерволинья и потом в таких системах проще упороть косяка, а потом долго икать, поверь мне ослик на слово ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 11.07.2008, 18:03   #26
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
Смех

Babah, я понял вашу мысль. Поймите и вы мою: на данный момент не будут выделять человекоресурсы, а вы, как человек знакомый с разработкой, должны прекрасно понимать, как порой менеджеры проектов всеми любимые нами сейлз пипл дерутся за кажд ый человекочас.

Уверен, что для большинства пользователей, менее искушенных в особенностях сетевой безопасности и производительности, важнее знать, что они защищены антивирусным фильтром, и даже двойным, чем то, что скорость интерфейса может быть выше, при выключенной или отсутствующей проверке.

Мы всегда советуем пользователям исключать папки KWF, а особенно KMS из постоянной защиты (монитора), чтобы уменьшить, по возможности, ту нагрузку на систему, о которой вы упомянули.

Ну и последнее: всегда есть дилемма производительности приложения с одной стороны, и потребление им ресурсов. Если уж совсем утрироровать и не вдаваться в детали. За счет повышения уровня защиты часто страдает производительность. С этим никто спорить не будет. Чаще всего коммерческие продукты идут на критическое потребление ресурсов, давай взамен пользователю безопасность...иллюзию безопасности. Например антивирусная проверка по требованию - чем не пример?

Я уверен, что у вас найдутся другие, более конкретные, и что ли, актуальные примеры улучшения функционала. 10 августа, как мне сказали, вторую бету заморозят и все новые фичи пойдут уже в mp1.

ЗЫ следите за новыми сообщениями. Скоро должно появится интересный пост от представителей компании Kerio Technologies :rolleyes:

Прощу прощение за легкое интриганство

Donkey
К вопросу о модульности - возьмем пример товарища Usergate. Достойный продукт новоссибирских девелоперов. Но из-за своей модульности имеет очень запутанную схему лицензирования. Да, сами разработчики признают, что реализация NAT им не удалась.
Engine вне форума   Ответить с цитированием Вверх
Старый 11.07.2008, 19:13   #27
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Engine, дык никто ж не заставляет Вас и всю команду разработчиков бежать впереди паравоза, но уверен на 200%, что такой продукт будет востребован )))) Но моё мнение таково, что не зачем писать во первых громоздкий продукт, во вторых наварачивать его до одурения разными фишками - будь то двойная или четырёхкратная проверка на вирусы или кабаном, можно ж было сделать и локального кабана ))) Вот к примеру на соурс фордже лежит проект - тидиай, если нужна будет сцылка свистните я опубликую. Нормальный канальный (!!! это значит работает на транспортном уровне, в нашем случае это эзернет) фаервол размерами под 300 килобайт, но возможностей у него столько сколько и у керио, нету токо антивируса, но он для фаерволинья не нужен )))
Я поясню, потому как не мы одни с вами читаем ветку эту, итак канальник - среда передачи данных в локальной сети обычно эзернет. сверзу на эзернет накладывается среда передачи пакетов - IP, а уж совсем сверху накладывается на IP или TCP или UDP. Остальные протоколы опускаем.
Так вот тидиай фильтрует на уровне эзернет, это значит что фильтруется и арп и рарп и ещё хренова туча протоколов, а не только IP.
Да я к чему это всё, что при его использовании на сервере, во первых нод работает очень шустро, во вторых тормозов при длинных копировках нет, не удобство только то, что трафик пишется в лог файлы и нет возможности писать например в бд. Исходник на него сразу предупреждаю битый, т.е. пересобрать можно, но не просто ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 12.07.2008, 15:18   #28
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Хорошо Kerio

От себя:
1.Хочеться что то вроде Backup (Хотябы чтобы в папку автоматом скидывались файлы настроек, пользователи, статистика и так далее... )
2.Хочеться чтобы дядьку милиционера с фанарем вы оставили :-)
3.Чтобы статистику можно смотреть не только за 2 часа и за 1 день на интерфейсах, а за любой промежуток времени..
4. Можно добавить еще одну гистограмму где будет online показываться какие "данные" и по каким протоколам передаються.
5. Во вкладке connections добавить возможность к примеру, чтобы можно было посмотреть информацию об ip адресе (Через [Для просмотра данной ссылки нужно зарегистрироваться], либо [Для просмотра данной ссылки нужно зарегистрироваться]) Очень пригодилось бы.
6.Сделать кнопочку в меню TrafficPolicy чтобы на нее нажать, и делался бы PrintScreen правил (TrafficPolicy) к примеру на рабочий стол...ТОже очень удобно былобы
Ну придумую еще отпишусь...
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 12.07.2008, 15:37   #29
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,193
По умолчанию

Цитата 2.Хочеться чтобы дядьку милиционера с фанарем вы оставили
Нее, лучше туда бабаха в каске с фигой вставте
Donkey вне форума   Ответить с цитированием Вверх
Старый 12.07.2008, 19:16   #30
jokolemene
Навичёг
 
Аватар для jokolemene
 
Регистрация: 09.07.2008
Сообщений: 38
По умолчанию

Добавлю свои пять копеек. Иногда не хватает такой элементарной возможности, как скопировать в клипборд URL скачиваемого файла из строки на странице Connections в админской консоли.

Добавлено через 15 часов 42 минуты
И ещё. Там же, на странице Connections в админской консоли, очень хорошо бы было, если бы сделали возможность убивать соединения не по одному, а сразу по несколько. То бишь, как в текстовом редакторе - выделил пачку соединений и одним махом бумс - Kill Connections...

Последний раз редактировалось jokolemene; 13.07.2008 в 10:58. Причина: Добавлено сообщение
jokolemene вне форума   Ответить с цитированием Вверх
Старый 13.07.2008, 17:39   #31
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию

Цитата:
Сообщение от kuvl-vrn Посмотреть сообщение
6.Сделать кнопочку в меню TrafficPolicy чтобы на нее нажать, и делался бы PrintScreen правил (TrafficPolicy) к примеру на рабочий стол...ТОже очень удобно былобы
Мде...
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 13.07.2008, 18:02   #32
jokolemene
Навичёг
 
Аватар для jokolemene
 
Регистрация: 09.07.2008
Сообщений: 38
По умолчанию

Да, ещё вспомнил. Неплохо, если бы сделали возможность редактировать дефолтные таймауты из админской консоли. А то править ручками файл конфига малость неудобно - потом Керю надо рестартовать.
jokolemene вне форума   Ответить с цитированием Вверх
Старый 13.07.2008, 19:10   #33
Fasterpast
Песака
 
Аватар для Fasterpast
 
Регистрация: 24.06.2008
Адрес: Москва
Сообщений: 130
По умолчанию

Цитата:
Сообщение от Donkey Посмотреть сообщение
Нее, лучше туда бабаха в каске с фигой вставте
Просто сделайте, чтоб её можно было менять, и пусть каждый ставит что хочет )))
Fasterpast вне форума   Ответить с цитированием Вверх
Старый 13.07.2008, 20:15   #34
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию

Женя, нужно модерить кажный пост этой ветки. Остапов понесло...

Господа! Мы говорим здесь о ФУНКЦИОНАЛЕ, а не о рюшках диалоговых окон. Разницу объяснять нужно? Я могу...
__________________
керио

Последний раз редактировалось EnMan; 13.07.2008 в 22:22.
EnMan вне форума   Ответить с цитированием Вверх
Старый 14.07.2008, 13:30   #35
Fasterpast
Песака
 
Аватар для Fasterpast
 
Регистрация: 24.06.2008
Адрес: Москва
Сообщений: 130
По умолчанию

Вот по делу: сделать так, чтобы проверку активности/неактивности интерфейсов можно было отключить, и для каждого интерфейса отдельно выбирать способ проверки!!!
Вот один смотрит прямиком в инет, а второй в большую корп. локалку.
В корп локалке шлюз иногда отваливается, киря думает, что интерфейс помер и не пускает даж на локальные ресурсы.
Соответсвенно, если пинговать локальный адрес, первый интерфейс помрёт...
Можно канеш указать сразу несколько адресов, но по-момоему индивидуальная настройка удобнее.

Да, и когда киря думает, что интерфейс таки отвалился, было бы хорошо, если бы он пользователю выдавал какую-нию страничку при попытке зайти через этот интерфейс.

Последний раз редактировалось Fasterpast; 14.07.2008 в 14:18.
Fasterpast вне форума   Ответить с цитированием Вверх
Старый 15.07.2008, 14:12   #36
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Babah, я понял вашу мысль. Записал ее. На мой взгляд скорее всего подобной сборки не будет. В предыдущем посте описал почему. Собственно бесплатных файерволов может быть сколько угодно, и действительно, размерами дистрибутива и функционалом они могут быть более привлекательны, чем платные. Но платные программы - это не только софт, это еще и сервис для легальных пользователей (суппорт например и т.д.) И может это и играет решающую роль при выборе продукта неискушенным администратором - знание того, что его не бросят, помогут настроить, разобраться, разжуют и тому подобное.
Если эта тема интересна - выносите ее курилку

kuvl-vrn, спасибо за список, обязательно доведу его до соответственного decision maker`а.
Engine вне форума   Ответить с цитированием Вверх
Старый 15.07.2008, 14:28   #37
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,193
По умолчанию

Engine, а про реализацию MAC вы не пропустили? Хотелось бы чтобы и эту функцию рассмотрели
Donkey вне форума   Ответить с цитированием Вверх
Старый 15.07.2008, 16:09   #38
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Engine, ну я так и думал )))) А зря и вот почему, многие просто купили бы продукт, а так наворачивая продукт до одурения, Вы просто теряете пользователей. Потому что, во первых новичку сложно со всем этим разобраться, а разбираться он будет на демо версии и т.к. в демо версии поддержки нет, значит сам. Ах как смешно получается ))))
мне это напоминает службу тех. задержки моего провайдера (я не очепятался) при звонке в неё и постановкивопроса, почему ночью соединение летает, а днём нет. Мне посоветовали поменять сплиттеры ))))) Типа спллиттер - это ж активное оборудование ))))
Точно так же и у Вас ))))
Babah22 вне форума   Ответить с цитированием Вверх
Старый 15.07.2008, 22:46   #39
Fasterpast
Песака
 
Аватар для Fasterpast
 
Регистрация: 24.06.2008
Адрес: Москва
Сообщений: 130
По умолчанию

А я так думаю, пусть увеличивают функционал.
Можно сделать в консоли режим Advanced в конце концов, в котором все навороты появляются.
Если есть возможность сделать наворот малой кровью без ущерба производительности и т.д., ИМХО пусть будет!
Fasterpast вне форума   Ответить с цитированием Вверх
Старый 16.07.2008, 08:34   #40
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию

Fasterpast, Вы говорите, потому что уже сделали правила правильные и знаете где расположены конфиги керио, а многие увидевщие продукт впервые в жизни находятца в состоянии каменного цветка )))) вон что творитца в ветке с впн соединениями, Вы же там учавствуете )))))

Добавлено через 7 минут
я согласен пусть увеличивают функционал, но чтобы были разные функционалы (без модульности), для маленьких сетей, для средних и для больших. Например, в нонешнем функционале, есть система тарификации, т.к. сам занимаюсь такими системами могу сказать очень смешное - если снимать статистику с логов самого керио, то она отличаетца от статистики, показываемой вэб сервером встроенным в керио не в лучшую сторону )))) И в большинстве случаев эта статистика совпадает со статистикой провайдера, а статистика формируемая в вэб сервер безбожно отличаетца от провайдерской ))))) вопрос на засыпку - сидеть ждать когда разработчики найдут ошибки в системе тарификации и ругаться с провом, который меряет статистику по нетфлоу серт. системой или же просто отказаться в каком то из функционалов от своей статистики?
Вот в этом случае кто выиграет?

Последний раз редактировалось Babah22; 16.07.2008 в 08:42. Причина: Добавлено сообщение
Babah22 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:43. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях