URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 38573
[ Назад ]

Исходное сообщение
"OpenNews: Межсетевой экран уровня приложений OpenFWTK 2.0 "

Отправлено opennews , 01-Окт-07 13:18 
OpenFWTK (http://sourceforge.net/projects/openfwtk) (Open Firewall ToolKit) - это межсетевой экран уровня приложений (application firewall), распространяемый по лицензии BSD.

По сравнению с другими решениями в области межсетевого экранирования OpenFWTK интересен тем, что он является полноценным фильтром уровня приложений, то есть полностью отсутствует «сквозное» взаимодействие через OpenFWTK между клиентским и серверным приложением. "Сквозное" взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1.

По сравнению с TIS FWTK, последняя версия 2.1 которого была выпущена в марте 1998 года, OpenFWTK обладает следующими новыми и улучшенными возможностями:


-  Поддержка SSO (Single Sign On) - единой точки доступа к защищаемым сервисам через механизм аутентификационных агентов (на настоящий момент реализована консоль "сильной" аутентификации для telnet-клиента), позволяющий использовать единую точку входа для приложений, для которых затруднена поддержка одноразовых паролей.
-  Поддержка NAC (Network Admission Control) для протокола HTTP — определение политик ограничений в зависимости от версии браузера;
-  Поддержка Content Filtering - фильтрации контента для протоколов http, smtp, ftp, pop3, nntp с использованием большого спектра внешних приложений через milter-интерфейс (включая spamassasin, dspam, большинство антивирусов и.т.д.);
-  Устранены проблемы с безопасностью взаимодействия с authsrv;
-  Обновлен набор поставляемых прокси серверов;
-  Новый, улучшенный API позволяет легче разрабатывать собственные прокси-серверы.


Из недостатков стоит отметить отсутствие хорошей документации (желающие приглашаются для написания автором проекта).


URL: http://sourceforge.net/projects/openfwtk
Новость: http://www.opennet.me/opennews/art.shtml?num=12259


Содержание

Сообщения в этом обсуждении
"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено mezantrop , 01-Окт-07 13:18 
TIS FWTK, как и Gauntlet FW, пользовали впечатления тогда, в конце 90-х были самые приятные. Надеюсь, сейчас все тоже на уровне.

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено fresco , 01-Окт-07 13:54 
Да, мощная штучка.

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено Sb , 01-Окт-07 15:04 
Объясните для танкистов - по сути, это как Аутпост в Виндовсе?

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено edwin , 01-Окт-07 15:50 
> по сути, это как Аутпост в Виндовсе?

" "Сквозное" взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1. "

Иначе говоря это попытка сделать нето вроде халявного CheckPoint Firewall


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено _Nick_ , 01-Окт-07 18:27 
а чем примечателен этот CheckPoint Firewall ?

сорри, не видел никогда...


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено alteleid , 01-Окт-07 22:15 
а потом скомпилировать и оттюнить это под SPARC или AI64 под OpenSolaris и получится недурной фаэрвольчик за не очень большие деньги

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ArkanoiD , 01-Окт-07 23:20 
Спарка у меня под рукой сейчас не было, но Sun Studio его собирает нормально, и HP-UX под ia64 тоже.

Раньше порт на sparc поддерживался, но у меня сейчас нет Solaris под рукой. Но по идее, там все очень портабельно.


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено saylor_ua , 02-Окт-07 14:55 
А какая радость или преимущество от того чтобы заточить это под OpenSolaris ? Linux/FreeBSD не сможет делать тоже самое?

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ArkanoiD , 02-Окт-07 16:50 
>А какая радость или преимущество от того чтобы заточить это под OpenSolaris
>? Linux/FreeBSD не сможет делать тоже самое?

Я бы рекомендовал OpenBSD ;-)


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено toxa , 08-Окт-07 11:38 
> Я бы рекомендовал OpenBSD ;-)

А ты порт сделал? :)


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ArkanoiD , 08-Окт-07 15:35 
Нет :-( Оно вообще само в лет собирается. Но был бы рад если бы кто-нибудь сделал.

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено toxa , 08-Окт-07 16:03 
>Нет :-( Оно вообще само в лет собирается. Но был бы рад
>если бы кто-нибудь сделал.

Ну порт - не значит пропатчить, а чтоб правильно поставилось просто. Я сделаю может, когда руки дойдут, сейчас глянул - блин, это называется, "головная боль майнтейнера" :\


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ArkanoiD , 08-Окт-07 20:27 

>
>Ну порт - не значит пропатчить, а чтоб правильно поставилось просто. Я
>сделаю может, когда руки дойдут, сейчас глянул - блин, это называется,
>"головная боль майнтейнера" :\

Да? А что там не так?


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено toxa , 08-Окт-07 23:10 

>Да? А что там не так?

что-то подобное я уже просил saper'a с сделать с его free-sa :)
Разработчик весьма упростит жизнь майнтейнера, если будет называть архив foobar-X.Y.tar.gz, и распаковываться этот архив будет в foobar-X.Y :)
Ну если не сложно, конечно ;)


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ArkanoiD , 09-Окт-07 23:16 
Ну если это настолько критично, к следующему релизу постараюсь сделать, а в чем сложность управиться с ним as is?

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено toxa , 10-Окт-07 00:17 
>Ну если это настолько критично, к следующему релизу постараюсь сделать, а в
>чем сложность управиться с ним as is?

Никакой критичности нет, и разные хаки типа WRKDIR или DISTNAME, разумеется, помогут. Просто то, что я писал выше - это, если можно так сказать, стандарт де-факто ;). Да и вообще, безотносительно *BSD-порта, ИМХО, удобно, когда архив распаковывается в одну папку а не три. Ну если говорить про порты - "правильный" архив - это меньший размер порта (за счет отсутствия вышеупомянутых хаков) => меньшее место на диске и меньший трафик... портов-то тысячи ;)
Кроме шуток, просто порт будет удобнее, проще, логичнее и красивее ;)


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ArkanoiD , 10-Окт-07 23:12 
Ну там два пакета фактически в одном архиве - libci_milter и openfwtk.. Так что и не знаю, кошернее ли так.

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено toxa , 11-Окт-07 14:51 
>Ну там два пакета фактически в одном архиве - libci_milter и openfwtk..
>Так что и не знаю, кошернее ли так.

% tar tzf ~/openfwtk2.0.tar.gz|cut -d / -f 1|uniq
libci_milter
fwtk
fw_watch
INSTALL

Три плюс файлик :)


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ZANSWER , 01-Окт-07 18:10 
А где документация к этому фаерволу, кто нить нашёл её, киньте ссылкой, если знаете...:)))

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ArkanoiD , 01-Окт-07 23:17 
Плохо пока с документацией. То есть она существует в виде набора man pages, там все описано, но ничего в стиле howto и step by step guide пока нету :-( То есть надо изучить, как настраивается TIS fwtk, а потом почитать в man pages отличия.

Про общий формат конфигурации написано в мане по netperm-table.


"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено Аноним , 03-Окт-07 12:46 
а бинарники под венду есть?
что-то на nufw смахивает

"Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено ArkanoiD , 05-Окт-07 01:44 
>а бинарники под венду есть?

Нет. А надо ли?

>что-то на nufw смахивает

Ничего общего на самом деле.
man'ы теперь доступны в виде html в секции documentation на sf.


"OpenNews: Межсетевой экран уровня приложений OpenFWTK 2.0 "
Отправлено toxa , 12-Окт-07 11:45 
http://www.toxahost.ru/files/openfwtk.tgz - бета-версия порта под FreeBSD. Будет изменяться! все желающие приглашаются к тестированию, когда порт примет законченный вид, отправлю его в дерево портов.