locked
vista firewall profily

    Dotaz

  • Zdravím,
    netušíte, jak nastavit více aktivních profilů na firewallu visty dle sítě/rozhraní? Pokud to nejde ani příkazové řádce, nevíte zda bude tato funkcionalita v SP2?
     Do teď jsem žil v předsvědčení, že ty profily jsou tam právě pro zjednodušení filtrování při připojování k různým sítím, ovšem netušil jsem, že lze visty rozumně připojit pouze do jedné sítě "zároveň". Tohle spíše připomíná starý TCP/IP filter, který se sice nastavil na jdenom rozhraní, ale aplikoval se uplně všude...

     Vím, že u IPSec jde například nastavit politika na rozhraní, což nelze klikátkama, něco jako netsh ...bla..bla   persisitent,
    přesně něco takového bych potřeboval u toho FW tj. přiřadit politiku(profil sítě) na rozhraní, když jsou zároveň připojené 2 sítě?

    Díky za odpověď!
    14. prosince 2008 23:39

Odpovědi

  • Profily ve Vista FW jsou pevne dane (Domenovy, Private, Public).

     

    V pripade ruznych siti s vice profily se pouzije (vyhodnocuje se v tomto poradi):

    1. Public profil je-li nektera sit PUBLIC
    2. Private profil je-li nektera sit PRIVATE
    3. DOMENOVY profil jsou-li vsechny site v domene
    4. Jinak PUBLIC

    Tzn "nejutazenejsi" mozny profil. Myslim ze to neni spatna filosofie. Blize napr. http://technet.microsoft.com/en-us/magazine/cc138010.aspx

     

    MP

    15. prosince 2008 9:02
    Moderátor

Všechny reakce

  • Profily ve Vista FW jsou pevne dane (Domenovy, Private, Public).

     

    V pripade ruznych siti s vice profily se pouzije (vyhodnocuje se v tomto poradi):

    1. Public profil je-li nektera sit PUBLIC
    2. Private profil je-li nektera sit PRIVATE
    3. DOMENOVY profil jsou-li vsechny site v domene
    4. Jinak PUBLIC

    Tzn "nejutazenejsi" mozny profil. Myslim ze to neni spatna filosofie. Blize napr. http://technet.microsoft.com/en-us/magazine/cc138010.aspx

     

    MP

    15. prosince 2008 9:02
    Moderátor
  • dobrej článek, dík
    15. prosince 2008 14:20
  • ovšem je to poněkud nedomyšlené, že nelze aplikovat profily "per interface". mam doma počítač - na jednom rozhraní přímo kabel od ISP a na druhém testovací síť a nechci aby visty mezi sítěmi routovaly.
     takže povolit třeba TFTP a nějak rozumně ho ochránit je horor, jde to jen tak, že jako destination address povolím pouze adresu  rozhraní na testovací síti, nicméně ten port 69 musím otevřít všude, co se týká profilů tedy...poněkud obskurní :-(
    15. prosince 2008 14:28
  • Muzes prece nastavit pro jaky "scope", tzn. rozsah siti je program/port pristupny. Take jake interfaces jsou chraneny firewallem.

     

    Pro tftp dale pouzij parametr ValidClients, ValidMasters  ....

     

    MP

    16. prosince 2008 6:56
    Moderátor