Задался таким вопросом: как фаер распознает атаки?
К примеру, взять хотя бы обычное сканирование на основе "трехэтапного рукопожатия", SYN-SYN/ACK-ACK. Ведь это может быть попыткой "законного" подключения...
Вобщем, как фаер определяет, что происходит сканирование?
Вот :)
З.Ы. не знаю там ли я тему открыл))

напиши в гугле фак по файрволам намного больше узнаешь ;)

Ну...киньте что-ль ссылку. Плиз :)
Я так понимаю сканирование можно определить по _слишком_частому_подключен� �ю_к_различным_портам_
или это не так делается? :)

http://ru.wikipedia.org/wiki/Firewall

swt1, спасибо... но это немного не то :) Я знаю что такое файервол, но я не знаю как он работает :)

мб здесь?)
http://wiki.compowiki.info/FajjrvolPrincipRaboty

Не там копаешь, это функции скорее IDS чем фаера.
(Обычно IDS это отдельное устройство, но в данном случае это программный IDS)

Просто теперь вместо антивируса/фаера мы получаем китайский (в плане качества) швейцарский нож с ложкой, вилкой, шариковой ручкой и туалетной бумагой.

http://ru.wikipedia.org/wiki/IDS - на русском инфы к сожалению мало

также)
http://forum.antichat.ru/thread70392-Firewall.html
http://forum.antichat.ru/thread87615-Firewall.html

Обычно архитектура СОВ включает:

* сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
* подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
* хранилище, обеспечивающее накопление первичных событий и результатов анализа
* консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

Жаль про первые два пункта ничего не написано :(

сейчас залью неплохую книжку по этому вопросу.

http://www.sendspace.com/file/jndofj

Спасибо за книжку :)