Има ли някакъв читав Firewall за уиндоус:

1. Да е максимално лек.
2. Да разпознава маскирани излизания като уиндоус услуги. Щото софтуера нахитря и не се измъква по стандартния начин, не може да блокираш просто програма... Под 10ката положението е направо трагично, ама и под 7цата отвън погледнато си като швейцарско сирене...Де що има комерсиален софтуер, влачи и изнася да го еба...

Без да претендирам за изчерпателност, по мои наблюдения, всичко е приключило до виндовс ХП, със Sygate personal firewall. След това някой купи продукта и го затри от лицето на земята.
Вградения в седмицата файруол е абсолютна пародия. Всяка програма може да променя настройките му както намери за добре, което го обезсмисля.

Та, към днешна дата, май концепцията трябва да е: компютър за работа, и такъв за интернет. Последния може да е и някоя андроид пошибалка, с удобна клавиатура мишка и дисплей / монитор.

Лошото е, че все по-често се оказва, че за да работиш трябва да си отворен към нечия отдалечена услуга.
Аз и в момента работя на 3 машини ама разклоненията на дървото взеха да ми стават прекалено много...

Да се, ама едната ми сметанка се лицензира онлайн, другата е направо онлайн, т.е.праща файл получава сметка ...за солидна пък потрябва ти някой модел ...интернет си трябва на работния, просто няма как.

Нещата, които трябва да са скрити, са на виртуална машина, без достъп до интернет.
Софта, който иска интернет си е на хост-а.
Но трябва мощен компютър.

А бе отдавна не съм се занимавал, но по принцип Comodo Firewall наследи по надеждност Seagate. И въобще: безплатното на Comodo е наистина безплатно. Обаче ако искаш надеждност огнените дувари започват много да питат.
Но ако искаш наистина пълен контрол погледни тук: WinGate. Вече са вдигнали безплатния лиценз на десет компа. Поне навремето беше леко и супер ефикасно защото на комповете се монтираше само клиентска програма, а за връзка с нетя (и контрол на трафика) ползвах мнооо древна баба Яга. Ама беше наистина яко, ако бачках с Винбоз пак щях да го пробвам!

Да допълня:
- Да имаш достъп до интернет на работния не означава да фейсбучиш или да гледаш порно на него
- При цени под 100лв трябва да си луд да използваш работния за всичко;
- Бозъта си иска бозаджийско решение и това е WinGate.

аз пък съм наопъки - всичко е на машината (дори и лецинзираното), тя въобще няма достъп до външния свят, нито навън, още по-малко навътре.
във виртуалка върви браузър, мейл и подобни; download директорията е шерната, мога да права и cut & paste от/към виртуалката и толкова.
пробив би могъл да настане само, ако виртуалката не успее да опази сигурността към хост-машината. не съм задълбавал в разсъждения на темата.

пожаробезопастността се осигурява от рутера, през него има само няколко правила какво може да минава и на къде да отива.

Да това което Дедо казва има най-голяма логика, но тогава пък виртуалката не може да е NAT-нат интерфейса и което има разни други неудобства, но и това зависи. Не може да споделя VPN на хоста освен може би с разни трикове, но пък си има и предимства, а пък ако VPN е нейде на рутера е все тая.
Зора обаче е че това работи за нещо стационарно, а като си на лапатопа дето ходя навсякъде с него и ... и като стана дума за виртуалки, какви използвате, аз съм на VMWare на работните машини де, иначе за сървъри Xen.

Тая идея не е лоша, а и е доста стара. С риск да навлезем в теория на конспирацията, да спомена изпълненията на Интел и компания от началото на годината?
Е, голям шум се вдигна за spectre и meltdown. Лошата новина - след това откриха още 3, 4, 5, 6 или кой знае още колко "дупки" в процесорите. Вече спрях да ги броя.
Та, какво си мислиш че си "шернал" и какво в действително си, са две много различни неща. Още повече, че "технологията" за шерване е публично достъпна. Или поне за повечето "дупки" в процесорите. Само трябва печен програмист, и работата е готова.

Затова - по сигурно от "cut wire" нема.

виртуалката си живее собствен живот, дори може да е на друга машина и да се гледа през VNC, примерно. ама ми се струва малко прекалено.
нейната мрежа е бриджната към хост адаптера -> има си отделно IP, съответно в рутера правила за него.
VPN-ите са за рутери. по лаптопите ги слагам само за говоря по телефона, мейла и някой друг файлов трансфер. лаптопите ги държа умишлено много спънати, да не се изкушавам да качвам софтуери по тях.

Това на Дедо е по-добрия вариант, защото по презумпция работния софтуер дето иска много нет е по-лек и ще върви добре на виртуалка. Не виждам как ще подкараш кадове под виртуалка, те на базовата система се мъчат като умрели... То даже тривиално гцц като пуснеш във виртуалката и се насира в пъти производителността.

Във виртуалка браузер, скайп, меил... и толкоз.

Ами вървят, аз 3 години солида само на виртуалка го карах, и и най-интересното като минах сега на нов лапатоп където е без, почти не забелязах промяна в перформанса. Аутокада върви без грижи във виртуалката, за протела няма да говорим, за него съм направил една ХР с 2 ядра и 2 Гб рам, толкоз пее и свири. Ако тия педали със солида не ги правеха несъвместими версиите още щях да съм я на 2007 я на 2012 и нямаше да мръдна от там, същите асмеблита там се отваряха на пъти по-слаба машина и вървеше добре, специално 2007 си беше перфектно от всякъде, а лично аз не виждам нищо ново от това което използвам. Как не се хване някой да напише един формат конвертор.

Дедо, може ли по-подробно да обясниш как се прави така, че да няма интернет на хост машината, а да го има само във виртуалката.

Не си сетваш адаптера да речем.

нета на виртуалката го бриджваш (не нат). има си собствен МАС адрес и си получава собствено IP. за него в рутера няма ограничения.
адреса на хост машината го забраняваш във firewall на рутера да не ходи наникъде, освен където трябва.
при мен правилото звучи така (за pf)

10.3.1.36 e адреса на изолираната машина. не може да ходи никъде, освен в 10-та мрежа (тя съдържа всички VPN-и)
така вътрешните сървиси по нета си вървят, но не може да се промъкне през (локалния) wan интерфейс (re0)
разбира се, през някое мое прокси може да излезе от друг wan нейде през VPN-а, ама не е така лесно (в хост машината няма win- сетинг за прокси)