[轉]防火牆
http://www.pczone.com.tw/vbb3/showthread.php?t=143743
cheerx 如果效能是防火牆最重要的考量的話,那就拿台BSD去弄IP FILTER吧!用LINUX加上IP TABLES的話核心可能要準備常常更新,對商用的環境並不是很方便.我想沒有什麼商用主機是可經常重開機的.
NETSCREEN或是CISCO的自有防火牆強調的是安全,而非跟PC比效能.因為他有自己的作業系統,而且是專為網路的可靠度和安全性環境設計的。效能有時夠用就可以了,安全性卻不是效能好一點就可以彌補的.
以CISCO來說,他是許多網路通訊協定的規格制訂者之一,許多通訊協定的弱點都有在他的FIREWALL上加以補強,這種安全是企業需要的,開放式的作業系統很難做到這些.企業再看設備的採購,不會只以設備的價格作為考量,尤其這一類的東西關係到企業信譽或是日常運作的問題,需要的是更強的可靠度和安全性.
簡單的說,光是一個要求不能中斷的企業網路要做防火牆的HA,就不是用PC平台可以輕易弄出來的.企業也不會給MIS那麼多時間去搞一套這麼複雜的東西,因為要考慮後面維護的人力問題.
從數字的紀錄上來看,LINUX的核心目前出線網路漏洞的機率已經不是很適合拿來當正式的商用防火牆,關於核心的網路安全修補這半年已經不知有多少次了,要推薦也要先去看看LINUX核心的CHANGE LOG.
這類問題不是靠應用層的IP TABLES可以修補的,因為遇到這一類的攻擊,封包還沒到IP TABLES的應用層,主機可能就已經被駭客打掛或是癱瘓了.
以CISCO的作業系統IOS來說,這半年被發現的漏洞一隻手算的完.除了CISCO之外,眾多的防火牆廠商其實也都投注很多心力在防火牆的自有OS上,比較知名的像是NETSCREEN的OS,SONICWALL的自有SONIC OS系統,甚至國產的居易DRAYOS或是合勤的ZYOS等等,開發這一類的產品往往要投注大筆的財力跟人力,這也是為何這類的防火牆昂貴的原因.(小弟沒提FORTINET的原因,是因為最近很多人發現他的很多東西根本也是從LINUX抄來的,卻沒有遵守GPL規定公開原始碼,所以小弟並不能確信他的 OS真的是原生的自有OS)
服務和技術應該是值錢的,台灣的IT界有個很大的問題就是連懂技術的人都覺得自己不值錢,才會把整個環境弄得大家都累的要死卻過著很差的生活品質.當然也許很多東西都是用LINUX+XX軟體或是WINDOWS+XX軟體就可以運作了,可是出問題的時候,你有沒有把握一定能馬上處理好?有沒有先想想這邊省這些錢的時候,如果出問題會給公司帶來多大的麻煩?
沒有預算當然的確也是有解決方案的,小弟認識某政府大型機關的MIS,因為想幫政府省預算,自己用OPENBSD加上IP FILTER來做單位的FIREWALL,同時他很注意國外的漏洞發佈,萬一有問題會隨時更新自己的軟體版本,他們單位是同層級單位少數沒有被HACK過任何主機的.不過問題就在,他也承認如果他調換單位或是退休,接手的MIS是絕對會去找廠商來弄商用防火牆替代他現行的方案的,因為技術不是每個人都懂,就算懂也不是人人願意做的這麼累.
PS1:OPENBSD的OS本身這幾年只有被發現兩次的漏洞,堪稱世界最安全的OS之一,不過因為開發者較少,硬體的支援性比FREEBSD要差一些.這是早期由美國國防部贊助的一個專案.
PS2:OPENBSD的核心開發者就是上次在站上有人轉貼的另一篇文章有位批評LINUX核心最近做的很差的人,不過他並非最近第一個開砲的OPEN SOURCE組織開發者,非常知名的大鬍子COX早在非常多個月前就已經公開的批評托瓦茲在修改2.6核心的時候沒有詳細標明修改的位置跟方式,會造成之後維護的人極大的麻煩了,不過可能也是因為這個動作惹火一些LINUX基本教義人士,大鬍子已經很久沒看到有撰寫新的LINUX核心或是程式的紀錄了.
LINUX的2.4核心到2.6核心改寫的程式多到很多人認為幾乎是把LINUX核心重寫,不過最近的安全問題已經多到有人預測下一個大改版,核心的開發恐怕又要重來一次了.
台灣製造
穩定不熱當的居易VIGOR-IP分享器系列好評熱賣中.
推薦自己有架站的朋友使用VIGOR2900系列,ICSA認證防火牆,具備QOS頻寬管控,價格不到外商品牌的四分之ㄧ。
linux_xp 查看 linux_xp 的公開資料 ID : 23775 高級會員
Linux 既是 GPL 授權,又豈有非用錢買不可的道理
事實上,RedHat Enterprise 版賣的是一個商標和服務 因為它是 Linux,當然一定也有開放原始碼 而有個組織把 RedHat Enterprise 版的原始碼 編譯後拿來發行新的 distro,稱作:CentOS (這在 GPL 授權中是合法的,但不能用別人的商標,所以換了個名字)
CentOS = RedHat Enterprise 是完全一模一樣的東西,只是商標不一樣 RedHat Enterprise 無法免費下載,但 CentOS 可以免費下載 其中的差別是,RedHat Enterprise 有 RedHat 原廠的技術支援 不過說是技術支援,其實就類似 M$ 的電話支援服務
Windows 如果買正版的,使用上有問題也可以打電話去問微軟 過程中,微軟的客服人員會詢問序號和客戶基本資料 RedHat 賣的基本服務,就類似這樣子 電話或e-mail的技術支援,基本上使用的人也必須擁有一定程度 才能藉由語音或文字上的回答,排除問題點
Fedora 計畫,是由 RedHat 獨立出來的 RedHat 從第9版之後,宣佈以後將只有付費的 Enterprise 版 但是他們這種作法,是 GNU 無法允許的 所以另外延伸出一個免費的 Fedora 版
Fedora 版本,實際上主要是由 RedHat 的工程師在維護 其基金的來源,也是由 RedHat 所贊助 而 Fedora 說是 RedHat 9 的接班人,也不為過 因為裡頭的系統配置,和操作方法,全部和 RedHat 同出一轍
早期 Fedora 的官方網站,是直接掛在 RedHat 網站底下的 RedHat 稱其為 Fedora 計畫 而這個計畫相當成功,受到 Linux 族群的喜愛,佔有率非常之高 目前 Fedora 已經由 RedHat 完全獨立出來 是一個非商業性的 distro
Linux 的 distro,有分商業性,和非商業性
商業性的諸如:美國 RedHat Enterprise,法國 Mandriva,德國 SUSE,Slackwave …..等等,是由商業性質的公司所維護發佈,其特點是可以付費獲得原廠支援。
非商業性的有:Fedora,Debian,Ubuntu…..等等,是由非商業性的組織所維護發佈。
一般來說,Linux 社群中,挺非商業性 distro 的人比較多,因為如果挺商業性 distro ,等於是白白幫人家打廣告又沒好處拿。雖然商業性的 distro 也可以免費下載,但由於其牽涉到商業利益的關係,多少有違自由軟體的精神,因此挺的人比較少。
至於各 distor 之間的差異性:
Linux 主要只是一個「核心」 但只有「核心」的作業系統,是什麼事也不能做的,必須有應用程式
應用程式稱之為"套件" 將各式各樣的套件,和「核心」打包在一起 方便使用者可以馬上使用,不必再去慢慢下載安裝,稱之為 distor
各 distor 的差異性,只在包裝的套件不同,核心基本上是完全相同的 就算「核心」版本有差異,或編入的模組有差異 也能夠藉由「重新編譯核心」,來達到升級
另外 NetFilter 機制 (由 iptables 指令來控制) 也就是 Linux 最主要的防火牆機制 它是內建於 Linux 2.x 版核心之中 是由核心直接支援,並非另外安裝的套件
也有那種磁片版的 Linux 防火牆 小小一個 1.44mb 磁片,僅能塞下核心和驅動程式 但也可以操作 iptables ,因為那是由核心直接支援的
iptables 是一個系統指令,用來操控 Linux 的 NetFilter 機制
如果要舉例的話:
就好比以前 DOS 時代,我們要壓縮一個檔案 用 zip,rar,arj ,不管什麼格式都好,都要下一大堆指令語法和參數 例如語法:c:\zip -cvf 目標擋 來源擋
但是今日視窗時代 有所謂的 winRAR,winZIP,滑鼠點一點就可以壓縮,相當方便
買硬體式的防火牆,就好比 winRAR,滑鼠點一點就可以壓縮 相當方便,唯一缺點是要錢買
用 Linux 的 iptables ,就好比以前 DOS 時代的指令 要下一大堆語法和參數 但以前 DOS 時代,也有所謂的 .bat 自動執行批次檔 就是有人已經把語法和參數都寫好了,只要去執行那個 .bat 檔就可以了 不需去記 zip,rar,arj ,什麼雜七雜八,有的沒的一大堆參數
Linux 也有這樣子的設計,稱為 shell script shell script 就類似 DOS 的 .bat,只是更厲害,因為它可以寫程式
利用別人寫好的 shell script 根本不需要知道 iptables 語法怎麼下,只要把變數套一套就可以用了 例如:對外/對內 IP,要開放的 port,要 DNZ 的位址….等等 把變數套一套,然後執行它就 OK 了,輕鬆愜意 也可以寫入[啟動]一開機就執行
shell script 的內容,和 .bat 一樣,只是一般文字檔 要複製相當容易,就是拷貝一個文字檔這樣子而已
而前面提到,iptables 系統指令,是內建在 Linux 「核心」的 只要是 Linux,一定就支援 iptables 換句話說,就算要安裝1百台,1千台 也不過就是把這個文字檔拷貝來拷貝去
對於一個常常重灌 windows 電腦的硬體工程師來說 就了解所謂的「無人職守,自動安裝光碟」是多麼重要的東西 若沒有這玩意,光是整天在那裡重灌,什麼事也不用做了
而對於經常要設定網路的 MIS 來說 自動化,標準化,同樣也是非常重要,節省精力又節省時間 一個寫好的設定檔,百千萬台 Linux 電腦,全部適用 唯一要動手做的只有一件事,把它拷貝進去,然後就可以休息納涼了 這是多麼棒的事情啊