tusi兄，如果有興趣不妨上CISCO原廠的網站查吧！學習網管的技術學會找設備和瞭解設備的功能也是一門很重要的入門功課.畢竟MIS的工作買錯東西可能是會讓整個公司雞飛狗跳的.

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/index.html

贊助商連結

Linux iptables 再加一票..

而且是免費的

那些貴的要死的防火牆

實際上效能都比不上一般電腦

另外如果真的要花大錢的買的話

我推薦ISA server

如果效能是防火牆最重要的考量的話，那就拿台BSD去弄IP FILTER吧！用LINUX加上IP TABLES的話核心可能要準備常常更新，對商用的環境並不是很方便.我想沒有什麼商用主機是可經常重開機的.

NETSCREEN或是CISCO的自有防火牆強調的是安全，而非跟PC比效能.因為他有自己的作業系統，而且是專為網路的可靠度和安全性環境設計的。效能有時夠用就可以了，安全性卻不是效能好一點就可以彌補的.

以CISCO來說，他是許多網路通訊協定的規格制訂者之一，許多通訊協定的弱點都有在他的FIREWALL上加以補強，這種安全是企業需要的，開放式的作業系統很難做到這些.企業再看設備的採購，不會只以設備的價格作為考量，尤其這一類的東西關係到企業信譽或是日常運作的問題，需要的是更強的可靠度和安全性.

簡單的說，光是一個要求不能中斷的企業網路要做防火牆的HA，就不是用PC平台可以輕易弄出來的.企業也不會給MIS那麼多時間去搞一套這麼複雜的東西，因為要考慮後面維護的人力問題.

從數字的紀錄上來看，LINUX的核心目前出線網路漏洞的機率已經不是很適合拿來當正式的商用防火牆，關於核心的網路安全修補這半年已經不知有多少次了，要推薦也要先去看看LINUX核心的CHANGE LOG.

這類問題不是靠應用層的IP TABLES可以修補的，因為遇到這一類的攻擊，封包還沒到IP TABLES的應用層，主機可能就已經被駭客打掛或是癱瘓了.

以CISCO的作業系統IOS來說，這半年被發現的漏洞一隻手算的完.除了CISCO之外，眾多的防火牆廠商其實也都投注很多心力在防火牆的自有OS上，比較知名的像是NETSCREEN的OS，SONICWALL的自有SONIC OS系統，甚至國產的居易DRAYOS或是合勤的ZYOS等等，開發這一類的產品往往要投注大筆的財力跟人力，這也是為何這類的防火牆昂貴的原因.（小弟沒提FORTINET的原因，是因為最近很多人發現他的很多東西根本也是從LINUX抄來的，卻沒有遵守GPL規定公開原始碼，所以小弟並不能確信他的OS真的是原生的自有OS）

服務和技術應該是值錢的，台灣的IT界有個很大的問題就是連懂技術的人都覺得自己不值錢，才會把整個環境弄得大家都累的要死卻過著很差的生活品質.當然也許很多東西都是用LINUX+XX軟體或是WINDOWS+XX軟體就可以運作了，可是出問題的時候，你有沒有把握一定能馬上處理好？有沒有先想想這邊省這些錢的時候，如果出問題會給公司帶來多大的麻煩？

沒有預算當然的確也是有解決方案的，小弟認識某政府大型機關的MIS，因為想幫政府省預算，自己用OPENBSD加上IP FILTER來做單位的FIREWALL，同時他很注意國外的漏洞發佈，萬一有問題會隨時更新自己的軟體版本，他們單位是同層級單位少數沒有被HACK過任何主機的.不過問題就在，他也承認如果他調換單位或是退休，接手的MIS是絕對會去找廠商來弄商用防火牆替代他現行的方案的，因為技術不是每個人都懂，就算懂也不是人人願意做的這麼累.

PS1：OPENBSD的OS本身這幾年只有被發現兩次的漏洞，堪稱世界最安全的OS之一，不過因為開發者較少，硬體的支援性比FREEBSD要差一些.這是早期由美國國防部贊助的一個專案.

PS2：OPENBSD的核心開發者就是上次在站上有人轉貼的另一篇文章有位批評LINUX核心最近做的很差的人，不過他並非最近第一個開砲的OPEN SOURCE組織開發者，非常知名的大鬍子COX早在非常多個月前就已經公開的批評托瓦茲在修改2.6核心的時候沒有詳細標明修改的位置跟方式，會造成之後維護的人極大的麻煩了,不過可能也是因為這個動作惹火一些LINUX基本教義人士，大鬍子已經很久沒看到有撰寫新的LINUX核心或是程式的紀錄了.

LINUX的2.4核心到2.6核心改寫的程式多到很多人認為幾乎是把LINUX核心重寫，不過最近的安全問題已經多到有人預測下一個大改版，核心的開發恐怕又要重來一次了.

就算真的要用Linux也不要用Fedora Linux
企業要用就花點＄買Red Hat Linux
在很多商用軟體的支援程度上面是完全不一樣的
以後想要增加閘道端的防毒防駭軟體比較不會有問題

Linux 既是 GPL 授權，又豈有非用錢買不可的道理

事實上，RedHat Enterprise 版賣的是一個商標和服務
因為它是 Linux，當然一定也有開放原始碼
而有個組織把 RedHat Enterprise 版的原始碼
編譯後拿來發行新的 distro，稱作：CentOS
(這在 GPL 授權中是合法的，但不能用別人的商標，所以換了個名字)

CentOS = RedHat Enterprise
是完全一模一樣的東西，只是商標不一樣
RedHat Enterprise 無法免費下載，但 CentOS 可以免費下載
其中的差別是，RedHat Enterprise 有 RedHat 原廠的技術支援
不過說是技術支援，其實就類似 M$ 的電話支援服務

Windows 如果買正版的，使用上有問題也可以打電話去問微軟
過程中，微軟的客服人員會詢問序號和客戶基本資料
RedHat 賣的基本服務，就類似這樣子
電話或e-mail的技術支援，基本上使用的人也必須擁有一定程度
才能藉由語音或文字上的回答，排除問題點


Fedora 計畫，是由 RedHat 獨立出來的
RedHat 從第9版之後，宣佈以後將只有付費的 Enterprise 版
但是他們這種作法，是 GNU 無法允許的
所以另外延伸出一個免費的 Fedora 版

Fedora 版本，實際上主要是由 RedHat 的工程師在維護
其基金的來源，也是由 RedHat 所贊助
而 Fedora 說是 RedHat 9 的接班人，也不為過
因為裡頭的系統配置，和操作方法，全部和 RedHat 同出一轍

早期 Fedora 的官方網站，是直接掛在 RedHat 網站底下的
RedHat 稱其為 Fedora 計畫
而這個計畫相當成功，受到 Linux 族群的喜愛，佔有率非常之高
目前 Fedora 已經由 RedHat 完全獨立出來
是一個非商業性的 distro


Linux 的 distro，有分商業性，和非商業性

商業性的諸如：美國 RedHat Enterprise，法國 Mandriva，德國 SUSE，Slackwave .....等等，是由商業性質的公司所維護發佈，其特點是可以付費獲得原廠支援。

非商業性的有：Fedora，Debian，Ubuntu.....等等，是由非商業性的組織所維護發佈。

一般來說，Linux 社群中，挺非商業性 distro 的人比較多，因為如果挺商業性 distro ，等於是白白幫人家打廣告又沒好處拿。雖然商業性的 distro 也可以免費下載，但由於其牽涉到商業利益的關係，多少有違自由軟體的精神，因此挺的人比較少。


至於各 distor 之間的差異性：

Linux 主要只是一個「核心」
但只有「核心」的作業系統，是什麼事也不能做的，必須有應用程式

應用程式稱之為"套件"
將各式各樣的套件，和「核心」打包在一起
方便使用者可以馬上使用，不必再去慢慢下載安裝，稱之為 distor

各 distor 的差異性，只在包裝的套件不同，核心基本上是完全相同的
就算「核心」版本有差異，或編入的模組有差異
也能夠藉由「重新編譯核心」，來達到升級

另外 NetFilter 機制 (由 iptables 指令來控制)
也就是 Linux 最主要的防火牆機制
它是內建於 Linux 2.x 版核心之中
是由核心直接支援，並非另外安裝的套件

也有那種磁片版的 Linux 防火牆
小小一個 1.44mb 磁片，僅能塞下核心和驅動程式
但也可以操作 iptables ，因為那是由核心直接支援的

------------------------------------------------------------------

iptables 是一個系統指令，用來操控 Linux 的 NetFilter 機制

如果要舉例的話：

就好比以前 DOS 時代，我們要壓縮一個檔案
用 zip，rar，arj ，不管什麼格式都好，都要下一大堆指令語法和參數
例如語法：c:\zip -cvf 目標擋 來源擋

但是今日視窗時代
有所謂的 winRAR，winZIP，滑鼠點一點就可以壓縮，相當方便

買硬體式的防火牆，就好比 winRAR，滑鼠點一點就可以壓縮
相當方便，唯一缺點是要錢買

用 Linux 的 iptables ，就好比以前 DOS 時代的指令
要下一大堆語法和參數
但以前 DOS 時代，也有所謂的 .bat 自動執行批次檔
就是有人已經把語法和參數都寫好了，只要去執行那個 .bat 檔就可以了
不需去記 zip，rar，arj ，什麼雜七雜八，有的沒的一大堆參數

Linux 也有這樣子的設計，稱為 shell script
shell script 就類似 DOS 的 .bat，只是更厲害，因為它可以寫程式

利用別人寫好的 shell script
根本不需要知道 iptables 語法怎麼下，只要把變數套一套就可以用了
例如：對外/對內 IP，要開放的 port，要 DNZ 的位址....等等
把變數套一套，然後執行它就 OK 了，輕鬆愜意
也可以寫入[啟動]一開機就執行


shell script 的內容，和 .bat 一樣，只是一般文字檔
要複製相當容易，就是拷貝一個文字檔這樣子而已

而前面提到，iptables 系統指令，是內建在 Linux 「核心」的
只要是 Linux，一定就支援 iptables
換句話說，就算要安裝1百台，1千台
也不過就是把這個文字檔拷貝來拷貝去

對於一個常常重灌 windows 電腦的硬體工程師來說
就了解所謂的「無人職守，自動安裝光碟」是多麼重要的東西
若沒有這玩意，光是整天在那裡重灌，什麼事也不用做了

而對於經常要設定網路的 MIS 來說
自動化，標準化，同樣也是非常重要，節省精力又節省時間
一個寫好的設定檔，百千萬台 Linux 電腦，全部適用
唯一要動手做的只有一件事，把它拷貝進去，然後就可以休息納涼了
這是多麼棒的事情啊

:)

又在玩指定品牌了阿? :D

我實在搞不懂..

為什麼大部分的人都迷信Ci$co跟N$這類只會浪費錢的Firewall

那些c牌n牌不但貴,而且又愛搞一些認證..

另外Fedora跟RHEL有什麼差別?

RHEL多了那隻可以隨時打過去聊天的電話 :jump2:

我覺得這並不是在玩品牌遊戲耶
企業要求的確實是穩定、易操控
用 Linux 或是相關的 OS 來做軟體防火牆
通常在操控性上不會比企業用防火牆來的簡單
就技術上有一定的門檻
我是覺得一個企業如果防火牆掛了，資訊人員要花很多心力來處理這些問題
不如用一台不錯的硬體防火牆
以免就人員技術交接或是該段時間內企業的損失來的少
基本上以企業的眼光出發，我是比較贊成 cheerx 說的
當然若是以技術人員想玩技術的出發點來看，就會認同 linux_xp 說的
不過我想我不會拿自己的飯碗開玩笑
有些系統是無法停機的....

Linux 既是 GPL 授權，又豈有非用錢買不可的道理

事實上，RedHat Enterprise 版賣的是一個商標和服務
因為它是 Linux，當然一定也有開放原始碼
而有個組織把 RedHat Enterprise 版的原始碼
編譯後拿來發行新的 distro，稱作：CentOS
(這在 GPL 授權中是合法的，但不能用別人的商標，所以換了個名字)

CentOS = RedHat Enterprise
是完全一模一樣的東西，只是商標不一樣
RedHat Enterprise 無法免費下載，但 CentOS 可以免費下載
其中的差別是，RedHat Enterprise 有 RedHat 原廠的技術支援
不過說是技術支援，其實就類似 M$ 的電話支援服務

Windows 如果買正版的，使用上有問題也可以打電話去問微軟
過程中，微軟的客服人員會詢問序號和客戶基本資料
RedHat 賣的基本服務，就類似這樣子
電話或e-mail的技術支援，基本上使用的人也必須擁有一定程度
才能藉由語音或文字上的回答，排除問題點


Fedora 計畫，是由 RedHat 獨立出來的
RedHat 從第9版之後，宣佈以後將只有付費的 Enterprise 版
但是他們這種作法，是 GNU 無法允許的
所以另外延伸出一個免費的 Fedora 版

Fedora 版本，實際上主要是由 RedHat 的工程師在維護
其基金的來源，也是由 RedHat 所贊助
而 Fedora 說是 RedHat 9 的接班人，也不為過
因為裡頭的系統配置，和操作方法，全部和 RedHat 同出一轍

早期 Fedora 的官方網站，是直接掛在 RedHat 網站底下的
RedHat 稱其為 Fedora 計畫
而這個計畫相當成功，受到 Linux 族群的喜愛，佔有率非常之高
目前 Fedora 已經由 RedHat 完全獨立出來
是一個非商業性的 distro


Linux 的 distro，有分商業性，和非商業性

商業性的諸如：美國 RedHat Enterprise，法國 Mandriva，德國 SUSE，Slackwave .....等等，是由商業性質的公司所維護發佈，其特點是可以付費獲得原廠支援。

非商業性的有：Fedora，Debian，Ubuntu.....等等，是由非商業性的組織所維護發佈。

一般來說，Linux 社群中，挺非商業性 distro 的人比較多，因為如果挺商業性 distro ，等於是白白幫人家打廣告又沒好處拿。雖然商業性的 distro 也可以免費下載，但由於其牽涉到商業利益的關係，多少有違自由軟體的精神，因此挺的人比較少。


至於各 distor 之間的差異性：

Linux 主要只是一個「核心」
但只有「核心」的作業系統，是什麼事也不能做的，必須有應用程式

應用程式稱之為"套件"
將各式各樣的套件，和「核心」打包在一起
方便使用者可以馬上使用，不必再去慢慢下載安裝，稱之為 distor

各 distor 的差異性，只在包裝的套件不同，核心基本上是完全相同的
就算「核心」版本有差異，或編入的模組有差異
也能夠藉由「重新編譯核心」，來達到升級

另外 NetFilter 機制 (由 iptables 指令來控制)
也就是 Linux 最主要的防火牆機制
它是內建於 Linux 2.x 版核心之中
是由核心直接支援，並非另外安裝的套件

也有那種磁片版的 Linux 防火牆
小小一個 1.44mb 磁片，僅能塞下核心和驅動程式
但也可以操作 iptables ，因為那是由核心直接支援的

------------------------------------------------------------------

iptables 是一個系統指令，用來操控 Linux 的 NetFilter 機制

如果要舉例的話：

就好比以前 DOS 時代，我們要壓縮一個檔案
用 zip，rar，arj ，不管什麼格式都好，都要下一大堆指令語法和參數
例如語法：c:\zip -cvf 目標擋 來源擋

但是今日視窗時代
有所謂的 winRAR，winZIP，滑鼠點一點就可以壓縮，相當方便

買硬體式的防火牆，就好比 winRAR，滑鼠點一點就可以壓縮
相當方便，唯一缺點是要錢買

用 Linux 的 iptables ，就好比以前 DOS 時代的指令
要下一大堆語法和參數
但以前 DOS 時代，也有所謂的 .bat 自動執行批次檔
就是有人已經把語法和參數都寫好了，只要去執行那個 .bat 檔就可以了
不需去記 zip，rar，arj ，什麼雜七雜八，有的沒的一大堆參數

Linux 也有這樣子的設計，稱為 shell script
shell script 就類似 DOS 的 .bat，只是更厲害，因為它可以寫程式

利用別人寫好的 shell script
根本不需要知道 iptables 語法怎麼下，只要把變數套一套就可以用了
例如：對外/對內 IP，要開放的 port，要 DNZ 的位址....等等
把變數套一套，然後執行它就 OK 了，輕鬆愜意
也可以寫入[啟動]一開機就執行


shell script 的內容，和 .bat 一樣，只是一般文字檔
要複製相當容易，就是拷貝一個文字檔這樣子而已

而前面提到，iptables 系統指令，是內建在 Linux 「核心」的
只要是 Linux，一定就支援 iptables
換句話說，就算要安裝1百台，1千台
也不過就是把這個文字檔拷貝來拷貝去

對於一個常常重灌 windows 電腦的硬體工程師來說
就了解所謂的「無人職守，自動安裝光碟」是多麼重要的東西
若沒有這玩意，光是整天在那裡重灌，什麼事也不用做了

而對於經常要設定網路的 MIS 來說
自動化，標準化，同樣也是非常重要，節省精力又節省時間
一個寫好的設定檔，百千萬台 Linux 電腦，全部適用
唯一要動手做的只有一件事，把它拷貝進去，然後就可以休息納涼了
這是多麼棒的事情啊

:)

真的是高手阿
看來我也得準備一台iptables電腦式的Linux防火牆
不過目前完全不懂LINUX系統

想請教一下，硬體的規格大概要多少才跑的起來呢
目前剩下一台560MHZ的電腦記憶體大約384MB
不曉得能不能充當交友網站防火牆

真的是高手阿
看來我也得準備一台iptables電腦式的Linux防火牆
不過目前完全不懂LINUX系統

想請教一下，硬體的規格大概要多少才跑的起來呢
目前剩下一台560MHZ的電腦記憶體大約384MB
不曉得能不能充當交友網站防火牆

如果只有 Linux 核心 (磁片版的防火牆)
只要 486 以上，RAM 12MB 以上，就可以執行了
當然，CPU 愈快，RAM 愈多，執行效率會愈好

560MHZ，384MB 的電腦
拿來當純防火牆，算很高檔了，效能一定很不錯 :)

建議可以從 Fedora core4 學起，相關中文書籍比較多

安裝時， SELinux 選項不要打開 (這個很難搞，初學不建議使用)

基本上當防火牆的電腦，不需要 x-window 視窗環境
可以選擇 [最小安裝]，會比較節省記憶體
硬碟空間需求約 1GB

防火牆的部份，推薦這一本：
http://www.pczone.com.tw/showthread.php?t=140369

磁片版的 Linux 防火牆：
(此磁片版，核心為舊的 2.4x，不建議當企業用的防火牆，家庭用不錯)
http://www.pczone.com.tw/showthread.php?t=138801

Linux 核心 2.4x 版，已被證實有漏洞
目前新版的為 2.6x 版，是安全穩定版本

Live-CD 版的 Linux ：
(免安裝，光碟開機可執行，可以先試用看看 Linux 好不好用，適不適合)
http://knoppix.tnc.edu.tw/modules/news/article.php?storyid=180

:)

磁片版的 Linux 防火牆：
(此磁片版，核心為舊的 2.4x，不建議當企業用的防火牆，家庭用不錯)
http://www.pczone.com.tw/showthread.php?t=138801

Linux 核心 2.4x 版，已被證實有漏洞
目前新版的為 2.6x 版，是安全穩定版本

這個意思是說, 配合2.4x版本所使用的iptables有安全上的漏洞嗎?



PS2：OPENBSD的核心開發者就是上次在站上有人轉貼的另一篇文章有位批評LINUX核心最近做的很差的人，不過他並非最近第一個開砲的OPEN SOURCE組織開發者，非常知名的大鬍子COX早在非常多個月前就已經公開的批評托瓦茲在修改2.6核心的時候沒有詳細標明修改的位置跟方式，會造成之後維護的人極大的麻煩了,不過可能也是因為這個動作惹火一些LINUX基本教義人士，大鬍子已經很久沒看到有撰寫新的LINUX核心或是程式的紀錄了.

LINUX的2.4核心到2.6核心改寫的程式多到很多人認為幾乎是把LINUX核心重寫，不過最近的安全問題已經多到有人預測下一個大改版，核心的開發恐怕又要重來一次了.

另外根據cheerx網友所述, 這樣看起來2.6x版本的核心, 似乎穩定度可能會比不上2.4x版本, 那麼...
若單純要用來架設iptables防火牆的話, 是用2.4x還是2.6x核心好呢? 在安裝上有什麼要注意的事項?

在此先謝謝各位前輩的回答了, 謝謝各位前輩 :)