【閒聊】你會用Linux當防火牆嗎

[地獄貓]

如果你的公司是一個分布在兩岸三地的小公司...
台北百出頭個USER,廣州一兩千個USER...
你會考慮使用Linux來作為防火牆嗎??
如果會,你打算怎麼做??

[rushoun]

會啊!只是要做很多功課，要很辛苦，可能搞很久，不一定弄得出來，
乾脆找專業的LINUX公司做比較好吧，畢竟是商業用途的東西。

[linux_xp]

Linux 防火牆 iptables
超好用，超強的
幾乎所有你想要的功能，都可以實現

也不用去煩惱效能
因為一部電腦的CPU要多快，RAM要多快
完全是取決於組裝什麼等級

就算組一台 3GHz CPU，2GB RAM
掛雙POWER，外加UPS的電腦
想必也不用花到 2萬元
但是2萬元說要去買硬體防火牆
能買到 1GHz 256MB的機器，就要偷笑了


不過 Linux 的 iptables 學起來不容易
首先，你要有 TCP/IP 的基礎知識
再來，需懂 iptables 下指令的用法
進階一點，需懂 shell script 程式化寫法

http://www.pczone.com.tw/vbb3/showthread.php?t=140369

[地獄貓]

引用:

作者: linux_xp

Linux 防火牆 iptables
超好用，超強的
幾乎所有你想要的功能，都可以實現

也不用去煩惱效能
因為一部電腦的CPU要多快，RAM要多快
完全是取決於組裝什麼等級

就算組一台 3GHz CPU，2GB RAM
掛雙POWER，外加UPS的電腦
想必也不用花到 2萬元
但是2萬元說要去買硬體防火牆
能買到 1GHz 256MB的機器，就要偷笑了


不過 Linux 的 iptables 學起來不容易
首先，你要有 TCP/IP 的基礎知識
再來，需懂 iptables 下指令的用法
進階一點，需懂 shell script 程式化寫法

http://www.pczone.com.tw/vbb3/showthread.php?t=140369

請問Linux兄,以這幾年來軟體防火牆幾乎在市場上消失的情形來看,
想請教有關若利用IPTABLE來做F/W的幾個問題:
1.跟公開的作業系統綁在一起,又是使用一般的PC,當發生問題時必須從三方面下手來找原因,有可能會消耗比較多的時間!!企業有時候並不容許Internet斷線太久...
2.公司防火牆幾乎是一年到頭不關機的,軟體防火牆在OS與設備的穩定性是否能跟硬體防火牆相提並論??說實在的,以現在一台兩三萬的PC的品質,要一年到頭不關機,心理不是挺放的下的...
3.市面上銷售的防火牆設備多數都有經過測試與國際認證,IPTABLE是否也有通過相關的認證呢??
4.由於公司在大陸的工廠有自己的INTERNET出口,為求整合起見,如果台北採用IPTABLE,則大陸工廠也將隨之跟進,但由於當地有自己的資訊人員,所以未來必定由該地資訊負責Config跟維護!!由於您提到要達到企業需求可能會需要用Shell Script下去撰寫一些東西,那會不會因為Config的問題導致兩地的防火牆在使用某些功能時無法順利使用,或相關類似的問題,甚至在未來負責架設的人員離職後無法維護更新??
上面的問題暫時沒有把設備備援考慮進去..
小弟的幾個疑問,還請LINUX兄跟各位網兄提供您的意見供小弟參考,
謝謝

[linux_xp]

0.
裝於電腦上，本身可開機的軟體路由器 (Router OS)
和安裝於windows的軟體防火牆 (Application)
兩者是不同的
一個本身就是作業系統，一個是套裝軟體

軟體路由器 (必定內建防火牆機制)
有分收費和免費(自由軟體，GPL公眾授權)兩種
因為免費的，往往性能比收費的還強
所以收費的已經不流行了

免費軟體路由器，例如：
基於 Linux 核心 的 coyote,ipcop
基於 FreeBSD 核心 的 m0n0wall Embedded ....等等

這些免費軟體路由器，其實非常好用
像大陸那邊的網咖，幾乎都是用軟體路由器
大型網咖，有時電腦會有幾百台之譜
想較於中小企業來講，網咖的電腦數不會比較少
尤其遊戲又是最需要穩定連線的
如果說連線不穩，遊戲玩到一半斷線，那一定被客人幹到無力
機器性能好不好，網咖最了解
因此軟體路由器，可以說是經過實際應用考驗的

但在台灣，軟體路由器不流行的原因
主要原因是免費的軟體路由器
很少有繁體中文版，語言隔閡的關係，所以才少人使用
再來就是，軟體路由器使用上，需要有一定程度的技術知識
這也是少人使用的原因

1.
如果是使用標準 Linux 的話
當然硬碟是會損壞的，所以要做 RAID
電源用久也會壞，所以要掛雙POWER，備援電源
或是乾脆兩台主機互相備援，也是可以

如果是使用軟體路由器的話
有些軟體路由器，是由磁片啟動的，磁片都多備份幾片就好了

2.
其實這就是"錢"的問題
硬體防火牆，當然使用上比較便利，相對的也是錢打造出來的

我們平常用的電腦
CPU 2G~3G的，RAM 1GB~4GB
覺得沒什麼

但去看看硬體防火牆的規格，就會覺得很莫名其妙
硬體規格明明那麼低，卻賣那麼貴
好比說 1GHz，256MB 的來講好了
台製品就要9萬多元，更別說進口的外商品牌了

廠商都會跟你說，他們賣的是技術，是售後服務
貴就在貴在那個韌體的開發，和遇到問題時，可以打電話求助

適用於幾百~幾千人環境的機器，一台幾十萬是跑不掉的
如果公司肯出錢，預算夠的話，那當然是硬體防火牆比較好了
基本上用硬體式的網路設備，也不需要什麼特別技術
這樣MIS也落得輕鬆

但相對如果我以老闆的角度來想
可能就會覺得那請個MIS要做什麼就是了
請 MIS，請技術人員，就是來省錢的，而不是來花錢的
如果要花錢，直接和廠商簽維護契約，搞定一切不是更快
那也就不必再請個正職人員了，不是嗎

所以說，MIS也要當自強，要確定自我存在的價值
你所做的事，是換個人來做，就做不到的
這樣子這份職業，才會更有價值，相對也是一種保障
至少裁員時，絕不會裁到你就是了
裁了技術人員，結果沒人會用那不是要倒大眉了

3.
Linux 不是商業產品，通過認證對它來說並沒有意義
但我認為 iptables 若送去驗證，一定可以通過

4.
這是人事方面的問題
公司裡有 Linux 伺服器，自然必須應徵 LPI 人才
如果應徵個 MCSE，那顯的就很矛盾

換句話說，如果考量到目前公司內的人才素質
僅有 MSCE 人才的話，那最好還是不要碰 Linux 為妙
windows 和 unix-like ，這兩種系統，差異頗大
若要碰，那找個懂 Linux 的人才，是比較好的

[misol]

個人認為在現實考量下
使用市售的硬體防火牆會有較大的便利性
基於

1.方便性：硬體架構雖說價位高，但其方便性可是比建構LINUX防火牆高多了，兩岸三地建構同款防火牆不僅方便迅速，且萬一遇上「當機」這回事，請重新開機即可（電源鈕會按吧）

2.價格考量：以單純硬體價格來計算其實是不對的，一台硬體防火牆硬體＋設定＋售後服務的總價，跟請一位LINUX工程師的薪水（事先規劃、其中建置、事後維護可不是幾個月就能搞定的阿）來比，可以仔細算算看阿。

3.人才考量：所謂的 MXSE、RHXE、LXI ......等認證工程師能相信嗎？現今市面認證浮濫，阿貓阿狗都能花錢買幾個認證來玩，公司要建構防火牆你認為是不是需要一個經驗足夠、能夠適應或變通各種狀況的人嗎？要幾多錢？相對於建構硬體防火牆業者都會有一批對自己的產品熟捻的工程師，只要使用者能夠提出清楚明瞭的需求，應該能建構出符合需求的環境，再加上事後的維護及調教應都不成問題。

個人認為與其花大錢請啥狗屁認證工程師，又不一定搞的出來，用硬體防火牆請業者建置何樂而不為？

[rushoun]

真是十足生意人的說法啊!這樣似乎有失公正客觀耶。
有的經營者有機密上的考量，有的經營者只要簡單快速，
說什麼認證人員不值得信任，同樣的角度去看硬體廠商，
不也是一樣有優劣之分，認證制度浮濫，難道廠商就不浮
濫嗎?真有技術的，又有幾何?我相信有好廠商，他們的工
程人員，我想大家都希望他們有認證吧?

[linux_xp]

我認為認證只是一個門檻而已，並不代表該人就是對系統很熟
但至少這是一個可以評估的標準
總比今天來了一個人要應徵 MIS，說的天花亂墬
結果要他拿出證明，什麼也拿不出來，來的好

MIS的工作，不是只有架設防火牆這麼簡單而已
MIS是所謂的"高級水電工"
舉凡電腦有問題，作業系統要重灌，安裝軟體，網域管理....
甚至是雜七雜八換燈管之類的，都是MIS負責

防火牆，路由器
也許可以找賣網路設備的廠商買，由廠商幫你設定
但是網域管理，電腦硬體維修，請問又該找什麼廠商呢...
國外是有這種專門負責委外的網管公司啦
但是維護費，可是算上萬美金的


我有看到樓主在職業欄那邊，寫的是MIS工程師
換句話說，公司內的網路管理，就是由他負責的
他不是老闆，不能決定要怎麼做
但是他可以專業知識，去建議老闆怎麼做

iptables 和 硬體防火牆，哪種比較好？
那當然是看樓主對哪種比較熟囉
硬要自己去碰不熟的東西
那也不是說一兩個月就學的起來的東西
不是嗎

[aaronyih]

硬體防火牆+1

小弟以前玩LINUX也是玩的很兇,2年多前開始不玩了
為何呢,版本這麼多,學都學不完,一天到晚修正,老闆請你上班,不是請你來學東西的(你自己找時間玩,這是該有的本職)
再來說到要省錢,要以一般的PC做軟體防火牆,風險真的很大,一個不正常的斷電,整個系統可能就會毀損
以高檔的SERVER來做單獨做防火牆,老闆也會懷疑,一個高檔設備只做一個用途??
硬體防火牆雖然沒有軟體防火牆這麼有彈性,價格也貴了許多
但是穩定性及便利性是不可忽視的,小弟手邊有幾顆超過10年的CISCO設備,現在活的好好的
硬體防火牆好處是可以不改變現行架構,上線速度快,容易設定及維護,紀錄分析報表多...
這些都是要做比較的

單純從錢分面評估,一個企業可容許多少斷線的風險,災難復原所花費的時間及損失
要是老闆不在乎,那我的建議走軟體
反之,走硬體方式或許是比較好的選擇

[地獄貓]

小弟幹MIS也有一段時間了,雖然對LINUX不熟悉,但也從來不排斥
今天要評估IPTABLE是主管要求的,如果今天上面決定用IPTABLE,
那當屬下的沒有理由說不熟,死k活k也得把它k起來,我想這跟小弟的問題沒有多大的關係!!
由於公司裡面對LINUX熟悉的人不多,資訊人力也不是挺充足的
在考量成本因素之下,IPTABLE是一個不錯的選擇,但如果今天加進了其他因素
或許他就不是,我想版上有很多同業有著跟小弟一樣的經驗!!!
由於小弟對IPTABLE的不熟悉,所以才想藉著各位版大的經驗讓小弟能得到更充足的資訊
以便作為採購評估的判斷,
我的老闆曾經跟我說錸德跟PCHOME都用LINUX當F/W,我覺得他們這樣做挺好
不過我也想問問他們花了多少成本跟時間在維護跟CONFIG這個東西??
小弟公司台北有三個MIS...一個主管,一個助理,一個我,廣州負責網路的人也只有一個,
我也很想弄個IPTABLE來玩玩,但是我也很擔心哪天長假突然停電,設備開不起來要怎麼辦??
或許各位能再給小弟一些其它的意見!!!
感謝!!