【閒聊】你會用Linux當防火牆嗎

**misol** · 2005-05-05, 05:54 PM

先說明本人不是生意人，是給人請的，小弟也有幾張證照，絕不是貶低認證或任何OS

Linux iptables 的確是一個可用的solution
如果說樓主的BOSS堅持使用，那當然是老闆為主，沒什麼好爭的

請別筆戰了

個人不過是提出看過的業界看法罷了

至於 iptables 市面上有專書介紹，個人認為「動物牌」的蠻不錯的
今天在光華看到的博碩有出一系列新書（安全、防駭、伺福器架設）也不錯，樓下又邊走到底倒數第三間那間專賣電腦書的可以問問看

**linux_xp** · 2005-05-05, 08:40 PM

作者：地獄貓

小弟幹MIS也有一段時間了,雖然對LINUX不熟悉,但也從來不排斥
今天要評估IPTABLE是主管要求的,如果今天上面決定用IPTABLE,
那當屬下的沒有理由說不熟,死k活k也得把它k起來,我想這跟小弟的問題沒有多大的關係!!
由於公司裡面對LINUX熟悉的人不多,資訊人力也不是挺充足的
在考量成本因素之下,IPTABLE是一個不錯的選擇,但如果今天加進了其他因素
或許他就不是,我想版上有很多同業有著跟小弟一樣的經驗!!!
由於小弟對IPTABLE的不熟悉,所以才想藉著各位版大的經驗讓小弟能得到更充足的資訊
以便作為採購評估的判斷,
我的老闆曾經跟我說錸德跟PCHOME都用LINUX當F/W,我覺得他們這樣做挺好
不過我也想問問他們花了多少成本跟時間在維護跟CONFIG這個東西??
小弟公司台北有三個MIS...一個主管,一個助理,一個我,廣州負責網路的人也只有一個,
我也很想弄個IPTABLE來玩玩,但是我也很擔心哪天長假突然停電,設備開不起來要怎麼辦??
或許各位能再給小弟一些其它的意見!!!
感謝!!

首先，要了解所謂的 硬體防火牆，是什麼東西，才有辦法比較

低階的硬體防火牆，就是一個鐵盒子，類似IP分享器
高階的，就是那種 1U 機架式的伺服器，可以上機架

拆開來看，可以發現，裡頭是工業用電腦(小型電腦系統)
也是主機板、CPU、RAM，外加裝載 OS 的 Flash ROM
而 CPU 上面，也是掛風扇

就像公司裡的 web、e-mail server ...等等
伺服器也是電腦，也會壞
那要如何保障它的可用性 (HA)呢？

硬碟這種機械性的元件，會用 RAID1 來保障
電源供應器，就用可熱插拔，雙power 電源模組
風扇用久也會壞，壞了就是更新

其實
硬體防火牆(工業用電腦) = 伺服器 = 軟體路由器 = Linux 伺服器
這些都是電腦，都是會損壞

問題只在於，你要如何讓風險減到最低
好比說 RAID 磁碟陣列，雙電源備援，UPS不斷電系統...等等

也許有人會說，至少硬體防火牆，不用硬碟，損壞機率較低
OK
瞧瞧這些玩意：

這是一種把CF 轉成 IDE 的轉接卡
意思就是把 CF 記憶卡，當硬碟使用
是不是=硬體防火牆的 Flash ROM？

另外也有這種款式的：

不必轉，直接插上IDE槽，就是電子硬碟 (DOM，Flash ROM)

那麼就解決了硬碟容易損壞的問題，昂貴的 RAID 也免了
但問題是，還是要懂 Linux....沒錯

那有沒有現成的呢？

例如 Flash ROM 已經裝好精簡型 Linux
也全部設定好了，還提供 web 管理介面，馬上可使用的

換句話說，就是現成的產品

有！聯網 e 晶片
http://mall.hc.net.tw/ShopStyle/HCMA...&prod_id=A0001
http://info.windfly.net/

聯網 e 晶片，是 Linux 崁入式系統路由器的實際應用
1wan 的產品，大約 6千多元
它是一個類似 Flash ROM 的東西，也是插在IDE槽

使用者自己準備一台電腦，要什麼等級自己決定
CPU 要多快有多快，RAM 要多高有多高
插上這塊卡，電腦搖身一變，成為 Linux 路由器 + 防火牆

使用方法和硬體路由器，一模一樣
也是用瀏覽器登入，由圖型介面去設定
拉桿拉一拉，欄位填一填，就可以設定好
設定法，和硬體路由器，沒有兩樣

當然，一個 Flash ROM 根本不值 6千多元
廠商賣的也是那個技術
完全都裝好了，設定好了，提供web管理介面，馬上可使用

自己懂 Linux + iptables 的話
實做它，就可以省下這筆錢

但其實，要把 Linux 整套系統，搞到精通，也是要花不少功夫
尤其對一位沒接觸過 unix 系統的人來說，要花的時間，更是多

那有沒有更快的方法呢？

有，網路什麼都嘛有...

有一種玩意，叫做 軟體路由器
就是前面一直提到的

它也是崁入式核心的應用，把標準的 Linux 或 FreeBSD 精簡化
只保留有關 路由器 和 防火牆 的功能
也支援 iptables 完整語法，完整功能

更神奇的是，它全部都幫你安裝好了
還提供 web 圖形化管理介面
只要用磁片或光碟開機，馬上可以使用

如果硬要說它和硬體路由器有什麼差別的話：
1.它是英文的
2.它沒有廠商支援，遇到問題要自己想辦法解決，或求助網路社群
3.but ...... 它是免費的

軟體路由器這方面的資訊
可以到 PCZONE 網路硬體版找找，還蠻多的

好吧，又或者，有人會提到：
錢不是問題，我要的是 安全性、穩定性、效能

OK，穩定性剛已經講過了

硬體路由器/防火牆，也是工業用電腦
伺服器，也是電腦
Linux 伺服器，軟體路由器，通通都是電腦

沒有不穩定的電腦，只有不會組裝的人...

市面上，電腦零件百百種，為什麼有的品牌就是比較貴？
沒別的原因，就是品質

同樣是 power
海韻人人稱讚，蛇x象被說成是動物牌絕對不要買
諸如此類....................族繁不即備載，why？tell me why？
相信各位看官心裡有數

硬碟的問題，可以用 RAID ，或由 DOM 來解決
電腦用的 PSU 使用年限較低，可以由雙備援來解決
.....諸如此類，沒有解決不了的硬體問題

整體花費下來，等於組一台高階的伺服器，會花很多錢，沒錯
但卻是比買昂貴的硬體路由器，還要省
妙就妙在這裡，你不得不佩服這套自組的系統
明明比較便宜，規格卻比較讚，效能更好，做的還是同樣的事情...

安全性，這個不用說明了
iptables ← 就是安全性

誠如樓主所說，錸德和PCHOME，這是何等的大站
用 Linux 當防火牆，頭殼壞了啦？
不，就是因為頭殼沒壞，所以才用最高安全等級的

但是為了公正起見，要講老實話

Linux 核心有分好幾版本，是有編號的
舉例來說：

2.4x 版，已經被證實核心有漏洞
會被利用tcp的旗標錯誤攻擊
因為這是屬於核心的漏洞，所以 iptables 也擋不下來

不過這個漏洞，已在核心 2.6x 版，被修正了
最新版的 Linux 核心，就是 2.6x 版

但要注意有些以 Linux 為核心的 軟體路由器
仍然在使用 2.4x 版的核心

至於硬體防火牆的話
只要OS不是採用 Linux 核心，就不會有這個問題
例如：cisco 有自己的 cisco os
它有沒有漏洞不清楚，但就算有也很少人會發現，因為沒有開放原始碼的關係

而最後來談談效能，這是很簡單的數學
3GHz (2萬元左右) VS 1GHz (10萬元左右)
最大 4GB RAM VS 256MB
答案揭曉...

**rushoun** · 2005-05-05, 09:26 PM

其實不論軟硬，除了cisco有自己的IOS，其他的產品，大概都離不開linux吧?
只是硬體的，把一些軟件做在硬體裡，如flash等，說真的，也是花了不少功夫。
光是把電腦裡的一些有的沒的硬體抽掉，讓它變成一部看起來比較不像電腦的硬
體，就不是一件簡單的工程了，然後再寫一個專用的WEB介面，及一些硬體的操
控介面，也不事件簡單的事。其實有很多的軟體防火牆，現在也都非常容易安裝，
像我這種不懂linux的人來說，也可以設定啊。感覺也跟在設定一般的IP分享器差
不多耶。說會故障或是機率的大小，那還不如擔心一下哪天美國的核彈誤動作吧?

只是我很好奇，硬體防火牆的定義是什麼?當我們自己也把軟體放入cf卡中，然後
再放到我們的電腦中運作時，因為已經沒有硬碟故障的問題，至少CF卡的故障率
應該比較低吧?這樣算不算是硬體防火牆?這樣的產品，會不會比市面上市售的純
硬體防火牆好?如果真的這樣比較好，現有的硬體廠商是否應該要調整腳步方向了?
只是一點個人的建議，低階硬體防火牆市場也許是較優於軟體防火牆，但是高階的
，似乎廠商們要多留意了。

**Tsaiching** · 2005-05-05, 10:24 PM

話說回來 CISCO的 IDS 還是使用RedHat 來當作他的OS喔！有興趣的人可以去找找CISCO IDS 的 Recover CD 來試看看就知道了！

**kaspersky** · 2005-05-06, 12:37 AM

若說 IPTABLE 覺得不容易學習
有個叫做 GuardDog 的圖形介面是能夠幫到不少的忙的

http://www.simonzone.com/software/guarddog/

若提到是兩岸三地的狀況
是不是應該把 VPN 的連線建立方式給考慮進去 ?

**TAIWAN** · 2005-05-08, 09:58 PM

IP SPOOFING

I P S E C

LINUX IP TABLE 也可以中文化簡單化改成硬體化 http://www.webmin.com/

**alec5106** · 2005-05-08, 10:14 PM

作者：linux_xp

Linux 防火牆 iptables
就算組一台 3GHz CPU，2GB RAM
掛雙POWER，外加UPS的電腦
想必也不用花到 2萬元
但是2萬元說要去買硬體防火牆
能買到 1GHz 256MB的機器，就要偷笑了

同意您看法.活用linux確實可以達到很好的效能.
但採用的電腦似乎是要稍為考量一下,自組的好像不怎麼保險.還是採用伺服器等級的設備.不需要太高階效能就很好.但二萬元真的有些陽春.

**solong** · 2005-05-09, 03:15 AM

看過一些要價七~八萬的防火牆，感覺都是貴在一些幫你內建好的功能，例如擋msn，打個勾就可以了，不能讓外部ping，一樣打個勾就行了，但只要知道軟體是跑什麼port，如何運作，用到什麼協定，自己設定規則一樣做的到，而且可以學到了解更多...，不過，並不是每個人都可以這樣...所以，硬體防火牆還是有他的市場，有他貴的理由，只要打幾個勾...

**realmax** · 2005-05-09, 09:16 AM

版上的高手一個個都冒出來啦

**地獄貓** · 2005-05-09, 04:00 PM

其實貓貓的問題很多MIS的人員也會碰到一樣的處境吧...
到底是要用免費的東西,然後多花點時間精力來做,
還是買台設備一次打死,省的給自己找麻煩!!
問過公司的同事,他們比較偏向買硬體設施,畢竟今天公司的人不多,要做的事情卻不少
再加上對LINUX的不熟悉,架設之後相容性的疑慮,後續的維護及設定,
回過頭來,反而沒有所謂好不好的問題,反而是適不適合的問題...
硬體防火牆的核心作業軟體雖然也是LINUX,但是經過廠商重新改寫過後,把額外的東西拿掉
可以減少不需要的漏洞與負荷
LINUX防火牆在成本的升級的優勢就不是硬體可以比的上的...
真難選阿...