| 專業喇賽老天使 | 先說明本人不是生意人,是給人請的,小弟也有幾張證照,絕不是貶低認證或任何OS Linux iptables 的確是一個可用的solution 如果說樓主的BOSS堅持使用,那當然是老闆為主,沒什麼好爭的 請別筆戰了 個人不過是提出看過的業界看法罷了 至於 iptables 市面上有專書介紹,個人認為「動物牌」的蠻不錯的 今天在光華看到的博碩有出一系列新書(安全、防駭、伺福器架設)也不錯,樓下又邊走到底倒數第三間那間專賣電腦書的可以問問看  |
| 回覆 |
| Kree  | 引用:
首先,要了解所謂的 硬體防火牆,是什麼東西,才有辦法比較 低階的硬體防火牆,就是一個鐵盒子,類似IP分享器 高階的,就是那種 1U 機架式的伺服器,可以上機架 拆開來看,可以發現,裡頭是工業用電腦(小型電腦系統) 也是主機板、CPU、RAM,外加裝載 OS 的 Flash ROM 而 CPU 上面,也是掛風扇 就像公司裡的 web、e-mail server ...等等 伺服器也是電腦,也會壞 那要如何保障它的可用性 (HA)呢? 硬碟這種機械性的元件,會用 RAID1 來保障 電源供應器,就用可熱插拔,雙power 電源模組 風扇用久也會壞,壞了就是更新 其實 硬體防火牆(工業用電腦) = 伺服器 = 軟體路由器 = Linux 伺服器 這些都是電腦,都是會損壞 問題只在於,你要如何讓風險減到最低 好比說 RAID 磁碟陣列,雙電源備援,UPS不斷電系統...等等 也許有人會說,至少硬體防火牆,不用硬碟,損壞機率較低 OK 瞧瞧這些玩意:  這是一種把CF 轉成 IDE 的轉接卡 意思就是把 CF 記憶卡,當硬碟使用 是不是=硬體防火牆的 Flash ROM? 另外也有這種款式的:  不必轉,直接插上IDE槽,就是電子硬碟 (DOM,Flash ROM) 那麼就解決了硬碟容易損壞的問題,昂貴的 RAID 也免了 但問題是,還是要懂 Linux....沒錯 那有沒有現成的呢?  例如 Flash ROM 已經裝好精簡型 Linux 也全部設定好了,還提供 web 管理介面,馬上可使用的 換句話說,就是現成的產品 有!聯網 e 晶片 http://mall.hc.net.tw/ShopStyle/HCMA...&prod_id=A0001 http://info.windfly.net/ 聯網 e 晶片,是 Linux 崁入式系統路由器的實際應用 1wan 的產品,大約 6千多元 它是一個類似 Flash ROM 的東西,也是插在IDE槽 使用者自己準備一台電腦,要什麼等級自己決定 CPU 要多快有多快,RAM 要多高有多高 插上這塊卡,電腦搖身一變,成為 Linux 路由器 + 防火牆 使用方法和硬體路由器,一模一樣 也是用瀏覽器登入,由圖型介面去設定 拉桿拉一拉,欄位填一填,就可以設定好 設定法,和硬體路由器,沒有兩樣 當然,一個 Flash ROM 根本不值 6千多元 廠商賣的也是那個技術 完全都裝好了,設定好了,提供web管理介面,馬上可使用 自己懂 Linux + iptables 的話 實做它,就可以省下這筆錢 但其實,要把 Linux 整套系統,搞到精通,也是要花不少功夫 尤其對一位沒接觸過 unix 系統的人來說,要花的時間,更是多 那有沒有更快的方法呢? 有,網路什麼都嘛有... 有一種玩意,叫做 軟體路由器 就是前面一直提到的 它也是崁入式核心的應用,把標準的 Linux 或 FreeBSD 精簡化 只保留有關 路由器 和 防火牆 的功能 也支援 iptables 完整語法,完整功能 更神奇的是,它全部都幫你安裝好了 還提供 web 圖形化管理介面 只要用磁片或光碟開機,馬上可以使用 如果硬要說它和硬體路由器有什麼差別的話: 1.它是英文的 2.它沒有廠商支援,遇到問題要自己想辦法解決,或求助網路社群 3.but ...... 它是免費的 軟體路由器這方面的資訊 可以到 PCZONE 網路硬體版找找,還蠻多的 好吧,又或者,有人會提到: 錢不是問題,我要的是 安全性、穩定性、效能  OK,穩定性剛已經講過了 硬體路由器/防火牆,也是工業用電腦 伺服器,也是電腦 Linux 伺服器,軟體路由器,通通都是電腦 沒有不穩定的電腦,只有不會組裝的人... 市面上,電腦零件百百種,為什麼有的品牌就是比較貴? 沒別的原因,就是品質 同樣是 power 海韻人人稱讚,蛇x象被說成是動物牌絕對不要買 諸如此類....................族繁不即備載,why?tell me why? 相信各位看官心裡有數 硬碟的問題,可以用 RAID ,或由 DOM 來解決 電腦用的 PSU 使用年限較低,可以由雙備援來解決 .....諸如此類,沒有解決不了的硬體問題 整體花費下來,等於組一台高階的伺服器,會花很多錢,沒錯 但卻是比買昂貴的硬體路由器,還要省 妙就妙在這裡,你不得不佩服這套自組的系統 明明比較便宜,規格卻比較讚,效能更好,做的還是同樣的事情... 安全性,這個不用說明了 iptables ← 就是安全性 誠如樓主所說,錸德和PCHOME,這是何等的大站 用 Linux 當防火牆,頭殼壞了啦? 不,就是因為頭殼沒壞,所以才用最高安全等級的 但是為了公正起見,要講老實話 Linux 核心有分好幾版本,是有編號的 舉例來說: 2.4x 版,已經被證實核心有漏洞 會被利用tcp的旗標錯誤攻擊 因為這是屬於核心的漏洞,所以 iptables 也擋不下來 不過這個漏洞,已在核心 2.6x 版,被修正了 最新版的 Linux 核心,就是 2.6x 版 但要注意有些以 Linux 為核心的 軟體路由器 仍然在使用 2.4x 版的核心 至於硬體防火牆的話 只要OS不是採用 Linux 核心,就不會有這個問題 例如:cisco 有自己的 cisco os 它有沒有漏洞不清楚,但就算有也很少人會發現,因為沒有開放原始碼的關係 而最後來談談效能,這是很簡單的數學 3GHz (2萬元左右) VS 1GHz (10萬元左右) 最大 4GB RAM VS 256MB 答案揭曉...  | |
| 回覆 |
| 散人  | 其實不論軟硬,除了cisco有自己的IOS,其他的產品,大概都離不開linux吧? 只是硬體的,把一些軟件做在硬體裡,如flash等,說真的,也是花了不少功夫。 光是把電腦裡的一些有的沒的硬體抽掉,讓它變成一部看起來比較不像電腦的硬 體,就不是一件簡單的工程了,然後再寫一個專用的WEB介面,及一些硬體的操 控介面,也不事件簡單的事。其實有很多的軟體防火牆,現在也都非常容易安裝, 像我這種不懂linux的人來說,也可以設定啊。感覺也跟在設定一般的IP分享器差 不多耶。說會故障或是機率的大小,那還不如擔心一下哪天美國的核彈誤動作吧? 只是我很好奇,硬體防火牆的定義是什麼?當我們自己也把軟體放入cf卡中,然後 再放到我們的電腦中運作時,因為已經沒有硬碟故障的問題,至少CF卡的故障率 應該比較低吧?這樣算不算是硬體防火牆?這樣的產品,會不會比市面上市售的純 硬體防火牆好?如果真的這樣比較好,現有的硬體廠商是否應該要調整腳步方向了? 只是一點個人的建議,低階硬體防火牆市場也許是較優於軟體防火牆,但是高階的 ,似乎廠商們要多留意了。 |
| 回覆 |
| PS Engineer  | 話說回來 CISCO的 IDS 還是使用RedHat 來當作他的OS喔!有興趣的人可以去找找CISCO IDS 的 Recover CD 來試看看就知道了! |
| 回覆 |
| 會員 | 若說 IPTABLE 覺得不容易學習 有個叫做 GuardDog 的圖形介面是能夠幫到不少的忙的 http://www.simonzone.com/software/guarddog/ 若提到是兩岸三地的狀況 是不是應該把 VPN 的連線建立方式給考慮進去 ? |
| 回覆 |
| 人不機車罔少年~機 | |
| 回覆 |
| 會員 | 引用:
但採用的電腦似乎是要稍為考量一下,自組的好像不怎麼保險.還是採用伺服器等級的設備.不需要太高階效能就很好.但二萬元真的有些陽春. | |
| 回覆 |
| 會員  | 看過一些要價七~八萬的防火牆,感覺都是貴在一些幫你內建好的功能,例如擋msn,打個勾就可以了,不能讓外部ping,一樣打個勾就行了,但只要知道軟體是跑什麼port,如何運作,用到什麼協定,自己設定規則一樣做的到,而且可以學到了解更多...,不過,並不是每個人都可以這樣...所以,硬體防火牆還是有他的市場,有他貴的理由,只要打幾個勾... |
| 回覆 |
| 會員 | 版上的高手一個個都冒出來啦 |
| 回覆 |
| 永遠學習中的網工 | 其實貓貓的問題很多MIS的人員也會碰到一樣的處境吧... 到底是要用免費的東西,然後多花點時間精力來做, 還是買台設備一次打死,省的給自己找麻煩!! 問過公司的同事,他們比較偏向買硬體設施,畢竟今天公司的人不多,要做的事情卻不少 再加上對LINUX的不熟悉,架設之後相容性的疑慮,後續的維護及設定, 回過頭來,反而沒有所謂好不好的問題,反而是適不適合的問題... 硬體防火牆的核心作業軟體雖然也是LINUX,但是經過廠商重新改寫過後,把額外的東西拿掉 可以減少不需要的漏洞與負荷 LINUX防火牆在成本的升級的優勢就不是硬體可以比的上的... 真難選阿... |
| 回覆 |
| XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。
