原文作者: 明誠科技的cheerx 前輩 (打個廣告,他們所代理的居易系列IP SHARE 誠摯推薦)
http://www.pczone.com.tw/vbb3/showthread.php?t=113636
引用:
如果效能是防火牆最重要的考量的話,那就拿台BSD去弄IP FILTER吧!用LINUX加上IP TABLES的話核心可能要準備常常更新,對商用的環境並不是很方便.我想沒有什麼商用主機是可經常重開機的.
NETSCREEN或是CISCO的自有防火牆強調的是安全,而非跟PC比效能.因為他有自己的作業系統,而且是專為網路的可靠度和安全性環境設計的。效能有時夠用就可以了,安全性卻不是效能好一點就可以彌補的.
以CISCO來說,他是許多網路通訊協定的規格制訂者之一,許多通訊協定的弱點都有在他的FIREWALL上加以補強,這種安全是企業需要的,開放式的作業系統很難做到這些.企業再看設備的採購,不會只以設備的價格作為考量,尤其這一類的東西關係到企業信譽或是日常運作的問題,需要的是更強的可靠度和安全性.
簡單的說,光是一個要求不能中斷的企業網路要做防火牆的HA,就不是用PC平台可以輕易弄出來的.企業也不會給MIS那麼多時間去搞一套這麼複雜的東西,因為要考慮後面維護的人力問題.
從數字的紀錄上來看,LINUX的核心目前出線網路漏洞的機率已經不是很適合拿來當正式的商用防火牆,關於核心的網路安全修補這半年已經不知有多少次了,要推薦也要先去看看LINUX核心的CHANGE LOG.
這類問題不是靠應用層的IP TABLES可以修補的,因為遇到這一類的攻擊,封包還沒到IP TABLES的應用層,主機可能就已經被駭客打掛或是癱瘓了.
以CISCO的作業系統IOS來說,這半年被發現的漏洞一隻手算的完.除了CISCO之外,眾多的防火牆廠商其實也都投注很多心力在防火牆的自有OS上,比較知名的像是NETSCREEN的OS,SONICWALL的自有SONIC OS系統,甚至國產的居易DRAYOS或是合勤的ZYOS等等,開發這一類的產品往往要投注大筆的財力跟人力,這也是為何這類的防火牆昂貴的原因.(小弟沒提FORTINET的原因,是因為最近很多人發現他的很多東西根本也是從LINUX抄來的,卻沒有遵守GPL規定公開原始碼,所以小弟並不能確信他的OS真的是原生的自有OS)
服務和技術應該是值錢的,台灣的IT界有個很大的問題就是連懂技術的人都覺得自己不值錢,才會把整個環境弄得大家都累的要死卻過著很差的生活品質.當然也許很多東西都是用LINUX+XX軟體或是WINDOWS+XX軟體就可以運作了,可是出問題的時候,你有沒有把握一定能馬上處理好?有沒有先想想這邊省這些錢的時候,如果出問題會給公司帶來多大的麻煩?
沒有預算當然的確也是有解決方案的,小弟認識某政府大型機關的MIS,因為想幫政府省預算,自己用OPENBSD加上IP FILTER來做單位的FIREWALL,同時他很注意國外的漏洞發佈,萬一有問題會隨時更新自己的軟體版本,他們單位是同層級單位少數沒有被HACK過任何主機的.不過問題就在,他也承認如果他調換單位或是退休,接手的MIS是絕對會去找廠商來弄商用防火牆替代他現行的方案的,因為技術不是每個人都懂,就算懂也不是人人願意做的這麼累.
PS1:OPENBSD的OS本身這幾年只有被發現兩次的漏洞,堪稱世界最安全的OS之一,不過因為開發者較少,硬體的支援性比FREEBSD要差一些.這是早期由美國國防部贊助的一個專案.
PS2:OPENBSD的核心開發者就是上次在站上有人轉貼的另一篇文章有位批評LINUX核心最近做的很差的人,不過他並非最近第一個開砲的OPEN SOURCE組織開發者,非常知名的大鬍子COX早在非常多個月前就已經公開的批評托瓦茲在修改2.6核心的時候沒有詳細標明修改的位置跟方式,會造成之後維護的人極大的麻煩了,不過可能也是因為這個動作惹火一些LINUX基本教義人士,大鬍子已經很久沒看到有撰寫新的LINUX核心或是程式的紀錄了.
LINUX的2.4核心到2.6核心改寫的程式多到很多人認為幾乎是把LINUX核心重寫,不過最近的安全問題已經多到有人預測下一個大改版,核心的開發恐怕又要重來一次了.
|