作者 主題: 軟體防火牆真的如此不安全?  (閱讀 35043 次)

0 會員 與 1 訪客 正在閱讀本文。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17464
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #30 於: 2002-08-15 23:58 »
引述: "Tetralet"
對了,我又想到一招了。

我用 Linux 來架防火牆時,
如果這台 Linux 只提供 DNS、Proxy、Mail 備援和 Firewall 功能,
這時我 不要設定 這台 Linux 的 Default Gateway,
只有在 iptables 中設定對於要外送的 來源 / 目的 為 53、80、25 Port 的連線轉送到 Router 上去,
這樣子是不是可以讓這台 Firewall 完全消失在網路上,
讓安全性更高一些?

不知這個方法可行性如何?請各位大大指教!


提醒一下:filtering/NAT 和 routing 是兩回事。

不設 default gw 您如何回應來自 internet 的封包?除非,您的 firewall 是設為 bridge 模式。

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
軟體防火牆真的如此不安全?
« 回覆 #31 於: 2002-08-16 20:59 »
我只用過軟體的 firewall, 沒接觸過硬體的 firewall, 所以只能比較一下 linux 與其他商業軟體的 firewall...

就 session 來看... 以現在的 PC 來說, 這個並不會是一個限制, 至少, 你的頻寬會是一個主要的限制, 頻寬的需求應遠大於 firewall 的處理能力.

其次, 我覺得用 linux 的 iptables 來當 firewall 的壞處是... 對於 log 的處理較麻煩, 如果要做出一般商業的 firewall 的圖表出來, 要費很大的功夫,  且設定上也沒有商用軟體簡單.

不過... 我工作的地方還是只用 linux 的 iptables 當 firewall... 用一台 K6-400 的機器, 內部約有 300 個 PC.

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #32 於: 2002-08-16 21:00 »
引述: "netman"
這個我沒實作過,但,我猜,帳號應該是本機上的吧?換句話說:local process 的 owner 。如過 packet 與本機無關,也就與 local process 無關。(走 FORWARD 而非 INPUT / OUTPUT)


嗯,好像是這樣子沒錯的。
不過我會再試試看,
如果有其它的發現會再 PO 上來的...

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #33 於: 2002-08-16 21:08 »
引述: "netman"

提醒一下:filtering/NAT 和 routing 是兩回事。

不設 default gw 您如何回應來自 internet 的封包?除非,您的 firewall 是設為 bridge 模式。


嗯,回想一下 iptables 的功能...

 進出封包的控管
 將發出去的封包偽裝成由自己發出去的
 將進來的封包再轉丟到另一台機器上去

好像沒有將發出去的封包丟到另一台機器上去的功能,
(將 NAT Client 的封包丟到 Router 上去...)
那是 routing table 的工作....
我又把一些不相關的東西混在一起了。

所以我的想法應該是不可行的吧。
謝謝您的指教!

但,

引述: "netman"
 Firewall 設為 bridge 模式

是什麼意思呢?

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #34 於: 2002-08-16 21:25 »
引述: "twu2"
我只用過軟體的 firewall, 沒接觸過硬體的 firewall, 所以只能比較一下 linux 與其他商業軟體的 firewall...

就 session 來看... 以現在的 PC 來說, 這個並不會是一個限制, 至少, 你的頻寬會是一個主要的限制, 頻寬的需求應遠大於 firewall 的處理能力.

其次, 我覺得用 linux 的 iptables 來當 firewall 的壞處是... 對於 log 的處理較麻煩, 如果要做出一般商業的 firewall 的圖表出來, 要費很大的功夫,  且設定上也沒有商用軟體簡單.

不過... 我工作的地方還是只用 linux 的 iptables 當 firewall... 用一台 K6-400 的機器, 內部約有 300 個 PC.


Linux 的 iptables 我也有真正架了上線過,
只可惜它只供 我 和 一台沒什麼人在用的 SQL Server 用而已,
算不上什麼經驗。

就 session 來看.... 我想 Client 連上來的一半以上是閒置的。
(加上一般 Web 可能 5 分鐘就會將 session 切斷了)
可能只有 Mail Server 會忙一點,
所以假設同時有 2,000 個連線的 session,
作用中的可能只有 1,000,
512K/512K 的 ADSL 切一切只剩下 600 bits 不到...

您說的沒錯,頻寬的需求應遠大於 firewall 的處理能力!
非常謝謝您的意見。

iptables 的 Log 處理的確麻煩。
不知道用 MRTG 可以做到什麼程度?
試試看,有結果會再報告出來的。
(最近 Linux 那台機器和我鬧脾氣中。可能要等上一段時間才行)

用 K6-400 當 300 個 Client 的 Firewall 呀?
又是一個不錯的實例。謝謝了。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17464
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #35 於: 2002-08-16 22:23 »
引述: "Tetralet"
引述: "netman"
 Firewall 設為 bridge 模式

是什麼意思呢?


簡單來說,將 linux 架成一台 pseudo-bridge 就是了。這時侯,firewall 還是有 interface ,只是沒有 IP 而已。

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #36 於: 2002-08-17 00:42 »
引述: "netman"
簡單來說,將 linux 架成一台 pseudo-bridge 就是了。這時侯,firewall 還是有 interface ,只是沒有 IP 而已。


了解,並且也找到相關資料了。
(家庭作業好多哦~)

如果有任何問題會再向您請益。
再一次謝謝您!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17464
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #37 於: 2002-08-17 10:46 »
引述: "ZMAN"
自己用還可以
如果要拿來賣質感還不夠
而且要能上19吋機架
還要有燈號


這讓我想到某一台 SGI 的 firewall ...
大家猜一猜:
* 上面的 camera 做甚麼用的?
* 音效卡做何用途?
* AV 輸出究景為了啥?
* case 弄得圓圓、矮矮的、甚有造型的,目的是?
* 30 幾萬應該是這樣的嗎?

最後,我告訴大家關於它的命運吧:
被上面圖中的機器換掉了!內裝 Linux ,跑 Filtering/NAT, DNS, Cache... 1.8G P4/1G DDR RAM/60G HDD ... 含一年遠端維護... 價錢 8 萬多一點! 最後的測試時,客戶說:"快多了!" 同樣的工程,客戶那邊問到的硬體 firewall,報價接近 80 萬!

原來,case 真的很重要! ^_^

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #38 於: 2002-08-17 11:40 »
引述: "netman"
這讓我想到某一台 SGI 的 firewall ...
大家猜一猜:
* 上面的 camera 做甚麼用的?
* 音效卡做何用途?
* AV 輸出究景為了啥?
* case 弄得圓圓、矮矮的、甚有造型的,目的是?
* 30 幾萬應該是這樣的嗎?


SGI...小弟公司的友公司都是拿來當視訊會議的主機,
效果超棒的,百萬的機器同時處理幾個視訊超順的...

台北棒球場附近有個學校,
他們是買SGI的機器來當Desktop,
只有跑win2k,off2k打報告及論文,
用起來真的很爽又很快....

jade-rabbit

  • 鑽研的研究生
  • *****
  • 文章數: 833
  • 性別: 男
    • 檢視個人資料
Re: 軟體防火牆真的如此不安全?
« 回覆 #39 於: 2002-08-17 12:44 »
引述: "Tetralet"
在天南地北胡扯瞎扯中,
某個廠商的業務對於軟體防火牆就很不屑了:
業務:那些軟體防火牆,像是 Linux 之類的,
   沒有一個是合格的。
   每一種防火牆都給人家隨隨便便就破掉了,
   所以說軟體防火牆是絕對不用去考慮的!

在我目前的認知,硬體防火牆最基礎的部分,仍擺脫不了軟體工程,或邏輯閘的設計範疇。各式的 IC 或 Inter-IC 仍然要加上網路防火牆的基礎觀念才得以設計出來吧!

硬體架構還得配合上軟體設計觀念才能作出真正實用的東西來,否則只是一台無用的廢鐵吧!

最近看到 sony 的數位錄影機,裡頭用 100 多 GB 的硬碟呢!power on/off 時可以聽到聲音 ^_^,還有那酷酷的冷光 LED 及超靈敏的觸碰式按鈕..On Screen Display 的部分看起來很像使用
microwindows.org 作的,不曉得核心是不是 Linux..
公司目前我參予的 case 目前正在研發功能更多元的下一代產品,不清楚是要賣給日本哪一家客戶的(sony ?)
--(中也者天下之大本也,和也者天下之達道也)--

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
Re: 軟體防火牆真的如此不安全?
« 回覆 #40 於: 2002-08-19 18:47 »
引述: "JadeRabbit"
在我目前的認知,硬體防火牆最基礎的部分,仍擺脫不了軟體工程,或邏輯閘的設計範疇。各式的 IC 或 Inter-IC 仍然要加上網路防火牆的基礎觀念才得以設計出來吧!

硬體架構還得配合上軟體設計觀念才能作出真正實用的東西來,否則只是一台無用的廢鐵吧!


是呀。

上面也有些大大提到說,
很多硬體防火牆拆開來,
裡面可是台不折不扣的電腦呢!
還掛了顆硬碟~(← 這是我最不能接受的地方)

也有的人明明在賣 Linux Kernel 的硬體防火牆,
(我猜大概也是用 iptables 吧?)
然後把 Linux 說得一文不值... (生氣)

CISCO 也強調說 PIX 防火牆 CISCO 是在賣軟體,
硬體部份是順便賣的。
好奇怪的說法哦~~

引述: "JadeRabbit"
最近看到 sony 的數位錄影機,裡頭用 100 多 GB 的硬碟呢!power on/off 時可以聽到聲音 ^_^,還有那酷酷的冷光 LED 及超靈敏的觸碰式按鈕..On Screen Display 的部分看起來很像使用
microwindows.org 作的,不曉得核心是不是 Linux..
公司目前我參予的 case 目前正在研發功能更多元的下一代產品,不清楚是要賣給日本哪一家客戶的(sony ?)


100 多 G?
稍稍想了一下,
市面上有在賣 100 G 以上的硬碟的好像並不多見,
想來這台的成本可能高得嚇人吧。

kenny.tw

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #41 於: 2002-08-19 21:42 »
CISCO?它可是以軟體 業者自居呢,這大概是因為Router的心臟是IOS吧。

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 923
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
軟體防火牆真的如此不安全?
« 回覆 #42 於: 2002-09-29 20:21 »
引述: "duncanlo"
你們有沒有檢測防火牆的方法?

Cisco PIX 畢竟是個成熟的產品!

假如你有興趣,
我可以給你幾個linux base的firewall網址,
你可以先抓回來玩玩試試看...
再比教一下成本效益比!


可是聽說 PIX 的 Kernel 也是用 linux 耶... :-?
人必先置於死地而後生
科技來自人性
想像是科技之母

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
軟體防火牆真的如此不安全?
« 回覆 #43 於: 2002-09-30 00:21 »
引述: "湯包"
引述: "duncanlo"
你們有沒有檢測防火牆的方法?

Cisco PIX 畢竟是個成熟的產品!

假如你有興趣,
我可以給你幾個linux base的firewall網址,
你可以先抓回來玩玩試試看...
再比教一下成本效益比!


可是聽說 PIX 的 Kernel 也是用 linux 耶... :-?


呵呵
CISCO的官方說法一定是專屬OS+專屬系統
佈線深似海!
網路高如天!

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #44 於: 2002-09-30 09:13 »
引述: "ZMAN"
引述: "湯包"
引述: "duncanlo"
你們有沒有檢測防火牆的方法?

Cisco PIX 畢竟是個成熟的產品!

假如你有興趣,
我可以給你幾個linux base的firewall網址,
你可以先抓回來玩玩試試看...
再比教一下成本效益比!


可是聽說 PIX 的 Kernel 也是用 linux 耶... :-?


呵呵
CISCO的官方說法一定是專屬OS+專屬系統


Who care?
只要東西好又沒問題,用什麼Kernel應該沒差吧?
假如真的是用Linux Kernel,那CISCO包裝的真不錯!

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
Re: 軟體防火牆真的如此不安全?
« 回覆 #45 於: 2002-09-30 09:38 »
引述: "Tetralet"

100 多 G?
稍稍想了一下,
市面上有在賣 100 G 以上的硬碟的好像並不多見,
想來這台的成本可能高得嚇人吧。


超過100G的還要請店家代訂!
一般人沒事不會買這麼大的HD...
不過…目前這種大容量的硬碟也是便宜的很!

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
Re: 軟體防火牆真的如此不安全?
« 回覆 #46 於: 2002-09-30 09:44 »
引述: "小穎"
引述: "Tetralet"

100 多 G?
稍稍想了一下,
市面上有在賣 100 G 以上的硬碟的好像並不多見,
想來這台的成本可能高得嚇人吧。


超過100G的還要請店家代訂!
一般人沒事不會買這麼大的HD...
不過…目前這種大容量的硬碟也是便宜的很!


我想備份的時候才令人頭大吧!

pawnjazz

  • 懷疑的國中生
  • **
  • 文章數: 61
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #47 於: 2003-09-23 13:35 »
這個主題很精彩,我很想知道最後是用了iptable ,還是CheckPoint ,PIX ??

當然CheckPoint 及 PIX都是不錯且設定容易的防火牆(這兩種都用過,各有優劣)
我個人因公司預算限制,選擇了iptable.
也遇到了不少問題,然而最困擾的問題也跟諸位一樣,最好有一個像C/P的GUI介面容易設定(很抱歉年紀大了記不起iptable的指令 ..^_^!!),而且像PIX一樣沒有HD,不容易因HD出問題而停擺

我在網上搜尋與firewall有關的opensource ,找到了 fwbuilder ( http://www.fwbuilder.org ) , 真是一個不錯的軟体 !!

有跟checkpoint 一樣的GUI介面(用過C/P的朋友不需重新學習,立刻能上手)也提供了cp2fw 的轉換工具(想吃下C/P,野心太大了 ..^_^..)
也可以透過fwbuilder setup PIX (這個好像要錢),
最絕的是,你可以把firewall 做成磁片 or 光碟片,避開HD掛掉問題跟PIX
一樣!!

用過一段時間,fwbuilder 的穩定度很好,基本上與iptable一樣
預算缺缺的朋友們可以試試

chiangtr

  • 活潑的大學生
  • ***
  • 文章數: 214
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #48 於: 2003-09-24 09:38 »
Tetralet提到 :
不過它有一款是用 Windows NT 當 Kernel 架的,
現在已經不賣了,
不過敢用 Windows NT 架 Firewall,
可真是太厲害了。

-------------------------------------------

您說的該不會就是 Guardian Pro 吧
架在nt4.x上, 動作在 MAC 層上.....
這款和 Ckeck Point是同一家公司出來的,對外防護的效果不錯, 不過要是有人從內部
攻擊它, 他就有點擋不住了
這款防火牆軟體很霸道, 不太和其他防火牆配合, 安裝的那台主機上以不太能裝別的程
式, 不過賽門鐵克的防毒軟體還可以和他搭配.

整體來說, 這款還算不錯, 雖說是裝在NT上, 另外, 他的監控程式功能很強, 也有及時的
螢幕監控(5秒更換畫面一次), Rule設定上也很方便(只要會檔案總管的就看的懂怎麼設)
, 安裝上也只要花10分鐘左右.

就我以前裝過的幾個case... 還沒聽過它被人從外面打穿的 ^_^

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #49 於: 2003-09-24 20:15 »
最近有一篇評比,
ipcop還比astaro多一顆星呢!

傾聽我心

  • 懷疑的國中生
  • **
  • 文章數: 38
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #50 於: 2003-10-13 19:23 »
插個花..
如果..是內建USB2.0 的HD 呢??(容量先不列入考慮)
這樣要找出硬碟很難吧~~~^Q^~
然後..使用者就會以為..哇..純硬體ㄝ~~~~^Q^~
自以為爽到...........
恐怖唷..恐怖唷~~~
ㄏㄏ

jjchiou

  • 懷疑的國中生
  • **
  • 文章數: 65
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #51 於: 2003-11-29 21:23 »
我也來灌水一下
pix號稱硬體是因為他沒有硬牒
設定存在NVRAM上OS從Flash load 到RAM上
IPtable 我只有單純作udp/tcp port 的NAT所以本身沒有提供任何服務
理論上網路上是看不到的

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
軟體防火牆真的如此不安全?
« 回覆 #52 於: 2003-12-08 23:47 »
就個人觀點來說,火牆的問題只有:

1.整體預算問題。
2.上級心態問題。
3.公司政策問題。
4.管理人員問題。

至於軟體?硬體?孰優孰劣,實在沒有個一定。

大致上安全性都會有個相當水準,然後砸大錢就方便輕鬆,反之刻苦
耐勞。

如果政策上或管理員出了狀況,軟硬體都一樣爛。

基本上很多所謂的『硬』體火牆,裡面的韌體跑的也是程式啊...
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>