หลังจากที่ต้องจูนกันสุดฤทธิ์กับเครื่องตัวเก่าที่ใช้ CPU เป็น X2 5000+
และในวันนี้ผมก็หลุดจากวงจรนี้จนได้เมื่อ PhenomII 945 ได้ส่งตรงถึงมือผม 
.
.
ปกติแล้วผมจะใช้ชีวิตบน Thinkpad เป็นส่วนใหญ่ แต่ก็มีหลายๆงานเหมือนกันที่ต้องใช้ PC เข้าช่วย เช่น งานที่ใช้แรงงานเยอะๆ อย่างเช่นการเปิด VM เพื่อทดสอบระบบซักสี่ตัว ซึ่งที่ผ่านมาในสมัย Windows Server 2003 เครื่องผมทำได้ดีไม่มีที่ติ สเปคในคอนนั้นก็จะมี X2 5000+ ร่วมมือกับแรม 8 GB ทำให้การทำงานลื่นไปพอสมควร
จนเมื่อ Windows Server 2008 มาถึงนี่ล่ะที่ทำให้งานเข้าทันที เพราะการจำลองเครื่องเยอะๆจาก X2 5000+ ทำไม่ได้ลื่นเหมือนเดิมอีกแล้ว ปกติผมเองก็เป็นคนประเภทที่ว่าถ้าไม่แน่ใจจนถึงที่สุดไม่ซื้อของใหม่แน่ๆ การจูนเครื่องจึงเริ่มขึ้น ตั้งแต่ปิดเซอร์วิสผ่าน SCW ปรับ registry แก้ policy สารพัดจะทำ แต่สุดท้าย CPU ก็แตะๆร้อยอยู่ดีเมื่อเจอ VM ของ Windows Server 2008 ไปแค่สาม
เมนบอร์ดของผมเป็นรุ่น AM2+ ใช้ชิป 690G ซึ่งเก่าโพดๆครับ ซึ่งแต่ก่อนไม่สามารถใส่ CPU ตระกูล AM3 อย่าง PhenomII ได้แน่ๆ แต่และแล้วก็เหมือนคู่แล้วไม่แคล้วกัน เมื่อวานนี้ว่างๆเปิดไปเจอว่าผู้ผลิตออกไบออสใหม่ ทำให้สนับสนุน AM3 ได้แล้ว แม้จะไม่ครบ แต่ก็ดีมากๆแล้ว เรื่องแบบนี้ผมเชื่อว่าอาจจะพบจาก Intel ยากสักนิด
และมาวันนี้ไปเจอตลาดมือสองในเว็บแห่งหนึ่งมีผู้เอา PhenomII 945 มาขาย แถมบอกว่ายังไม่เคยใช้เลย (รู้ทีหลังว่าพี่เค้าไปตีกอล์ฟได้มา ดีจริงๆเลยกอล์ฟเนี่ย) หาไปหามาปรากฎว่าไอ้ตัวนี้ล่ะใช่เลย เป็นตัวที่แรงที่สุดในบรรดาตระกูล PhenomII Series 9 ที่ใช้ไฟ 95 Watt ส่วนตัวที่แรงกว่าเจ้านี่ใช้ไฟไป 125 หรือ 140 Watt ซึ่งก็ต้องบอกเลยครับว่าถ้าซื้อไอ้ตระกูลนั้นมา ผมคงต้องเปลี่ยน Power อีกแน่ๆ เพราะตัวเก่าเลือกมาแค่ 370 Watt (ยี่ห้อ Enermax ของดีที่จะดีกว่านี้ถ้าราคาลดลงมาซักนิดแบบให้ค่าข้าวคนซื้อซักหน่อย)
หลังจากที่ได้ติดตั้งลงบน PC แล้ว คงต้องบอกว่าแม้ว่าจะเอาไปติดตั้งในบอร์ดรุ่นเก่าที่ทำให้น่อม 945 ไม่สามารถสำแดงพลังได้เต็มที่ เพราะรับ HT ได้แค่ 1,000 ขณะที่สเปคจริงๆ 4,000 แต่ก็คงต้องบอกตรงๆล่ะครับว่าคุ้มมากๆ เพราะเปิด VM สี่ตัว ซีพียูกระดิกไปไม่ถึงครึ่ง นับว่าเยี่ยมจริงๆกับการอัปเกรดระบบในงบไม่ถึงห้าพันครั้งนี้
วันนี้คงต้องขอขอบคุณพี่คนขายด้วยที่นำของมาให้ทดสอบถึงที่ เรียกว่าไม่นึกว่าจะเจอเหมือนกัน แถมคุยไปคุยมา ทำงานด้านไอทีเหมือนกันอีก (โลกกลมจริงๆ)
หลังจากที่ได้มีโอกาสจับ BlueCoat มาซักระยะหนึ่งแล้ว ผมก็นึกอยากเขียนบทความเปรียบเทียบนี้ขึ้นมาทันทีเลย เพราะจะว่าไปแล้วมีหลายๆท่านสงสัยเกี่ยวกับทั้งสองตัวนี้เหมือนกัน พี่ๆเซลล์ในบริษัทผมเองก็เคยสงสัยว่าทั้งสองตัวนี้จะเสนออะไรให้ลูกค้าดี หรือจะสู้กับอีกฝ่ายยังไงดี วันนี้เลยขอเล่าให้ฟังสักเล็กน้อยครับ เริ่มกันเลยดีกว่าครับ
- TMG 2010 (ISA) เป็นซอฟท์แวร์ด้าน Security ที่มีฟีเจอร์ Proxy มาให้ด้วย ซึ่งจุดนี้หากผู้อ่านทำงานด้านนี้มานานก็น่าจะพอนึกออกว่าจริงๆแล้ว TMG หรือ ISA พัฒนามาจาก Microsoft Proxy Server ซึ่งชื่อก็บอกอยู่แล้วว่าทำอะไร แต่ต่อมาไมโครซอฟท์ปรับปรุงซะจนกลายเป็น Security Software ไปซะแล้ว ยิ่งใน TMG 2010 มีอะไรต่อมิอะไรเพิ่มขึ้นอีกมากจนเรียกได้ว่าเป็น UTM (Unified Threat Management) คือกันได้ทุกอย่างแล้ว
- BlueCoat จริงๆแล้วมีด้วยกันหลายซีรีย์ สำหรับในส่วนของพร็อกซีจะเรียกว่า ProxySG ซึ่งเป็นฮาร์โแวร์ที่ทำงานด้าน Proxy แบบแท้ๆ แต่ก็แอบมีฟีเจอร์ดีๆที่เกี่ยวกับ Security อยู่เหมือนกันเช่น URL Filtering, Antivirus ซึ่งในส่วนของ Antivirus จะต้องซื้อฮาร์ดแวร์ในซีรีย์ AV เข้ามาอีกด้วยจึงจะใช้ได้
- เปรียบ เทียบกันในด้าน Proxy แล้ว ผมเห็นว่า BlueCoat ดีกว่าอย่างเห็นได้ชัด เพราะรองรับโปรโตคอลได้หลากหลายมาก (ขนาด CIFS ยังมีให้เซตเลย) การปรับแต่ง Policy ก็ทำได้อย่างหลากหลาย คอนเซปต์การใช้งาน Policy ในรูปแบบ Layer and Rule ก็ถือว่าน่าสนใจดี เรียกว่าในส่วนของ Proxy เลือก BlueCoat ได้เลย
- ในส่วนของ URL Filteringตรงนี้ TMG 2010 เพิ่มจะเริ่มพัฒนาฐานข้อมูลของตนเอง ดังนั้นความถูกต้องและแม่นยำ รวมทั้งความครบถ้วจะเป็นรองค่อนข้างมาก อย่างไรก็ตามหากเรามีการใช้ Websense ร่วมด้วยแล้ว จุดอ่อนที่ว่าก็แทบจะไม่เป็นจุดอ่อนเลย เพราะ Websense ก็มีฐานข้อมูลใหญ่พอๆกับ BlueCoat และจริงๆแล้ว Websense ก็ใช้กับ BlueCoat ได้เหมือนกัน
- การรองรับกับอุปกรณ์อื่น ตรงจุดนี้ BlueCoat ดีกว่า เพราะมี ICAP Protocol ทำให้สามารถเชื่อมต่อกับอุปกรณ์อื่นๆได้มากมาย เช่น Facetime นอกจากนี้รองรับ WCCP ทำให้ทำงานร่วมกับอุปกรณ์ Redirection Device ได้อีกด้วย
- TMG 2010 มีฟีเจอร์ด้านการรักษาความปลอดภัยมากมาย เช่น Firewall, IPS, Web Content Inspection, Antispam, SSL Inspection ซึ่งทั้งหมดนี้สามารถใช้ได้เลยโดยไม่ต้องซื้อฮาร์โแวร์หรือ license เพิ่มเติม ในขณะที่ BlueCoat ต้องซื้อ ProxyAV มาเพิ่ม
- TMG 2010 มี VPN ให้ในตัว ในขณะที่ BlueCoat ต้องซื้อ ProxyRA
- TMG 2010 มี Link Load Balance ให้ด้วย แม้จะทำได้แค่ 2 ลิงค์ แต่ก็ถือว่าเป็นฟีเจอร์ที่น่าสนใจทีเดียว เพราะโดยปกติ Load Balance ที่ใช้งานได้สเถียรๆอย่าง F5 หรือ LinkProof มีราคาค่อนข้างสูงทีเดียว
- TMG 2010 เป็นซอฟท์แวร์ จึงมีความยืดหยุ่นมากกว่า คือสามารถเปลี่ยนไปใช้ฮาร์ดแวร์ที่ดีกว่าเดิมได้หากผู้ใช้มากขึ้น ส่วน BlueCoat อาจจะต้องซื้อใหม่ยกชุด (ซึ่งแพงพอสมควร)
จากที่สรุป มาให้เห็นนี้ก็พอจะเห็นกันแล้วนะครับว่า หากเราต้องการ Proxy เพียงอย่างเดียว คงต้องเลือก BlueCoat ไป แต่หากต้องการอะไรซักอย่างที่มีให้ครบทุกอย่าง Microsoft Forefront Threat Management Gateway 2010 ก็เป็นตัวเลือกที่ดีทีเดียวครับ
ข่าว (ไม่) ล่าเท่าไหร่ แต่อยากอัปเดตให้ผู้อ่านได้รับทราบกันสักนิดคือ Symantec ซื้อ PGP ไปซะแล้วครับ
สำหรับท่านที่ไม่คุ้นเคยก็ต้องขอบอกซักนิดนะครับว่า PGP เป็นซอฟท์แวร์ด้าน Encryption ที่เอาไว้เข้ารหัสข้อมูลทั้งภายในเครื่องเอง หรือเมลที่ส่งออกไปครับ โดยในส่วนของเมลจะใช้หลักการ Asymmetric Key หรือ Public Key and Private Key ในการเข้ารหัสครับ ซึ่งก็ถือว่าตัว PGP เองทำหน้าที่ในส่วนนี้ได้อย่างยอดเยี่ยมทีเดียวครับ
ส่วน Symantec ก็อย่างที่รู้ๆกันครับว่าเป็นเจ้าพ่อด้่าน Security Solution มีทั้ง Antivirus, Antispam ซึ่งก็ขายดิบขายดีทั้งคู่ครับ จริงๆแล้วส่วนตัวผมเองก็ไม่ประหลาดใจเท่าใดนักกับการเข้าซื้อ PGP ของ Symantec เพราะช่วงหลังๆทาง Symantec เองก็เข้ามาเล่นในตลาด DLP (Data Leak Prevention) ซึ่งเป็นกลุ่มซอฟท์แวร์สำหรับการป้องกันข้อมูลรั่วไหลในองค์กรได้ซักพักแล้ว ในเมื่อ PGP ทำหน้าที่ตรงนี้ได้ดี และ Symantec ก็มีศักยภาพพอที่จะเข้าไปซื้อได้ ก็เลยกลายเป็นตามเรื่องนี่แหละครับ
สำหรับความคาดหวังส่วนตัวหลังจากที่ Symantec ซื้อไปแล้วก็คืออยากให้ทำราคาให้ลดต่ำลงมาซักหน่อย เพราะเดิม PGP มีราคาค่อนข้างสูง องค์กรหลายๆแห่งจึงมักจะชะลอการตัดสินใจ (จริงๆคือไม่ซื้อ) เกี่ยวกับการซื้อ PGP ไว้ก่อนแม้จะอยากได้ขนาดไหนก็ตาม ซึ่งสำหรับ Symantec นั้นทำตลาดผ้ใช้ทั่วไปอยู่แล้ว ดังนั้นในอนาคตผมเชื่อว่าเราอาจจะเห็นฟังก์ชันจาก PGP เข้ามาอยู่ในชุดซอฟท์แวร์ใดซอฟท์แวร์หนึ่งของ Symantec ค่อนข้างแน่
หลังจากได้ PGP แล้วก็เรียกว่า Symantec ขยายตลาดได้แทบจะครอบคลุมแล้ว เท่าที่ผมดูคงขาดแต่ Firewall ในระดับ Enterprise เท่านั้นที่ Symantec ยังไม่มี (Symantec ปัจจุบันมีแต่ Personal Firewall) แต่ของอย่างอื่นมีเต็มไปหมดแล้ว แม้แต่ซอฟท์แวร์สำรองข้อมูลก็ยังปฎิเสธไม่ได้ว่า Symantec Backup Exec สุโค่ยที่สุด (ซื้อมาจาก Veritas อีกที ฮ่าๆ)
หากเป็นไปได้ช่วยๆซื้อ Checkpoint ไปซักทีก็ดีนะครับ เผื่อราคาจะถูกลงบ้างอะไรบ้าง
ปัจจุบัน Windows Server 2008 จะอยู่ในท้องตลาด 2 เวอร์ชันคือ Windows Server 2008 R2 และ Windows Server 2008 SP2 ซึ่งตัว R2 จะเป็นตัวที่สร้างขึ้นมาทีหลัง เคอร์เนลล์จะเป็นรุ่นเดียวกับ Windows 7 ในขณะที่ Windows Server 2008 SP2 จะเป็นเคอร์เนลล์รุ่นเดียวกับ Vista ระบบปฏิบัติการทั้งสองนี้สามารถติดตั้ง Exchange Server 2010 ซึ่งเป็นโซลูชันด้านระบบเมลใหม่ล่าสุดของไมโครซอฟท์ได้ทั้งคู่
ในการออกแบบการติดตั้ง Exchange Server ตั้งแต่ 2007 จะถูกแบ่งออกเป็น Role หนึ่งใน Role ที่สำคัญคือ Client Access Server (CAS) ซึ่งมีหน้าที่ในการ Authenticate ผู้ใช้งาน เป็นที่ตั้งของ Outlook Web Access เป็นที่ตั้งของ Outlook Anywhere และอื่นๆอีกมากมาย
ในกรณีที่มีผู้ใช้จำนวนมาก CAS จะใช้ทรัพยากรค่อนข้างมากตามไปด้วย การออกแบบด้านฮาร์ดแวร์จึงอาจจะต้องออกแบบให้ดีเป็นพิเศษ เช่น ต้องมีการใช้ Load Balance เข้ามาช่วย หรือใช้เซิร์ฟเวอร์ประสิทธิภาพสูง
เมื่อเร็วๆนี้ผมพบบทความหนึ่งที่น่าสนใจมากจากเว็บ msexchangeteam.com โดยในบทความนี้ทางทีมงานได้ทดสอบการทำงานของ CAS โดยใช้ Xeon L5335 จำนวน 2 ตัว ได้กราฟออกมาดังรูป
CAS CPU
CAS CPU 2
จากกราฟจะเห็นได้เลยว่าเทรนด์ของ R2 เมื่อผู้ใช้มากขึ้นดูจะเพิ่มขึ้นในอัตราส่วนที่ไม่มากเท่าใดนัก ในขณะที่ SP2 เพิ่มขึ้นในอัตราที่สูงกว่าอย่างเห็นได้ชัด
อีกกราฟที่ผมเห็นว่าน่าสนใจคือการเปรียบเทียบวิธีการ Authenticate ระหว่าง Basic กับ NTLM ได้ผลออกมาดังรูป
ฺBasic vs NTLM
จะเห็นว่าการ Authenticate แบบ NTLM ไม่ได้กินทัรพยากรมากกว่าแบบ Basic มากเท่าใดเลย ซึ่งจุดนี้ผมยอมรับเลยว่าก่อนหน้าคิดว่า NTLM น่าจะใช้ทรัพยากรสูงกว่าที่เห็นในกราฟนี้แน่ๆ
.
.
จากบทความนี้เอง ผมจึงเห็นว่าหากองค์กรใดยังใช้งาน Windows Server 2003 อยู่ และมีแผนจะอัปเกรดไปยัง Windows Server 2008 ตัวเลือกที่น่าจะเหมาะสมคงจะต้องยกให้ R2 หากคิดจะนำมาทำ Exchange Server 2010 เพราะใน Exchange 2010 การ HA ที่เรียกว่า Database High Availability Group (DAG) จะต้องติดตั้ง Exchange 2010 ลงใน OS ที่เป็นเวอร์ชันเดียวกันทุกเครื่อง จะปนกันระหว่าง R2 กับ SP2 ไม่ได้เลย
TMG 2010 หรือ ISA Server 2010 นั้นเป็นซอฟท์แวร์ประเภท Security Gateway ที่ผมเขียนอย่างนี้ก็เพราะว่า TMG 2010 นั้นไม่ได้เป็นแค่ Proxy เหมือนกับบรรพบุรุษอย่าง Microsoft Proxy Server อีกแล้ว แต่ TMG 2010 ในปัจจุบันมีทั้ง Firewall, VPN, IPS, Anti-Spam, Content Inspection, URL Filtering, Load Balance และอื่นๆอีกมากมาย ด้วยเหตุนี้เองจึงจัดว่า TMG 2010 เป็น Security Gateway ไปเรียบร้อยแล้ว
อย่างไรก็ดีสิ่งหนึ่งที่ต้องยอมรับก็คือ หากนำฟีเจอร์ทั้งหมดของ TMG 2010 ไปเปรียบเทียบกับอุปกรณ์หรือซอฟท์แวร์ที่ทำหน้าที่ในด้านนั้นๆเพียงอย่างเดียว อย่างเช่น เปรียบเทียบ IPS ของ TMG 2010 กับ IPS จาก TippingPoint หรือเปรียบเทียบ Antispam ของ TMG 2010 กับ Antispam จาก Ironport (Cisco ซื้อไปแล้ว) ก็คงต้องบอกว่าคงจะสู้ไม่ได้
แต่ข้อดีของ TMG 2010 คือมีให้ใช้แทบจะครบทุกฟีเจอร์ และหากเราไม่ได้ต้องการตั้งค่าใดๆที่ต้องวางระบบแบบพิสดารพันลึกแล้ว TMG 2010 ก็คงจะตอบโจทย์ได้แน่ๆ เพราะในหลายๆครั้ง ผมก็พบว่าการใช้ Appliance ราคาแพงอาจจะไม่ได้จำเป็นเสมอไป เพราะเราอาจจะใช้แค่ฟีเจอร์ไม่กี่อย่าง ซึ่งฟีเจอร์เหล่านี้ในบางครั้งก็มีอยู่ใน Appliance ที่ราคาต่ำกว่า หรือในซอฟท์แวร์ OpenSource ด้วยซ้ำไป
สำหรับผู้ที่กังวลในเรื่องของ Security นั้นผมขอบอกซักนิดเลยว่าหากท่านมีการทำ OS Hardening ที่ดีแล้ว การโจมตีต่างๆแทบจะไม่ระคาย OS ของท่านเลย แต่อน่างไรก็ดีการทำ OS Hardening ก็อาจจะต้องใช้ประสบการณ์และความรู้เพิ่มเติมพอสมควร ซึ่งสิ่งเหล่านี้ก็ต้องพยายามศึกษาและทดลองกันครับ
วันนี้ขอแนะนำเพียงเท่านี้ก่อนนะครับ ในโอกาสหน้าจะค่อยๆเข้าเรื่องไปเรื่อยๆครับ
IT | izitcer | 
May 14, 2010 1:07 am | 
Comments (2) 
Subscribe