ปัจจุบันทาง Juniper Networks มีการวางจำหน่ายอุปกรณ์ประเภท Gateway Appliance (หรือง่ายๆก็ Firewall แหละครับ) ในโมเดลใหม่คือ SRX ซึ่งมี OS เป็น JUNOS อันเป็น OS ที่สร้างชื่อให้กับ Juniper มากๆ เพราะ JUNOS เป็น OS ที่อยู่ใน Router ของทาง Juniper ที่ขึ้นชื่อมากใน Router ระดับ Hi-End พวก ISP ใหญ่ๆในเมืองนอกนิยมกันมาก
ทุกอย่างดูจะดีทีเดียวครับ เพราะ JUNOS ถือเป็น OS ที่การสั่งงานผ่าน CLI ยอดเยี่ยมมากเฉกเช่น CISCO IOS เลย (แต่ GUI อย่าไปคาดหวังนะครับ ฮ่าๆ รู้กันครับของแบบนี้) และยังเสถียรอย่างมากอีกด้วย แต่สำหรับคนที่ทำ Firewall ของ Juniper มาแต่ต้นคงจะคุ้นเคยกันอยู่กับ ScreenOS มากพอสมควร (ซึ่งไปซื้อเค้ามาอีกที เนื่องจากจะขายไฟร์วอลล์ด้วย) ซึ่งปัจจุบันทาง Juniper Networks ยืนยันว่าจะยังคงขาย Firewall ที่เป็น ScreenOS อยู่ แต่หากดูจากเทรนด์แล้ว คงพอจะเดาๆกันได้ว่าอีกไม่นาน ScreenOS น่าจะหายไปจากตลาดแล้ว เพราะหากดู Performance ของ SRX (JUNOS) กับ SSG (ScreenOS) แล้วจะเห็นชัดๆเลยว่าราคาที่ตั้งมานั้น SRX ทำราคาได้ดีกว่ามาก เหมือนกับว่าตั้งใจว่ากลุ่มลูกค้าใหม่นี่เอา JUNOS ไปเลย ส่วน ScreenOS จะเก็บไว้บริการลูกค้าเก่าหรือคนที่มีอยู่แล้วแต่จะซื้อเพิ่มเพื่อทำ HA กัน
เรื่องนี้สำหรับคนที่คุ้นเคยกับ ScreenOS อยู่แล้วคงจะต้องเสียเวลามาเรียนรู้ JUNOS นิดหนึ่ง (เฉพาะคนไม่เคยทำ Router ถ้าเคยทำก็ command เดิมๆเลย เพิ่มมาแต่ส่วน firewall, security) ถามว่าเป็นเรื่องลำบากไหม ผมคิดว่าไม่เท่าไหร่ครับเพราะเอาจริงๆคนที่ทำด้าน Network มานานๆเปลี่ยน Hardware หรือ Command นิดหน่อยไม่น่าจะกระเทือนเท่าไหร่หรอกครับ เพราะอุปกรณ์ Network ทุกอย่างมันก็เกิดมาจากทฤษฎีและมาตรฐานเดียวกันอยู่แล้ว ดังนั้นหากแม่นเรื่องพวกนี้ไปทำอะไรก็รอดหมดครับ
แต่สิ่งที่ผมรู้สึกเสียดายนิดหน่อยคือเรื่องที่ต้องจาก CLI ที่คุ้นเคยอย่าง ScreenOS ไปมากกว่า เพราะผมเองทำ ScreenOS มาระยะหนึ่ง และรู้สึกว่า CLI ของมันสะดวกดี ถึงขนาดว่ามีไฟล์เก็บ Useful Command ไว้เลย เวลาจะใช้ก็มาแก้ค่าไอพีกะค่าจิปาถะเล็กน้อย กอปวางเข้าไป จบงานเลย งานนี้เลยต้องบอกว่าเสียดายเล็กน้อยครับ
งานชิ้นล่าสุดที่ได้ไปทำก็คือวันศุกร์ที่ผ่านมา หิ้วน้องเล็กอย่าง SSG20 ไปทำ Lab Test งานชิ้นหนึ่ง ไปถึงก็โยน command ไป แป้บเดียวจบ จากนั้นก็ไปเซตตัวอื่นๆต่อ สรุปจบงาน Test ได้ในครึ่งวัน เรียกว่าหากเป็นตัวอื่นผมคิดว่าน่าจะเสียเวลามากกว่านี้แน่ๆครับ พอทำเสร็จก็เลยมาคิดได้ว่า อีกไม่นานจะต้องทำ JUNOS แล้วแน่ๆ งานนี้เลยรู้สึกเสียดายนิดๆ (แต่หากมี Lab Test หากเป็นไปได้ก็จะใช้ SSG20 นี่ล่ะ และ SSG20 ตัวนี้ในออฟฟิซเค้าไม่เรียก Firewall กันแล้ว เพราะมี Lab ทีไร มันกลายเป็น Router ทุกที ไม่ NAT ก็ Route แทบไม่ได้เซต security function ไหนทีมันมีเลย นอกจาก any any allow ฮ่าๆ)
เอ้า โชคดีนะ ScreenOS
สวัสดีครับ ขอเข้าสู่ช่วงขายยานิดนะครับ 
ตอนนี้ผมมีคอร์สใหม่เพิ่มเข้ามาแล้วคือ Forefront Threat Management Gateway 2010 หรือที่รู้จักกันดีว่า ISA Server นั่นเอง ในเวอร์ชันนี้มีความสามารถใหม่ๆเพิ่มเข้ามามากมาย และเพื่อให้การเรียนเป็นไปอย่างเป็นระบบผมจึงขอแบ่งคอร์สการสอนออกเป็น 2 คอร์สก่อนแบบคร่าวๆ (ในอนาคตอาจจะมากกว่านี้) คือ
- Forefront Threat Management Gateway 2010:Proxy คอร์สนี้เรียนพื่อเอา TMG 2010 ไปทำเป็น Proxy สอนกันแบบเน้นๆกันเลยทีเดียวครับ
- Forefront Threat Management Gateway 2010:Secure Gateway คอร์สนี้เน้นไปที่การวางระบบ Security โดยใช้ TMG 2010 เช่น การใช้งาน Firewall, IPS
ทั้งสองคอร์สเรียนแล้วนำไปประยุกต์ใช้ได้กับ Proxy หรือ Firewall อื่นๆได้ด้วยครับ เช่น BlueCoat, Juniper, Checkpoint, CiscoPIX เพราะการสอนจะมีในส่วนของทฤษฎีด้าน Network, Security พอสมควร และด้วยเหตุที่ Product ทุกอย่างในตลาดไม่ว่าจะยี่ห้อใดก็ตม จะพัฒนาขึ้นจากหลักการที่ว่านี้เหมือนๆกันทั้งสิ้น จึงขอบอกครับว่าไม่มีปัญหาในการคอนฟิกข้ามยี่ห้อแน่ถ้าเราเข้าใจทุกอย่างดี (แต่ก็ต้องศึกษาการคอนฟิกไว้บ้างนะครับ ไม่งั้นเดี๋ยวจะกลายเป็นไปนั่งมั่วแทน)
รายละเอียดดูได้ที่นี่เลยครับ
http://www.izitcer.com/?page_id=29
สนใจติดต่อได้ที่izitcer@gmail.com ครับ
เบอร์ติดต่อขอได้ทางเมลนะครับ
ขอบคุณครับ
สวัสดีครับ มิตรรักแฟนเพลงทุกท่าน
ห่างหายจากการอัปบล๊อคไปหนึ่งชาติเศษ ขอบอกกล่าวว่าไม่ได้หายไปไร้สาระที่ไหนนะครับ
ช่วงนี้งานรัดตัวมาก อาทิตย์ที่ผ่านมายุ่งอยู่กับการดูรายละเอียดโปรดักต์หลายๆตัวเพื่อเสนอลูกค้า หลักๆก็จะมี Exchange Server 2010 และ Threat Mamangement Gateway 2010 (ISA Server 2010)
ตอนนี้การทำงานเวลากลางวันก็ทำงานปกติเหมือนปกติทั่วไป ส่วนกลางคืนขอบอกครับว่ามีการซุ่มโปรเจกต์อยู่
วันนี้เลยขอมาแบไต๋นิดว่าโปรเจกต์กลางคืนที่ว่านี้ผมตั้งใจทำมากทีเดียว และเป็นหนังสือครับ เล่มนี้ตั้งใจเขียนให้ออกมาดีเเละละเอียดที่สุดเท่าที่จะทำได้
กำหนดการเสร็จคงอีกราวสองหรือสามเดือน สำหรับท่านที่เรียนกับผมหลายๆท่านอาจจะรู้แล้วว่าเป็นเรื่องอะไร เลยขอความกรุณาว่าอย่าเพิ่งบอกในนี้เลยเด้อครับ ขอบอกตอนหนังสือเสร็จหรือขึ้นเพลทเตรียมพิมพ์เลยดีกว่า เพราะขืนแบออกหมดแล้วไม่เสร็จหน้าจะแตกดังโพล๊ะ
สำหรับเล่มนี้มีแนวโน้มว่าทั้งคนเขียนและบอกออาจจะเป็นคนในวงการไอทีที่ยังทำงานไอทีอยู่ทั้งคู่ ไม่มีใครทำหนังสือเลย อย่างไรก็ตามเนื้อหาทั้งหมดจะยังจับต้องได้และไม่เป็นแบบอาจารย์สอนนักเรียนอย่างเช่นหนังสือของแอนดรูว์ ทาเนนบอม เจ้าของมินิกซ์แน่นอนครับ เรียกว่าไม่มีพืนมาก่อน อ่านไปก็ต้องทำได้ครับ
วันนี้ขอแค่นี้ก่อนนะครับ ขอไปลุยโปรเจกต์ที่ว่าต่อแล้วครับ
หลังจากที่เมื่อ 3 ปีครึ่งที่แล้วผมได้ถอย Thinkpad ออกมา และก็ร่วมทุกข์ร่วมสุขกันมาตลอด ทั้งทำโปรเจกต์ต่างๆ เขียนหนังสือ ตลอดจนไปจมที่ไซต์ด้วยกันยันตีหนึ่งตีสอง หรือยันแจ้งก็เคยมี (พูดยังกะคู่รักเลยแฮะ)
ในวันนี้ก็ได้ฤกษ์งามยามดีที่จะอัปเกรดเครื่องซะที เพราะที่ผ่านมาแม้ว่า Thinkpad จะอยู่กับผมด้วยดีมาโดยตลอด แต่เนื่องจาก CPU ใช้เป็น T5500 เลยทำให้ทดสอบระบบหรือ OS ที่เป็น 64 บิตไม่ได้เลย เพราะไม่มี VT หรือ Virtualization Technology แต่ก็ไม่เดือดร้อนเท่าไหร่นัก เพราะโดยปกติคนทำ OS จะออกเวอร์ชัน 32 บิตมาอยู่แล้วไม่ว่าจะ Linux หรือ Microsoft เอง แต่ในที่สุดก็มาแจ๊คพอตแตกตอนต้นปีจนได้เมื่อ Windows Server 2008 R2 ออกมา เนื่องจากพี่ท่านเล่นมาแต่แบบ 64 บิตเพียวๆ เลยทำให้อยู่กับมันได้ไม่เต็มที่นัก เพราะถ้าจะลงใส่ Mr. Thinkpad ของผม ผมก็ต้องลงแบบเป็น OS จริงๆ ลงบน VM ไม่ได้ ซึ่งผมคงไม่ทำแน่ เพราะผมอยากจะเทสต์อะไรหลายๆอย่าง ขืนทำ Snapshot ไม่ได้ คนทดสอบระบบอย่างผมก็มีสิทธิ์ได้ลงใหม่จนเดี้ยงกันพอดี
ผมโชคดีนิดหน่อยที่ได้ T5600 (รหัสใกล้เคียงกับของผมมากเลย แต่ดันมีฟีเจอร์นี้ จะว่าไป Intel นี่ บางทีผมก็ไม่เข้าใจการแบ่ง Segment ของเค้าเหมือนกัน จะทำมาทำไม ราคาเกือบเท่ากัน คุณสมบัติก็เหมือนกันเป๊ะ แต่ดันเอา VT ออก) มาจากตลาดมือสองอย่าง OCZ (overcloczone.com นั่นแหละท่านผู้ชม) ในราคาที่โอเคมากเลยสำหรับผม พอได้มาจับครั้งแรกแทบร้องไห้ (เวอร์นิดๆ) เนื่องจากรอมานาน เมื่อก่อนเวลาจะทำ VM 64 บิต ต้องไปยืมเครื่องชาวบ้านใช้ ต่อมาเลยถอย PC ออกมาใช้เอง แต่ถามว่าสะดวกไหม ก็คงไม่สะดวกเท่าไหร่ เพราะโดยมากผมจะใช้โน้ตบุ้คทำงาน (จริงๆปัญหานี้อาจจะซื้อโน้ตบุ้คใหม่ก็ได้ แต่ผมเลือกจะทนใช้ไป เนื่องจากรู้สึกว่าทำงานกับ Thinkpad เครื่องเดิมๆแล้วผูกพัน และยังมั่นใจว่ามันทำงานได้อยู่)
สำหรับขั้นตอนการอัปเกรด CPU บน Thinkpad ก็ไม่มีอะไรมากครับ
- ขันน๊อตด้านล่างที่ยึดคีย์บอร์ดหรือทัชแพดออก มีประมาณ 5 ตัว กับน๊อตที่ยึดโครงส่วนบนซึ่งอยู่ตรงบริเวณช่องเสียบแบต
- ค่อยๆแกะทัชแพดกับคีย์บอร์ดและโครงส่วนบนออกมา ก็จะเห็นซิงค์ ค่อยๆแแกะทีละนิดแล้วยกซิงค์ออกมา
- ไขน๊อตด้านบนซ็อคเก็ต CPU ก็จะเปลี่ยน CPU ได้แล้ว
- ใส่ทุกอย่างกลับไปตามเดิม
สำหรับวันนี้มีเรื่องให้ทรัพย์จากค่อนข้างมากเพราะ CPU ใหม่นี้ล่ะ เพราะด้วยความที่กลัวมันจะร้อน หรือซิลิโคนเดิมจะไม่ดี เลยไปเอา Arctic MX 3 ซึ่งถือว่าแพงจัดชัดจริงในวงการซิลิโคนมาอีก ทาไปเรียบร้อยแล้ว งานนี้จ่ายเพื่อเอาสบายใจแท้ๆเลย เพราะดูอุณหภูมิแล้วมันก็ประมาณเดิม อาจจะดีขึ้นก็ไม่เกิน 2-3 องศา
ตอนนี้กำลังติดตั้ง Windows Server 2008 R2 อยู่ กำลังจะเสร็จแล้ว จะได้ทำงานเต็มปอดก็คราวนี้ล่ะ
งวดหน้าจะมาว่าเรื่อง Windows Server 2008 R2 ให้ฟังกันนะครับ
Load Balance เป็น Feature อีกหนึ่งอย่างที่อาจจะถือได้ว่าเป็น Option เสริมที่ช่วยให้องค์กรหลายๆแห่งตัดสินใจเลือกซื้ออุปกรณ์ Firewall ได้ง่ายยิ่งขึ้น
ปัจจุบัน เท่าที่ผมเองได้มีโอกาส Implement ระบบ Firewall ภายในองค์กร พบว่า Firewall โดยมากแล้วจะไม่มี Feature นี้ นั่นเพราะ Firewall ที่ทำมาส่วนใหญ่ผู้ผลิตจะเน้นไปในด้านของ Security มากกว่า และใน Firewall รุ่นใหญ่ๆก็นิยมทำเป็น Firewall ที่เป็น Firewall อย่างเดียวเท่านั้น เพราะหากรันทุก Feature สิ่งที่ตามมาคือ Appliance ช้า หรืออาจจะ Hang ไปเลยก็ได้ เดือดร้อนผู้ดูแลต้องมารีเซตให้ใหม่ หรือบางยี่ห้อฉลาดหน่อยก็อาจจะ Restart Service ได้เองเมื่อเอ๋อไประยะหนึ่ง
แต่ในองค์กรแบบ SME หรือมีต้นทุนจำกัด การใช้ Appliance ที่มีครบทุกอย่างหรือที่เรียกว่า UTM (Unified Threat Management) คือ Antivirus, Antispam, Antispyware และ Firewall ก็ดูจะเป็นทางเลือกที่ไม่เลวนัก ยิ่งมี Load Balance เข้ามาให้ใช้อีกก็ยิ่งป็นทางเลือกที่ดีสำหรับองค์กรที่มี 2 WAN
ปกติแล้วการทำ Load Balance บน Firewall ทั่วไป เราอาจจะแบ่ง Client เป็นกลุ่ม แล้วใช้ SBR หรือ PBR ในการกระจาย Traffic ไปยัง WAN Link ทั้งหมด
แต่ Firewall บางยี่ห้อ อย่างเช่น Stonegate หรือ Fortigate (บางรุ่น) นั้นอาจจะพิเศษนิดหน่อยตรงที่มี Load Balance แถมมาให้ด้วย เท่าที่ได้ลองมาก็พอไปวัดไปวาได้เหมือนกัน โดยเลือกได้ว่าจะกระจาย Traffic ในลักษณะของ Round Robin หรือ Weight ก็ได้ นับว่าคุ้มค่าทีเดียวสำหรับองค์กรที่สนใจ
ในกรณีที่มีงบประมาณมากเพียงพอ ผมแนะนำให้ใช้ Appliance ที่ทำหน้าที่อย่างใดอย่างหนึ่งไปเลยจะดีกว่า เพราะหากเปิด Feature หลายๆอย่างอาจจะทำให้ Appliance มีโอกาส Hang ไปได้เหมือนกัน
April 4, 2010 12:18 am | 
Subscribe