แนะนำ Microsoft Forefront Threat Management Gateway 2010 (ISA Server 2010)

TMG 2010 หรือ ISA Server 2010 นั้นเป็นซอฟท์แวร์ประเภท Security Gateway ที่ผมเขียนอย่างนี้ก็เพราะว่า TMG 2010 นั้นไม่ได้เป็นแค่ Proxy เหมือนกับบรรพบุรุษอย่าง Microsoft Proxy Server อีกแล้ว แต่ TMG 2010 ในปัจจุบันมีทั้ง Firewall, VPN, IPS, Anti-Spam, Content Inspection, URL Filtering, Load Balance และอื่นๆอีกมากมาย ด้วยเหตุนี้เองจึงจัดว่า TMG 2010 เป็น Security Gateway ไปเรียบร้อยแล้ว

อย่างไรก็ดีสิ่งหนึ่งที่ต้องยอมรับก็คือ หากนำฟีเจอร์ทั้งหมดของ TMG 2010 ไปเปรียบเทียบกับอุปกรณ์หรือซอฟท์แวร์ที่ทำหน้าที่ในด้านนั้นๆเพียงอย่างเดียว อย่างเช่น เปรียบเทียบ IPS ของ TMG 2010 กับ IPS จาก TippingPoint หรือเปรียบเทียบ Antispam ของ TMG 2010 กับ Antispam จาก Ironport (Cisco ซื้อไปแล้ว) ก็คงต้องบอกว่าคงจะสู้ไม่ได้

แต่ข้อดีของ TMG 2010 คือมีให้ใช้แทบจะครบทุกฟีเจอร์ และหากเราไม่ได้ต้องการตั้งค่าใดๆที่ต้องวางระบบแบบพิสดารพันลึกแล้ว TMG 2010 ก็คงจะตอบโจทย์ได้แน่ๆ เพราะในหลายๆครั้ง ผมก็พบว่าการใช้ Appliance ราคาแพงอาจจะไม่ได้จำเป็นเสมอไป เพราะเราอาจจะใช้แค่ฟีเจอร์ไม่กี่อย่าง ซึ่งฟีเจอร์เหล่านี้ในบางครั้งก็มีอยู่ใน Appliance ที่ราคาต่ำกว่า หรือในซอฟท์แวร์ OpenSource ด้วยซ้ำไป

สำหรับผู้ที่กังวลในเรื่องของ Security นั้นผมขอบอกซักนิดเลยว่าหากท่านมีการทำ OS Hardening ที่ดีแล้ว การโจมตีต่างๆแทบจะไม่ระคาย OS ของท่านเลย แต่อน่างไรก็ดีการทำ OS Hardening ก็อาจจะต้องใช้ประสบการณ์และความรู้เพิ่มเติมพอสมควร ซึ่งสิ่งเหล่านี้ก็ต้องพยายามศึกษาและทดลองกันครับ

วันนี้ขอแนะนำเพียงเท่านี้ก่อนนะครับ ในโอกาสหน้าจะค่อยๆเข้าเรื่องไปเรื่อยๆครับ

ScreenOS ความสบายที่ยังไม่อยากให้จากกันเลยจริงๆ

ปัจจุบันทาง Juniper Networks มีการวางจำหน่ายอุปกรณ์ประเภท  Gateway Appliance (หรือง่ายๆก็ Firewall แหละครับ) ในโมเดลใหม่คือ SRX ซึ่งมี OS เป็น JUNOS อันเป็น OS ที่สร้างชื่อให้กับ Juniper มากๆ เพราะ JUNOS เป็น OS ที่อยู่ใน Router ของทาง Juniper ที่ขึ้นชื่อมากใน Router ระดับ Hi-End พวก ISP ใหญ่ๆในเมืองนอกนิยมกันมาก

ทุกอย่างดูจะดีทีเดียวครับ เพราะ JUNOS ถือเป็น OS ที่การสั่งงานผ่าน CLI ยอดเยี่ยมมากเฉกเช่น CISCO IOS เลย (แต่ GUI อย่าไปคาดหวังนะครับ ฮ่าๆ รู้กันครับของแบบนี้) และยังเสถียรอย่างมากอีกด้วย แต่สำหรับคนที่ทำ Firewall ของ Juniper มาแต่ต้นคงจะคุ้นเคยกันอยู่กับ ScreenOS มากพอสมควร (ซึ่งไปซื้อเค้ามาอีกที เนื่องจากจะขายไฟร์วอลล์ด้วย) ซึ่งปัจจุบันทาง Juniper Networks ยืนยันว่าจะยังคงขาย Firewall ที่เป็น ScreenOS อยู่ แต่หากดูจากเทรนด์แล้ว คงพอจะเดาๆกันได้ว่าอีกไม่นาน ScreenOS น่าจะหายไปจากตลาดแล้ว เพราะหากดู Performance ของ SRX (JUNOS) กับ SSG (ScreenOS) แล้วจะเห็นชัดๆเลยว่าราคาที่ตั้งมานั้น SRX ทำราคาได้ดีกว่ามาก เหมือนกับว่าตั้งใจว่ากลุ่มลูกค้าใหม่นี่เอา JUNOS ไปเลย ส่วน ScreenOS จะเก็บไว้บริการลูกค้าเก่าหรือคนที่มีอยู่แล้วแต่จะซื้อเพิ่มเพื่อทำ HA กัน

เรื่องนี้สำหรับคนที่คุ้นเคยกับ ScreenOS อยู่แล้วคงจะต้องเสียเวลามาเรียนรู้ JUNOS นิดหนึ่ง (เฉพาะคนไม่เคยทำ Router ถ้าเคยทำก็ command เดิมๆเลย เพิ่มมาแต่ส่วน firewall, security) ถามว่าเป็นเรื่องลำบากไหม ผมคิดว่าไม่เท่าไหร่ครับเพราะเอาจริงๆคนที่ทำด้าน Network มานานๆเปลี่ยน Hardware หรือ Command นิดหน่อยไม่น่าจะกระเทือนเท่าไหร่หรอกครับ เพราะอุปกรณ์ Network ทุกอย่างมันก็เกิดมาจากทฤษฎีและมาตรฐานเดียวกันอยู่แล้ว ดังนั้นหากแม่นเรื่องพวกนี้ไปทำอะไรก็รอดหมดครับ

แต่สิ่งที่ผมรู้สึกเสียดายนิดหน่อยคือเรื่องที่ต้องจาก CLI ที่คุ้นเคยอย่าง ScreenOS ไปมากกว่า เพราะผมเองทำ ScreenOS มาระยะหนึ่ง และรู้สึกว่า CLI ของมันสะดวกดี ถึงขนาดว่ามีไฟล์เก็บ Useful Command ไว้เลย เวลาจะใช้ก็มาแก้ค่าไอพีกะค่าจิปาถะเล็กน้อย กอปวางเข้าไป จบงานเลย งานนี้เลยต้องบอกว่าเสียดายเล็กน้อยครับ

งานชิ้นล่าสุดที่ได้ไปทำก็คือวันศุกร์ที่ผ่านมา หิ้วน้องเล็กอย่าง SSG20 ไปทำ Lab Test งานชิ้นหนึ่ง ไปถึงก็โยน command ไป แป้บเดียวจบ จากนั้นก็ไปเซตตัวอื่นๆต่อ สรุปจบงาน Test ได้ในครึ่งวัน เรียกว่าหากเป็นตัวอื่นผมคิดว่าน่าจะเสียเวลามากกว่านี้แน่ๆครับ พอทำเสร็จก็เลยมาคิดได้ว่า อีกไม่นานจะต้องทำ JUNOS แล้วแน่ๆ งานนี้เลยรู้สึกเสียดายนิดๆ (แต่หากมี Lab Test หากเป็นไปได้ก็จะใช้ SSG20 นี่ล่ะ และ SSG20 ตัวนี้ในออฟฟิซเค้าไม่เรียก Firewall กันแล้ว เพราะมี Lab ทีไร มันกลายเป็น Router ทุกที ไม่ NAT ก็ Route แทบไม่ได้เซต security function ไหนทีมันมีเลย นอกจาก any any allow ฮ่าๆ)

เอ้า โชคดีนะ ScreenOS

เปิดสอน Forefront Threat Management Gateway 2010 หรือ ISA Server เดิมแล้วครับ

สวัสดีครับ ขอเข้าสู่ช่วงขายยานิดนะครับ

ตอนนี้ผมมีคอร์สใหม่เพิ่มเข้ามาแล้วคือ Forefront Threat Management Gateway 2010 หรือที่รู้จักกันดีว่า ISA Server นั่นเอง ในเวอร์ชันนี้มีความสามารถใหม่ๆเพิ่มเข้ามามากมาย และเพื่อให้การเรียนเป็นไปอย่างเป็นระบบผมจึงขอแบ่งคอร์สการสอนออกเป็น 2 คอร์สก่อนแบบคร่าวๆ (ในอนาคตอาจจะมากกว่านี้) คือ

1. Forefront Threat Management Gateway 2010:Proxy คอร์สนี้เรียนพื่อเอา TMG 2010 ไปทำเป็น Proxy สอนกันแบบเน้นๆกันเลยทีเดียวครับ
2. Forefront Threat Management Gateway 2010:Secure Gateway คอร์สนี้เน้นไปที่การวางระบบ Security โดยใช้ TMG 2010 เช่น การใช้งาน Firewall, IPS

ทั้งสองคอร์สเรียนแล้วนำไปประยุกต์ใช้ได้กับ Proxy หรือ Firewall อื่นๆได้ด้วยครับ เช่น BlueCoat, Juniper, Checkpoint, CiscoPIX เพราะการสอนจะมีในส่วนของทฤษฎีด้าน Network, Security พอสมควร และด้วยเหตุที่ Product ทุกอย่างในตลาดไม่ว่าจะยี่ห้อใดก็ตม จะพัฒนาขึ้นจากหลักการที่ว่านี้เหมือนๆกันทั้งสิ้น จึงขอบอกครับว่าไม่มีปัญหาในการคอนฟิกข้ามยี่ห้อแน่ถ้าเราเข้าใจทุกอย่างดี (แต่ก็ต้องศึกษาการคอนฟิกไว้บ้างนะครับ ไม่งั้นเดี๋ยวจะกลายเป็นไปนั่งมั่วแทน)

รายละเอียดดูได้ที่นี่เลยครับ

http://www.izitcer.com/?page_id=29

สนใจติดต่อได้ที่izitcer@gmail.com ครับ

เบอร์ติดต่อขอได้ทางเมลนะครับ

ขอบคุณครับ

Load Balance กับ Firewall

Load Balance เป็น Feature อีกหนึ่งอย่างที่อาจจะถือได้ว่าเป็น Option เสริมที่ช่วยให้องค์กรหลายๆแห่งตัดสินใจเลือกซื้ออุปกรณ์ Firewall ได้ง่ายยิ่งขึ้น

ปัจจุบัน เท่าที่ผมเองได้มีโอกาส Implement ระบบ Firewall ภายในองค์กร พบว่า Firewall โดยมากแล้วจะไม่มี Feature นี้ นั่นเพราะ Firewall ที่ทำมาส่วนใหญ่ผู้ผลิตจะเน้นไปในด้านของ Security มากกว่า และใน Firewall รุ่นใหญ่ๆก็นิยมทำเป็น Firewall ที่เป็น Firewall อย่างเดียวเท่านั้น เพราะหากรันทุก Feature สิ่งที่ตามมาคือ Appliance ช้า หรืออาจจะ Hang ไปเลยก็ได้ เดือดร้อนผู้ดูแลต้องมารีเซตให้ใหม่ หรือบางยี่ห้อฉลาดหน่อยก็อาจจะ Restart Service ได้เองเมื่อเอ๋อไประยะหนึ่ง

แต่ในองค์กรแบบ SME หรือมีต้นทุนจำกัด การใช้ Appliance ที่มีครบทุกอย่างหรือที่เรียกว่า UTM (Unified Threat Management) คือ Antivirus, Antispam, Antispyware และ Firewall ก็ดูจะเป็นทางเลือกที่ไม่เลวนัก ยิ่งมี Load Balance เข้ามาให้ใช้อีกก็ยิ่งป็นทางเลือกที่ดีสำหรับองค์กรที่มี 2 WAN

ปกติแล้วการทำ Load Balance บน Firewall ทั่วไป เราอาจจะแบ่ง Client เป็นกลุ่ม แล้วใช้ SBR หรือ PBR ในการกระจาย Traffic ไปยัง WAN Link ทั้งหมด

แต่ Firewall บางยี่ห้อ อย่างเช่น Stonegate หรือ Fortigate (บางรุ่น) นั้นอาจจะพิเศษนิดหน่อยตรงที่มี Load Balance แถมมาให้ด้วย เท่าที่ได้ลองมาก็พอไปวัดไปวาได้เหมือนกัน โดยเลือกได้ว่าจะกระจาย Traffic ในลักษณะของ Round Robin หรือ Weight ก็ได้ นับว่าคุ้มค่าทีเดียวสำหรับองค์กรที่สนใจ

ในกรณีที่มีงบประมาณมากเพียงพอ ผมแนะนำให้ใช้ Appliance ที่ทำหน้าที่อย่างใดอย่างหนึ่งไปเลยจะดีกว่า เพราะหากเปิด Feature หลายๆอย่างอาจจะทำให้ Appliance มีโอกาส Hang ไปได้เหมือนกัน

Websense อีกหนึ่ง Web Filtering คุณภาพ

วันนี้ขอแนะนำซอฟท์แวร์ประเภท Web Filtering ซักเล็กน้อย

เนื่องจากบริษัทนี้ได้ก้าวหน้าจนซื้อ SurfControl ซึ่งเป็น Web Filtering Engine ของ Juniper Netscreen Firewall ที่จัดว่าเป็นอุปกรณ์ชิ้นโปรดอีกอันหนึ่งของผมไปซะแล้ว (เดือดร้อนต้องไปอัปเกรด Netscreen ให้ชาวบ้านอีก)

Websense เป็นซอฟท์แวร์ประเภท Web Filtering ที่จัดได้ว่าเป็นกลุ่มผู้นำในปัจจุบัน (อ้างอิงจาก Gartner Quadrant) เรียกว่าคู่คี่กับทาง BlueCoat ทีเดียว

จุดดีของ Websense นั้นมีหลายอย่างทีเดียว ขอไล่เรียงตามความประทับใจนะครับ

1. มี Policy Server ตั้งแยกได้ ทำให้ง่ายต่อการ Manage และหากมันล่ม ผู้ใช้ก็ยังทำงานได้อยู่ เพียงแต่ขะไม่โดน Filter เท่านั้น ตรงจุดนี้จะออกแบบมาคล้ายกับ TippingPoint IPS ที่ไปปุ๊บปล่อยปั๊บ
2. User Interface ในการคอนฟิกเข้าใจได้ง่ายมาก สามารถีโมทเข้ามาจัดการได้ผ่านทาง Web Browser ธรรมด๊า ธรรมดา
3. สามารถ Integrate เข้ากับชาวบ้านได้มากมาย แต่ที่ทำบ่อยๆเป็น ISA เลยเข้าใจว่ามันทำมาคู่กับ ISA ซะงั้น
4. Database ท่านใหญ่พอสมควร เลยบล๊อคได้เยอะ แถมซอยย่อยเป็นหลาย Category ให้ ก็นับว่าสะดวกดี (แต่รู้สึกฐานข้อมูลเว็บประหลาดๆในไทยจะอัปเดตไม่เท่า BlueCoat นะ)

หลังจากจุดดีแล้ว ก็ขอแนะนำจุดที่ฮาซะหน่อย

1. เราสามารถ Manage ผ่าน Web Browser ธรรมดาได้ก็จริง แต่หากผิดเวอร์ชันที่มันซัพพอร์ตไปซักนิด กดตั้งอะไรจะ Error ตลอดศก เช่น มันแนะนำให้เป็น Firefox 3.0 พอเอา 3.5 ไปเล่นกับมัน เอ๋อสนิท
2. อย่าได้เปลี่ยนไอพี Policy Server ตามอำเภอใจ เพราะเปลี่ยนปุ๊บ เดี้ยวปั๊บ เข้า Manage ไม่ได้ ต้องแก้ร่วมๆสิบจุดกว่ามันจะมา และหากแก้ไม่ครบ งานนี้มี Error หนักอีกตะหาก
3. คิดม่าออก ลองเล่นดู หากพลาดมาจะรู้ว่างานเข้าเป็นไง

การทำ Static NAT บน Juniper

วันนี้มาอัปบล๊อคกันแบบมีสาระหน่อยครับ

.

การทำ Static NAT ถือเป็นเรื่องจำเป็นมากในกรณีที่เราต้องการให้ผู้ใช้ภายนอก

เข้ามาใช้งาน Server ที่อยู่ใน DMZ หรือ Trust Zone

การทำ Static NAT ใน Juniper เมื่อเทียบกับ Checkpoint อาจจะดูยุ่งยากกว่าเล็กน้อยครับ

เพราะใน Checkpoint คลิกที่ Host Object แล้วใส่ NAT IP ไปก็จบแล้ว

แต่ใน Juniper จะต้องไปเซต Interface ก่อน แล้วมาทำ Policy ต่ออีก

และหากเพิ่งเริ่มทำอาจจะงงๆได้เพราะมันจะไม่ได้เขียนว่า NAT ด้วยล่ะเอ้อ

.

Static NAT ใน Juniper จะเรียกว่า MIP หรือ Mapped IP Addresses

การทำงานจะเป็นดังรูปครับ

Juniper MIP (Static NAT)

ว่าแล้วก็ส่งต่อ Command ไปครับ

set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24

set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

อื่นๆเกี่ยวกับ MIP

1. MIP จะเก็บอยู่ใน Global Zone
2. เมื่อทำ MIP เวลา Server จะ Initiate Connection มันจะออกไปเป็น IP ของ MIP เลย ไม่สามารถใช้งาน NAT Policy อื่นๆได้ ดังนั้นในกรณีนี้จะเป็นปัญหาเรื่อง Security ทันที เพราะเท่ากับว่าตัว Server ภายใน DMZ หรือ Trust Zone ไม่ได้ถูกซ่อน IP จริงๆของตัวเองเอาไว้เมื่อติดต่อกับ Untrust Zone ดังนั้นหากกังวลเรื่องนี้คงจะต้องใช้วิธี NAT แบบอื่นแทน เช่น VIP ครับ

สำหรับวันนี้ขอตัวก่อนนะครับ วันหลังมีโอกาสจะแวะเอา Tips เล็กๆน้อยๆมาฝากอีกครับ

ประเภทของ Firewall ในปัจจุบัน

สวัสดีครับ วันนี้มาแนววิชาการซักนิด

วันนี้จะขอเล่าเรื่อง Firewall สักเล็กน้อยครับ

อยากจะมาแบ่ง Firewall ออกเป็นประเภทตามลักษณะการติดตั้งสักเล็กน้อย

เพราะหากแบ่งตามลักษณะการทำงาน Firewall ในปัจจุบันคงได้อยู่ประเภทเดียวกันเกือบหมด

.

หากแบ่งตามที่ผมว่า อาจจะแบ่งออกได้เป็น 2 ประเภทใหญ่ๆคือ

1. Software Firewall ประเภทนี้ก็ตรงตัวเลยคือเป็น Firewall ที่เป็นซอฟท์แวร์ เวลาใช้งานก็ติดตั้งบนเครื่อง Server ทั่วไปได้เลย อาจจะเป็น PC ธรรมดาๆก็ได้ ยกตัวอย่างเช่น ISA Server, Checkpoint, IPTABLES
2. Appliance Firewall ประเภทนี้ผู้ผลิตจะติดตั้ง Firewall ลงมาบน Hardware ของตัวเองเลย ไม่สามารถติดตั้งบนเครื่องธรรมดาทั่วไปได้ ยกตัวอย่างเช่น Juniper, Checkpoint (เจ้านี้ทำมาหลายแบบครับ), Fortigate, Stonegate

.

มาว่ากันเรื่องข้อดีของ Software Firewall กันก่อนเลยครับ

1. สามารถใช้ฮาร์ดแวร์อะไรก็ได้มาติดตั้ง ขอแค่ให้มีแรงรันมันได้เป็นพอ
2. บางเจ้าแจกให้ใช้กันฟรี
3. ราคาของอุปกรณ์ไม่แพงมากเหมือน Appliance
4. หากมีประสบการณ์ การ Tune Up จะเล่นได้มากมาย
5. มักจะไม่หยุมหยิมในเรื่องของ License ที่บางเจ้าที่ทำ Appliance ชอบแยก Feature อต่ละอย่างมาขายเป็น License
6. มี Knowledge Base มากมาย

ข้อดีของ Appliance Firewall

1. มีความเสถียรสูง เพราะ OS ที่ใช้ผ่านการ Tuning มาเรียบร้อยแล้ว
2. มีความปลอดภัยสูง เพระา OS ที่ใช้โดน Hardening มาอย่างดี
3. เวลามีปัญหา รีเซตและมักจะรอด
4. การ Support จากคนขายค่อนข้างดีแทบทุกเจ้า เนื่องจากอุปกรณ์ราคาแพง และต้องอยู่กันยาวนาน
5. เวลาคอนฟิกได้จะดูหล่อมาก เนื่องจากของประเภทนี้มี Knowledge อยู่ในวงจำกัด แต่หากไม่ได้ เตรียมขี้เหร่ออกจากไซต์

เดี๋ยววันหน้าจะมาต่อให้ฟังอีกทีนะครับ วันนี้มีงานด่วน ขอลาไป่อน สวัสดีครับ

รับสอน Windows Server, Active Directory, Exchange, ISA และอุปกรณ์ Network มากมาย

วันนี้ขอนอกเรื่องจากเรื่องเล่ามาโฆษณานิดหนึ่งนะครับ

รับสอนของต่างๆดังนี้นะครับ

Windows Server 2008 (Active Directory)

Exchange Server 2007

ISA Server 2006

และอื่นๆอีกมากมาย

รายละเอียดตามนี้เลยครับ

http://www.izitcer.com/?page_id=29

.

.

สอนโดย Engineer (SI – System Integrator) ที่ยังทำงานทั้งด้าน Design และ Configuration ครับ ^^

สนใจติดต่อได้ตามรายละเอียดด้านบนครับ

เรื่องไอที เรื่องง่ายๆที่คุณอาจยังไม่รู้ ตอน Security on Windows

เชื่อหรือไม่ว่าจริงๆแล้ว คุณอาจไม่จำเป็นต้องมี Antivirus, Firewall, IPS, Antispyware !!!

บ่อยครั้งผมมักจะเห็นว่าการให้คำแนะนำต่างๆทางด้านไอทีจะเน้นไปที่การลง Protection Software ซะมาก

ซึ่งจริงๆแล้ววิธีนี้ก็ไม่ได้ผิดอะไรครับ เพราะช่วยป้องกันตัวเองได้ในระดับหนึ่ง

แต่สิ่งที่น่ากังวลสำหรับผมแล้วคือ Vulnerability, Compatibility ระหว่าง Protection Software ที่แห่กันลงไปในเครื่อง

บางท่านลง Antivirus 2 ตัวในเครื่อง !!!

ผมเชื่อว่าในสถานการณ์นี้ Antivirus 2 ตัวนี้จะต้องมีการทำงานในหลายๆครั้งที่ Conflict กัน

เช่น AV ตัวแรกต้องการลบไฟล์ออก อีกตัวจะไม่ลบ

นอกจากนี้หลายๆท่านมีการใช้ Firewall แต่ไม่เคยอัปเดตตัว Firewall เลย

ผลคือหาก Firewall มีช่องโหว่เกิดขึ้น (Vulnerability) Hacker อาจเจาะระบบเข้ามาง่ายๆ

เจาะเข้ามาแล้วจะ Execute จะ Transfer อะไรทำได้หมด

.

.

ดังนั้นสิ่งที่ผมให้ความสำคัญลำดับแรกในการ Implement ระบบคือ OS Security

หรือที่เรียกกันติดปากว่า OS Hardening

ผมถือว่าเรื่องนี้สำคัญกว่า Protection Software ซะอีก

ยกตัวอย่างเช่นใน Windows เราสามารถจำกัด Path ที่สามารถ Execute Software ได้

สามารถกำหนด Permission ของ User ได้ เช่น การเข้าถึง Folder, การจำกัดการ Backup หรือการเข้าถึง System File หรือ System Configuration ต่างๆ

การเซตเหล่านี้เราสามารถกระทำได้ผ่าน Group Policy

ในระบบ Workgroup เราต้องเซต Policy เหล่านี้ทีละเครื่อง

แต่ในระบบ Domain เราสามารถเซต Policy ครั้งเดียวบน Active Directory ใน Windows Server แล้วกำหนดให้ใช้กับกลุ่มที่ต้องการได้ทันที

ดังนั้นสำหรับองค์กรขนาดใหญ่ที่ใช้งาน Windows เป็นหลัก

ผมจึงแนะนำให้ใช้งานระบบ Domain มากกว่าที่จะใช้ Workgroup

.

.

วันนี้ขอแค่นี้ก่อนนะครับ

โอกาสหน้าจะนำเรื่อง Domain และ Workgroup ที่ผมเคยพบมาเล่าต่อ

เกือบไม่รอดแล้วกับ Juniper Netscreen Firewall

มีงานเข้า มีงานเข้า !!!

วันนี้งานเข้าเต็มๆครับกับ Juniper

วันก่อนไซต์ลูกค้าไฟดับ (กระชากด้วย) เปิด Juniper อีกที เรียบร้อยไปแล้วครับ

ScreenOS พังยับไปแล้ว Boot ไม่ขึ้น  CLI ผ่าน Console ก็ไม่ได้

ขึ้นมาเต็มๆ Image Corrupt

ไปถึงไซต์ 16:00 เห็นสภาพแล้วนึกว่าจะไม่รอด เพราะทำอะไรไม่ได้เลย

.

.

แต่ในท้ายที่สุดก็รอดมาจนได้ ในเวลา 17:30 ใช้เวลาไปราว 90 นาทีเต็มๆ

กับการกู้และทดสอบระบบใหม่ครั้งนี้

.

.

จากเหตุการณ์นี้ก็บอกได้เลยครับว่าถึงมี UPS แต่ก็ไม่ได้ป้องกันได้ทุกงวดครับ

ดังนั้น Backup และ Disaster Recovery Plan สำคัญที่สุด

มาเริ่มทำกันตั้งแต่วันนี้นะครับ