ปัจจุบันทาง Juniper Networks มีการวางจำหน่ายอุปกรณ์ประเภท Gateway Appliance (หรือง่ายๆก็ Firewall แหละครับ) ในโมเดลใหม่คือ SRX ซึ่งมี OS เป็น JUNOS อันเป็น OS ที่สร้างชื่อให้กับ Juniper มากๆ เพราะ JUNOS เป็น OS ที่อยู่ใน Router ของทาง Juniper ที่ขึ้นชื่อมากใน Router ระดับ Hi-End พวก ISP ใหญ่ๆในเมืองนอกนิยมกันมาก
ทุกอย่างดูจะดีทีเดียวครับ เพราะ JUNOS ถือเป็น OS ที่การสั่งงานผ่าน CLI ยอดเยี่ยมมากเฉกเช่น CISCO IOS เลย (แต่ GUI อย่าไปคาดหวังนะครับ ฮ่าๆ รู้กันครับของแบบนี้) และยังเสถียรอย่างมากอีกด้วย แต่สำหรับคนที่ทำ Firewall ของ Juniper มาแต่ต้นคงจะคุ้นเคยกันอยู่กับ ScreenOS มากพอสมควร (ซึ่งไปซื้อเค้ามาอีกที เนื่องจากจะขายไฟร์วอลล์ด้วย) ซึ่งปัจจุบันทาง Juniper Networks ยืนยันว่าจะยังคงขาย Firewall ที่เป็น ScreenOS อยู่ แต่หากดูจากเทรนด์แล้ว คงพอจะเดาๆกันได้ว่าอีกไม่นาน ScreenOS น่าจะหายไปจากตลาดแล้ว เพราะหากดู Performance ของ SRX (JUNOS) กับ SSG (ScreenOS) แล้วจะเห็นชัดๆเลยว่าราคาที่ตั้งมานั้น SRX ทำราคาได้ดีกว่ามาก เหมือนกับว่าตั้งใจว่ากลุ่มลูกค้าใหม่นี่เอา JUNOS ไปเลย ส่วน ScreenOS จะเก็บไว้บริการลูกค้าเก่าหรือคนที่มีอยู่แล้วแต่จะซื้อเพิ่มเพื่อทำ HA กัน
เรื่องนี้สำหรับคนที่คุ้นเคยกับ ScreenOS อยู่แล้วคงจะต้องเสียเวลามาเรียนรู้ JUNOS นิดหนึ่ง (เฉพาะคนไม่เคยทำ Router ถ้าเคยทำก็ command เดิมๆเลย เพิ่มมาแต่ส่วน firewall, security) ถามว่าเป็นเรื่องลำบากไหม ผมคิดว่าไม่เท่าไหร่ครับเพราะเอาจริงๆคนที่ทำด้าน Network มานานๆเปลี่ยน Hardware หรือ Command นิดหน่อยไม่น่าจะกระเทือนเท่าไหร่หรอกครับ เพราะอุปกรณ์ Network ทุกอย่างมันก็เกิดมาจากทฤษฎีและมาตรฐานเดียวกันอยู่แล้ว ดังนั้นหากแม่นเรื่องพวกนี้ไปทำอะไรก็รอดหมดครับ
แต่สิ่งที่ผมรู้สึกเสียดายนิดหน่อยคือเรื่องที่ต้องจาก CLI ที่คุ้นเคยอย่าง ScreenOS ไปมากกว่า เพราะผมเองทำ ScreenOS มาระยะหนึ่ง และรู้สึกว่า CLI ของมันสะดวกดี ถึงขนาดว่ามีไฟล์เก็บ Useful Command ไว้เลย เวลาจะใช้ก็มาแก้ค่าไอพีกะค่าจิปาถะเล็กน้อย กอปวางเข้าไป จบงานเลย งานนี้เลยต้องบอกว่าเสียดายเล็กน้อยครับ
งานชิ้นล่าสุดที่ได้ไปทำก็คือวันศุกร์ที่ผ่านมา หิ้วน้องเล็กอย่าง SSG20 ไปทำ Lab Test งานชิ้นหนึ่ง ไปถึงก็โยน command ไป แป้บเดียวจบ จากนั้นก็ไปเซตตัวอื่นๆต่อ สรุปจบงาน Test ได้ในครึ่งวัน เรียกว่าหากเป็นตัวอื่นผมคิดว่าน่าจะเสียเวลามากกว่านี้แน่ๆครับ พอทำเสร็จก็เลยมาคิดได้ว่า อีกไม่นานจะต้องทำ JUNOS แล้วแน่ๆ งานนี้เลยรู้สึกเสียดายนิดๆ (แต่หากมี Lab Test หากเป็นไปได้ก็จะใช้ SSG20 นี่ล่ะ และ SSG20 ตัวนี้ในออฟฟิซเค้าไม่เรียก Firewall กันแล้ว เพราะมี Lab ทีไร มันกลายเป็น Router ทุกที ไม่ NAT ก็ Route แทบไม่ได้เซต security function ไหนทีมันมีเลย นอกจาก any any allow ฮ่าๆ)
เอ้า โชคดีนะ ScreenOS
เอ่ยถึงอุปกณณ์ Load Balance แล้ว ผมเชื่อว่าหลายๆท่านที่ทำงานในระดับ Corporate คงจะนึกไปถึง F5 เป็นอันดับแรก เพราะยี่ห้อนี้ทำตลาดมานาน และใน Gartner Quadrant ก็อยู่ในตำแหน่งที่เรียกว่าสูงปรี๊ด นำชาวบ้านเป็นช่วงตัว
แต่ในวันนี้ผมจะขอแนะนำให้รู้จักกับ Radware AppDirector ซึ่งเป็นอุปกรณ์ประเภท Load Balance อีกตัวหนึ่ง ซึ่งแม้ว่าจะตามทาง F5 อยู่ แต่เมื่อดูในหลายๆส่วนแล้ว ตัว AppDirector เองก็สามารถทำงานออกมาให้ได้ผลลัพธ์ตามที่ต้องการได้เหมือนกันกับตัวเอ้แห่งวงการ
ในการ Manage อุปกรณ์ เราสามารถทำได้ผ่าน Web Base, CLI เหมือนอุปกรณ์ทั่วๆไป แต่ที่ถือเป็นจุดเด่นของอุปกรณ์จาก Radware คือ Insight ซึ่งเป็นซอฟท์แวร์ Manage จากทาง Radware เอง โดยเราสามารถ Manage อุปกรณ์ได้พร้อมกันทีละหลายๆตัวผ่านทาง Insight
การทำ Health Check ต่างๆ AppDirector เองก็สามารถทำได้ดี แม้ในกรณี Logic ยากๆ เช่นมี 64 Condition เราก็ยังสามารถใช้ Health Check ของ AppDirector เซตขึ้นมาได้ ในส่วนของ Method ก็มีหลากหลาย และสามารถเพิ่ม Method ใหม่ๆได้เอง เช่น กาารตรวจสอบพอร์ตเฉพาะของซอฟท์แวร์ในองค์กร
การ Backup Configuration ใน AppDirector ทำได้ค่อนข้างง่าย และตรงไปตรงมา ไฟล์ Backup ที่ได้จะเป็น Text File ซึ่งเป็น Command ที่สามารถ Copy and Paste ลงไปได้จาก CLI เลย (จุดนี้จะคล้ายกับ Juniper Firewall ที่ Backup ได้ Text File เช่นเดียวกัน)
ในการอัปเกรด Software ของอุปกรณ์ก็ทำมาได้ง่ายเช่นเดียวกัน สามารถจัดการผ่าน Web Base ได้เลย หรือจะทำผ่าน CLI ก็ได้ นอกจากนี้ยังมี Software Repository ให้เราเลือก Software Version ที่จะใช้ได้อีก
การตั้ง VIP สามารถตั้งได้โดยเลือกตามพอร์ตที่ต้องการ หรือจะใช้แบบ Any เลยก็ทำได้ (อารมณ์ประมาณ VIP, MIP ใน Juniper)
การ Redirection สามารถทำได้หลายวิธี เช่น DNS Redirection
สำหรับการ Support อันถือเป็นหัวใจอีกอย่างของผู้ใช้ระดับ Corporate ทาง Radware ก็ทำได้ดี ทั้งจากทางบุคคลากรเอง หรือการ Support จากหน้าเว็บผู้ผลิต มีการอัปเดต Hot Fix ต่างๆสม่ำเสมอ การทำ Document จัดว่าทำได้ดี และมีการปรับปรุงบ่อยพอสมควร
จากประสบการณ์ที่เคยทำมาทั้ง F5 และ AppDirector คงต้องออกตัวเลยว่าไม่ได้เชียร์ใครเป็นพิเศษ หากจะวัดกันจริงๆ คงต้องยอมรับว่าการทำงานโดยรวม F5 ค่อนข้างจะทำได้หลากหลายมากกว่า ซึ่งก็อาจจะต้องแลกมาด้วยราคาทีสูงกว่า สำหรับ AppDirector แม้จะไม่ได้มี Feature หลากหลายเท่า F5 แต่ในด้านของการใช้งานเฉพาะด้านบางอย่างแล้ว ตัว AppDirector ก็ทำได้ดีเช่นเดียวกันครับ
Tags: AppDirecotr, Backup Configuration, CLI, DNS Redirection, F5, Gartner, Health Check, Hot Fix, Insight, Juniper, Load Balance, Manage, MIP, Netscreen, Radware, Software Repository, VIP, Web Base
IT | izitcer | 
February 6, 2010 4:09 am | 
Comments (1)
วันนี้ขอแนะนำซอฟท์แวร์ประเภท Web Filtering ซักเล็กน้อย
เนื่องจากบริษัทนี้ได้ก้าวหน้าจนซื้อ SurfControl ซึ่งเป็น Web Filtering Engine ของ Juniper Netscreen Firewall ที่จัดว่าเป็นอุปกรณ์ชิ้นโปรดอีกอันหนึ่งของผมไปซะแล้ว (เดือดร้อนต้องไปอัปเกรด Netscreen ให้ชาวบ้านอีก)
Websense เป็นซอฟท์แวร์ประเภท Web Filtering ที่จัดได้ว่าเป็นกลุ่มผู้นำในปัจจุบัน (อ้างอิงจาก Gartner Quadrant) เรียกว่าคู่คี่กับทาง BlueCoat ทีเดียว
จุดดีของ Websense นั้นมีหลายอย่างทีเดียว ขอไล่เรียงตามความประทับใจนะครับ
- มี Policy Server ตั้งแยกได้ ทำให้ง่ายต่อการ Manage และหากมันล่ม ผู้ใช้ก็ยังทำงานได้อยู่ เพียงแต่ขะไม่โดน Filter เท่านั้น ตรงจุดนี้จะออกแบบมาคล้ายกับ TippingPoint IPS ที่ไปปุ๊บปล่อยปั๊บ
- User Interface ในการคอนฟิกเข้าใจได้ง่ายมาก สามารถีโมทเข้ามาจัดการได้ผ่านทาง Web Browser ธรรมด๊า ธรรมดา
- สามารถ Integrate เข้ากับชาวบ้านได้มากมาย แต่ที่ทำบ่อยๆเป็น ISA เลยเข้าใจว่ามันทำมาคู่กับ ISA ซะงั้น
- Database ท่านใหญ่พอสมควร เลยบล๊อคได้เยอะ แถมซอยย่อยเป็นหลาย Category ให้ ก็นับว่าสะดวกดี (แต่รู้สึกฐานข้อมูลเว็บประหลาดๆในไทยจะอัปเดตไม่เท่า BlueCoat นะ)
หลังจากจุดดีแล้ว ก็ขอแนะนำจุดที่ฮาซะหน่อย
- เราสามารถ Manage ผ่าน Web Browser ธรรมดาได้ก็จริง แต่หากผิดเวอร์ชันที่มันซัพพอร์ตไปซักนิด กดตั้งอะไรจะ Error ตลอดศก เช่น มันแนะนำให้เป็น Firefox 3.0 พอเอา 3.5 ไปเล่นกับมัน เอ๋อสนิท
- อย่าได้เปลี่ยนไอพี Policy Server ตามอำเภอใจ เพราะเปลี่ยนปุ๊บ เดี้ยวปั๊บ เข้า Manage ไม่ได้ ต้องแก้ร่วมๆสิบจุดกว่ามันจะมา และหากแก้ไม่ครบ งานนี้มี Error หนักอีกตะหาก
- คิดม่าออก ลองเล่นดู หากพลาดมาจะรู้ว่างานเข้าเป็นไง
Tags: BlueCoat, Firefox, firewall, isa, ISA Server, Juniper, Manage, Microsoft, Netscreen, Policy Server, Security, Server, SurfControl, Web Browse, web filter, Websense
IT | izitcer | January 30, 2010 2:56 am | Comments (0)
วันนี้มาอัปบล๊อคกันแบบมีสาระหน่อยครับ
.
การทำ Static NAT ถือเป็นเรื่องจำเป็นมากในกรณีที่เราต้องการให้ผู้ใช้ภายนอก
เข้ามาใช้งาน Server ที่อยู่ใน DMZ หรือ Trust Zone
การทำ Static NAT ใน Juniper เมื่อเทียบกับ Checkpoint อาจจะดูยุ่งยากกว่าเล็กน้อยครับ
เพราะใน Checkpoint คลิกที่ Host Object แล้วใส่ NAT IP ไปก็จบแล้ว
แต่ใน Juniper จะต้องไปเซต Interface ก่อน แล้วมาทำ Policy ต่ออีก
และหากเพิ่งเริ่มทำอาจจะงงๆได้เพราะมันจะไม่ได้เขียนว่า NAT ด้วยล่ะเอ้อ
.
Static NAT ใน Juniper จะเรียกว่า MIP หรือ Mapped IP Addresses
การทำงานจะเป็นดังรูปครับ
Juniper MIP (Static NAT)
ว่าแล้วก็ส่งต่อ Command ไปครับ
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
อื่นๆเกี่ยวกับ MIP
- MIP จะเก็บอยู่ใน Global Zone
- เมื่อทำ MIP เวลา Server จะ Initiate Connection มันจะออกไปเป็น IP ของ MIP เลย ไม่สามารถใช้งาน NAT Policy อื่นๆได้ ดังนั้นในกรณีนี้จะเป็นปัญหาเรื่อง Security ทันที เพราะเท่ากับว่าตัว Server ภายใน DMZ หรือ Trust Zone ไม่ได้ถูกซ่อน IP จริงๆของตัวเองเอาไว้เมื่อติดต่อกับ Untrust Zone ดังนั้นหากกังวลเรื่องนี้คงจะต้องใช้วิธี NAT แบบอื่นแทน เช่น VIP ครับ
สำหรับวันนี้ขอตัวก่อนนะครับ วันหลังมีโอกาสจะแวะเอา Tips เล็กๆน้อยๆมาฝากอีกครับ
Tags: Checkpoint, DMZ, firewall, Juniper, MIP, NAT, Network, Policy, Security, Static NAT, Trust, Untrust, VIP, Zone
IT | izitcer | January 23, 2010 11:30 pm | Comments (2)
สวัสดีครับ วันนี้มาแนววิชาการซักนิด
วันนี้จะขอเล่าเรื่อง Firewall สักเล็กน้อยครับ
อยากจะมาแบ่ง Firewall ออกเป็นประเภทตามลักษณะการติดตั้งสักเล็กน้อย
เพราะหากแบ่งตามลักษณะการทำงาน Firewall ในปัจจุบันคงได้อยู่ประเภทเดียวกันเกือบหมด
.
หากแบ่งตามที่ผมว่า อาจจะแบ่งออกได้เป็น 2 ประเภทใหญ่ๆคือ
- Software Firewall ประเภทนี้ก็ตรงตัวเลยคือเป็น Firewall ที่เป็นซอฟท์แวร์ เวลาใช้งานก็ติดตั้งบนเครื่อง Server ทั่วไปได้เลย อาจจะเป็น PC ธรรมดาๆก็ได้ ยกตัวอย่างเช่น ISA Server, Checkpoint, IPTABLES
- Appliance Firewall ประเภทนี้ผู้ผลิตจะติดตั้ง Firewall ลงมาบน Hardware ของตัวเองเลย ไม่สามารถติดตั้งบนเครื่องธรรมดาทั่วไปได้ ยกตัวอย่างเช่น Juniper, Checkpoint (เจ้านี้ทำมาหลายแบบครับ), Fortigate, Stonegate
.
มาว่ากันเรื่องข้อดีของ Software Firewall กันก่อนเลยครับ
- สามารถใช้ฮาร์ดแวร์อะไรก็ได้มาติดตั้ง ขอแค่ให้มีแรงรันมันได้เป็นพอ
- บางเจ้าแจกให้ใช้กันฟรี
- ราคาของอุปกรณ์ไม่แพงมากเหมือน Appliance
- หากมีประสบการณ์ การ Tune Up จะเล่นได้มากมาย
- มักจะไม่หยุมหยิมในเรื่องของ License ที่บางเจ้าที่ทำ Appliance ชอบแยก Feature อต่ละอย่างมาขายเป็น License
- มี Knowledge Base มากมาย
ข้อดีของ Appliance Firewall
- มีความเสถียรสูง เพราะ OS ที่ใช้ผ่านการ Tuning มาเรียบร้อยแล้ว
- มีความปลอดภัยสูง เพระา OS ที่ใช้โดน Hardening มาอย่างดี
- เวลามีปัญหา รีเซตและมักจะรอด
- การ Support จากคนขายค่อนข้างดีแทบทุกเจ้า เนื่องจากอุปกรณ์ราคาแพง และต้องอยู่กันยาวนาน
- เวลาคอนฟิกได้จะดูหล่อมาก เนื่องจากของประเภทนี้มี Knowledge อยู่ในวงจำกัด แต่หากไม่ได้ เตรียมขี้เหร่ออกจากไซต์
เดี๋ยววันหน้าจะมาต่อให้ฟังอีกทีนะครับ วันนี้มีงานด่วน ขอลาไป่อน สวัสดีครับ
Tags: Appliance Firewall, Checkpoint, firewall, Fortigate, Hardening, IPTABLES, isa, Juniper, License, OS, Server, Software Firewall, Stonegate, Support, Tuning
IT | izitcer | January 20, 2010 7:16 pm | Comments (0)
Subscribe