Názory k článku
Klasifikace dnešních firewallů
BoBLO (neregistrovaný)
---.naftagbely.sk
18. 2. 2010 11:27
Nový
Hardwarovy firewall
celé vlákno
Prisne logicky vzate, "hardwarovy firewall" neexistuje. Nech uz je firewallove riesenie implementovane akokolvek, funkcie firewallu VZDY vykonava softver! Moze to byt sucast OS (napr, iptables v Linuxe) alebo firmware, ale VZDY je to softver.
janforman (neregistrovaný)
---.hzspk.cz
18. 2. 2010 11:49
Nový
Re: Hardwarovy firewall
celé vlákno
Jasně, ale určitý funkce jsou zadrátovaný v hardware.
To nad tím je vždy software (linux, vxworks, ios nebo něco jiného uzavřeného)
I ty krabičky pro domácí použití maj části naintegrovaný do HW jako příklad lze uvést RTL8186 (ty wifi hračky) používají AES šifrování přes ovladač v kernelu (to se dá použít při sestavení VPN tunelu nebo šifrování Wifi komunikace - to silně odlehčí CPU, který toho má tak jako tak až nad hlavu :-)).
Těžko říct kde je hranice mezi "hardware" firewallem a "software" firewallem :-)
Blackboxům se říká hardware firewall :-D
To nad tím je vždy software (linux, vxworks, ios nebo něco jiného uzavřeného)
I ty krabičky pro domácí použití maj části naintegrovaný do HW jako příklad lze uvést RTL8186 (ty wifi hračky) používají AES šifrování přes ovladač v kernelu (to se dá použít při sestavení VPN tunelu nebo šifrování Wifi komunikace - to silně odlehčí CPU, který toho má tak jako tak až nad hlavu :-)).
Těžko říct kde je hranice mezi "hardware" firewallem a "software" firewallem :-)
Blackboxům se říká hardware firewall :-D
davro (neregistrovaný)
2001:718:801:----:----:----:----:----
18. 2. 2010 17:00
Nový
Re: Hardwarovy firewall
celé vlákno
To není tak úplně pravda. Existují firewally, které mají ty svoje věci implementované přímo v hardware, např. v hradlových polích. Je sice pravda, že i tomu se dá říkat software, ale obávám se, že většina lidí tomu bude říkat hardwarová implementace.
uživatel si přál zůstat v anonymitě
---.w90-52.abo.wanadoo.fr
18. 2. 2010 23:48
Nový
Re: Hardwarovy firewall
celé vlákno
Jasne, ze "existuje". Sice to nebude asi ASIC, jak autor tvrdi, ale FPGA. Je to firmware, tedy ani software, ani hardware, neco mezi. Jenze to mezi je dost blizko hardware. Rozdil mezi kodem firmware a kernelem nebo nedej boze jakymkoliv vyssim programem je obrovsky. Od ASIC k firmware FPGA je jenom klrucek.
janforman (neregistrovaný)
---.hzspk.cz
19. 2. 2010 7:07
Nový
Re: Hardwarovy firewall
celé vlákno
Věřím tomu, že to jde ale nebyl by nějaký příklad takového zařízení? Nikdy jsem nic takového neviděl. Vždycky v tom nakonec nějakej OS byl zadrátovanej. Naprogramovanej firewall v ASM to by mohlo bejt docela rychlý, ale dost složitý na vytvoření.
davro (neregistrovaný)
2001:718:801:----:----:----:----:----
19. 2. 2010 8:15
Nový
Re: Hardwarovy firewall
celé vlákno
Na hradlových polích a ASIC je založen IDS/IPS systém Tipping point. Tedy s největší pravděpodobností, protože si jinak nedovedu představit 10 000 paralelně zpracovávaných filtrů.
http://www.tippingpoint.com/elqNow/elqRedir.htm?ref=http://www.tippingpoint.com/pdf/resources/datasheets/400917-009_TippingPointIPS.pdf
http://www.tippingpoint.com/elqNow/elqRedir.htm?ref=http://www.tippingpoint.com/pdf/resources/datasheets/400917-009_TippingPointIPS.pdf
staník (neregistrovaný)
---.i4g.tmcz.cz
18. 2. 2010 14:40
Nový
moje klasifikace
celé vlákno
No, hezký článek, ale já bych firewally rozdělil takto:
a) ty co dobře fungují (a mají slušnou dokumentaci a
čitelné zdrojáky): iptables, linuxchain, z těch proxy
FWTK, z těch komerčních Kernun a F5 ASM
b) ty co maj dobrý marketing, ale jinak toho moc neuměj:
Checkpoint, Fortinet, Juniper
c) ty co fungují jen když je správný tlak a teplota:
Cisco (pokud nemáš správnou verzi IOSu, tak máš smůlu,
ale která to sakra je?), Sidewinder (pozor, jestli se
zrovna zase neprodává a tím je opět totálně bez supportu)
d) ty co nefungují vůbec: třeba ten pokus od Microsoftu, ale
teď honem nevím, jak tomu právě jejich marketing říká,
ještě nedávno to byl ISS
a) ty co dobře fungují (a mají slušnou dokumentaci a
čitelné zdrojáky): iptables, linuxchain, z těch proxy
FWTK, z těch komerčních Kernun a F5 ASM
b) ty co maj dobrý marketing, ale jinak toho moc neuměj:
Checkpoint, Fortinet, Juniper
c) ty co fungují jen když je správný tlak a teplota:
Cisco (pokud nemáš správnou verzi IOSu, tak máš smůlu,
ale která to sakra je?), Sidewinder (pozor, jestli se
zrovna zase neprodává a tím je opět totálně bez supportu)
d) ty co nefungují vůbec: třeba ten pokus od Microsoftu, ale
teď honem nevím, jak tomu právě jejich marketing říká,
ještě nedávno to byl ISS
davro (neregistrovaný)
2001:718:801:----:----:----:----:----
18. 2. 2010 17:14
Nový
Re: moje klasifikace
celé vlákno
a) jak funguje HA na těch iptables? Něco jako udělej si sám?
c) firewally od cisca většinou používají PIXOS, ne IOS (tedy pokud uvažujeme o skutečném firewallu, tj. nějaká ASA, popřípadě FWSM)
c) firewally od cisca většinou používají PIXOS, ne IOS (tedy pokud uvažujeme o skutečném firewallu, tj. nějaká ASA, popřípadě FWSM)
Petr (neregistrovaný)
---.222.broadband11.iol.cz
19. 2. 2010 23:52
Nový
Re: moje klasifikace
celé vlákno
Tvoje klasifikace je moc hezka, ale subjektivní - a docela by mě zajímalo, jestli se opírá o znalost vyjmenovaných technologií nebo jde o placnutí do vody.
Osobně mám zkušenosti s Checkpointem, Juniperem, Cisco ASA a PIX a F5.
Z toho důvodu myslím, že jednak mícháš jabka s hruškama a druhak jsi mimo.
Kdyz to vezmu konkretne:
F5 dělají vynikající služby v rovině loadbalancingu a optimalizace provozu, ale jejich firewall reseni je spis aplikacni (a neni spatny, ale s leckeryma aplikacema spolupracuje jen pres third party rozsireni)- ale nasazovat je nekde ve funkci firewallu je rekl bych nevhodne.
Juniper je vynikajici obzvlast na mensi pobocky, ma vyhodu ceny a firma mu dela dobrou podporu (jasna roadmapa rozvoje, vychazi vstric zakaznikum) - jako globalni korporatni reseni je nicmene na muj vkus lehce nezraly.
Cisco je opet vynikajici nekde jinde - na sitovy vrstve jsou skveli (routing, switching, site jako takovy), ale jejich ASA je jako firewall spis prumerna. Nerikam, ze je spatna, ale nikdy me nepresvedcila, ze je to TO prave.
Checkpoint je z myho pohledu z veci, ktere znam, nejlepsi firewall pro velke reseni. Soucasnou R70 verzi jsem jeste nazivo nikde nespravoval, ale posledni R65.4 je opravdu vytecne odladena vec. Na co bych si dal pozor je situace, kdy chci firewall pouzit i jako VPN gateway - Checkpoint to umi, ale ma trochu vlastni logiku, ktera ne vzdy dobre spolupracuje s jinymi vendory.
Kdybych to mel nejak shrnout:
Jako firewall preferuju Checkpoint pro nejnarocnejsi podminky a Juniper pro pomer cena/vykon, Cisco ASA ma vyhodu, pokud ji ma potom spravovat clovek, co uz ZNA cisco technologie (coz je nekdy nezanedbatelny argument).
Jako VPN gateway bych doporucil Juniper nebo Cisco ASA.
A na rozkladani zateze pripadne optimalizaci vykonu jednoznacne F5.
Iptables byl predpokladam spis vtip - ale na hrani doma to asi staci:)
Osobně mám zkušenosti s Checkpointem, Juniperem, Cisco ASA a PIX a F5.
Z toho důvodu myslím, že jednak mícháš jabka s hruškama a druhak jsi mimo.
Kdyz to vezmu konkretne:
F5 dělají vynikající služby v rovině loadbalancingu a optimalizace provozu, ale jejich firewall reseni je spis aplikacni (a neni spatny, ale s leckeryma aplikacema spolupracuje jen pres third party rozsireni)- ale nasazovat je nekde ve funkci firewallu je rekl bych nevhodne.
Juniper je vynikajici obzvlast na mensi pobocky, ma vyhodu ceny a firma mu dela dobrou podporu (jasna roadmapa rozvoje, vychazi vstric zakaznikum) - jako globalni korporatni reseni je nicmene na muj vkus lehce nezraly.
Cisco je opet vynikajici nekde jinde - na sitovy vrstve jsou skveli (routing, switching, site jako takovy), ale jejich ASA je jako firewall spis prumerna. Nerikam, ze je spatna, ale nikdy me nepresvedcila, ze je to TO prave.
Checkpoint je z myho pohledu z veci, ktere znam, nejlepsi firewall pro velke reseni. Soucasnou R70 verzi jsem jeste nazivo nikde nespravoval, ale posledni R65.4 je opravdu vytecne odladena vec. Na co bych si dal pozor je situace, kdy chci firewall pouzit i jako VPN gateway - Checkpoint to umi, ale ma trochu vlastni logiku, ktera ne vzdy dobre spolupracuje s jinymi vendory.
Kdybych to mel nejak shrnout:
Jako firewall preferuju Checkpoint pro nejnarocnejsi podminky a Juniper pro pomer cena/vykon, Cisco ASA ma vyhodu, pokud ji ma potom spravovat clovek, co uz ZNA cisco technologie (coz je nekdy nezanedbatelny argument).
Jako VPN gateway bych doporucil Juniper nebo Cisco ASA.
A na rozkladani zateze pripadne optimalizaci vykonu jednoznacne F5.
Iptables byl predpokladam spis vtip - ale na hrani doma to asi staci:)
accuphose (neregistrovaný)
---.karneval.cz
19. 2. 2010 0:19
Nový
O ničem
celé vlákno
Článek tak nějak klasifikuje co je to firewall, ale autorovi uniká konkrétní důvody užití....
Peter Pecho (neregistrovaný)
---.tns.cz
19. 2. 2010 8:37
Nový
Re: O ničem
celé vlákno
Tento článok nadväzuje na predchádzajúci, kde boli (okrem iného) spomínané práve dôvodu použitia firewallov.
Aleš Kotmel (neregistrovaný)
---.annexnet.cz
19. 2. 2010 9:51
Nový
Vážený pane Pecho,
celé vlákno
myslím si, že Váš první článek z 12. února měl poměrně dobrou úroveň. Rámcově jste celkem výstižně popsal co je to firewall a k čemu má firewall především sloužit.
Bohužel váš článek z 18.února už byl dle mého názoru i názoru dalších diskutujících velmi špatný. Především jste ve svém článku zcela ignoroval všechny současné a důležité trendy v oblati firewalů:
- firewall appliance a UTM/XTM appliance
- firewally označované jako UTM/XTM
- virtualizace firewallů a virtualizace UTM/ XTM řešení
O všech těchto řešeních jste se zmínil jen velmi povrchně, špatně jste popsal jejich hlavní přednosti a pokud jste jejich hlavní výhody uvedl, pak bohužel s chybami. Především jste ale nedokázal čtenářům vysvětlit proč všichni hlavní výrobci firewallů tato řešení nabízí.
UTM/XTM řešení jako software instalovaný na vlastní hardware uživatele, UTM/XTM řešení dodané uživateli ve formě appliance (tedy software předinstalovaný na vhodném hardware) nebo virtualizované UTM/XTM řešení u poskytovatele Internetu dodávané jako služba, to všechno jsou bezpečnostní řešení která mají jeden hlavní cíl - poskytnou uživateli maximální úroveň zabezpečení ale s maximálním komfortem nastavení, tedy v grafickém prostředí (ideálně přes web browser) a vysoce intuitivně!
Zkuste prosím napsat další článek o těchto bezpečnostních řešeních třeba jako odčinění vašeho posledního hříchu.
Aleš Kotmel
kotmel@annexnet.cz
Bohužel váš článek z 18.února už byl dle mého názoru i názoru dalších diskutujících velmi špatný. Především jste ve svém článku zcela ignoroval všechny současné a důležité trendy v oblati firewalů:
- firewall appliance a UTM/XTM appliance
- firewally označované jako UTM/XTM
- virtualizace firewallů a virtualizace UTM/ XTM řešení
O všech těchto řešeních jste se zmínil jen velmi povrchně, špatně jste popsal jejich hlavní přednosti a pokud jste jejich hlavní výhody uvedl, pak bohužel s chybami. Především jste ale nedokázal čtenářům vysvětlit proč všichni hlavní výrobci firewallů tato řešení nabízí.
UTM/XTM řešení jako software instalovaný na vlastní hardware uživatele, UTM/XTM řešení dodané uživateli ve formě appliance (tedy software předinstalovaný na vhodném hardware) nebo virtualizované UTM/XTM řešení u poskytovatele Internetu dodávané jako služba, to všechno jsou bezpečnostní řešení která mají jeden hlavní cíl - poskytnou uživateli maximální úroveň zabezpečení ale s maximálním komfortem nastavení, tedy v grafickém prostředí (ideálně přes web browser) a vysoce intuitivně!
Zkuste prosím napsat další článek o těchto bezpečnostních řešeních třeba jako odčinění vašeho posledního hříchu.
Aleš Kotmel
kotmel@annexnet.cz
Peter Pecho (neregistrovaný)
---.tns.cz
19. 2. 2010 10:27
Nový
Re: Vážený pane Pecho,
celé vlákno
Pán Kotmel,
UTM, XTM, appliance a ďalšie pojmy boli v článkoch určite popísané (asi ste ich pozorne nečítal). V každom prípade vám odporúčam počkať si na ďalší článok, ktorý práve pripravujem ... :-)
UTM, XTM, appliance a ďalšie pojmy boli v článkoch určite popísané (asi ste ich pozorne nečítal). V každom prípade vám odporúčam počkať si na ďalší článok, ktorý práve pripravujem ... :-)
Aleš Kotmel (neregistrovaný)
---.annexnet.cz
19. 2. 2010 11:24
Nový
Re: Vážený pane Pecho,
celé vlákno
Tak to je skvělé, doufám se odčiníte váš hřích.
davro (neregistrovaný)
---.ics.muni.cz
19. 2. 2010 12:11
Nový
Re: Vážený pane Pecho,
celé vlákno
Jako že bude muset do článku napsat to co už napsal a vy jste si to nedokázal přečíst?
Aleš Kotmel (neregistrovaný)
---.annexnet.cz
19. 2. 2010 18:25
Nový
Re: Vážený pane Pecho,
celé vlákno
Ne, nikoliv.
Ve svém názoru na článek jsem uvedl několik dle mého názorů zásadních chyb kterých se pan Pecho při psaní článku dopustil a myslím že jsem mu dal několik velice dobrých námětů na následující článek (případně články) kterým může odčinit své doufejme dočasné zaváhání.
AK
P.S. Už vzhledem k firmě ve které pan Pecho pracuje by to bylo myslím víc než vhodné ...
Ve svém názoru na článek jsem uvedl několik dle mého názorů zásadních chyb kterých se pan Pecho při psaní článku dopustil a myslím že jsem mu dal několik velice dobrých námětů na následující článek (případně články) kterým může odčinit své doufejme dočasné zaváhání.
AK
P.S. Už vzhledem k firmě ve které pan Pecho pracuje by to bylo myslím víc než vhodné ...
