Prisne logicky vzate, "hardwarovy firewall" neexistuje. Nech uz je firewallove riesenie implementovane akokolvek, funkcie firewallu VZDY vykonava softver! Moze to byt sucast OS (napr, iptables v Linuxe) alebo firmware, ale VZDY je to softver.
Jasně, ale určitý funkce jsou zadrátovaný v hardware.
To nad tím je vždy software (linux, vxworks, ios nebo něco jiného uzavřeného)
I ty krabičky pro domácí použití maj části naintegrovaný do HW jako příklad lze uvést RTL8186 (ty wifi hračky) používají AES šifrování přes ovladač v kernelu (to se dá použít při sestavení VPN tunelu nebo šifrování Wifi komunikace - to silně odlehčí CPU, který toho má tak jako tak až nad hlavu :-)).
Těžko říct kde je hranice mezi "hardware" firewallem a "software" firewallem :-)
Blackboxům se říká hardware firewall :-D
To není tak úplně pravda. Existují firewally, které mají ty svoje věci implementované přímo v hardware, např. v hradlových polích. Je sice pravda, že i tomu se dá říkat software, ale obávám se, že většina lidí tomu bude říkat hardwarová implementace.
Jasne, ze "existuje". Sice to nebude asi ASIC, jak autor tvrdi, ale FPGA. Je to firmware, tedy ani software, ani hardware, neco mezi. Jenze to mezi je dost blizko hardware. Rozdil mezi kodem firmware a kernelem nebo nedej boze jakymkoliv vyssim programem je obrovsky. Od ASIC k firmware FPGA je jenom klrucek.
Věřím tomu, že to jde ale nebyl by nějaký příklad takového zařízení? Nikdy jsem nic takového neviděl. Vždycky v tom nakonec nějakej OS byl zadrátovanej. Naprogramovanej firewall v ASM to by mohlo bejt docela rychlý, ale dost složitý na vytvoření.
Na hradlových polích a ASIC je založen IDS/IPS systém Tipping point. Tedy s největší pravděpodobností, protože si jinak nedovedu představit 10 000 paralelně zpracovávaných filtrů.
No, hezký článek, ale já bych firewally rozdělil takto:
a) ty co dobře fungují (a mají slušnou dokumentaci a
čitelné zdrojáky): iptables, linuxchain, z těch proxy
FWTK, z těch komerčních Kernun a F5 ASM
b) ty co maj dobrý marketing, ale jinak toho moc neuměj:
Checkpoint, Fortinet, Juniper
c) ty co fungují jen když je správný tlak a teplota:
Cisco (pokud nemáš správnou verzi IOSu, tak máš smůlu,
ale která to sakra je?), Sidewinder (pozor, jestli se
zrovna zase neprodává a tím je opět totálně bez supportu)
d) ty co nefungují vůbec: třeba ten pokus od Microsoftu, ale
teď honem nevím, jak tomu právě jejich marketing říká,
ještě nedávno to byl ISS
Tvoje klasifikace je moc hezka, ale subjektivní - a docela by mě zajímalo, jestli se opírá o znalost vyjmenovaných technologií nebo jde o placnutí do vody.
Osobně mám zkušenosti s Checkpointem, Juniperem, Cisco ASA a PIX a F5.
Z toho důvodu myslím, že jednak mícháš jabka s hruškama a druhak jsi mimo.
Kdyz to vezmu konkretne:
F5 dělají vynikající služby v rovině loadbalancingu a optimalizace provozu, ale jejich firewall reseni je spis aplikacni (a neni spatny, ale s leckeryma aplikacema spolupracuje jen pres third party rozsireni)- ale nasazovat je nekde ve funkci firewallu je rekl bych nevhodne.
Juniper je vynikajici obzvlast na mensi pobocky, ma vyhodu ceny a firma mu dela dobrou podporu (jasna roadmapa rozvoje, vychazi vstric zakaznikum) - jako globalni korporatni reseni je nicmene na muj vkus lehce nezraly.
Cisco je opet vynikajici nekde jinde - na sitovy vrstve jsou skveli (routing, switching, site jako takovy), ale jejich ASA je jako firewall spis prumerna. Nerikam, ze je spatna, ale nikdy me nepresvedcila, ze je to TO prave.
Checkpoint je z myho pohledu z veci, ktere znam, nejlepsi firewall pro velke reseni. Soucasnou R70 verzi jsem jeste nazivo nikde nespravoval, ale posledni R65.4 je opravdu vytecne odladena vec. Na co bych si dal pozor je situace, kdy chci firewall pouzit i jako VPN gateway - Checkpoint to umi, ale ma trochu vlastni logiku, ktera ne vzdy dobre spolupracuje s jinymi vendory.
Kdybych to mel nejak shrnout:
Jako firewall preferuju Checkpoint pro nejnarocnejsi podminky a Juniper pro pomer cena/vykon, Cisco ASA ma vyhodu, pokud ji ma potom spravovat clovek, co uz ZNA cisco technologie (coz je nekdy nezanedbatelny argument).
Jako VPN gateway bych doporucil Juniper nebo Cisco ASA.
A na rozkladani zateze pripadne optimalizaci vykonu jednoznacne F5.
Iptables byl predpokladam spis vtip - ale na hrani doma to asi staci:)
myslím si, že Váš první článek z 12. února měl poměrně dobrou úroveň. Rámcově jste celkem výstižně popsal co je to firewall a k čemu má firewall především sloužit.
Bohužel váš článek z 18.února už byl dle mého názoru i názoru dalších diskutujících velmi špatný. Především jste ve svém článku zcela ignoroval všechny současné a důležité trendy v oblati firewalů:
- firewall appliance a UTM/XTM appliance
- firewally označované jako UTM/XTM
- virtualizace firewallů a virtualizace UTM/ XTM řešení
O všech těchto řešeních jste se zmínil jen velmi povrchně, špatně jste popsal jejich hlavní přednosti a pokud jste jejich hlavní výhody uvedl, pak bohužel s chybami. Především jste ale nedokázal čtenářům vysvětlit proč všichni hlavní výrobci firewallů tato řešení nabízí.
UTM/XTM řešení jako software instalovaný na vlastní hardware uživatele, UTM/XTM řešení dodané uživateli ve formě appliance (tedy software předinstalovaný na vhodném hardware) nebo virtualizované UTM/XTM řešení u poskytovatele Internetu dodávané jako služba, to všechno jsou bezpečnostní řešení která mají jeden hlavní cíl - poskytnou uživateli maximální úroveň zabezpečení ale s maximálním komfortem nastavení, tedy v grafickém prostředí (ideálně přes web browser) a vysoce intuitivně!
Zkuste prosím napsat další článek o těchto bezpečnostních řešeních třeba jako odčinění vašeho posledního hříchu.
UTM, XTM, appliance a ďalšie pojmy boli v článkoch určite popísané (asi ste ich pozorne nečítal). V každom prípade vám odporúčam počkať si na ďalší článok, ktorý práve pripravujem ... :-)
Ne, nikoliv.
Ve svém názoru na článek jsem uvedl několik dle mého názorů zásadních chyb kterých se pan Pecho při psaní článku dopustil a myslím že jsem mu dal několik velice dobrých námětů na následující článek (případně články) kterým může odčinit své doufejme dočasné zaváhání.
AK
P.S. Už vzhledem k firmě ve které pan Pecho pracuje by to bylo myslím víc než vhodné ...
ČLÁNKY DO MAILU