开源路由软件quagga快速安装

1, 下载最新的quagga源码? http://www.quagga.net/download/

2, 解压,进入源码目录,编译之前,先配置:

./configure  --disable-ripd --disable-ripngd --disable-ospfd --disable-ospf6d  --disable-watchquagga --disable-doc --enable-user=root  --enable-group=root --enable-zebra --enable-vtysh

3, 开始编译 :

make && make install

4, 建立配置文件:

cp /usr/local/etc/zebra.conf.sample /usr/local/etc/zebra.conf

5, 启动zebra:   zebra -d

6, telnet登录zebra命令行:

telnet 127.0.0.1 2601

备注:本试验的主机是Fedora14.

参考手册: http://www.quagga.net/docs/docs-info.php

更新家用网络组网拓扑(Linux透明网桥流控与无线网络的组合)

以实验的目的,更新了家里的网络组网,稍微复杂了一点,如下图:

家用网络组网拓扑(Linux流控与无线网络的组合)

家用网络组网拓扑(Linux流控与无线网络的组合)

说明:

根本目的是使用一台Linux PC(实际上是一块二手老主板改造的)作为网关(流控点,透明网桥),管理和优化各接入用户的网络流量。拓扑中还有两台无线路由器,一台LinkSys WRT54G(刷了tomato),另一台是Netgear WGR614,它们各组织一个网络。

LinkSys WRT54G作为拨号节点,向ISP拨号连入互联网,配置其LAN口和Wireless口为192.168.2.0/24网段,接入此网络的PC将以这台LinkSys为网关接入互联网。PC1即是如此。 Continue reading

A10 Networks反诉F5

A10 Networks,L4-7层网络设备厂商,对F5 Networks发起一项专利反诉,声称其侵犯了A10的专利。此外,A10拒绝了针对四月时F5对A10的专利诉讼进行辩护声明。

A10正处于一场法律战役之中,主要缘起于八月份Brocade公司对其的一起诉讼。但是F5的这起诉讼也是比较严重的,因为作为一家startup公司,A10并没有广泛的portfolio of products。

这类诉讼case似乎要持续几年才会解决,但是在战略上对于A10来说保持客户的信心非常重要。值得注意的是,A10正在从正面反击F5,尽管F5的诉讼更早,但Brocade的诉讼应该是比F5这起更加严重的case。

Palo Alto 下一代防火墙揭秘(之二)

<续上节>

  • 策略如何评估?

一次策略搜索必然终结于一条策略的匹配(一次匹配包括源、目的、区域等关键条目)。与传统防火墙相比,Palo Alto防火墙的策略评估有很大不同。

举例来说,你有一组web浏览规则(rule),这些规则与各种基于HTTP的应用相关。假设一个场景,用户登录到Google,然后打开一个新tab页面,访问Facebook,并开始Farmville应用。首先,搜索rules来检查用户是否可以访问HTTP服务,如果可以,Google页面被允许加载。然后当用户访问Facebook时,HTTP流量中的Facebook签名被检测到,因此触发Facebook策略检查,如果允许则加载Facebook的页面。当用户点击Farmville时,再对Farmville的策略进行检查,如果这次Farmville是被禁止的,那么,访问被禁止并记录日志。

当Facebook的访问开始时,一个字节计数器也开始工作。当用户关闭Facebook时,将生成一条记录了Facebook应用总共使用的数据量的日志。当用户关闭Google页面,同样的,一条记录了Google页面总共使用的数据量的日志也自动生成。 Continue reading

Palo Alto 下一代防火墙揭秘(之一)

看了Gartner关于下一代防火墙的定义,以及今年以来Palo Alto防火墙以“下一代防火墙”为旗帜口号的声势,Adreaman不禁对Palo Alto的防火墙设备充满了好奇心,它到底创新在哪些方面,将对防火墙产品的发展产生哪些影响,要回答这些问题,就不得不对Palo Alto防火墙的真正工作细节做深入的学习和理解。因此,我在网络上搜寻了一番,找到一篇较为深入介绍Palo Alto防火墙的文章,译为中文,期望能帮助我们加深对下一代防火墙的理解。

Palo Alto 下一代防火墙

近来,在防火墙市场上有一些新动向,这就是所谓的”下一代防火墙”。

多年来,我们有若干独立的产品来分别提供IPS、AV、防垃圾邮件、URL过滤以及一般网络策略控制的功能。以这些功能为卖点已经诞生了一系列的安全管理设备产品。UTM设备试图将这些安全功能归并在一台设备中,但是,当所有这些功能都同时打开时,UTM设备的性能往往会出现严重的问题。最近一段时间,还有一个新的问题也在慢慢浮现。那就是应用往往不再依赖于特定端口而存在。下一代防火墙需要解决这两个问题。 Continue reading

思科NAT(PAT)转换的一些关键概念解析和实例

一般人的头脑中或多或少对NAT都有所了解,但是往往只了解一些表面化的地址转换思路,但是具体到一些NAT转换的细节和具体场景,例如NAT Control、NAT 豁免、等价NAT,内部、外部转换场景,以及各种NAT的区别、特点等等,可能就会发现思路并不那么顺畅,所以,adreaman特意整理了这篇NAT关键概念的解析文档,以思科ASA防火墙的NAT配置为实例,梳理一下相关概念和应用场景。

NAT(网络地址转换)是使用预定义的映射地址替换IP报文中的真实地址,达到修改或隐藏某些网络应用的地址的目的的一种方案。 Continue reading

魔术象限(Magic Quadrant)称:部署下一代防火墙的时机到了

下一代防火墙——比端口扫描更深入的能识别应用的智能防火墙。关于这种说法,你应该有所耳闻了。虽然大多数供应商已经推迟了防火墙的发布,但是 Gartner 的魔术象限报告认为市场风向正在转变,曾经沉睡的市场开始复苏。

根据 Gartner Inc. 研究副总裁 Greg Young 的观点,现在的防火墙供应商面临的越来越大的压力不再只是来自于一个专注智能防火墙的新兴集成商 Palo Alto Networks。因此,他将公司定位为2010年魔术象限中网络防火墙的领导者。

那些仍然在吃老本的供应商现在发现他们的客户群已经被第二市场竞争对手所抢夺,这些公司专注于入侵防御系统 (IPS)和防火墙策略管理——这是网络安全人员无法从现有防火墙供应商处获得的技术和功能,Young 说道。

“用户需求现在已超出供应商研发水平几年了,”他说。“存在的共同问题是创新不足…… 客户一直在说,‘快点!我们急需这个功能!’而防火墙供应商太过于关注对手而不是[创新]。” Continue reading

企业需要带有入侵防御系统及应用可见的下一代防火墙

第一代防火墙的日子屈指可数了,因为企业开始对这些网络安全设备的需求更多而不仅仅是标准端口和协议保护。

许多厂商和分析师谈论的下一代防火墙,设备都集成了传统防火墙性能以及其他网络安全性能,特别是应用层入侵防御系统(IPS)功能。

在最近的研究报告中,Gartner的分析师John Pescatore和Greg Young估计,目前所有企业互联网连接中的1%是被下一代防火墙保护。他们认为,到2014年,这个比例将上升到35%,其中所有新防火墙销售的60%都会是下一代产品。 Continue reading