有一個重點是:必須要會用。
一個工具如果用的順手,就是好工具。反之,如果不會用,就算那個工具非常昂貴,也是枉然。
畢竟現在應該還沒有「AI 人工智能」路由器,直接用講話的
和路由器講說:請幫我把網路弄安全、順暢。然後網路就安全順暢了......這種未來科幻電影情節,現在 2013 年還太早。
愈貴的路由器,設定愈複雜。
有些國外品牌的設定介面,還是全英文的(且是網路專業名詞),連個中文字都沒有。
有些是 GUI 圖型介面能設定的東西有限,需 telnet 進去用打指令的。CCNA 認證有一半的內容,就是在講 Cisco 指令的。
比方說:10萬元買一台機器,買的就是那台機器而已,不包含幫規劃、幫設定。
如果要幫規劃、幫設定的,那就要另外再買「服務」。
幫設定就是工程師出一趟,摸一摸幾分鐘搞定,車馬費就收好幾千元那種。規劃的話,那更是天價。
而且這會有一個"矛盾":
如果公司要花大錢請人來服務,那還聘請一位 MIS 做什麼,貌似打電話這種活,隨便一位員工都能能做吧。
因此 MIS 最忌諱的就是:凡事都要花大錢,花錢買服務更是忌諱中的大忌。因為那是對自身職位價值的徹底否定。
除非說本身是老闆,沒有相關技術能力,也不想花長期費用聘請人,那才花錢找外面的服務。
****************************************************
簡易的設定,可以簡易到什麼程度,舉例:
比方說:不想給連線的 IP,直接加入黑名單。該 IP(網站或其它服務)就無法連線。
內建支援 L7-filter (L7-過濾器)
這個東西很管用,說明一下:
所謂 L7 (Level-7),是指:
OSI 網路模型-第七層,Application 軟體應用層
OSI 模型,講的是網路的運作流程原理
比喻:
有個人寫信 ---> 投到信箱 --> 郵差送信 --> 送給對方信箱 -->對方拆信閱讀....
類似這樣的流程原理
不過以上原理不重要,重點是:很少有路由器直接就內建 L7-filter 功能的。
大部分的路由器,只管到 第四層- Transport 層
所以會有 L4 路由器、L3 網管型交換器....之類的說法名詞
那 L7-filter 有什麼用處呢?
比方說:
你不想讓用網路的人,使用 BT 下載。
因為 BT 下載連接數很高,會搞垮路由效能,此外也會佔用大量的頻寬流量。
只需在 L7 過濾欄位那邊,填入:bittorrent
然後 BT 就無法使用了!夠不夠簡單。
路由器的 L7 過濾功能,會去攔截所有經過的封包,並分析封包的表頭資料。
各種通信軟體,送出的封包,表頭都會帶有識別碼(特徵),只要抓到那個特徵,路由器就可以判斷那個封包的用途,並依據設定者的意願,允許封包通過(可以連線)、或直接丟棄封包。(無法連線)
ISP 在擋 BT,用的就是這個 L7-filter 技術。
這種過濾要破解只有一個方法:把封包加密,使路由器無法分析封包內容。
新一代的 BT 軟體,就有加密封包功能,專門用來破解 L7-filter 的。
不過大部分的通信軟體、傳檔軟體,封包都是明碼的,沒有加密。所以 L7-filter 對大部分軟體仍是有效的。
除了 BT、驢子.....以外的,如果不想讓網路使用 聊天軟體,比如有些公司老闆比較機車,會要求阻擋 skype、即時通、qq ....什麼的聊天軟體,不想員工上班都在打屁聊天。
L7-filter 也可以過濾那些聊天軟體的封包。
註:L7-filter 只是一個主程式,它比對判斷封包特徵,靠的是:樣式表(一種資料庫)。所以樣式表需要常常更新,才能有作用。因為那些通信軟體的版本也常常在更新,封包的特徵就會改變。
站內有網友寫了一篇更新教學,有興趣可以參考:
[教學]BrazilFW-2.31.10-Fina 更新L7 定義檔
除了簡易防火牆
也有一般的:
埠轉換
進階防火牆
這個可以設很細,不過設定需要有一些網路基礎知識。
TCP、UDP、ICMP、GRE .....等等的封包協定,都可以設。
*********************************************************
當然不是說軟路由就無敵怎樣的
軟路由在某些方面,仍是無法取代專業路由器的
比如:Cisco 有 Dynamic routing 動態路由,多台路由器之間可以交換路由表,要佈署巨型的網路環境,就需要這種功能。
基於 Linux 核心的軟路由,不支援 Dynamic routing,是因為 Linux 本身就沒有 Dynamic routing 的機制功能。那個好像是 Cisco 的專利。
但一般個人家庭、中小企業公司環境來講,也用不到什麼 Dynamic routing,軟路由就很夠用了。
關鍵是:省錢。
其實軟路由也有分等級,這種免費的屬於低階的。高階比如 Router OS 就要錢買的,那個功能就更多了,但一般人也不見得用的到,用不到的功能,買就是浪費。
Cisco 貴的也是那個 IOS 作業系統,早期國外有技客把 IOS 韌體從 Cisco 機器提取出來,放在電腦上跑,說什麼比原先那台效能更好。不過現在韌體應該都有綁硬體,拿出來放別台機器就不能用了。
