Idézet: Eperkutyus - Dátum: 2005. jún. 25., szombat - 13:12
Én azért nem értek egyet a hardveres kifejezéssel, mivel a hardverben is szoftver fut, bár ez kicsit kötekedő logika, lehet.
Más részről a nagy "ipari" tűzfalak legtöbbje is már külön nagy oprendszer alapú, annak minden egyéb nem-tűzfal funkciójával, nem pedig egy sima "hardveres" doboz, amit sokkal jobbnak hiszünk, mint mondjuk egy itthon jól beállított Pentium2-600-at a sarokban.. (én inkább bízom az utóbbiban mint célhardverben, mintsem hogy a media markt-ban a polcról leemeljek egy mindentudó adsl tűzfal-router-t..)
A layer7-re valószínűleg félreértetted a mondókámat, vagy én nem voltam elég kifejező azzal, hogy
..
Valami olyasmit akartam volna mondani, amit talán lelőttél már, talán nem, hogy természetesen önmagában nem biztos, hogy elég (= mindent nem lehet proxyzni), másrészről viszont amit szűrni akarunk vele, azt alaposabban tudja.
Csak nem biztos, hogy szükség van rá. Nekünk szerintem anonimitás szempontjából semmi értelme, mivel az ip-nk ígyis úgyis megvan a szolgáltatónál ..
Rendszergazda barátomék teszteltek egyet egy egyetemi hálón (a srác miatt hadd ne nevezzem meg, melyik egyetem), de mondta, hogy az egyetem forgalmát képtelen volt a gép elvinni. Szal megfőtt teljesen.
Én még nem próbáltam.
Nah, két dolog. A mediamarktban leemelt tűzfal router, az nem egy hardveres tűzfal, még csak nem is tűzfal igazán. Az egy NAT-in-a-box, vagy valami ilyesmi néven nevezhező.
Abban persze igazad van, hogy a hw(nek nevezett) tűzfalon is software fut, sőt ez többnyire oprendszer is, de hidd el, azért ezek elég behatároltak. Példaként hadd hozzam fel csak a legismertebbet, az IOS-t, (ugye a cisco kütyüje) amivel tényleg csak a funkciókat lehet beállítani, meg felügyelni, azt csók. Cél oprendszer. Sokkal sokkal jobban, mint mondjuk egy openbsd.
A másik pedig, hogy azért áll helyt a harveres kifejezés, mert a ,,softveres'' tűzfalakkal ellentétben, azok vél hardveren futnak. Vagyis olyan áramkörök (huzalozott logika) lakik bennük, amivel mondjuk össze lehet vetni egy ip címet egy maszkkal. Vagyis nem a kódernak kell implementálnia sw-ben, hogy "akkor ezt eddig összehasonlítod, meg éselünk, aztán shiftelünk, stb", hanem kiad egy utasítás, hogy "kedves ha(rd)ver, ezt hasonlítsd össze", mire a hw felbüfögi, hogy mivan, mindezt gyorsan, kevesebb sebezhetőség és hibalehetőséggel. Na ettől hw egy hw tűzfal.
L7 nem igazán kötözködés volt, hanem kiegészítés. Amit írtam, úgy kell értelmezni, hogy IMHO otthonra fölös l7 tűzfal, annak ott van értelme, ahol kedves usereknek le van írva a cég policyban, hogy http,https,ssh, csókolom

Vagyis komolyan szabályozott hálózatok peremén.
Anonimitást ne keverjük ide, mert annak, hogy te protokoll szinten elemzed az átmenő forgalamadat a hálózatod peremén, meg annak, hogy vmi nagy nyilvános izéhez (ánonímprokszihoz

) fordulsz, hogy ezt meg ezt akarom megnézni, majd abba a hitbe ringatod magad, hogy ott nincsenek logok, semmi köze sincs egymáshoz, azonkívül, hogy mindkettőre használjuk a proxy kifejezést.
Ja és nyilván proxyzáshoz komoly ketyere kell, főleg ha figyelembe vesszük, hogy a NIIF hálózat azért elég jó sávszélekkel rendelkezik.