2008年12月26日 星期五

額外防護的隱憂(Worries about Additional Protection)

最近,採用一些不一樣的網路架構,結果遇到了一些難以解釋的狀況,就來部落格上跟大家分享一下吧!雖然,我知道很多時候「愛哭的小孩有糖吃」,絕非必要我還是懶得打電話去問候客服或經過層層轉接才能處理好事情。

只好暫先觀察一下,看是否它會自行恢復,或是神奇地突然就活了過來(來看圖說故事好了...)

下圖是我對某ISP業者提供給「FTTB多機型」的IP,進行「tracert」後的結果,圖中紅框處可以很明顯的看出,它有經過三個虛擬IP(紅框處)的節點,接著再發給真實IP位址。


       (多機型FTTB)

怪了,為什麼要多經過那三個節點呢?該不會就是為了最近他們的「資安服務」搞出來的東西吧?(這三台是防火牆、流量紀錄器...嗎?)

我印象中,就算你是直接採用FTTB浮動制
1+浮動7IP,在真實IP的上一層,仍是經由一個真實IP來配發。


       (經濟型FTTB轉固1IP)

真的會透過虛擬IP來配給直實IP的作法,我記得我之前在使用Cable Modem時有接觸過,我還記得當時要架個站還得東牽西扯(DDNS),才可以勉強撐著點,但是對於很多服務的端口(Port)能不能過就得賭賭運氣。(我隨興的掃一個Cable Modem的IP,它的上一層卻被遮蔽,從內部對外其實可以看見...)


       (Cable Modem的IP)

先不論這樣子的架構如何,或許出發點是好的,讓沒有設備可以抵擋外來攻擊的使用者,也能夠有相對安全的網路使用環境(如果真的擋得住...),可是對於本身不一定有這種需求的使用者來說,我們有權可以要求不要中間透過那些節點嗎?(我知道我想太多,還是得打電話去要求些什麼?)

如果依照它的文宣所示:
直接配發三個可用固定IP,而透過PPPoE或DHCP方式。
那我看到的那三個節點的用途是什麼?專門負責發IP的嗎?(恕我不太清楚ISP業者的實際架構),跟浮動轉1固+7浮動IP又有何不同呢?

除此之外,如果有申請IPS和沒有申請IPS的使用者都掛在同一個節點的設備上,再另外做設定時,有沒有可能因負載設定上的問題,造成連線上的困難?

舉例來說:公司端點間的資料往來、VoIP或其他可能會使用到非一般端口(Port)的服務,有沒有可能會因此而無法正常連線?

在實際的使用狀況下,我就親眼看見透過固1+浮動7IP的FTTB架構,無法正常使用VoIP的服務,轉至多機型的FTTB架構,狀況就好上許多(但連線狀況不穩),這些在採用ADSL線路時都不曾發生過的問題,在FTTB的線路上卻有截然不同的遭遇。

先前我也曾在網路上看見FTTB的使用者,在討論著聯外(國外)速度明顯降低,甚至比較低速的ADSL還糟,難道想要有一條「乾淨」的線路,也變得如此困難嗎?

還是在FTTB的架構中一樣也有不能說的秘密,非得要打電話去關照客服/工程人員後,才能夠得到應有的對待嗎?(感覺好像某廣告詞...)

其實,我反而覺得在較高速、昂貴的網路線路上「加裝」這一類的閘道服務,似乎真有點多此一舉,因為有這種頻寬需求的人,我想應該多少都有自己的防範之道,就算是便宜的IP分享器,或多或少也有防堵的機制...(雖然不少是擺好看的)

假設:你以為自己所使用的網路就是「直接對外」,心想應該做點什麼防備,在設備端上更動了許多進出的規則與設定,沒想到就像是孫悟空在五指山下胡亂翻...,甚至可能會因設定上的衝突,把自己搞得焦頭爛額,還是翻不出去(又不是跟GFW對抗...)

真希望有誰可以出來管管這些,美其名是讓大家更安全,實際上為供應商
節省資源,就像那個什麼「時x管x服務」一樣,難道省下的頻寬可以折抵月租費嗎?(傻笑