Firewall အကြောင်း နောက်ဆက်တွဲအနေနဲ့ NGFW ခေါ် Next Generation Firewall ဆိုတာကို ဆက်ကြည့်ရအောင်။ အရင်က ရေးခဲ့ဘူးသလို FW တွေဟာ အခုခေတ်မှာ သာမန်Packet Filtering လောက်နဲ့ Network တစ်ခုကို လုံခြုံအောင် ကာကွယ်မပေးနိုင်တော့ဘူး။ Layer 2-4 လောက်မှာ ကာကွယ်တာနဲ့ မလုံလောက်တော့ဘူး။OSI Layers အားလုံးကို နားလည်တဲ့ FW ဖြစ်ဖို့လိုအပ်တဲ့အပြင် Application layer က Application တွေ၊ အပြင်ကော အတွင်းကပါလာတဲ့ တိုက်ခိုက်မှုတွေရဲ့ Pattern တွေ၊ Signature တွေကိုလည်း သိထားဖို့လိုအပ်လာပါတယ်။ ဒီတော့ NGFW တွေမှာ အဲဒါတွေပေါင်းစပ်လာပြီး Antivirus၊ IPS ခေါ် Intrusion Prevention System ၊ URL filtering လို့ခေါ်တဲ့ web traffic တွေဝင်စစ်တဲ့ဟာတွေ၊ DPI (deep packets Inspection)၊ SSL Interception တွေ အကုန်လုံးပါလာပါတယ်။ ဒါတင်မကသေးပဲ တခြား ပစ္စည်း၊ နည်းပညာတွေနဲ့ပေါင်းစပ်နိုင်ဖို့၊ ကိုယ့်FW အထဲကထွက်သွားတဲ့ Traffic ကို လိုသလိုပြောင်းလဲပေးနိင်ဖို့ (ဥပမာ QoS) ၊ NAT တို့ Dynamic routing တွေကိုလည်း ပါတယ်ဆိုတာထက် Router တစ်လုံးနီပါး အဆင်ပြေအောင် လုပ်ဆောင်နိုင်ဖို့ (အရင်က FW တွေမှာ Static နဲ့ RIP သာပါပြီး နောက်ပိုင်းမှသာ OSPF/BGP တို့ကို အခြေခံလောက်သာ လုပ်ဆောင်နိုင်ပါတယ်) အထိရလာပါတယ်။ အဲဒါတွေလုပ်ဆောင်နိင်တဲ့ FW တွေကို NGFW လို့ခေါ်ကြပါတယ်။ ကျွန်တော့အမြင်ကတော့ ဒါတွေကိုလုပ်ဆောင်နိုင်ဖို့ကာ Application တွေကို နားလည်လာတာက အဓိကကျတယ်လို့ ထင်ပါတယ်။ ခြုံပြောရရင်တော့ Applications Awareness ဖြစ်လာတဲ့ FW တွေပါ။
ဒီဟာတွေကို အရင်က FW တွေလဲ ရအောင်ထိန်းချုပ်နိုင်ခဲ့ပါတယ်ဆိုရင်တော့ မှားပါတယ်ဆိုရပါမယ်။ နမူနာ အနေနဲ့ စဉ်းစားကြည့်ရအောင်။ ဒါကျွန်တော်ကိုယ်တိုင်ကြုံခဲ့ဘူးတဲ့ Customer Requirement တစ်ခုပါ။ သူတို့က ဘာလိုချင်လဲဆိုရင် Yahoo Messenger ကိုဖွင့်ထားချင်တယ် ဒါပေမယ့် အဲဒီ YM အထဲက File transfer လုပ်တဲ့ကိစ္စနဲ့ Audio Chat ကိုတော့ ပိတ်ထားချင်တယ်။ နောက်တစ်ခုအနေနဲ့ URL Filtering လုပ်ချင်တယ် ဒါပေမယ့် ဒါရိုက်တာတွေကိုတော့ မပိတ်စေချင်ဘူး၊ သူတို့ရဲ့ Network မှာလည်း DHCP ပဲသုံးနေတာမို့ Static မပြောင်းပေနိုင်ဘူး။ ဒါတင်လားဆိုတော့ မဟုတ်သေးဘူး၊ သူတို့ရုံးက Bandwidth အများကြီး မရှိတဲ့အတွက် အရေးကြီးတဲ့ URL တစ်ချို့ကို Priority ပေးထားပြီး အလုပ်နဲ့မဆိုင်တဲ့ ကိစ္စတွေအားလုံးကို Bandwidth နဲနဲသာပေးထားပြီး ထိန်းချုပ်ထားချင်သေးတယ်။ လစဉ်အသုံးပြုမှု မှတ်တမ်းအပြင် အချိန်နဲ့တပြေးညီပြနိုင်တဲ့ Monitoring console လဲလိုချင်သေးတယ်။ မပြီးသေးဘူး အောက်ကလာချိတ်ထားတဲ့ Router တွေက Static Route သုံးထားရတဲ့အတွက် သူတို့သုံးထားတဲ့ OSPF နဲ့ ချိတ်လို့ရရင် ချိတ်ချင်သေးတယ်။ အဲဒီအချိန်က သူတို့မှာ ရှိတဲ့FW သီးသန့်နဲ့ဘယ်လိုမှ မလုပ်ပေးနိုင်ခဲ့ဘူး။ တခြား Proxy တွေ၊ NMS တွေ၊ Router တွေနဲ့ပေါင်းစပ်ပြီး တတ်နိုင်သလောက်လုပ်ပေးခဲ့ရတယ်။ အခုအချိန်မှာတော့ဒါတွေကို NGFW တစ်ခုနဲ့တင် အကုန်ထိန်းချုပ်လို့ရနေပါပြီ။
တီထွင်မှုတွေဟာ လိုအပ်ချက်တွေကြောင့်ဖြစ်ပေါ်လာတယ်ဆိုသလိုပဲ အခုလို လိုအပ်ချက်တွေကြောင့် NGFW တွေပေါ်ပေါက်လာခြင်းဖြစ်ပါတယ်။ ကျွန်တော် CCIE အတွက်စတင်ပြင်ဆင်ကာစက Cisco Press ကစာအုပ်အထူကြီးတွေဖတ်ရင်း စာအုပ်တွေကို သက်တောင့်သက်သာနဲ့ ပေါ့ပေါ့ပါးပါးလေးကိုင်ပြီးသာဖတ်ရရင်အတော်ကောင်းမှာပဲ စဉ်းစားခဲ့ကြည့်ဖူးတယ်။ Laptop နဲ့ ဖတ်ပြန်တော့လဲ ကြာလာတော့ လေးပြီး ပေါင်တွေပူလာပြန်ရော။ ပေါင်တွေပူဆိုတာက ခုံပေါ်မှာ စာဖတ်လေ့မရှိပဲ အိပ်ယာပေါ် ဆိုဖာပေါ်တင်ပြီးဖတ်လို့ပါ။ ပျင်းတယ်ပဲဆိုပါတော့။ အဲဒီအချိန်မှာ ကျွန်တော်လိုချင်နေတာအဲဒါပဲ ဘာမှန်းတော့မသိဘူး။ နောက်သိပ်မကြာခင်မှာပဲ iPAD ထွက်လာပါလေရော။ ကျွန်တော့ထွင်တာတော့ မဟုတ်ဘူး။ Apple ကထုတ်လိုက်တာ။ ထင်တာကတော့ Steve Jobs လဲကျွန်တော့လို့ အိပ်ယာထဲစာဖတ်ရင်းနဲ့ ခံစားခဲ့ရပုံပဲ။ ဒီလိုပဲ FW အသုံးပြုသူတွေရဲ့ လိုအပ်ချက်ကြောင့် NGFW တွေခေတ်စားလာချိန်မှာ ဈေးကွက်ထဲမှာ Paloalto ဆိုတဲ့ FW ခေတ်စားလာတယ်။ Juniper Checkpoint Cisco ASA တွေရဲ့နေရာမှာ အရှိန်အဟုန်နဲ့ အစားထိုးလာကြတယ်။ ကံအားလျှော်စွာနဲ့ ကိုယ်တိုင်အသုံးပြုဖို့ အခွင့်အရေးရလာတဲ့ အချိန်မှာ NGFW တွေရဲ့ အစွမ်းထက်မှုကိုပိုပြီးသဘောပေါက်သွားတယ်။ အရင်က Customer Requirement တောင်းတဲ့အချိန်ကသာ အဲဒီ FW ရခဲ့ရင် ၂ပတ်လောက်ပြာခဲ့မှာမဟုတ်ဘူး။ နောက်တစ်ခုက ဒီ Paloalto FW ဟာ ဘာကြောင့် အချိန်တိုအတွင်းမှာ အောင်မြင်လာသလဲဆိုတာ စိတ်ဝင်စားမိသွားတယ်။ ဒါနဲ့လိုက်ရှာကြည့်ရင်းနဲ့ သူတို့ရဲ့ CTO အကြောင်းကိုဖတ်မိတယ်။ စိတ်ဝင်စားစရာ အားကြစရာပါကောင်းတဲ့အတွက် ITworld မှာ အင်တာဗျူးထားတဲ့ သူအကြောင်းအနည်းငယ်ပါ ဖော်ပြပေးလိုက်ပါတယ်။
သူ့နာမည်က Nir Zuk တဲ့ အစ္စရေးကပါ။ ၁၆ နှစ်သားကတည်းက Virus ရေးတတ်ခဲ့ပါတယ်။ ပြီးတော့ စစ်မှုမထမ်းမနေရ ပေါ်လစီအရ စစ်ထဲရောက်တဲ့အချိန်မှာ ပရိုဂရမ်တွေ ရေးတတ်တဲ့ လူငယ်တွေ ကိုရွေးရှာတဲ့ အဖွဲ့ထဲမှာအလုပ်လုပ်ခဲ့ပါတယ်။သင်္ချာနဲ့ ကျောင်းမပြီးခင်မှာပဲ Checkpoint ကအလုပ်ခေါ်တာနဲ့ အလုပ်ရပြီး အချိန်မရတော့တာကြောင့် ကျောင်းဆက်မတက်နိုင်တော့ဘူး။ အဲဒီမှာ Checkpoint အနေနဲ့ Stateful Inspection ကိုထွင်ခဲ့ပါတယ်။ နောက်ပိုင်း အမေရိကကိုပြောင်းရွေ့ခဲ့ပါတယ်။ အဲဒီမှာပဲ သူတို့အဖွဲ့ထွင်ထားတဲ့ နည်းပညာအသစ်တစ်ခုကို Checkpoint ကမထုတ်ပေးတာနဲ့ အဲလိုပြောတဲ့နေ့မှပဲ Checkpoint ကနေထွက်ခဲ့ပါတယ်။ အဲဒီနောက် ကိုယ်ပိုင်လုပ်ငန်းလေးထောင်ပြီး IPS ကိုထွင်ခဲ့ပါတယ်။ သိပ်မကြာခင်မှာပဲ သူ့ကုပ္မဏီကို Netscreen ကဝယ်လိုက်ပါတယ်။ ၁နှစ်အတွင်းမှပဲ Netscreen ဟာ Checkpoint ထက်အရှေ့ကိုရောက်သွားတယ်လို့ဆိုပါတယ်။ ဖြစ်ချင်တော့ Netscreen ကို Juniper ကထပ်ဝယ်လိုက်တဲ့ အချိန်မှာ Netscreen ကနည်းပညာကို Juniper မှာပြောင်းသုံးပြီး Netscreen product line ကိုရပ်ပစ်ဖို့၊ အသစ်ထပ်မထွင်ဖို့ကိစ္စနဲ့ပက်သက်ပြီး အဆင်မပြေတာကနေ Juniper ကနေပါထွက်ပြီး သူနဲ့အတူ Juniper ကနောက်ထပ် ၂၅ ဦးနဲ့အတူ Paloalto ကိုတည်ထောင်ပြီး Paloalto FW ထွင်ခဲ့ပါတယ်။ သိပ်မကြာခင်မှာပဲ Paloalto ဟာ သူတွက်ထားခဲ့သလို Juniper ကိုကျော်ပြီး တက်လာတာကို တွေ့ရပါတယ်။ ၂၀၁၅ ရဲ့ Enterprise Network Firewall စာရင်းမှာ သက်တမ်းရင့် Checkpoint နဲ့အတူ Leaders အဖြစ်ရပ်တည်နေတာကို တွေ့ရပါလိမ့်မယ်။
သူရဲ့အတွေ့အကြုံနဲ့ အရင်ကထုတ်ခဲ့တဲ့ ပစ္စည်းတွေရဲ့ လစ်ဟာနေတဲ့ကိစ္စတွေ၊ Customer တွေရဲ့လိုအပ်ချက်တွေကို နားလည်ပြီး လိုအပ်သလို တီထွင်ထုတ်လုပ်နိုင်ခဲ့ခြင်းတွေဟာ အောင်မြင်မှုရဲ့ နောင်ကွယ်က အဓိက အချက်တစ်ချက်ဖြစ်တယ်ဆိုတာ ငြင်းလို့ရမယ်မထင်ပါဘူး။ အင်တာဗျူးကို ဖတ်ချင်ရင်တော့ ဒီလင့်မှာဆက်ဖတ်ပါ။
http://www.itworld.com/article/2756415/careers/how-i-got-here--nir-zuk--cto--palo-alto-networks.html
ကိုဖြိုး
Sir. Appreciate for your knowledge sharing. I am so proud of you represent as a CCIE & CISSP Myanmar.
ReplyDelete