Trong hành trình không ngừng tìm kiếm cấu hình mạng lý tưởng, tôi đã trải nghiệm qua vô vàn hệ thống khác nhau, từ những chiếc PC mini chạy OPNsense tùy chỉnh, các mạng mesh Eero, đến việc sử dụng firmware tùy chỉnh trên nhiều phần cứng đa dạng như DD-WRT và OpenWrt, cũng như nhiều thế hệ thiết bị của Ubiquiti. Một điều tôi nhận ra rõ ràng là rất hiếm có hệ thống nào vừa đủ dễ dàng cho người dùng không chuyên kỹ thuật, vừa cung cấp đủ quyền kiểm soát để làm hài lòng những người dùng cao cấp hơn. Điều này khiến việc tìm kiếm một bộ định tuyến Wi-Fi mạnh mẽ trở nên khá phức tạp, dù thực tế không nhất thiết phải như vậy.
Tôi cũng từng sử dụng nhiều thiết bị được quảng cáo là có thể bảo vệ gia đình khỏi những mối nguy hiểm trên Internet, như Circle. Mặc dù không thích cách họ tiếp thị, nhưng nếu điều đó giúp người dùng quan tâm hơn đến bảo mật trực tuyến, thì có lẽ cũng chấp nhận được. Tôi đã trả tiền cho Eero Secure, nhưng thực sự không muốn phải chi trả cho những tính năng bảo mật cơ bản lẽ ra phải có sẵn. Danh sách các lựa chọn khả dĩ cứ thế thu hẹp dần. Tôi có thể quay lại OPNsense (nhưng sẽ cần mua thêm một vài gói đăng ký bảo mật để đạt được mức độ mong muốn). Tôi có thể chọn Ubiquiti, nhưng các tính năng kiểm soát trẻ em lại khá hạn chế. Gryphon có thể có tính năng kiểm soát trẻ em tốt, nhưng phần cứng lại không đủ mạnh, cũng như thiếu các tính năng nâng cao.
Tôi đã sử dụng Firewalla Gold Pro một thời gian và thực sự ấn tượng bởi tính dễ sử dụng thông qua ứng dụng quản lý, độ sâu của nhật ký, các tính năng bảo mật, thiết kế Zero Trust, và tốc độ phần cứng khi kiểm tra gói tin. Gần đây, công ty cũng đã ra mắt các điểm truy cập Wi-Fi 7, với phiên bản để bàn và gắn trần, và tôi đã thử nghiệm phiên bản để bàn. Điều mà tôi chưa từng nhận ra là Firewalla chạy trên nền Debian Linux, với quyền truy cập SSH, cho phép tôi bổ sung bất cứ thứ gì mình muốn vào hệ thống và chạy nó trên cùng một thiết bị luôn bật. Đây thực sự là một bước đột phá lớn đối với tôi.
Firewalla là gì? Hơn cả một Router, là trung tâm bảo mật mạng của bạn
Không chỉ là router, đây là một máy chủ Linux với quyền truy cập root, và hơn thế nữa
Firewalla là một tường lửa phần cứng được tối ưu hóa cho việc kiểm tra gói tin sâu. Thiết bị Gold Pro mà tôi đang sử dụng còn có thể thay thế bộ định tuyến, với hai cổng 10GBase-T và hai cổng 2.5GBase-T, cùng với một vài cổng USB, một cổng console, và một đầu ra HDMI. Điều này có nghĩa là nếu mọi thứ khác đều thất bại, bạn vẫn có thể cắm bàn phím và màn hình vào để khôi phục thiết bị ngay cả khi không thể truy cập qua mạng.
Bất kỳ cổng LAN nào trong số bốn cổng đều có thể được sử dụng làm WAN. Mặc dù mặc định là cổng 4 (10GBase-T), tôi đã chuyển sang cổng 3 trên thiết bị của mình vì tôi chỉ có cáp quang gigabit, nên 2.5GBase-T là đủ. Nhờ đó, tôi có một kết nối 10 Gbps đến NAS, vì cổng 10GbE còn lại được kết nối với một trong các thiết bị Firewalla AP7 mà tôi đang sở hữu.
Điểm bất tiện nhỏ duy nhất là thiết bị không có cổng SFP+, vốn có thể là một lựa chọn tốt hơn cho các cổng tốc độ cao. Tuy nhiên, với việc AP 7 cũng sử dụng cổng RJ45, thì việc đi theo hướng này có lẽ hợp lý hơn. Cá nhân tôi không thích sử dụng bộ chuyển đổi SFP+ để chuyển đổi sang cáp đồng, và tôi biết mình không phải là người duy nhất có quan điểm này.
AP7: Mở khóa kỷ nguyên Wi-Fi Zero Trust
Firewalla AP7 thế hệ mới, thiết bị phát Wi-Fi 7 hỗ trợ Zero Trust
Mặc dù thiết bị Firewalla có thể hoạt động với bất kỳ AP hoặc bộ chuyển mạch nào, khi bạn kết hợp nó với một (hoặc nhiều) điểm truy cập AP7, bạn sẽ có được khả năng tinh chỉnh cài đặt bảo mật với độ chi tiết đáng kinh ngạc mà tôi thực sự đánh giá cao. Bạn có thể sử dụng VqLANs để thêm các nhóm thiết bị nhỏ, cho phép chúng chỉ giao tiếp với nhau và Internet, rất lý tưởng cho các thiết bị IoT hoặc quản lý thiết bị của các thành viên nhỏ tuổi trong gia đình.
Các thiết bị mới thêm vào có thể được cách ly cho đến khi quản trị viên phê duyệt để chúng sử dụng các tài nguyên mạng khác. Hoặc bạn có thể đi xa hơn bằng cách gán khóa cá nhân cho người dùng thay vì mật khẩu SSID truyền thống, để mọi lần đăng nhập mới từ những người dùng đó sẽ tự động được thêm vào nhóm hiện có của họ. Và giữa VqLANs cùng cài đặt Device Isolation, việc thiết lập mạng Zero Trust với quyền truy cập tối thiểu cho các thiết bị bạn không chắc chắn trở nên dễ dàng. Danh sách giám sát lưu lượng mạng chi tiết sau đó cho phép bạn xem những gì đang cố gắng giao tiếp ngoài giới hạn của chúng và liệu những tính năng chặn đó có cần thiết hay không.
Vì sao chọn Firewalla thay vì OPNsense, pfSense hay Firmware tùy chỉnh?
Trải nghiệm người dùng và tính dễ sử dụng vượt trội
Giao diện ứng dụng Firewalla trực quan trên nền Firewalla Gold Pro, minh họa tính dễ sử dụng
Mặc dù tôi cảm thấy hầu hết người dùng sẽ được hưởng lợi từ việc loại bỏ bộ định tuyến của ISP, tôi cũng không hoàn toàn tin rằng mọi người nên tự xây dựng thiết bị mạng của riêng mình. Nếu bạn là một người dùng kỹ thuật cao, có lẽ có lý do để làm vậy. Nhưng tôi cũng là một người dùng kỹ thuật, có rất nhiều bạn bè là quản trị viên hệ thống (sysadmin) và chuyên gia DevOps, và tất cả chúng tôi đều có xu hướng nghiêng về các hệ thống dễ quản lý hơn để sử dụng tại nhà.
Điều đó thường có nghĩa là rất nhiều thiết bị Unifi nói chung, nhưng tôi đã có những trải nghiệm không tốt với Ubiquiti và không muốn lặp lại những sai lầm đó. Dòng Firewalla Gold hướng đến những người như tôi – những người quan tâm đến tính dễ sử dụng nhưng cũng đủ hiểu biết để khai thác các tính năng nâng cao. Tôi đánh giá cao việc ứng dụng di động tự động hóa nhiều thứ, nhưng không có tác vụ tự động nào là bất biến, tôi có thể thay đổi mọi thứ nếu muốn. Tôi cũng rất thích ứng dụng di động, giúp tôi điều chỉnh mọi thứ nhanh chóng.
Phần cứng đáp ứng mọi nhu cầu hiện đại
Thiết bị router barebones Sharevdi F12, một trong những lựa chọn phần cứng tự dựng cho firewall
Tôi đã tự lắp ráp nhiều thiết bị OPNsense tùy chỉnh, sử dụng phần cứng PC cũ, PC mini và các thiết bị barebones được thiết kế cho mục đích định tuyến. OpenWrt bị giới hạn ở các phiên bản Wi-Fi cũ hơn, DD-WRT và các gói firmware tùy chỉnh khác gần như đã lỗi thời, và số lượng gói tôi cần thêm vào một cài đặt Linux thuần để biến nó thành một bộ định tuyến và tường lửa mạnh mẽ là rất đáng ngại. Mặc dù OPNsense và pfSense chạy tốt trên nhiều thiết bị này, tất cả chúng đều đi kèm với những nhược điểm riêng:
- PC cũ: Tiêu thụ năng lượng cao, các vấn đề tương thích tiềm ẩn (như card mạng Realtek).
- PC mini: Thường có thông số CPU hoặc RAM hạn chế, không được tối ưu hóa cho thông lượng khi kiểm tra gói tin, thường chỉ có hai card mạng và giới hạn ở 2.5GbE.
- Thiết bị barebones: Hiếm khi có cổng 10GbE, phổ biến hơn là 4x 2.5GbE, không đủ cho các AP Wi-Fi 7.
Danh sách yêu cầu của tôi đối với một thiết bị router + tường lửa khá cao. Tôi cần ít nhất hai cổng có khả năng 10GbE (SFP+ hoặc 10GBase-T đều được), và ít nhất hai cổng nữa ưu tiên là Multi-Gig, nhưng tối thiểu là 2.5GbE. Tôi muốn thông lượng ít nhất phải nhanh bằng gói Internet của ISP khi thực hiện kiểm tra gói tin sâu, điều đó có nghĩa là hiện tại phải trên 1 Gbps. Tôi cũng muốn cài đặt dễ dàng, và thích khả năng quản lý các AP từ cùng một bảng điều khiển mà không cần phải đăng nhập vào nhiều giao diện web khác nhau.
Tôi đã sử dụng phần cứng Ubiquiti và mỗi lần sử dụng, thông lượng đều giảm đáng kể khi bật kiểm tra gói tin. Tôi có các AP của Eero và Zyxel, nhưng mặc dù có thể thêm chúng, tôi không thể quản lý chúng từ ứng dụng Firewalla. Tôi cũng có rất nhiều bộ định tuyến Wi-Fi tất cả trong một, nhưng tôi thà giữ chúng trong hộp vì chúng đầy rẫy những thỏa hiệp về thiết kế. Tôi yêu OPNsense vì giao diện và các tính năng mạnh mẽ của nó, nhưng mọi phần cứng tôi đã chạy nó đều chậm và không được tối ưu hóa để làm tường lửa, và đó thực sự là một điều đáng tiếc. Có lẽ tôi sẽ thay đổi suy nghĩ về điều đó khi sử dụng phần cứng OPNsense chính thức, nhưng cho đến lúc đó, đó là trải nghiệm của tôi.
Giao diện Web tối giản: Tập trung vào giám sát, quản lý qua App
Firewalla được thiết kế để hoạt động tốt nhất với ứng dụng di động, nơi tập trung phần lớn các công cụ quản trị. Nhưng nếu bạn thích đọc trên màn hình lớn hơn, bạn có thể đăng nhập vào giao diện web và xem các luồng dữ liệu chính, các khối chặn và các chi tiết lưu lượng quan trọng khác mà bạn có thể muốn cân nhắc khi giới hạn quyền truy cập vào các phần của Internet. Tuy nhiên, bạn không thể thực hiện các kế hoạch đó từ giao diện web; bạn sẽ phải tìm thiết bị cụ thể trong ứng dụng để quản lý. Hãy coi giao diện web như một giao diện Grafana cơ bản và bạn sẽ hình dung được.
Truy cập SSH: Sức mạnh tùy biến không giới hạn
Phiên làm việc SSH trên Firewalla, cho phép người dùng tùy chỉnh sâu hệ thống Linux
Firewalla không hề bị khóa, và tôi có thể truy cập SSH vào tài khoản người dùng root để xem xét bất cứ thứ gì tôi tìm thấy ở đó. Việc liệu tôi có nên động vào bất cứ thứ gì hay không lại là một câu chuyện khác, nhưng tôi có thể thêm các Docker container mới cho những thứ tôi muốn chạy trên thiết bị, hoặc bất kỳ thứ gì dựa trên Debian mà tôi có thể muốn (và tôi khá chắc chắn) sẽ không làm hỏng các tính năng định tuyến hoặc tường lửa.
Tôi có thể sử dụng tcpdump hoặc các công cụ Linux khác để xem điều gì đang diễn ra phía sau giao diện người dùng đồ họa (GUI), nhưng tôi sẽ giới hạn số lượng ứng dụng cài đặt vì tôi chắc chắn sẽ có lúc gặp lỗi. Docker được cách ly một cách gọn gàng, và tôi có thể xóa các container đó mà không cần lo lắng. Miễn là tôi theo dõi tài nguyên hệ thống, tôi có thể thêm các chức năng như Homebridge, hoặc sử dụng Ansible để bổ sung chức năng.
Kết luận: Firewalla – Cân bằng hoàn hảo giữa sức mạnh và sự đơn giản
Tôi đã sử dụng gần như mọi thiết bị mạng mà một người dùng gia đình có thể dùng, và tôi không biết có thiết bị nào ra khỏi hộp mà có được các khả năng của firmware Firewalla. Tôi có thể tạo VLAN chỉ với vài thao tác chạm, thêm Smart Queue cho QoS thế hệ mới, chặn quảng cáo, chủ động ngăn chặn xâm nhập, xem lưu lượng truy cập chi tiết từ mọi thiết bị trên mạng của mình trong một danh sách dễ đọc, và vẫn có thể truy cập SSH để khám phá hệ thống Linux thuần nếu tôi muốn. Để thiết lập bất cứ thứ gì tương tự như vậy với OPNsense hoặc bất kỳ phần mềm tường lửa nào khác sẽ mất rất nhiều thời gian cài đặt, cấu hình và tìm kiếm hướng dẫn, và tôi thực sự không muốn điều đó. Tôi thích sự đơn giản trong thiết lập, kết hợp với khả năng tùy chỉnh sâu sau đó, và điều đó rất hiếm khi tìm thấy.
Nếu bạn đang tìm kiếm một giải pháp mạng gia đình hoặc cho doanh nghiệp nhỏ (SMB) mạnh mẽ, dễ quản lý nhưng vẫn cung cấp quyền kiểm soát sâu, Firewalla Gold Pro và các điểm truy cập AP7 chắc chắn là những lựa chọn đáng cân nhắc. Hãy chia sẻ ý kiến của bạn về giải pháp mạng này hoặc trải nghiệm của bạn với các thiết bị Firewalla trong phần bình luận bên dưới nhé!
