Trong hành trình khám phá và quản lý các hệ thống mạng, tôi đã trải nghiệm nhiều cấu hình khác nhau, từ những chiếc PC mini chạy OPNsense tùy chỉnh đến các mạng lưới Eero mesh, thậm chí là việc cài đặt firmware tùy biến trên nhiều phần cứng khác nhau như DD-WRT hay OpenWrt, và cả các thế hệ thiết bị của Ubiquiti. Một điều mà tôi nhận thấy xuyên suốt quá trình này là rất hiếm có một hệ thống nào có thể dễ dàng sử dụng cho người dùng không chuyên, đồng thời vẫn cung cấp đủ quyền kiểm soát để làm hài lòng những người dùng kỹ thuật. Điều này khiến việc tìm kiếm một bộ định tuyến Wi-Fi mạnh mẽ trở nên khó khăn, nhưng thực tế thì không cần phải như vậy.
Tôi cũng từng sử dụng nhiều thiết bị được quảng cáo là để bảo vệ gia đình khỏi những mối nguy hiểm trên Internet, như Circle chẳng hạn. Dù không thích cách họ tiếp thị, nhưng nếu điều đó giúp người dùng quan tâm hơn đến an ninh mạng, thì có lẽ cũng chấp nhận được. Tôi đã trả tiền cho Eero Secure, nhưng tôi thực sự không muốn phải chi trả cho những chức năng bảo mật cơ bản lẽ ra phải có sẵn. Danh sách các lựa chọn thay thế giờ đây khá ít ỏi. Tôi có thể quay lại với OPNsense (nhưng sẽ phải trả tiền cho một vài gói đăng ký bảo mật để đạt được mức độ mong muốn). Tôi có thể chọn Ubiquiti, nhưng tính năng kiểm soát phụ huynh còn thiếu sót. Gryphon có thể có kiểm soát phụ huynh tốt, nhưng phần cứng lại hạn chế, tương tự như các tính năng nâng cao.
Tôi đã sử dụng Firewalla Gold Pro trong một thời gian và thực sự bị ấn tượng bởi sự dễ sử dụng thông qua ứng dụng di động, chiều sâu của nhật ký hoạt động, các tính năng bảo mật tiên tiến, thiết kế Zero Trust và tốc độ xử lý phần cứng khi kiểm tra gói tin. Gần đây, công ty cũng đã ra mắt các điểm truy cập Wi-Fi 7 (Access Point 7) với phiên bản để bàn và gắn trần, và tôi đã thử nghiệm phiên bản để bàn. Một điều mà tôi chưa từng nhận ra là Firewalla chạy trên Debian Linux với quyền truy cập SSH, điều này có nghĩa là tôi có thể thêm bất cứ thứ gì mình muốn vào hệ thống và chạy nó trên cùng một thiết bị luôn bật, đây thực sự là một bước đột phá lớn đối với tôi.
Router TP-Link Archer AXE300 Wi-Fi 6E, biểu tượng của router truyền thống và firmware tùy chỉnh
Firewalla là gì?
Firewalla không chỉ là một thiết bị mạng thông thường. Nó là một giải pháp bảo mật phần cứng được thiết kế để cung cấp khả năng kiểm tra gói tin sâu (Deep Packet Inspection – DPI) và được tối ưu hóa cho mục đích đó. Với sự kết hợp độc đáo giữa phần cứng mạnh mẽ và phần mềm linh hoạt, Firewalla mang đến một trải nghiệm quản lý mạng an toàn và hiệu quả.
Firewalla Gold Pro: Không chỉ là Router, đó là một máy chủ Linux
Firewalla Gold Pro mà tôi đã sử dụng là một firewall phần cứng với khả năng kiểm tra gói tin sâu được tối ưu hóa. Thiết bị này còn đóng vai trò như một bộ định tuyến (router) thay thế, được trang bị hai cổng 10GBase-T và hai cổng 2.5GBase-T, cùng với một vài cổng USB, một cổng console và một đầu ra HDMI. Điều này có nghĩa là nếu mọi thứ gặp sự cố, bạn vẫn có thể cắm bàn phím và màn hình để khôi phục thiết bị ngay cả khi không thể truy cập qua mạng.
Bất kỳ cổng LAN nào trong bốn cổng đều có thể được sử dụng làm cổng WAN. Mặc dù mặc định là cổng 4 (10GBase-T), tôi đã chuyển sang cổng 3 trên thiết bị của mình vì tôi chỉ có đường truyền cáp quang gigabit, nên cổng 2.5GBase-T là đủ. Nhờ đó, tôi có một kết nối 10 Gbps để kết nối với NAS, trong khi cổng 10GbE còn lại được dành cho một trong các thiết bị Firewalla AP7 mà tôi sở hữu.
Điểm nhỏ gây khó chịu duy nhất là nó không có cổng SFP+, vốn có thể là một lựa chọn tốt hơn cho các cổng tốc độ cao. Tuy nhiên, với việc AP7 cũng sử dụng cổng RJ45, việc lựa chọn cổng đồng có lẽ hợp lý hơn. Cá nhân tôi không thích sử dụng bộ thu phát SFP+ để chuyển đổi sang cáp đồng, và tôi biết mình không phải là người duy nhất có suy nghĩ này.
Access Point 7 (AP7): Mở khóa Wi-Fi Zero Trust
Thiết bị Access Point Firewalla AP7 Wi-Fi 7 đặt trên bàn cạnh chậu cây, thể hiện thiết kế tinh tế
Mặc dù thiết bị Firewalla có thể sử dụng bất kỳ điểm truy cập (AP) hoặc bộ chuyển mạch (switch) nào, nhưng khi bạn kết hợp nó với một (hoặc nhiều) thiết bị AP7, bạn sẽ có được khả năng điều chỉnh cài đặt bảo mật với độ chi tiết đáng kinh ngạc mà tôi thực sự đánh giá cao. Bạn có thể sử dụng tính năng VqLANs để tạo các nhóm thiết bị nhỏ, cho phép chúng chỉ giao tiếp với nhau và Internet, điều này rất tuyệt vời cho các thiết bị IoT hoặc quản lý thiết bị của các thành viên nhỏ tuổi trong gia đình.
Các thiết bị mới được thêm vào có thể bị cách ly (quarantined) cho đến khi quản trị viên phê duyệt chúng sử dụng các tài nguyên mạng khác. Thậm chí, bạn có thể đi xa hơn bằng cách gán khóa cá nhân cho người dùng thay vì mật khẩu SSID truyền thống, để bất kỳ lần đăng nhập mới nào từ những người dùng đó sẽ tự động được thêm vào nhóm hiện có của họ. Giữa VqLANs và việc cài đặt Device Isolation, thật dễ dàng thiết lập một mạng Zero Trust với quyền truy cập tối thiểu cho các thiết bị mà bạn không chắc chắn. Danh sách giám sát lưu lượng mạng chi tiết sau đó cho phép bạn xem những gì đang cố gắng giao tiếp vượt ra ngoài giới hạn của chúng và liệu những tính năng chặn đó có cần thiết hay không.
Tại sao chọn Firewalla thay vì OPNsense, pfSense hay Custom Firmware?
Việc lựa chọn một giải pháp mạng phù hợp là một quyết định quan trọng, đặc biệt khi có rất nhiều lựa chọn từ các hệ điều hành mã nguồn mở phức tạp đến các thiết bị chuyên dụng. Firewalla nổi bật so với các đối thủ nhờ vào triết lý thiết kế ưu tiên trải nghiệm người dùng và hiệu suất tối ưu.
Trải nghiệm người dùng và sự dễ dàng là ưu tiên hàng đầu
Giao diện ứng dụng quản lý Firewalla trên điện thoại hiển thị trên nền thiết bị Firewalla Gold Pro, minh họa sự dễ sử dụng
Mặc dù tôi cảm thấy hầu hết người dùng sẽ hưởng lợi từ việc loại bỏ bộ định tuyến của ISP, tôi cũng không hoàn toàn tin rằng mọi người nên tự xây dựng thiết bị mạng của riêng mình. Nếu bạn là một người dùng kỹ thuật hơn, có lẽ có lý do để tự làm, nhưng ngay cả những người dùng kỹ thuật như tôi, cùng với nhiều bạn bè chuyên về sysadmin và devops, chúng tôi đều có xu hướng nghiêng về các hệ thống dễ quản lý hơn cho mục đích sử dụng tại nhà.
Điều này thường có nghĩa là nhiều thiết bị Unifi, nhưng tôi đã có những trải nghiệm không tốt với Ubiquiti và không muốn lặp lại những sai lầm đó. Dòng Firewalla Gold nhắm đến những người như tôi, những người quan tâm đến sự dễ sử dụng nhưng cũng đủ kiến thức để tùy chỉnh các tính năng nâng cao. Tôi đánh giá cao việc ứng dụng tự động hóa nhiều thứ, nhưng không có tác vụ tự động nào là bất khả xâm phạm, vì vậy tôi có thể thay đổi mọi thứ nếu muốn. Tôi cũng rất thích ứng dụng di động, cho phép tôi điều chỉnh mọi thứ một cách nhanh chóng.
Phần cứng đáp ứng mọi yêu cầu khắt khe
Thiết bị router mini PC ShareVDI F12, đại diện cho các giải pháp phần cứng tự xây dựng cho hệ thống mạng
Tôi đã tự xây dựng nhiều hệ thống OPNsense tùy chỉnh, sử dụng phần cứng PC cũ, các PC mini và các thiết bị barebones được thiết kế cho mục đích định tuyến. OpenWrt bị giới hạn ở các phiên bản Wi-Fi cũ hơn, DD-WRT và các gói firmware tùy chỉnh khác gần như đã “chết”, và số lượng gói tôi cần thêm vào một bản cài đặt Linux “trần” để biến nó thành một bộ định tuyến và firewall mạnh mẽ là rất lớn. Mặc dù OPNsense và pfSense chạy tốt trên nhiều thiết bị này, nhưng tất cả đều đi kèm với những nhược điểm riêng:
- PC cũ: Tiêu thụ năng lượng cao, các vấn đề tương thích tiềm ẩn (như card mạng Realtek).
- PC Mini: Thường có CPU hoặc RAM hạn chế, không được điều chỉnh để đạt thông lượng cao khi kiểm tra gói tin, thường chỉ có hai card mạng và giới hạn ở 2.5GbE.
- Thiết bị Barebones: Hiếm khi có cổng 10GbE, phổ biến hơn là 4 cổng 2.5GbE, không đủ cho các AP Wi-Fi 7.
Danh sách yêu cầu của tôi cho một thiết bị router kiêm firewall khá cao. Tôi cần ít nhất hai cổng có khả năng 10GbE (SFP+ hoặc 10GBase-T đều được), và ít nhất hai cổng nữa ưu tiên Multi-Gig, nhưng tối thiểu là 2.5GbE. Tôi muốn thông lượng phải nhanh ít nhất bằng gói cước ISP của mình khi thực hiện kiểm tra gói tin sâu, điều đó có nghĩa là bất kỳ thứ gì trên 1 Gbps hiện tại. Tôi cũng muốn thiết lập dễ dàng, và thích khả năng quản lý các AP từ cùng một bảng điều khiển mà không cần phải đăng nhập vào nhiều giao diện web khác nhau.
Tôi đã sử dụng phần cứng Ubiquiti và mỗi lần sử dụng, thông lượng đều giảm đáng kể khi bật kiểm tra gói tin. Tôi có các AP của Eero và Zyxel, nhưng mặc dù tôi có thể thêm chúng, tôi không thể quản lý chúng từ ứng dụng Firewalla. Tôi cũng có rất nhiều router Wi-Fi All-in-one, nhưng tôi thà giữ chúng trong hộp vì chúng là một tập hợp các sự thỏa hiệp trong thiết kế. Tôi yêu OPNsense với giao diện và các tính năng mạnh mẽ của nó, nhưng mỗi phần cứng tôi chạy nó đều chậm và không được tối ưu hóa cho vai trò firewall, và đó là một điều đáng tiếc. Có thể tôi sẽ thay đổi suy nghĩ về điều đó khi sử dụng phần cứng OPNsense chính thức, nhưng cho đến lúc đó, đó là trải nghiệm của tôi.
Giao diện Web đơn giản, hiệu quả cho giám sát
Firewalla được thiết kế để hoạt động tốt nhất với ứng dụng di động, nơi tập trung phần lớn các công cụ quản trị. Nhưng nếu bạn thích đọc trên màn hình lớn hơn, bạn có thể đăng nhập vào giao diện web để xem các luồng dữ liệu chính, các khối bị chặn và các chi tiết lưu lượng quan trọng khác mà bạn có thể muốn xem xét khi giới hạn quyền truy cập vào các phần của Internet. Tuy nhiên, bạn không thể thực hiện các kế hoạch đó từ giao diện web, bạn sẽ phải tìm thiết bị liên quan trong ứng dụng để quản lý. Hãy coi giao diện web như một giao diện Grafana cơ bản và bạn sẽ hiểu rõ ý tưởng.
Truy cập SSH: Tự do mở rộng khả năng
Màn hình terminal hiển thị phiên truy cập SSH vào hệ thống Firewalla, minh họa khả năng tùy chỉnh nâng cao
Thiết bị Firewalla không bị khóa hoàn toàn, và tôi có thể SSH vào tài khoản người dùng root để khám phá bất cứ điều gì tôi tìm thấy ở đó. Liệu tôi có nên chạm vào bất cứ thứ gì tôi tìm thấy hay không lại là một câu chuyện khác, nhưng tôi có thể thêm các container Docker mới cho những thứ tôi muốn chạy trên thiết bị, hoặc bất kỳ thứ gì dựa trên Debian mà tôi có thể muốn (và tôi khá chắc chắn là nó sẽ không làm hỏng các tính năng định tuyến hoặc firewall).
Tôi có thể sử dụng tcpdump hoặc các công cụ Linux khác để xem những gì đang diễn ra phía sau giao diện người dùng đồ họa (GUI), nhưng tôi sẽ hạn chế số lượng ứng dụng tôi cài đặt vì tôi chắc chắn rằng cuối cùng sẽ có điều gì đó bị hỏng. Docker được cách ly một cách gọn gàng, và tôi có thể xóa các container đó mà không do dự, và miễn là tôi theo dõi tài nguyên hệ thống, tôi có thể thêm các chức năng như Homebridge, hoặc sử dụng Ansible để thêm chức năng.
Kết luận: Firewalla đã kiến tạo một giải pháp mạng đáng tin cậy và mạnh mẽ
Sau khi trải nghiệm gần như mọi thiết bị mạng dành cho người dùng gia đình và SMB, tôi có thể khẳng định rằng hiếm có sản phẩm nào ra khỏi hộp mà có được khả năng toàn diện như firmware của Firewalla. Tôi có thể dễ dàng tạo VLAN chỉ với vài thao tác, thêm Smart Queue cho tính năng QoS thế hệ mới, chặn quảng cáo, chủ động ngăn chặn các cuộc xâm nhập, xem lưu lượng truy cập chi tiết từ mọi thiết bị trên mạng của mình trong một danh sách dễ đọc, và vẫn có thể SSH vào để tùy chỉnh hệ thống Linux nếu muốn. Để thiết lập bất cứ thứ gì tương tự với OPNsense hoặc bất kỳ phần mềm firewall nào khác, sẽ mất rất nhiều thời gian cài đặt, cấu hình và tìm kiếm hướng dẫn, và tôi thực sự không muốn điều đó. Tôi yêu thích sự đơn giản trong thiết lập kết hợp với khả năng tùy chỉnh sâu rộng sau đó, và đây là một điều hiếm có khó tìm trên thị trường hiện nay.
Firewalla Gold Pro và AP7 thực sự là một giải pháp mạng toàn diện, cân bằng hoàn hảo giữa sự tiện lợi cho người dùng phổ thông và quyền kiểm soát mạnh mẽ cho các chuyên gia. Nếu bạn đang tìm kiếm một hệ thống router và firewall hiệu quả, bảo mật cao và dễ quản lý cho gia đình hoặc doanh nghiệp nhỏ của mình, Firewalla chắc chắn là một lựa chọn đáng để cân nhắc. Hãy chia sẻ ý kiến hoặc trải nghiệm của bạn về Firewalla trong phần bình luận bên dưới!
