جدار الحماية - البناء أو الشراء [مغلق]

StackOverflow https://stackoverflow.com/questions/48494

  •  09-06-2019
  •  | 
  •  

سؤال

لدي مزرعة خوادم ويب Linux بها حوالي 5 خوادم ويب، وحركة مرور الويب تبلغ حوالي 20 ميجابت في الثانية.

لدينا حاليًا Barracuda 340 Load Balancer (ابتعد عن هذا الجهاز - قطعة تافهة!) والذي يعمل كجدار حماية.أريد إنشاء جدار حماية مخصص وأود أن أعرف آراء الناس حول بناء جدار حماية مخصص مقابل شراء جدار حماية مخصص.

المتطلبات الرئيسية:

  • منع حركة المرور الحمر ديناميكيًا
  • معدل الحد من حركة المرور ديناميكيا
  • قم بحظر جميع المنافذ باستثناء 80، 443
  • تقييد المنفذ 22 بمجموعة من عناوين IP
  • إعداد التوفر العالي

وأيضًا إذا ذهبنا إلى مسار البناء، فكيف نعرف مستوى حركة المرور الذي يمكن للنظام التعامل معه.

هل كانت مفيدة؟

المحلول

كما يقولون - "هناك أكثر من طريقة لسلخ قطة":

قم ببنائه بنفسك، باستخدام نظام مثل Linux أو *BSD.تكمن فائدة هذا في أنه يجعل من السهل تنفيذ الجزء الديناميكي من سؤالك، فهو مجرد مسألة عدد قليل من البرامج النصية الموضوعة جيدًا في Shell/python/Perl/أيًا كانت.العيب هو أن الحد الأقصى لمعدل حركة المرور الخاص بك قد لا يكون كما هو الحال على جهاز جدار الحماية المصمم لهذا الغرض، على الرغم من أنه يجب أن تظل قادرًا على تحقيق معدلات بيانات في نطاق 300 ميجابت/ثانية.(تبدأ في الوصول إلى حدود ناقل PCI في هذه المرحلة) قد يكون هذا مرتفعًا بدرجة كافية بحيث لن يمثل مشكلة بالنسبة لك.

شراء "جهاز جدار حماية" مخصص - من العيوب المحتملة للقيام بذلك، أن القيام بالجزء "الديناميكي" مما تحاول إنجازه هو أكثر صعوبة إلى حد ما - اعتمادًا على الجهاز، قد يكون ذلك سهلاً (Net::Telnet/ Net::SSH يتبادر إلى الذهن)، أم لا.إذا كنت قلقًا بشأن ذروة معدلات حركة المرور، فسيتعين عليك التحقق بعناية من مواصفات الشركة المصنعة - العديد من هذه الأجهزة معرضة لنفس قيود حركة المرور مثل أجهزة الكمبيوتر "العادية"، حيث أنها لا تزال تواجه مشكلة النطاق الترددي لناقل PCI، وما إلى ذلك .عند هذه النقطة، قد تقوم أيضًا بلف لوحتك الخاصة.

أعتقد أنه يمكنك قراءة هذا على أنه "إيجابيات وسلبيات" القيام بأي منهما، إذا كنت تريد ذلك.

FWIW، نقوم بتشغيل جدران حماية FreeBSD مزدوجة في مكان عملي، وندفع بانتظام 40+ ميجابت/ثانية دون أي تحميل/مشكلات ملحوظة.

نصائح أخرى

بناء بالتأكيد.أساعد في إدارة مزود خدمة الإنترنت (ISP) وقد قمنا ببناء جدارين ناريين.الأول هو الفشل والتكرار.نستخدم برنامج اسمه com.pfsense.لا أستطيع أن أوصي بهذا البرنامج أكثر.يحتوي على واجهة ويب رائعة لتكوينه ونقوم بالفعل بتشغيله من خلال بطاقة فلاش مدمجة.

في بدء التشغيل الحالي، استخدمنا PFSense لاستبدال العديد من أجهزة التوجيه/جدران الحماية، وهو يتمتع بمعدل إنتاجية يحل محل أجهزة التوجيه الأكثر تكلفة.

ربما لهذا السبب تواجه شركة Cisco مشكلة؟:)

ذات صلة بالتوافر العالي:يمكن تكوين OpenBSD بطريقة تجاوز الفشل/HA لجدران الحماية.يرى هذا الوصف.لقد سمعت أنهم أجروا عروضًا توضيحية حيث تم إجراء مثل هذه الإعدادات أيضًا (إن لم تكن أفضل) مثل معدات Cisco المتطورة.

على مدى السنوات الثماني الماضية، حافظنا على شبكة تطوير صغيرة تضم حوالي 20 إلى 30 آلة.كان لدينا جهاز كمبيوتر واحد مخصص ليكون جدار الحماية.

في الواقع، لم نواجه أبدًا مشكلات خطيرة، ونحن الآن نستبدلها بحل مخصص لجهاز التوجيه/جدار الحماية (على الرغم من أننا لم نقرر بعد أي حل).أسباب ذلك هي:البساطة (الهدف هو جدار الحماية، وليس الحفاظ على Linux لتشغيله أيضًا)، ومساحة أقل واستهلاك أقل للطاقة.

لا أعرف الكثير عن هذا المجال، ولكن ربما بوابة أمان أستارو?

مرحبًا، سأختار منتج جدار حماية مخصصًا في هذا السيناريو.لقد استخدمت مجموعة منتجات جدار الحماية Checkpoint لسنوات عديدة ووجدت دائمًا أنها سهلة الإعداد والإدارة وتحظى بدعم كبير.يعد استخدام Checkpoint أو أحد المنافسين خيارًا مكلفًا إلى حد ما، خاصة إذا كنت تقارنه ببرامج مفتوحة المصدر، لذلك يعتمد الأمر على ميزانيتك.

لقد استخدمت أيضًا خط Cisco الخاص بجدران الحماية PIX وASA.وهي أيضًا جيدة، لكن في رأيي يصعب إدارتها

مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى StackOverflow
scroll top