防火墙 - 构建或购买[关闭]

Question

我有一个 Linux Web 服务器群，大约有 5 台 Web 服务器，Web 流量约为 20Mbps。

我们目前有一个 Barracuda 340 负载均衡器（远离这个设备 - 垃圾！），它充当防火墙。我想安装一个专用防火墙，我想知道人们对构建和购买专用防火墙的看法。

主要要求：

• 动态阻止恶意流量
• 动态限制流量
• 阻止除 80、443 之外的所有端口
• 将端口 22 限制为一组 IP
• 高可用性设置

另外，如果我们选择构建路线，我们如何知道系统可以处理什么级别的流量。

Answer 1

正如他们所说 - “剥猫皮的方法不止一种”：

自己构建它，运行 Linux 或 *BSD 之类的东西。这样做的好处是，它可以轻松地完成问题的动态部分，这只是一些适当放置的 shell/python/perl/任何脚本的问题。缺点是您的上限流量速率可能达不到专用防火墙设备上的水平，尽管您仍然能够实现 300Mbit/sec 范围内的数据速率。（此时您开始遇到 PCI 总线限制）这可能足够高，对您来说不会成为问题。

购买专用的“防火墙设备”​​ - 这样做的可能缺点是，执行您想要完成的“动态”部分有些困难 - 根据设备的不同，这可能很容易（Net::Telnet/ Net::SSH 浮现在脑海中），或者不是。如果您担心峰值流量速率，则必须仔细检查制造商的规格 - 其中一些设备容易受到与“常规”PC 相同的流量限制，因为它们仍然会遇到 PCI 总线带宽问题等。到那时，您不妨自己推出。

我想如果你愿意的话，你可以将其更多地理解为做任何一个的“优点和缺点”。

FWIW，我们在我的工作地点运行双 FreeBSD 防火墙，并定期推动 40+Mbit/秒，没有明显的负载/问题。

Answer 2

肯定要建。我帮助管理一家 ISP，我们构建了两个防火墙。一是用于故障转移和冗余。我们使用一个名为 普夫感. 。我极力推荐这个程序。它有一个很棒的网络界面来配置它，我们实际上是通过紧凑型闪存卡运行它的。

Answer 3

在我目前的初创公司中，我们使用 PFSense 来替换多个路由器/防火墙，并且它的吞吐量可以替换更昂贵的路由器。

也许这就是思科遇到麻烦的原因？:)

Answer 4

与高可用性相关：OpenBSD 可以以故障转移/HA 方式配置防火墙。看 这个描述. 。我听说他们已经做过演示，其中此类设置的效果与高端思科设备一样好（如果不是更好的话）。

Answer 5

在过去 8 年里，我们维护了一个拥有大约 20 到 30 台机器的小型开发网络。我们有一台计算机专门用作防火墙。

实际上，我们从未遇到过严重的问题，我们现在将其替换为专用的路由器/防火墙解决方案（尽管我们尚未决定使用哪个）。原因如下：简单（目标是防火墙，而不是维护 Linux 来运行它）、更少的空间和更少的功耗。

Answer 6

对这个领域了解不多，但也许 Astaro 安全网关?

Answer 7

您好，在这种情况下我会选择专用的防火墙产品。我已经使用 Checkpoint 防火墙系列产品很多年了，我一直发现它们易于设置和管理，并且拥有强大的支持。使用 Checkpoint 或其竞争对手之一是一种相当昂贵的选择，特别是如果您将其与开源软件进行比较，因此这取决于您的预算。

我还使用过 Cisco 的 PIX 和 ASA 防火墙系列。这些也都不错，但我认为比较难管理