Firewall – Build or Buy [geschlossen]

StackOverflow https://stackoverflow.com/questions/48494

  •  09-06-2019
  •  | 
  •  

Frage

Ich habe eine Linux-Webserverfarm mit etwa 5 Webservern, der Webverkehr beträgt etwa 20 Mbit/s.

Wir haben derzeit einen Barracuda 340 Load Balancer (von diesem Gerät fernhalten – Mist!), der als Firewall fungiert.Ich möchte eine dedizierte Firewall einbauen und würde gerne wissen, welche Meinung die Leute zum Aufbau oder zum Kauf einer dedizierten Firewall haben.

Hauptanforderungen:

  • Blockieren Sie Rouge-Verkehr dynamisch
  • Begrenzen Sie den Datenverkehr dynamisch
  • Blockieren Sie alle Ports außer 80, 443
  • Beschränken Sie Port 22 auf eine Reihe von IPs
  • Hochverfügbarkeits-Setup

Auch wenn wir uns für die Build-Route entscheiden, woher wissen wir dann, welchen Datenverkehr das System bewältigen kann?

War es hilfreich?

Lösung

Wie man so schön sagt: „Es gibt mehr als eine Möglichkeit, eine Katze zu häuten“:

Erstellen Sie es selbst und führen Sie etwas wie Linux oder *BSD aus.Der Vorteil davon besteht darin, dass es einfacher ist, den dynamischen Teil Ihrer Frage zu bearbeiten. Es sind nur ein paar gut platzierte Shell-/Python-/Perl-/was auch immer-Skripte erforderlich.Der Nachteil besteht darin, dass Ihre maximale Datenverkehrsrate möglicherweise nicht der eines speziell entwickelten Firewall-Geräts entspricht, obwohl Sie dennoch in der Lage sein sollten, Datenraten im Bereich von 300 Mbit/s zu erreichen.(An diesem Punkt stoßen Sie an die Grenzen des PCI-Busses.) Dieser Wert kann so hoch sein, dass er für Sie kein Problem mehr darstellt.

Kaufen Sie ein dediziertes „Firewall-Gerät“ – Der mögliche Nachteil besteht darin, dass die Ausführung des „dynamischen“ Teils Ihrer Ziele etwas schwieriger ist – je nach Gerät kann dies einfach sein (Net::Telnet/ Net::SSH fällt mir ein) oder auch nicht.Wenn Sie sich über Spitzendatenverkehrsraten Sorgen machen, müssen Sie die Spezifikationen des Herstellers sorgfältig prüfen – einige dieser Geräte unterliegen den gleichen Datenverkehrsbeschränkungen wie „normale“ PCs, da sie immer noch Probleme mit der PCI-Bus-Bandbreite usw. haben .An diesem Punkt könnten Sie genauso gut Ihr eigenes rollen.

Ich denke, Sie könnten dies eher als „Vor- und Nachteile“ für beides interpretieren, wenn Sie möchten.

FWIW, wir betreiben an meinem Arbeitsplatz zwei FreeBSD-Firewalls und übertragen regelmäßig 40+ Mbit/s ohne spürbare Auslastung/Probleme.

Andere Tipps

Auf jeden Fall bauen.Ich helfe bei der Verwaltung eines ISP und wir haben zwei Firewalls gebaut.Eine davon ist für Failover und Redundanz.Wir verwenden ein Programm namens pfsense.Ich kann dieses Programm nicht weiter empfehlen.Es verfügt über eine großartige Weboberfläche zum Konfigurieren und wir betreiben es tatsächlich über eine Compact-Flash-Karte.

In meinem aktuellen Startup haben wir PFSense verwendet, um mehrere Router/Firewalls zu ersetzen, und es verfügt über einen Durchsatz, der viel teurere Router ersetzt.

Vielleicht hat Cisco deshalb Probleme?:) :)

Bezogen auf Hochverfügbarkeit:OpenBSD kann für Firewalls als Failover/HA konfiguriert werden.Sehen diese Beschreibung.Ich habe gehört, dass sie Demos gemacht haben, bei denen solche Setups genauso gut (wenn nicht sogar besser) funktionierten wie High-End-Cisco-Geräte.

In den letzten 8 Jahren haben wir ein kleines Entwicklungsnetzwerk mit etwa 20 bis 30 Maschinen unterhalten.Wir hatten einen Computer, der als Firewall fungierte.

Da wir eigentlich nie auf ernsthafte Probleme stoßen, ersetzen wir es jetzt durch eine dedizierte Router-/Firewall-Lösung (obwohl wir uns noch nicht entschieden haben, welche).Gründe dafür sind:Einfachheit (das Ziel ist die Firewall, nicht die Wartung von Linux, damit sie auch läuft), weniger Platz und weniger Stromverbrauch.

Ich weiß nicht viel über dieses Gebiet, aber vielleicht Astaro-Sicherheitsgateway?

Hallo, ich würde mich in diesem Szenario für ein dediziertes Firewall-Produkt entscheiden.Ich nutze die Checkpoint-Firewall-Produktpalette schon seit vielen Jahren und habe immer festgestellt, dass sie einfach einzurichten und zu verwalten sind und einen großartigen Support bieten.Die Verwendung von Checkpoint oder einem ihrer Konkurrenten ist eine ziemlich teure Option, insbesondere wenn Sie sie mit Open-Source-Software vergleichen, und hängt daher von Ihrem Budget ab.

Ich habe auch die PIX- und ASA-Firewalls von Cisco verwendet.Diese sind auch gut, aber meiner Meinung nach schwieriger zu handhaben

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top