Firewall: construir o comprar [cerrado]

StackOverflow https://stackoverflow.com/questions/48494

  •  09-06-2019
  •  | 
  •  

Pregunta

Tengo una granja de servidores web Linux con aproximadamente 5 servidores web, el tráfico web es de aproximadamente 20 Mbps.

Actualmente tenemos un equilibrador de carga Barracuda 340 (manténgase alejado de este dispositivo, ¡qué mierda!) que actúa como firewall.Quiero instalar un firewall dedicado y me gustaría saber qué opiniones tienen las personas sobre la construcción o la compra de un firewall dedicado.

Requisitos principales:

  • Bloquear dinámicamente el tráfico agresivo
  • Calificar dinámicamente el tráfico limitado
  • Bloquear todos los puertos excepto 80, 443
  • Limitar el puerto 22 a un conjunto de IP
  • Configuración de alta disponibilidad

Además, si optamos por la ruta de compilación, ¿cómo sabemos qué nivel de tráfico puede manejar el sistema?

¿Fue útil?

Solución

Como dicen, "hay más de una forma de despellejar a un gato":

Constrúyalo usted mismo, ejecutando algo como Linux o *BSD.El beneficio de esto es que facilita la realización de la parte dinámica de su pregunta, es solo cuestión de unos pocos scripts de Shell/python/perl/lo que sea bien ubicados.El inconveniente es que su velocidad máxima de tráfico podría no ser la que sería en un dispositivo firewall especialmente diseñado, aunque aún debería poder alcanzar velocidades de datos en el rango de 300 Mbit/s.(En este punto, comienza a tener limitaciones del bus PCI). Esto puede ser lo suficientemente alto como para que no sea un problema para usted.

Compre un "dispositivo cortafuegos" dedicado. Los posibles inconvenientes de hacer esto es que hacer la parte "dinámica" de lo que intenta lograr es algo más difícil; dependiendo del dispositivo, esto podría ser fácil (Net::Telnet/ Net::SSH me viene a la mente), o no.Si le preocupan las tasas máximas de tráfico, tendrá que comprobar cuidadosamente las especificaciones del fabricante: varios de estos dispositivos son propensos a las mismas limitaciones de tráfico que las PC "normales", en el sentido de que aún tienen problemas con el ancho de banda del bus PCI, etc. .En ese punto, también podrías preparar el tuyo propio.

Supongo que podrías leer esto más como "pros y contras" de hacer cualquiera de las dos cosas, si así lo deseas.

FWIW, ejecutamos firewalls FreeBSD duales en mi lugar de trabajo y presionamos regularmente más de 40 Mbit/s sin carga ni problemas notables.

Otros consejos

Definitivamente construir.Ayudo a administrar un ISP y tenemos dos firewalls construidos.Uno es para conmutación por error y redundancia.Usamos un programa llamado pfsentido.No podría recomendar más este programa.Tiene una excelente interfaz web para configurarlo y, de hecho, lo ejecutamos desde una tarjeta flash compacta.

En mi inicio actual, hemos utilizado PFSense para reemplazar múltiples enrutadores/firewalls, y tiene un rendimiento que reemplaza enrutadores mucho más caros.

¿Quizás es por eso que Cisco tiene problemas?:)

Relacionado con la alta disponibilidad:OpenBSD se puede configurar en forma de conmutación por error/HA para firewalls.Ver esta descripción.Escuché que han realizado demostraciones en las que dichas configuraciones se realizaron tan bien (si no mejor) que los equipos Cisco de alta gama.

Durante los últimos 8 años mantuvimos una pequeña red de desarrollo con alrededor de 20 a 30 máquinas.Teníamos una computadora dedicada a ser el firewall.

En realidad, nunca nos encontramos con problemas serios; ahora lo estamos reemplazando con una solución dedicada de enrutador/firewall (aunque aún no hemos decidido cuál).Las razones para ello son:simplicidad (el objetivo es el firewall, no mantener Linux para ejecutarlo también), menos espacio y menos consumo de energía.

No sé mucho sobre este campo, pero tal vez un Pasarela de seguridad Astaro?

Hola, elegiría un producto de firewall dedicado en este escenario.He utilizado la gama de productos de firewall Checkpoint durante muchos años y siempre me han parecido fáciles de configurar y administrar, y cuentan con un excelente soporte.Usar Checkpoint o uno de sus competidores es una opción bastante costosa, especialmente si lo comparas con el software de código abierto, por lo que depende de tu presupuesto.

También he utilizado la línea de firewalls PIX y ASA de Cisco.Estos también son buenos, pero en mi opinión son más difíciles de manejar.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top