Pare-feu - Construire ou acheter [fermé]
https://stackoverflow.com/questions/48494
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai une ferme de serveurs Web Linux avec environ 5 serveurs Web, le trafic Web est d'environ 20 Mbps.
Nous avons actuellement un Barracuda 340 Load Balancer (tenez-vous à l'écart de cet appareil - c'est de la merde !) qui fait office de pare-feu.Je souhaite installer un pare-feu dédié et j'aimerais connaître l'opinion des gens sur la construction ou l'achat d'un pare-feu dédié.
Principales exigences :
- Bloquer dynamiquement le trafic rouge
- Limiter dynamiquement le trafic
- Bloquer tous les ports sauf 80, 443
- Limiter le port 22 à un ensemble d'adresses IP
- Configuration haute disponibilité
De plus, si nous optons pour la route de construction, comment savoir quel niveau de trafic le système peut gérer.
La solution
Comme on dit - "il existe plusieurs façons d'écorcher un chat":
Construisez-le vous-même, en exécutant quelque chose comme Linux ou *BSD.L'avantage de ceci est que cela facilite la réalisation de la partie dynamique de votre question, il s'agit simplement de quelques scripts shell/python/perl/quel que soit bien placés.L'inconvénient est que votre débit de trafic plafond peut ne pas être celui d'un pare-feu spécialement conçu, même si vous devriez toujours pouvoir atteindre des débits de données de l'ordre de 300 Mbit/s.(Vous commencez à atteindre les limitations du bus PCI à ce stade.) Cela peut être suffisamment élevé pour que cela ne soit pas un problème pour vous.
Achetez un "pare-feu" dédié - Les inconvénients possibles de cette opération sont que faire la partie "dynamique" de ce que vous essayez d'accomplir est un peu plus difficile - selon le périphérique, cela pourrait être facile (Net::Telnet/ Net::SSH me vient à l'esprit), ou pas.Si vous êtes préoccupé par les taux de trafic de pointe, vous devrez vérifier attentivement les spécifications du fabricant : plusieurs de ces appareils sont sujets aux mêmes limitations de trafic que les PC « classiques », dans le sens où ils se heurtent toujours au problème de bande passante du bus PCI, etc. .À ce stade, autant rouler le vôtre.
Je suppose que vous pourriez lire cela davantage comme un "avantage et un inconvénient" de faire l'un ou l'autre, si vous le souhaitez.
FWIW, nous utilisons deux pare-feu FreeBSD sur mon lieu de travail et utilisons régulièrement 40+Mbit/s sans charge/problèmes notables.
Autres conseils
Certainement construire.J'aide à gérer un FAI et nous avons construit deux pare-feu.L'un concerne le basculement et la redondance.Nous utilisons un programme appelé pfsens.Je ne pourrais pas recommander davantage ce programme.Il dispose d'une excellente interface Web pour le configurer et nous l'exécutons à partir d'une carte Compact Flash.
dans ma startup actuelle, nous avons utilisé PFSense pour remplacer plusieurs routeurs/pare-feu, et son débit remplace des routeurs beaucoup plus chers.
C'est peut-être pour cela que Cisco a des problèmes ?:)
Concernant la haute disponibilité :OpenBSD peut être configuré de manière failover/HA pour les pare-feu.Voir cette description.J'ai entendu dire qu'ils avaient fait des démonstrations dans lesquelles de telles configurations étaient aussi efficaces (sinon meilleures) que les équipements Cisco haut de gamme.
Au cours des 8 dernières années, nous avons maintenu un petit réseau de développement avec environ 20 à 30 machines.Nous avions un ordinateur dédié pour servir de pare-feu.
En fait, nous n'avons jamais rencontré de problèmes sérieux, nous le remplaçons maintenant par une solution dédiée de routeur/pare-feu (même si nous n'avons pas encore décidé laquelle).Les raisons en sont les suivantes :simplicité (le but est le pare-feu, pas de maintenir Linux pour le faire fonctionner également), moins d'espace et moins de consommation d'énergie.
Je ne connais pas grand-chose à ce domaine, mais peut-être un Passerelle de sécurité Astaro?
Salut, j'opterais pour un produit de pare-feu dédié dans ce scénario.J'utilise la gamme de produits de pare-feu Checkpoint depuis de nombreuses années et je les ai toujours trouvés faciles à installer et à gérer et ils bénéficient d'un excellent support.Utiliser Checkpoint ou l'un de ses concurrents est une option assez coûteuse, surtout si vous le comparez à un logiciel open source, cela dépend donc de votre budget.
J'ai également utilisé la gamme de pare-feu PIX et ASA de Cisco.Ceux-ci sont également bons, mais à mon avis, ils sont plus difficiles à gérer
