Firewall - Costruire o Acquistare la [chiuso]
https://stackoverflow.com/questions/48494
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho un Linux web server farm con circa 5 server web, il traffico web è di circa 20Mbps.
Attualmente abbiamo un Barracuda 340 Bilanciamento del Carico (tenere lontano da questo dispositivo - pezzo di merda!) che agisce come un firewall.Voglio mettere un firewall dedicato e mi piacerebbe sapere ciò che i popoli opinione sull'edificio rispetto all'acquisto di un firewall.
Requisiti principali:
- Blocco dinamico rouge traffico
- Dinamicamente la velocità limite di traffico
- Bloccare tutte le porte tranne la 80, 443
- Limitare la porta 22 per un set di indirizzi ip
- Configurazione ad alta disponibilità
Anche se andiamo per costruire il percorso, come facciamo a sapere qual è il livello di traffico il sistema può gestire.
Soluzione
- Come si dice - "ci sono più di un modo per la pelle di un gatto":
Costruire da soli, l'esecuzione di qualcosa di simile a Linux o *BSD.Il vantaggio di questo è che è facile fare la parte dinamica della domanda, è solo una questione di pochi e ben posizionati shell/python/perl/quello script.Lo svantaggio è che il soffitto tasso di traffico potrebbe non essere quello che si sarebbe costruito appositamente dispositivo firewall, anche se si dovrebbe comunque essere in grado di raggiungere velocità di trasferimento dati in i 300Mbit/sec.(Si inizia a colpire bus PCI limitazioni a questo punto) Questo può essere abbastanza alto per cui non può essere un problema per voi.
Acquistare un dedicato "dispositivo firewall" - Possibili inconvenienti di fare questo, è che facendo la "dinamica" parte di ciò che si sta cercando di realizzare è un po ' più difficile, a seconda del dispositivo, potrebbe essere facile (Net::Telnet/Net::SSH vengono in mente), o non.Se siete preoccupati per il traffico di picco tariffe, si dovrà controllare attentamente le specifiche del produttore - molti di questi dispositivi sono soggetti alle stesse limitazioni del traffico come "normale" del PC, nel senso che sono ancora in corsa in bus PCI problema di larghezza di banda, etc.A quel punto, si potrebbe anche rotolare il vostro proprio.
Credo che si potrebbe leggere questo più come un "pro e i contro" di fare, se lo si desidera.
FWIW, siamo in dual FreeBSD firewall al mio posto di lavoro, e spingono regolarmente 40+Mbit/sec con notevole carico/problemi.
Altri suggerimenti
Sicuramente costruire.Mi aiuti a gestire ISP e abbiamo due firewall integrato.Uno è per il failover e per la ridondanza.Noi usiamo un programma chiamato pfsense.Io potrei consigliare questo programma di più.Ha una grande interfaccia web per la configurazione e si esegue fuori di una scheda compact flash.
nella mia corrente di avvio, abbiamo utilizzato PFSense per sostituire più, router e firewall, e ha un throughput che sostituisce molto router più costosi.
Forse è per questo Cisco è in difficoltà?:)
Legati all'alta disponibilità:OpenBSD può essere configurato in un failover / HA modo di firewall.Vedere questa descrizione.Ho sentito che hanno fatto il demo in cui tali configurazioni fatto bene (se non meglio) come high-end Cisco marcia.
Negli ultimi 8 anni abbiamo mantenuto una piccola rete di sviluppo con circa 20 a 30 macchine.Abbiamo avuto un computer dedicato per essere il firewall.
In realtà, non abbiamo mai incorrere in gravi problemi che ci sono ora la sua sostituzione con un apposito router/firewall soluzione (anche se non abbiamo ancora deciso quale).Ragioni che sono:semplicità (l'obiettivo è il firewall, di non mantenere il linux per l'esecuzione di esso pure), meno spazio e meno consumo di energia.
Non so molto su questo campo, ma forse un Astaro security gateway?
Ciao vorrei andare per un firewall dedicato prodotto in questo scenario.Ho usato il Checkpoint firewall gamma di prodotti per molti anni e ho sempre trovato loro di essere facile da configurare e gestire, e hanno un grande sostegno.Utilizzando il Checkpoint o uno dei loro concorrenti è abbastanza costoso, soprattutto se siete in confronto al software open source, quindi dipende dal tuo budget.
Ho usato anche io Cisco linea di PIX, ASA e firewall.Questi sono anche buoni, ma a mio parere sono più difficili da gestire
