방화벽을 구성하고 구매[마감]

Question

나는 리눅스 웹 서버 팜에 대해 5 웹 서버,웹 트래픽에 대한 20mbps 의.

우리는 현재 바라쿠다 340Load Balancer(에서 계속 이 장치-요!) 로 작동하는 방화벽입니다.내에서 두고 싶 전용 방화벽과 나는 알고 싶어 어떤 사람들은 의견을 건물에 비해 사용됩니다.

주요 요구 사항:

• 동적으로 블록 rouge 교통
• 동적으로 평가한 교통
• 블록은 제외한 모든 포트 80,443
• 한 포트는 22 세트의 IPs
• 높은 가용성 설치

또한다면 우리는 갈에 대한 구축 경로,어떻게 우리가 무엇을 알고 수준의 트래픽 시스템을 취할 수 있습니다.

Answer 1

로-그들이 말하는 것"이상이있는 방법 중 하나로 피부에 고양이":

를 구축,그것을 자신을 실행 같은 것 또는 Linux*BSD.의 혜택 이 그것은 쉽게 수행하는 동적인 부분의 질문에 그것은 단지 몇 위치한 쉘/python/perl/어떤 스크립트가 있습니다.단점은 당신의 천장 트래픽을 평가할 수 있습 그것은 되지 않을 것에 목적을 내장된 방화벽 장치,하지만 당신은 여전히 달성할 수 있는 데이터 요금에 300Mbit/초 범위에 있습니다.(당신이 대중화되기 시작 PCI 버스는 제한이 이 시점에서)이 충분히 높은 곳에 그것이 문제가 되지 않습니다.

사이트"방화벽 장치"가능한 결점의 이렇게 하는 것을하고"동의"부분이 무엇을 달성하려는 것은 약간 더 어려운 장치에 따라,이 될 수 있는지 쉽게(Net::Telnet/Net::SSH 마음에 와서),또는 아닙니다.에 대해 걱정하는 경우 피크 트래픽의 요금을,당신은 신중하게 확인하는 제조업체의 사양에 이러한 장치는 경향이 같은 트래픽 제한으로"일반"PC,에서 그들은 여전히 PCI 버스의 대역폭 문제,등등.그 시점에서,당신이뿐만 아니라 자신의 롤.

내 생각을 읽을 수 있는 이상적으로"프로 호텔"의 하나,원하는 경우.

FWIW,우리는 실행중 FreeBSD 방화벽이 내 고용의 장소,그리고 정기적으로 밀 40+Mbit/sec 으로 눈에 띄는 짐/문제입니다.

Answer 2

확실히 구축.나는 관리하는 데 도움이 ISP 고 우리는 두 가지 방화벽이 내장합니다.하나는 실패하고 중복합니다.우리가 사용하라는 프로그램 pfsense.수 프로그램 더 있습니다.그것은 좋은 웹 인터페이스 구성 그리고 우리는 실제로 실행프 컴팩트 플래시 카드입니다.

Answer 3

에 현재의 시작,우리가 사용 PFSense 대체하는 여러 라우터/방화벽,그것은 처리량을 대체하는 훨씬 더 비싸 라우터입니다.

어쩌면 그것이 왜 시스코는 데 문제가?:)

Answer 4

관련된 고가용성:OpenBSD 할 수 있도록 구성에 장애 조치/HA 방법에 대한 방화벽에서도 그대로 적용됩니다.보 이 설명.내가 들었는데요 그들이 했는 데모는 이러한 설정을 할뿐만 아니라(더 나은 경우)으로 high-end Cisco 기어가 있습니다.

Answer 5

지난 8 년 동안 우리는 유지 작은 개발 네트워크와 함께 약 20~30 기계입니다.우리는 한 컴퓨터에 전념하고 있습니다.

실제로,우리는 절대로 실행하는 심각한 문제가 이제 우리는 그것을 대체 전용 router/방화벽 솔루션(지만 우리가 하지 않은 아직 결정되는).그 이유로는:단순(목표는 방화벽을 유지하기 위해 리눅스를 위한 실행뿐만 아니라 그것),적은 공간과 더 적은 전력 소비가 있습니다.

Answer 6

에 대해 많이 알지 못한 이 분야,하지만 어쩌면 Astaro 보안 게이트웨이?

Answer 7

안녕하세요 저는 것이 전용 방화벽에서 제품이 시나리오이다.내가 사용되는 체크포인트 방화벽한 범위의 제품에 대한 몇 년 동안 나는 항상 그들을 발견하기 쉽게 설정하고 관리하고 그들은 훌륭한 지원을 제공합니다.를 사용하여 체크포인트 또는 그들의 경쟁이 상당히 비싼 옵션,특히 경우에 당신은 그것을 비교하는 오픈 소스 소프트웨어,그래서 그것은 당신의 예산에 따라 달라집니다.

나 또한 사용되는 시스코의 라인의 픽스 및 ASA 방화벽에서도 그대로 적용됩니다.이들은 또한 좋은,하지만 내 생각하기가 더 어렵 관리