Firewall - Construa ou Compre [fechado]

StackOverflow https://stackoverflow.com/questions/48494

  •  09-06-2019
  •  | 
  •  

Pergunta

Eu tenho um farm de servidores web Linux com cerca de 5 servidores web, o tráfego da web é de cerca de 20 Mbps.

Atualmente temos um balanceador de carga Barracuda 340 (fique longe deste dispositivo - uma porcaria!) que funciona como um firewall.Quero instalar um firewall dedicado e gostaria de saber quais são as opiniões das pessoas sobre construir ou comprar um firewall dedicado.

Requisitos principais:

  • Bloqueie dinamicamente o tráfego vermelho
  • Limite de taxa de tráfego dinamicamente
  • Bloqueie todas as portas exceto 80, 443
  • Limite a porta 22 a um conjunto de IPs
  • Configuração de alta disponibilidade

Além disso, se seguirmos a rota de construção, como saberemos qual nível de tráfego o sistema pode suportar.

Foi útil?

Solução

Como se costuma dizer - “há mais de uma maneira de esfolar um gato”:

Construa você mesmo, rodando algo como Linux ou *BSD.O benefício disso é que facilita a parte dinâmica da sua pergunta, é apenas uma questão de alguns scripts shell/python/perl/qualquer que seja bem posicionados.A desvantagem é que sua taxa máxima de tráfego pode não ser a que seria em um dispositivo de firewall especialmente desenvolvido, embora você ainda deva ser capaz de atingir taxas de dados na faixa de 300 Mbit/s.(Você começa a atingir as limitações do barramento PCI neste ponto) Isso pode ser alto o suficiente para não ser um problema para você.

Compre um "dispositivo de firewall" dedicado - As possíveis desvantagens de fazer isso é que fazer a parte "dinâmica" do que você está tentando realizar é um pouco mais difícil - dependendo do dispositivo, isso pode ser fácil (Net::Telnet/ Net::SSH vem à mente), ou não.Se você está preocupado com as taxas de tráfego de pico, você terá que verificar cuidadosamente as especificações do fabricante - vários desses dispositivos são propensos às mesmas limitações de tráfego que os PCs "normais", pois ainda enfrentam problemas de largura de banda do barramento PCI, etc. .Nesse ponto, você também pode criar o seu próprio.

Eu acho que você poderia ler isso mais como um "prós e contras" de fazer qualquer uma das duas coisas, se quiser.

FWIW, executamos firewalls FreeBSD duplos em meu local de trabalho e enviamos regularmente 40+ Mbit/s sem carga/problemas perceptíveis.

Outras dicas

Definitivamente construir.Ajudo a gerenciar um ISP e temos dois firewalls construídos.Uma é para failover e redundância.Usamos um programa chamado pfsense.Eu não poderia recomendar mais este programa.Ele tem uma ótima interface web para configurá-lo e nós o executamos em um cartão compact flash.

na minha inicialização atual, usamos o PFSense para substituir vários roteadores/firewalls, e ele tem uma taxa de transferência que substitui roteadores muito mais caros.

Talvez seja por isso que a Cisco está tendo problemas?:)

Relacionado à alta disponibilidade:O OpenBSD pode ser configurado de forma failover/HA para firewalls.Ver esta descrição.Ouvi dizer que eles fizeram demonstrações em que essas configurações foram tão bem (se não melhores) quanto equipamentos Cisco de última geração.

Nos últimos 8 anos mantivemos uma pequena rede de desenvolvimento com cerca de 20 a 30 máquinas.Tínhamos um computador dedicado para ser o firewall.

Na verdade, nunca tivemos problemas sérios, agora estamos substituindo-o por uma solução dedicada de roteador/firewall (embora ainda não tenhamos decidido qual).As razões para isso são:simplicidade (o objetivo é o firewall, não manter o Linux para rodá-lo também), menos espaço e menor consumo de energia.

Não sei muito sobre este campo, mas talvez um Gateway de segurança Astaro?

Olá, eu optaria por um produto de firewall dedicado neste cenário.Eu uso a linha de produtos de firewall Checkpoint há muitos anos e sempre os achei fáceis de configurar e gerenciar e têm ótimo suporte.Usar o Checkpoint ou um de seus concorrentes é uma opção bastante cara, especialmente se você estiver comparando-o a um software de código aberto, portanto depende do seu orçamento.

Também usei a linha de firewalls PIX e ASA da Cisco.Estes também são bons, mas na minha opinião são mais difíceis de gerir

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top