Брандмауэр – построить или купить [закрыто]
-
09-06-2019 - |
Вопрос
У меня есть ферма веб-серверов Linux, состоящая примерно из 5 веб-серверов, веб-трафик составляет около 20 Мбит/с.
В настоящее время у нас есть балансировщик нагрузки Barracuda 340 (держитесь подальше от этого устройства — чушь!), который действует как межсетевой экран.Я хочу установить выделенный брандмауэр и хотел бы знать, что думают люди о его создании и покупке выделенного брандмауэра.
Основные требования:
- Динамически блокировать трафик румян
- Динамическое ограничение трафика
- Заблокировать все порты кроме 80, 443
- Ограничить порт 22 набором IP-адресов.
- Настройка высокой доступности
Кроме того, если мы выберем маршрут сборки, как мы узнаем, какой уровень трафика может обрабатывать система?
Решение
Как говорится - "есть не один способ содрать шкуру с кошки":
Создайте его самостоятельно, используя что-нибудь вроде Linux или *BSD.Преимущество этого в том, что это позволяет легко выполнить динамическую часть вашего вопроса, это всего лишь вопрос нескольких удачно расположенных сценариев оболочки/python/perl/что угодно.Недостаток заключается в том, что ваша максимальная скорость трафика может быть не такой, как на специально созданном брандмауэре, хотя вы все равно сможете достичь скорости передачи данных в диапазоне 300 Мбит/с.(На этом этапе вы начинаете сталкиваться с ограничениями шины PCI.) Этого значения может быть достаточно много, и это не будет для вас проблемой.
Купите выделенное «устройство брандмауэра». Возможные недостатки этого решения заключаются в том, что выполнение «динамической» части того, что вы пытаетесь выполнить, несколько сложнее — в зависимости от устройства это может быть легко (Net::Telnet/ Net::SSH приходит на ум), или нет.Если вас беспокоит пиковая скорость трафика, вам придется внимательно проверить спецификации производителя — некоторые из этих устройств подвержены тем же ограничениям трафика, что и «обычные» ПК, поскольку они все еще сталкиваются с проблемой пропускной способности шины PCI и т. д. .В этот момент вы также можете свернуть свой собственный.
Я думаю, если хотите, вы могли бы прочитать это больше как «за и против» того и другого.
Кстати, у меня на работе мы используем два брандмауэра FreeBSD и регулярно используем скорость 40+ Мбит/сек без заметной нагрузки/проблем.
Другие советы
Обязательно построю.Я помогаю управлять интернет-провайдером, и у нас построено два брандмауэра.Один из них предназначен для аварийного переключения и резервирования.Мы используем программу под названием pfsense.Я не могу больше рекомендовать эту программу.У него отличный веб-интерфейс для настройки, и мы фактически запускаем его с компактной флэш-карты.
в моем нынешнем стартапе мы использовали PFSense для замены нескольких маршрутизаторов/брандмауэров, и его пропускная способность заменяет гораздо более дорогие маршрутизаторы.
Может быть, именно поэтому у Cisco проблемы?:)
Связано с высокой доступностью:OpenBSD можно настроить для межсетевого экрана с возможностью аварийного переключения/высокого уровня доступности.Видеть это описание.Я слышал, что они проводили демонстрации, в которых такие настройки работали так же (если не лучше), как и высококлассное оборудование Cisco.
За последние 8 лет мы поддерживали небольшую сеть разработчиков, насчитывающую от 20 до 30 машин.У нас был один компьютер, предназначенный для работы в качестве брандмауэра.
На самом деле, у нас никогда не возникало серьезных проблем, и теперь мы заменяем их специальным решением для маршрутизатора/брандмауэра (хотя мы еще не решили, какими именно).Причины тому:простота (цель — межсетевой экран, а не поддержка Linux для его запуска), меньше места и меньше энергопотребления.
Не знаю многого об этой области, но, возможно, Шлюз безопасности Астаро?
Привет, в этом случае я бы выбрал специальный брандмауэр.Я использую линейку межсетевых экранов Checkpoint в течение многих лет и всегда находил их простыми в настройке и управлении, а также хорошей поддержкой.Использование Checkpoint или одного из их конкурентов — довольно дорогой вариант, особенно если вы сравниваете его с программным обеспечением с открытым исходным кодом, поэтому это зависит от вашего бюджета.
Я также использовал линейку межсетевых экранов PIX и ASA от Cisco.Они тоже хороши, но, на мой взгляд, ими сложнее управлять.