Брандмауэр – построить или купить [закрыто]

StackOverflow https://stackoverflow.com/questions/48494

  •  09-06-2019
  •  | 
  •  

Вопрос

У меня есть ферма веб-серверов Linux, состоящая примерно из 5 веб-серверов, веб-трафик составляет около 20 Мбит/с.

В настоящее время у нас есть балансировщик нагрузки Barracuda 340 (держитесь подальше от этого устройства — чушь!), который действует как межсетевой экран.Я хочу установить выделенный брандмауэр и хотел бы знать, что думают люди о его создании и покупке выделенного брандмауэра.

Основные требования:

  • Динамически блокировать трафик румян
  • Динамическое ограничение трафика
  • Заблокировать все порты кроме 80, 443
  • Ограничить порт 22 набором IP-адресов.
  • Настройка высокой доступности

Кроме того, если мы выберем маршрут сборки, как мы узнаем, какой уровень трафика может обрабатывать система?

Это было полезно?

Решение

Как говорится - "есть не один способ содрать шкуру с кошки":

Создайте его самостоятельно, используя что-нибудь вроде Linux или *BSD.Преимущество этого в том, что это позволяет легко выполнить динамическую часть вашего вопроса, это всего лишь вопрос нескольких удачно расположенных сценариев оболочки/python/perl/что угодно.Недостаток заключается в том, что ваша максимальная скорость трафика может быть не такой, как на специально созданном брандмауэре, хотя вы все равно сможете достичь скорости передачи данных в диапазоне 300 Мбит/с.(На этом этапе вы начинаете сталкиваться с ограничениями шины PCI.) Этого значения может быть достаточно много, и это не будет для вас проблемой.

Купите выделенное «устройство брандмауэра». Возможные недостатки этого решения заключаются в том, что выполнение «динамической» части того, что вы пытаетесь выполнить, несколько сложнее — в зависимости от устройства это может быть легко (Net::Telnet/ Net::SSH приходит на ум), или нет.Если вас беспокоит пиковая скорость трафика, вам придется внимательно проверить спецификации производителя — некоторые из этих устройств подвержены тем же ограничениям трафика, что и «обычные» ПК, поскольку они все еще сталкиваются с проблемой пропускной способности шины PCI и т. д. .В этот момент вы также можете свернуть свой собственный.

Я думаю, если хотите, вы могли бы прочитать это больше как «за и против» того и другого.

Кстати, у меня на работе мы используем два брандмауэра FreeBSD и регулярно используем скорость 40+ Мбит/сек без заметной нагрузки/проблем.

Другие советы

Обязательно построю.Я помогаю управлять интернет-провайдером, и у нас построено два брандмауэра.Один из них предназначен для аварийного переключения и резервирования.Мы используем программу под названием pfsense.Я не могу больше рекомендовать эту программу.У него отличный веб-интерфейс для настройки, и мы фактически запускаем его с компактной флэш-карты.

в моем нынешнем стартапе мы использовали PFSense для замены нескольких маршрутизаторов/брандмауэров, и его пропускная способность заменяет гораздо более дорогие маршрутизаторы.

Может быть, именно поэтому у Cisco проблемы?:)

Связано с высокой доступностью:OpenBSD можно настроить для межсетевого экрана с возможностью аварийного переключения/высокого уровня доступности.Видеть это описание.Я слышал, что они проводили демонстрации, в которых такие настройки работали так же (если не лучше), как и высококлассное оборудование Cisco.

За последние 8 лет мы поддерживали небольшую сеть разработчиков, насчитывающую от 20 до 30 машин.У нас был один компьютер, предназначенный для работы в качестве брандмауэра.

На самом деле, у нас никогда не возникало серьезных проблем, и теперь мы заменяем их специальным решением для маршрутизатора/брандмауэра (хотя мы еще не решили, какими именно).Причины тому:простота (цель — межсетевой экран, а не поддержка Linux для его запуска), меньше места и меньше энергопотребления.

Не знаю многого об этой области, но, возможно, Шлюз безопасности Астаро?

Привет, в этом случае я бы выбрал специальный брандмауэр.Я использую линейку межсетевых экранов Checkpoint в течение многих лет и всегда находил их простыми в настройке и управлении, а также хорошей поддержкой.Использование Checkpoint или одного из их конкурентов — довольно дорогой вариант, особенно если вы сравниваете его с программным обеспечением с открытым исходным кодом, поэтому это зависит от вашего бюджета.

Я также использовал линейку межсетевых экранов PIX и ASA от Cisco.Они тоже хороши, но, на мой взгляд, ими сложнее управлять.

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top