我有一个 Linux 网络服务器场,大约有 5 个网络服务器,网络流量约为 20Mbps。
我们目前有一个充当防火墙的梭子鱼 340 负载均衡器(远离此设备 - 废话!)。我想安装一个专用防火墙,我想知道人们对构建与购买专用防火墙的看法。
主要要求:
- 动态阻止恶意流量
- 动态速率限制流量
- 屏蔽除 80、443 以外的所有端口
- 将端口 22 限制为一组 IP
- 高可用性设置
此外,如果我们选择构建路线,我们如何知道系统可以处理什么级别的流量。
问问题
1295 次
7 回答
10
正如他们所说——“给猫剥皮的方法不止一种”:
自己构建它,运行 Linux 或 *BSD 之类的东西。这样做的好处是,它可以很容易地解决问题的动态部分,这只是一些放置良好的 shell/python/perl/whatever 脚本的问题。缺点是您的上限流量速率可能与专用防火墙设备上的不同,尽管您仍然应该能够实现 300Mbit/秒范围内的数据速率。(此时您开始遇到 PCI 总线限制)这可能足够高,对您来说不会成为问题。
购买专用的“防火墙设备” - 这样做的可能缺点是,做你想要完成的“动态”部分有点困难 - 取决于设备,这可能很容易(Net::Telnet/ Net::SSH 浮现在脑海中),或者没有。如果您担心峰值流量速率,则必须仔细检查制造商的规格 - 其中一些设备容易受到与“常规”PC 相同的流量限制,因为它们仍然会遇到 PCI 总线带宽问题等. 那个时候,你还不如自己滚。
如果您愿意,我想您可以将其更多地阅读为“赞成和反对”。
FWIW,我们在我的工作地点运行双 FreeBSD 防火墙,并定期推动 40+Mbit/秒,没有明显的负载/问题。
于 2008-09-07T15:14:55.577 回答
4
肯定建。我帮助管理一个 ISP,我们建立了两个防火墙。一种是用于故障转移和冗余。我们使用一个名为pfsense的程序。我不能再推荐这个程序了。它有一个很棒的 Web 界面来配置它,我们实际上是在一张紧凑型闪存卡上运行它。
于 2008-09-07T16:45:12.613 回答
3
在我目前的启动中,我们使用 PFSense 替换了多个路由器/防火墙,它的吞吐量可以替换更昂贵的路由器。
也许这就是思科遇到麻烦的原因?:)
于 2011-11-19T03:05:35.173 回答
2
与高可用性相关:OpenBSD 可以为防火墙配置故障转移/HA 方式。请参阅此说明。我听说他们已经做过演示,这些设置与高端 Cisco 设备一样好(如果不是更好的话)。
于 2008-09-07T16:34:12.127 回答
1
在过去的 8 年中,我们维护了一个包含大约 20 到 30 台机器的小型开发网络。我们有一台专门用作防火墙的计算机。
实际上,我们从来没有遇到过严重的问题,我们现在用专用的路由器/防火墙解决方案来代替它(尽管我们还没有决定哪个)。这样做的原因是:简单(目标是防火墙,而不是维护 linux 来运行它)、更少的空间和更少的功耗。
于 2008-09-07T15:15:44.000 回答
0
不太了解这个领域,但也许是Astaro 安全网关?
于 2008-09-07T15:02:22.097 回答
0
嗨,在这种情况下,我会选择专用的防火墙产品。我已经使用 Checkpoint 防火墙系列产品多年,我一直发现它们易于设置和管理,并且得到了很好的支持。使用 Checkpoint 或他们的竞争对手之一是一个相当昂贵的选择,尤其是当您将其与开源软件进行比较时,因此这取决于您的预算。
我还使用了 Cisco 的 PIX 和 ASA 防火墙系列。这些也很好,但在我看来更难管理
于 2009-04-20T19:03:14.570 回答