5


1

私は約5台のWebサーバーを持つLinux Webサーバーファームを持っています、Webトラフィックは約20Mbpsです。

私たちは現在、ファイアウォールとして機能しているBarracuda 340ロードバランサー(このデバイスから遠ざけてください - がらくたの部分!)を持っています。 専用のファイアウォールを設置したいのですが、専用のファイアウォールを購入するのではなく、人々の意見がどのように構築されているのかを知りたいです。

主な要件

  • ルージュトラフィックを動的にブロックする

  • 動的レート制限トラフィック

  • 80、443を除くすべてのポートをブロック

  • ポート22を一連のIPに制限する

  • 高可用性セットアップ

また、ビルドルートを選択した場合、システムがどのレベルのトラフィックを処理できるかをどうやって知ることができますか。

7 Answer


9


彼らが言うように - 「猫に皮をむく方法は複数あります」:

自分でビルドして、Linuxや* BSDのようなものを実行してください。 これの利点は、質問の動的な部分を簡単に実行できることです。それは、いくつかの適切に配置されたshell / python / perl /その他のスクリプトの問題です。 欠点は、上限のトラフィックレートが専用のファイアウォールデバイスの場合とは異なる可能性があることです。ただし、300Mビット/秒の範囲のデータレートを達成できるはずです。 (あなたはこの時点でPCIバスの制限を打つようになります)これはそれがあなたにとって問題にならないところに十分に高いかもしれません。

専用の「ファイアウォールデバイス」を購入する - これを行うことで起こり得る欠点は、達成しようとしていることの「動的」な部分を実行することがやや難しいことです。デバイスによっては、これは簡単かもしれません(Net

Telnet / Net :: SSHは頭に浮かぶ)、またはそうではありません。 ピークトラフィックレートが気になる場合は、製造元の仕様を注意深く確認する必要があります。これらのデバイスのいくつかは、「通常の」PCと同じトラフィック制限を受ける傾向があります。 。 その時点で、あなたはあなた自身のものを転がすかもしれません。

あなたが望むならば、私はあなたがどちらかをすることの「長所と短所」としてこれをもっと読むことができると思います。

確かに、私達は私の職場で二重のFreeBSDファイヤーウォールを走らせており、そして目立った負荷や問題なしに定期的に40 Mbit /秒をプッシュします。


4


間違いなく構築します。 私はISPの管理を手伝っています、そして我々は2つのファイアウォールを構築しています。 1つはフェイルオーバーと冗長性です。 私たちは pfsenseというプログラムを使います。 私はこのプログラムをもっとお勧めできませんでした。 それはそれを設定するための素晴らしいウェブインターフェースを持っています、そして我々は実際にそれをコンパクトフラッシュカードから実行します。


3


私の現在のスタートアップでは、PFSenseを使用して複数のルーター/ファイアウォールを置き換えていましたが、それははるかに高価なルーターを置き換えるスループットを持っています。

シスコが問題を抱えているのは、そのためでしょうか。 :)


2


高可用性に関連して:OpenBSDは、ファイアウォールに対してフェイルオーバー/ HAの方法で設定することができます。 この説明を参照してください。 私は彼らがそのようなセットアップがハイエンドのシスコ製品として同様に(より良くないにしても)したところでデモをしたと聞いた。


1


過去8年間で、私たちは約20から30台のマシンで小規模な開発ネットワークを維持していました。 私たちは1つのコンピューターをファイアウォール専用にしました。

実際、私たちは今それを専用のルーター/ファイアウォールソリューションに取り替えるという深刻な問題に遭遇することは決してありません(まだ決まっていませんが)。 その理由は次のとおりです。単純さ(目標はファイアウォールであり、それを実行するためのLinuxを維持することではありません)、スペースが少なく、電力消費が少ないことです。


0


この分野についてあまり知りませんが、おそらく Astaroセキュリティゲートウェイ


0


こんにちは私はこのシナリオで専用のファイアウォール製品に行きます。 私は長年にわたってCheckpointファイアウォール製品を使用してきましたが、セットアップや管理が容易であることに常に気付いています。 チェックポイントや競合他社のいずれかを使用することは、特にそれをオープンソースソフトウェアと比較している場合はかなり費用のかかるオプションであるため、予算によって異なります。

シスコのPIXとASAのファイアウォール製品も使用しました。 これらも良いですが、私の意見では管理がより困難です