約 5 つの Web サーバーを備えた Linux Web サーバー ファームがあり、Web トラフィックは約 20Mbps です。
現在、ファイアウォールとして機能している Barracuda 340 Load Balancer (このデバイスから遠ざけてください - がらくたの一部です!) があります。専用ファイアウォールを導入したいのですが、専用ファイアウォールの構築と購入について、人々の意見を知りたいです。
主な要件:
また、ビルド ルートを使用する場合、システムが処理できるトラフィックのレベルをどのように知るのでしょうか。
彼らが言うように - 「猫の皮を剥ぐには複数の方法があります」:
Linux や *BSD などを実行して、自分でビルドします。これの利点は、質問の動的な部分を簡単に実行できることです。適切に配置されたいくつかのシェル/python/perl/スクリプトの問題です。欠点は、300Mbit/秒の範囲のデータ レートを達成できるはずですが、上限のトラフィック レートが専用のファイアウォール デバイスの場合と異なる場合があることです。(この時点で PCI バスの制限に達し始めます) これは、問題にならない程度に十分高い場合があります。
専用の「ファイアウォール デバイス」を購入する - これを行うことの考えられる欠点は、達成しようとしているものの「動的」部分を実行するのがやや難しいことです - デバイスによっては、これは簡単な場合があります (Net::Telnet/ Net::SSH が思い浮かびます)、またはそうではありません。ピーク トラフィック レートが心配な場合は、製造元の仕様を注意深く確認する必要があります。これらのデバイスのいくつかは、「通常の」PC と同じトラフィック制限を受ける傾向があり、PCI バスの帯域幅の問題が発生するなどの問題があります。 . その時点で、自分でロールすることもできます。
必要に応じて、どちらかを行うことの「賛否両論」としてこれをもっと読むことができると思います。
FWIW、私は私の職場でデュアル FreeBSD ファイアウォールを実行しており、目立った負荷や問題なしで定期的に 40+Mbit/秒をプッシュしています。
必ずビルドします。私は ISP の管理を手伝っており、2 つのファイアウォールを構築しています。1 つはフェイルオーバーと冗長性のためのものです。pfsenseというプログラムを使用します。このプログラムをこれ以上お勧めできませんでした。それを構成するための優れた Web インターフェイスがあり、実際にはコンパクト フラッシュ カードから実行します。
私の現在のスタートアップでは、PFSenseを使用して複数のルーター/ファイアウォールを置き換えました。スループットははるかに高価なルーターを置き換えます。
たぶんそれがシスコが問題を抱えている理由ですか?:)
高可用性に関連: OpenBSD は、ファイアウォールのフェイルオーバー / HA 方式で構成できます。この説明を参照してください。そのようなセットアップがハイエンドの Cisco 機器と同じように (それ以上ではないにしても) 行われるデモを行ったと聞いています。
過去 8 年間、私たちは約 20 ~ 30 台のマシンからなる小規模な開発ネットワークを維持してきました。ファイアウォール専用のコンピューターが 1 台ありました。
実際、深刻な問題に遭遇したことは一度もありませんが、現在は専用のルーター/ファイアウォール ソリューションに置き換えています (どちらにするかはまだ決めていません)。その理由は次のとおりです。単純さ (目標はファイアウォールであり、Linux を実行するために維持することではありません)、スペースの削減、消費電力の削減です。
この分野についてはよくわかりませんが、おそらくAstaro セキュリティ ゲートウェイですか?
こんにちは、このシナリオでは専用のファイアウォール製品を選びます。私は Checkpoint のファイアウォール製品群を長年使用してきましたが、セットアップと管理が簡単で、サポートも充実しているといつも思っています。Checkpoint またはその競合他社の 1 つを使用することは、特にオープン ソース ソフトウェアと比較する場合、かなり高価なオプションであるため、予算によって異なります。
また、Cisco の一連の PIX および ASA ファイアウォールも使用しました。これらも良いですが、私の意見では、管理がより困難です