防火墙 - 构建或购买

时间:2008-09-07 14:58:17

标签: firewall

我有一个Linux Web服务器场,大约有5个Web服务器,Web流量大约是20Mbps。

我们目前有一台Barracuda 340 Load Balancer(远离这个设备 - 一块废话!),它充当防火墙。我想要一个专门的防火墙,我想知道人们对建设和购买专用防火墙的意见。

主要要求:

  • 动态阻止胭脂流量
  • 动态限制流量
  • 阻止除80,443
  • 以外的所有端口
  • 将端口22限制为一组IP
  • 高可用性设置

此外,如果我们选择构建路径,我们如何知道系统可以处理的流量级别。

7 个答案:

答案 0 :(得分:9)

正如他们所说 - “给猫皮肤的方法不止一种”:

自己构建,运行Linux或* BSD之类的东西。这样做的好处是,它可以很容易地完成你的问题的动态部分,这只是一些很好的shell / python / perl /无论脚本的问题。缺点是您的天花板流量速率可能与专用防火墙设备不同,尽管您仍然可以实现300Mbit / sec范围内的数据速率。 (此时您开始遇到PCI总线限制)这可能足够高,以至于它不会对您造成任何问题。

购买专用的“防火墙设备”​​ - 这样做的可能缺点是,做你想要完成的“动态”部分有点困难 - 取决于设备,这可能很容易(网络: :Telnet / Net :: SSH想到了)或不。如果您担心峰值流量速率,则必须仔细检查制造商的规格 - 其中一些设备容易出现与“常规”PC相同的流量限制,因为它们仍会遇到PCI总线带宽问题等那时,你也可以自己动手。

如果你愿意的话,我想你可以把这更多地看成是“赞成和反对”。

FWIW,我们在我的工作地点运行双FreeBSD防火墙,并定期推动40 + Mbit / sec,没有明显的负载/问题。

答案 1 :(得分:4)

绝对建立。我帮助管理ISP,我们有两个防火墙。一个是故障转移和冗余。我们使用名为pfsense的程序。我不能再推荐这个程序了。它有一个很棒的Web界面来配置它,我们实际上是从一个紧凑的闪存卡上运行它。

答案 2 :(得分:3)

在我目前的创业公司中,我们使用PFSense来替换多个路由器/防火墙,并且它具有吞吐量,可以取代更昂贵的路由器。

也许这就是思科遇到麻烦的原因? :)

答案 3 :(得分:2)

与高可用性相关:可以为防火墙以故障转移/ HA方式配置OpenBSD。见this description。我听说他们已经完成了演示,这些设置也完成了(如果不是更好)高端思科设备。

答案 4 :(得分:1)

在过去的8年中,我们维护了一个小型开发网络,大约有20到30台机器。我们有一台专用于防火墙的计算机。

实际上,我们从未遇到过严重的问题,我们现在用专用的路由器/防火墙解决方案替换它(尽管我们还没有决定哪个)。原因是:简单(目标是防火墙,而不是维护linux以便运行它),更少的空间和更少的功耗。

答案 5 :(得分:0)

对这个领域不太了解,但可能是Astaro security gateway

答案 6 :(得分:0)

嗨,我会在这种情况下寻找专用的防火墙产品。我已经使用了Checkpoint防火墙系列产品多年,我总是发现它们易于设置和管理,并且他们有很好的支持。使用Checkpoint或其中一个竞争对手是一个相当昂贵的选择,特别是如果你将它与开源软件进行比较,那么这取决于你的预算。

我还使用了Cisco的PIX和ASA防火墙系列。这些也很好,但在我看来更难以管理