1. Inicio
  2. Pregunta y respuesta
  3. Firewall - Build or Buy

Firewall - Build or Buy

2008-09-07 8 views
5

Tengo una granja de servidores web Linux con aproximadamente 5 servidores web, el tráfico web es de aproximadamente 20Mbps.Firewall - Build or Buy

Actualmente tenemos un Barracuda 340 Load Balancer (manténgase alejado de este dispositivo - ¡pedazo de porquería!) Que actúa como un cortafuegos. Quiero instalar un firewall dedicado y me gustaría saber qué opiniones tienen las personas sobre la construcción versus comprar un firewall dedicado.

requisitos principales:

  • dinámicamente bloquear el tráfico rouge
  • dinámicamente el tráfico de límite de velocidad de
  • bloquear todos los puertos excepto 80, 443
  • puerto Límite 22 a un conjunto de direcciones IP
  • alta disponibilidad configuración

También si vamos para la ruta de compilación, ¿cómo sabemos qué nivel de tráfico puede manejar el sistema?

Fuente

2008-09-07 Ciaran

+0

Interesante pregunta. Trabajo para una compañía que es un socio de Cisco, y aunque conozco la alternativa basada en Linux (soy un chico de Linux, hago tareas de administración de servidores) nunca los he investigado seriamente. ¡Esto me ha hecho pensar! ¡Gracias! –

+0

¿quién será responsable una vez que su firewall se interrumpa o se rompa por alguna razón? Preferiría confiar en los proveedores de cortafuegos conocidos conocidos en lo que respecta a la seguridad que cualquier open-source-linux-alternatives ... – Leon

+0

@Leon Prefiero confiar en un producto que tiene una reputación de seguridad, independientemente de si está cerrado o no código abierto (y si la reputación es la misma, entonces tendré preferencia por el código abierto porque el código está sujeto a más revisión por pares). De cualquier manera, ciertamente no consideraría * * a quién puedo culpar cuando sale mal "* para ser un criterio válido: si llegas a ese punto, entonces ya has fallado en tu elección de producto. – JBentley

Respuesta

9

Como dicen - "hay más de una manera de pelar un gato":

construir por sí mismo, algo así como correr Linux o * BSD. El beneficio de esto, es que hace que sea más fácil hacer la parte dinámica de su pregunta, es solo cuestión de unas pocas secuencias de comandos shell/python/perl/whatever. El inconveniente es que su tasa de tráfico de techo podría no ser la misma que en un dispositivo de cortafuegos especialmente diseñado, aunque aún así debería poder obtener velocidades de datos en el rango de 300Mbit/sec. (En este punto, comienza a tener limitaciones en el bus PCI). Esto puede ser lo suficientemente alto como para que no sea un problema para usted.

Compre un "dispositivo de firewall" dedicado - Posibles inconvenientes de hacer esto, es que hacer la parte "dinámica" de lo que está tratando de lograr es algo más difícil - dependiendo del dispositivo, esto podría ser fácil (Net :: Telnet/Net :: SSH vienen a la mente), o no. Si le preocupan las tasas de tráfico pico, tendrá que verificar cuidadosamente las especificaciones del fabricante: varios de estos dispositivos son propensos a las mismas limitaciones de tráfico que las PC "normales", ya que todavía se topan con el ancho de banda del bus PCI, etc. . En ese punto, es mejor que muevas el tuyo.

Supongo que podría leer esto más como un "pro y contra" de hacer cualquiera, si lo desea.

FWIW, ejecutamos firewalls dobles de FreeBSD en mi lugar de trabajo, y presiono regularmente 40 + Mbit/seg sin cargas/problemas notables.

Fuente

2008-09-07 15:14:55

1

Durante los últimos 8 años mantuvimos una pequeña red de desarrollo con aproximadamente 20 a 30 máquinas. Tuvimos una computadora dedicada a ser el firewall.

En realidad, nunca nos encontramos con problemas graves, ahora lo estamos reemplazando con una solución de enrutador/cortafuegos dedicada (aunque aún no hemos decidido cuál). Las razones de esto son: simplicidad (el objetivo es el cortafuegos, no mantener el linux para ejecutarlo también), menos espacio y menos consumo de energía.

Fuente

2008-09-07 15:15:44 akr

2

Relacionado con la alta disponibilidad: OpenBSD se puede configurar de manera Failover/HA para cortafuegos. Ver this description. He oído que han hecho demostraciones en las que tales configuraciones han sido tan buenas (si no mejores) como las de alta gama de Cisco.

Fuente

2008-09-07 16:34:12

4

Definitivamente construir. Ayudo a administrar un ISP y tenemos dos firewalls construidos. Una es para el fracaso y para la redundancia. Usamos un programa llamado pfsense. No podría recomendar este programa más. Tiene una gran interfaz web para configurarlo y en realidad lo ejecutamos en una tarjeta flash compacta.

Fuente

2008-09-07 16:45:12

+0

Podría darle una oportunidad a pfsense .. Me gusta como se ve. – Ciaran

0

Hola, me gustaría un producto de firewall dedicado en este escenario. He utilizado la gama de productos de firewall Checkpoint durante muchos años y siempre me pareció fácil de configurar y administrar, y tienen un gran soporte. Usar Checkpoint o uno de sus competidores es una opción bastante costosa, especialmente si lo comparas con el software de código abierto, por lo que depende de tu presupuesto.

También he usado la línea de firewalls PIX y ASA de Cisco. Estos también son buenos, pero en mi opinión son más difíciles de administrar

Fuente

2009-04-20 19:03:14

3

en mi inicio actual, hemos utilizado PFSense para reemplazar múltiples enrutadores/firewalls, y tiene un rendimiento que reemplaza enrutadores mucho más costosos.

Quizás es por eso que Cisco está teniendo problemas? :)

Fuente

2011-11-19 03:05:35 pearcewg

Cuestiones relacionadas

 Cuestiones relacionadas