ファイアウォール - ビルドまたは購入

Question

私は約5つのWebサーバーを持つLinux Webサーバーファームを持っています.Webトラフィックは約20Mbpsです。

私たちは現在、ファイアウォールとして機能しているBarracuda 340ロードバランサ（このデバイスから離して置いておいてください！）を持っています。私は専用のファイアウォールを設置したいと思っています。専用のファイアウォールを購入するのと比べて、人々の意見が何であるかを知りたいのです。

主な要件：

• 動的ルージュトラフィック
• 動的レート制限トラフィック
• ブロック80を除くすべてのポート、443
• リミットポート22
IPアドレスのセットに高可用性をブロックセットアップ

また、構築ルートでは、システムがどのレベルのトラフィックを処理できるかをどのように知っていますか？

Answer 1

、彼らが言うように - 「猫の皮を剥ぐために複数の方法があります」：

は、Linuxや* BSDのようなものを実行し、それを自分でビルドしますが。これの利点は、質問の動的部分を簡単に行うことができることです。いくつかの適切なシェル/ python/perl/scriptsの問題です。欠点は、300Mbit /秒の範囲でデータレートを達成できるはずですが、上限のトラフィックレートが専用のファイアウォールデバイスにはないことです。 （あなたはこの時点でPCIバスの制限にぶつかり始めます）これはあなたにとって問題にならないほど十分に高いかもしれません。

専用の "ファイアウォールデバイス"を購入する - これを行う際に起こりうる欠点は、達成しようとしているものの「動的」な部分をやや難しくすることです。デバイスによっては、 :: Telnet/Net :: SSHが気になる）かどうか。ピーク時のトラフィックレートが心配な場合は、メーカーの仕様を慎重に確認する必要があります。これらのデバイスの中には、PCIバス帯域幅の問題などが発生するという点で、「通常の」PCと同じトラフィック制限がありがちです。その時点で、自分自身をロールバックするかもしれません。

私はあなたが望むならば、これを「プロと詐欺」のどちらかとして読むことができると思います。

FWIWでは私の勤務先でデュアルFreeBSDファイアウォールを実行し、定期的に40 + Mbit/secの負荷をかけています。

Answer 2

このフィールドについて詳しくはわかりませんが、Astaro security gateway？

Answer 3

私たちは過去8年間、約20台から30台のマシンで小さな開発ネットワークを維持しました。ファイアウォール専用のコンピュータが1台ありました。

実際には、私たちは重大な問題に遭遇することはありません。私たちは専用のルータ/ファイアウォールソリューションで置き換えています（ただし、まだ決定していません）。その理由は、シンプルさ（ファイアウォールであり、それを実行するためにLinuxを維持するのではなく）であり、スペースと消費電力が少なくて済みます。

Answer 4

高可用性に関連する：OpenBSDは、ファイアウォールのためにフェイルオーバー/ HA方式で構成できます。 this descriptionを参照してください。シスコのハイエンド機器と同じようにセットアップが完了したデモを行ったと聞いたことがあります。

Answer 5

確かに構築してください。私はISPの管理を手伝っており、2つのファイアウォールが構築されています。 1つは、フェールオーバーと冗長性のためのものです。私たちはpfsenseというプログラムを使用します。私はこのプログラムをもっとお勧めできませんでした。それはそれを設定するための素晴らしいWebインターフェイスがあり、私たちは実際にコンパクトフラッシュカードからそれを実行します。

Answer 6

こんにちは、このシナリオでは専用のファイアウォール製品を購入します。私は長年にわたってCheckpointファイアウォールの製品を使用してきましたが、私はいつもそれらをセットアップして管理しやすく、大きなサポートを得ています。チェックポイントや競合他社の1つを使用するのは、特にオープンソースソフトウェアと比較している場合は、かなり高価です。そのため、予算によって異なります。

シスコのPIXおよびASAファイアウォールのファイアウォールも使用しました。これらはまた良いですが、私の考えでは管理が難しい

Answer 7

私は現在のスタートアップで、私たちは複数のルータ/ファイアウォールを置き換えるためにPFSenseを使用しました。

シスコが問題を抱えているのはなぜですか？ :)