Propósito construído roteador / firewall vs Linux iptables / Shorewall

Navegue suas respostas
3

Eu estou no processo de descobrir que tipos de dispositivos eu vou querer usar em uma nova instalação de colo. Temos alguma experiência em configurar roteadores Cisco, mas nosso conhecimento é muito mais profundo no lado do sistema Linux. (Contratar um CCNA é uma opção, mas estou preocupado se eles estarão disponíveis quando realmente precisarmos deles.) Portanto, em vez de usar um roteador Cisco / Juniper, sou tentado a usar uma caixa Linux executando o Shorewall. Isso também nos permitiria aproveitar nossa infra-estrutura existente de gerenciamento de configuração e conformidade. A maior parte será configurado será NAT bastante simples. Sem BGP, OSFP, RIP ou outros protocolos de roteamento reais.

Aqui está a configuração imaginada:

  • 100Mbit de taxa de transferência máxima no circuito. Nosso rendimento de pico padrão é mais de 10 Mbits.
  • 20-30 hosts por trás disso
  • Principalmente o tráfego HTTPS. Alguns HTTP, SMTP e SSH
  • / 24 bloco de IP

Minha principal preocupação é a facilidade de implementação e manutenção. O custo não é a principal preocupação, mas eu preferiria não ultrapassar US $ 2.500 para um novo dispositivo (tive azar com equipamentos refabricados). Nosso equipamento de rede atual permanecerá onde está. Tudo o que usamos serão novas compras.

No lado da Cisco, eu estava procurando algo como um 2901. Se eu fosse usar a solução Linux, do que estaria desistindo? Pode uma caixa Linux / Shorewall baseada em Xeon lidar com 100Mbit de NAT com ~ 300 regras? O dispositivo Cisco lidaria com um ataque DDoS consideravelmente melhor?

    
por mmalone 20.05.2011 / 00:10

3 respostas

4

Sim, o hardware especificado pode manipular facilmente essa carga de trabalho e, de forma mais honesta, com NICs decentes.

Você considerou o pfSense em vez do Linux / Shorewall? O pfSense é baseado na pilha de rede do FreeBSD e no pf - como tal, seu desempenho, estabilidade e segurança de rede são incomparáveis quando se trata de plataformas de roteadores de "software". Ele vem com uma interface de configuração baseada em navegador da web. Eu tive uma vasta experiência com pfSense neste tipo de ambiente, e nunca fiquei desapontado com seu desempenho ou funcionalidade.

Claro, o dispositivo Cisco pode ser capaz de lidar com um DDoS melhor que uma caixa pfSense ou Shorewall, mas não necessariamente. O 2901 não é um roteador de alta potência e está fazendo todo o seu roteamento / troca de software de qualquer maneira, por isso, mesmo se configurado de forma otimizada, pode não ser melhor do que a alternativa.

Uma recomendação - deixe de lado a idéia da NAT, se puder. Você está recebendo um número / 24, então você terá muitos endereços IP. Desative o NAT no roteador, configure uma política de firewall de negação padrão e adicione regras de permissão apenas para os hosts / portas de que você precisa. O NAT adiciona carga adicional ao roteador, adiciona complexidade adicional ao gerenciamento e não lhe oferece segurança adicional.

    
por 20.05.2011 / 00:22
3

Fornecer um firewall básico com NAT e roteamento, mas sem inspeção profunda de pacotes, não é uma tarefa particularmente intensa da CPU. As diretrizes de dimensionamento de hardware do PFsense indicam que uma CPU de 1 GHz é adequada para um desempenho de velocidade de fio de 100 Mbps. / p>

Servidores baseados em Atom dual-core baratos construídos em torno da placa Supermicro X7SPE-HF (ou X7SPE-HF-D525) são populares para este tipo de aplicação. Eles podem ser montados em um rack de telecomunicação ao lado de switches e patch panels, vêm com interfaces de dois gigabits e possuem um slot PCI-Express que torna fácil adicionar mais quatro. Usando esse tipo de hardware, você pode criar um appliance de firewall de código aberto com US $ 500 ou menos em componentes totalmente novos. Aqui está uma uma lista de peças sugeridas para dar uma ideia de quais são as possibilidades parece.

É claro que firewalls comerciais e dispositivos de segurança podem ser construídos em um hardware muito semelhante. Normalmente, é a reputação, os recursos de software e o suporte que alguém paga quando compra um appliance de firewall comercial.

    
por 20.05.2011 / 00:23
0

Eu sou bem prático com linux / iptables, mas eu prefiro usar o pfsense só porque é muito mais fácil de manter e adicionar recursos interessantes como filtragem de conteúdo e vpn (embora eu não tenha conseguido o OpenVPN funcionar, mas eu mal tentou, uma vez). Temos 10mbit para cima e para baixo, usando um antigo 3Ghz Xeon com 512mb de RAM, mas o uso da CPU nunca ultrapassa 10% e o uso da memória nunca ultrapassa os 64mb.

    
por 20.05.2011 / 00:23

Tags

Como excluir dados e liberar espaço em disco no Oracle DBMS 9i spam do seu próprio email?