firewall gigabit de código aberto caseiro com grau corporativo [fechado]

Ele provavelmente está se referindo a hardware vs. software.

Vista de cima

Sim, até certo ponto, todos os firewalls de hardware são software, mas, com o hardware correto, você pode reprogramar o hardware. Isso geralmente é uma operação bastante cara, mas quando o hardware é reprogramado, o firewall pode operar na velocidade da linha.

Desempenho no Linux

Tivemos um ataque DDOS em um dos nossos sites com um link Uplink. Em circunstâncias normais, éramos perfeitamente capazes de entregar quase na velocidade do fio. O ataque, no entanto, foi um simples SYN-Flood e não conseguimos aguentar.

O motivo foi um cartão "de baixa qualidade" com apenas uma fila de recebimento. Isso significa que apenas um único núcleo foi usado pelo Linux para obter os pacotes do cartão. Isso resultou em um único núcleo rodando a 100% de uso, o que era muito lento para processar todos os pacotes. Então os servidores atrás do firewall estavam todos entediados, mas o único núcleo estava no máximo (Sim, nós tivemos proteção SYN-Flood, mas como havia apenas muitos pacotes de entrada no cartão - antes que o Linux sequer soubesse disso - nós não aguentou)

Uma vez que atualizamos o hardware (apenas a placa de rede, nada mais no servidor) para uma placa de rede com mais filas de recepção, vimos mais núcleos sendo usados e isso foi o suficiente para o nosso caso. Hardware foi (IIRC) 16 núcleos CPU sábio, 8 filas na placa de rede. De repente tivemos 8 vezes o desempenho e isso foi o suficiente.

Isso foi dito:

Não há nada que você possa fazer contra um ataque DDOS suficientemente grande - tivemos sorte de não ser maior e a nova configuração pode aguentar.

Sempre usaria um firewall de hardware se isso implicasse melhor cover-your-behind : Deixando as especificações técnicas de lado, é apenas uma questão de gerenciamento de riscos. Adquira qualquer hardware Cisco / Juniper / qualquer que seja e um contrato de suporte decente e você terá alguém para chamar quem tem que consertar o problema ou pagar pelas perdas no caso de não fazer o que foi prometido. É claro que você precisará obter o orçamento para tal coisa, mas em certo ponto o dinheiro para o investimento provavelmente será uma fração do que a renda esperada é. Também ter um contrato de suporte e outra pessoa para culpar é uma boa tática de encobrir você :

EDIT: falta se no último parágrafo.

Vou oferecer um contra-ponto ao Server Horror e expandir o que o migabi disse. Para configurações pequenas e médias, eu realmente gosto do OpenBSD com o PF, o CARP e os amigos em constante evolução. Até onde eu sei, o FreeBSD (e, portanto, o pfSense) estão ficando para trás na obtenção dos últimos pf e atualizações do CARP.

Concedido, você tem que estar disposto a fazer seus próprios testes e encontrar sistemas decentes com placas de rede decentes e estar ciente das limitações do pf, mas na minha experiência, todas as configurações têm suas limitações. Habilitar um recurso de inspeção em particular em um dispositivo de hardware pode, algumas vezes, reduzir o desempenho da taxa pela metade ou pior. E você realmente implantaria uma solução comercial em produção sem testes consideráveis para verificar as alegações do fabricante?

Muitas vezes você pode obter duas caixas decentes para failover, além de uma terceira para testar por menos do que você teria que pagar por uma alternativa comercial.

E, por último, fico muito desconfortável em pagar uma quantia em dinheiro para obter suporte quando não os obriga a documentar adequadamente, cobrir perdas ou consertar bugs em seus produtos. Estou sentindo essa dor em particular agora, e dor sem código-fonte não é coisa minha.

Você meio que respondeu sua própria pergunta aqui.

Sim, é possível criar um firewall de alta largura de banda que dure anos de atividade e alta produtividade, mas você não pode simplesmente usar hardware de lixo eletrônico, para ficar bom, é melhor pagar o dinheiro!

Se você obtiver um HP DL360 G6 (por exemplo, uma Dell ou uma IBM com uma especificação semelhante) com PSUs duplos, unidades SAS (ou usar um dispositivo USB conectado à placa-mãe) e colocá-lo em um sistema UPS decente config ficará por anos e fácil tráfego de Gig claro (o NICS de suporte on-board TOE se você quiser licenciar isso) mas se você usar uma mainboard doméstica com um realtek Nic e um i3 que você tenha na gaveta de baixo de sua mesa, você pode ter problemas.

Lembre-se também que dispositivos de firewall decentes usam FPGAs para fazer um monte de somas, isto é, lógica wire-speed, nenhuma solução de software pode chegar a essa eficiência, girar 2 Xeons quad core por 3 anos terá um custo em energia !!

A configuração acima é barata do mercado re-furb, se você estiver pendurado em uma empresa fora deste firewall você precisa de um HP gen8 (ou equiv) com uma garantia completa no local e provavelmente 2 deles em cluster para failover. .

Welp, TIL O Junos da Juniper é baseado no FreeBSD e é isso que acontece em seus equipamentos de roteamento. Dito isto, você provavelmente pouparia dinheiro e um pouco de dor de cabeça com um aparelho de zimbro, porque se o hardware falhar você pode obter suporte para ele. No entanto, existem empresas que fazem aparelhos projetados para rodar o PFSense, tudo o que você precisa saber é quanto tráfego você planeja percorrer.

Problemas de software são discutíveis, o PFSense, por exemplo, tem um uso amplo mesmo em ambientes corporativos, portanto, seus fóruns estão cheios de informações e você sempre pode acessar o Serverfault.com para obter ajuda do PFSense.

Eu tenho alguns mestres / escravos em execução usando 10 Gbit limitados a 2 Gbit via softare por 1 ano e meio agora.

Eles são dual Xeon de núcleo de CPU 6 com Intel NIC. As placas de rede da Intel que escolhemos naquela época eram importantes, mas esqueci o motivo exato. Eu sei que tinha algo a ver com os drivers e o modo como as interrupções estavam sendo distribuídas entre os núcleos.

Também tivemos o requisito de rotear um tipo de interface diferente. Algo que você não podia comprar em um firewall de hardware, então essa era uma solução muito econômica.

Então, sim, é muito possível fazer isso. Use o hardware do servidor.