Configuração da DMZ e taxa de transferência do firewall

Navegue suas respostas
2

Fui solicitado a colocar um firewall entre um servidor web (Debian / Apache / PHP) no DMZ e um banco de dados MySQL de back-end para obter "isolamento". No momento, o iptables está rodando no servidor MySQL e está apenas permitindo TCP 22 e 3306 para SSH e MySQL, respectivamente. No entanto, isso aparentemente não é bom o suficiente, e um firewall de hardware é recomendado.

Olhando para o ASA 5505 da Cisco, por exemplo, o max. A taxa de transferência é de 150Mbps, o que parece ser um passo em frente comparado com o throughput Gigabit que o servidor Web e MySQL desfruta agora no mesmo switch GbE.

Isso é uma preocupação? Eu não posso realmente dar-lhe qualquer número agora, mas diga o seu aplicativo CRUD de entrada de dados típico, orientado a formulários, com talvez 100 sessões de usuários simultâneas a qualquer momento.

Se isso for impossível de determinar sem nenhum número de rendimento real, alguém pode sugerir algum método de medição? Eu estava pensando em pegar JMeter, simulando alguma carga e medir a largura de banda em um espelho de porta da interface do MySQL (ou talvez no próprio servidor MySQL) com ntop.

EDITAR:

Eu coloquei o item em negrito sobre o Gigabit Ethernet, que deve ter um throughput teórico de 125MB / s, enquanto o Cisco 5505 tem um throughput máximo de 150Mbps (ou ~ 18MB / s) e isso não é responsável pela análise NAT ou ACL, etc. (embora eu não consiga ver a análise de NAT ou ACL sendo um grande problema para uma rede de um nó). Mesmo assim, o firewall definitivamente seria um potencial gargalo entre o servidor web e o servidor MySQL, visto que uma boa configuração do RAID1 com discos SAS de alta qualidade e outros componentes do servidor deveriam pelo menos ser capazes de empurrar 50-75MB / s. / p>     

por WuckaChucka 02.09.2010 / 23:51

5 respostas

2

O que dizer de duas NICs no servidor da web, uma na DMZ e outra na LAN?

Edit: Desde que a resposta foi aceita, estou colocando mais detalhes.

O servidor da Web é necessariamente voltado para o público, a idéia é que o firewall tenha apenas 80443 acessos públicos. Então, internamente, ele pode se comunicar com o servidor de banco de dados em uma interface de LAN. Isso também tem a vantagem de colocar seu tráfego público em uma interface separada do tráfego interno. Essa é uma configuração muito comum e fornece segurança extra, pois o tráfego público e o tráfego interno são fisicamente separados, em vez de depender de um firewall.

    
por 05.09.2010 / 18:31
1

Eu não tenho certeza de onde você está tirando o máximo. números de throughput porque o site da Cisco conta uma história diferente (150Mbps).

É uma conexão ethernet de 100Mb e, claro, sua taxa de transferência no mundo real dependerá inteiramente de vários fatores, incluindo o tipo de filtragem que você está fazendo no ASA. A vantagem de ter o ASA é que você pode adicionar o cartão AIP-SSC e também obter prevenção / detecção de intrusão.

Você sempre pode experimentar o ASA5505 de um fornecedor que permita retornos. Eu não posso falar sobre sua taxa de transferência, pois só tenho 5510s e 5520s. Eu uso um 5505 pessoalmente em casa e não vejo problemas com o throughput, mas é claro que sou só eu e minha família.

    
por 05.09.2010 / 18:00
1

Sim, seria um gargalo e, se você quiser lidar com velocidades de linha de 1 Gbps, provavelmente precisará de um firewall maior.

No entanto, você realmente precisa rodar a 1Gbps hoje? Pode ser um requisito futuro, mas se você atualmente só está realmente usando, por exemplo, 5Mbps, você ainda tem muita capacidade por enquanto.

No switch que está conectando o SQL e o servidor web, você poderia usar algo para recuperar o status de utilização de porta dos MIBs para ver quanta largura de banda você realmente precisa. Nós usamos o Cacti no trabalho, pois era gratuito, rápido e fácil de configurar. Podemos monitorar os utilitários do switchport quando antecipamos / experimentamos problemas de desempenho e usamos as evidências para decidir o que fazer em seguida.

    
por 08.09.2010 / 03:47
0

Você precisará fazer algum monitoramento (deve haver pacotes munin que aceleram o processo) ter uma ideia do que você realmente precisa.

Se você acha que está indo além dos 100Mbps, então você vai precisar de um firewall mais rápido (ou até mesmo algo parecido com algumas caixas do OpenBSD em failover com carp + pfsync).

    
por 08.09.2010 / 05:45
-1

A taxa de transferência da asa 5505 é de 150 mbit / s. Eu não vejo a segurança do benefício sábio. Provavelmente decidido por alguém que não conhece muito sobre firewall.

    
por 05.09.2010 / 17:48

Tags

MySQL consultas pendurar site Alternando o aplicativo usando o cliente Citrix ICA conectado via laptop