Eu tive que colocar um firewall entre nossos servidores e a caixa do banco de dados. Eu confesso que não estava totalmente convencido de que valeu a pena o esforço ... mas finalmente consegui.
Infelizmente, o dispositivo que eu escolhi (Linksys RVS4000) é um cão completo. Ah, claro, ele tem interfaces de 1Gb em ambos os lados, mas estou ficando com menos de 100Mb de throughputs. O próximo dispositivo que experimentei é mais um Firewall tradicional e não parece querer encaminhar endereços privados (WatchGuard x55e).
Então, para aqueles que colocam firewalls entre servidores web e db, o que você usa ?
Nota: Não vamos discutir a utilidade do dito firewall, neste caso é uma exigência do cliente e não está em debate ... Eu só quero que algo funcione sem um grande impacto no desempenho.
Se curioso, esta postagem no blog mais detalhes.
[Atualizado em 10/9/2009] Uma vez que eu relembrei o WatchGuard para a atualização mais recente da versão principal (11.0.1), ele lida com todo o roteamento corretamente. Eu saberei mais sobre o desempenho depois de alguns testes neste final de semana.
Nós usamos os Cisco ASA (pares ativo / passivo) entre nossos segmentos, eles funcionaram bem. Se 100 Mb / s for rápido o suficiente para você, até mesmo a extremidade mais baixa 5505 é classificada para passar tráfego a 150Mb / s Veja aqui para a comparação do modelo.
Em vez de propor outro dispositivo, sugiro depurar o problema com o Linksys. Eu tive esse problema uma vez quando o QoS foi o culpado pela falta de desempenho: a largura de banda máxima disponível estava muito abaixo do throughput real disponível. Então, primeiro de tudo, eu desabilitava todos os traços de gerenciamento de largura de banda no firewall. Segundo, é um truque muito básico e talvez você já tenha tentado isso, mas você configurou TODAS as placas de rede envolvidas (no servidor web, no servidor db, e ambas as nics no Linksys) a uma velocidade fixa de 1000Mb / s / Full Duplex, em vez de "negociação automática"? Na minha experiência, isso costumava causar problemas entre esse tipo de dispositivo.
Normalmente, uso um desses Servidores Supermicro 1U e Vyatta , ou alguma outra distribuição Linux e FireHOL (se eu precisar adicionar outros serviços além de roteamento).
Caixa pequena com um cartão de memória flash no modo somente leitura executando o pfSense . Ele pode fazer alguma filtragem de pacotes (embora eu não tenha certeza do tipo que você quer fazer), mas você pode sintonizá-lo e é realmente rápido. Teste com as NICs primeiro, obviamente, para taxa de transferência. Alguns precisam de alguns tweats para atingir a velocidade máxima.
Uma vez na velocidade máxima, aumente o limite da tabela de estados e aumente o tempo limite do estado, o que impedirá que o script de longa duração exceda o tempo limite. É recomendável ter o tempo limite de pelo menos 30 segundos a mais que o tempo limite de conexão em seus servidores da web. Isso impedirá que as conexões ociosas que são reutilizadas atinjam o firewall e causem barulhos.
se o firewall ou a lista de acesso baseada em sistema no seu switch / roteador não for uma opção, sempre haverá uma opção de firewall de ponte (google este termo, se necessário) que você poderá construir com qualquer caixa * bsd / linux esses dias.
A execução de um firewall de software no servidor de banco de dados é aceitável para o cliente? Possivelmente muito menos complexo e se eles já falam em 1GB, a taxa de transferência não é um problema.