Recomendações do firewall - alguns servidores colocados atrás de um firewall [fechado]

Navegue suas respostas
1

Eu tenho que configurar alguns servidores (4 agora, mais no futuro) atrás de um firewall. O data center gostaria de fornecer uma única porta com um bloco de endereços IP e, em seguida, solicitarei que o firewall encaminhe o endereço IP correto para o servidor correto.

Quais são as suas recomendações para um firewall razoável?

Algumas notas adicionais:

  • Todos os servidores são servidores da web de baixo tráfego.
  • A conexão com a rede do data center é gigabit e estou em um limite de 6mb.
  • Eu não quero algo insanamente difícil de administrar. Estou acostumado com o pfSense, o que é muito bom, mas eu prefiro não colocar um servidor 1U adicional lá dentro para o pfSense no momento.
  • Vou receber um bloco de 8 ou 16 endereços IP para serem distribuídos entre os servidores.
  • Eu não sou feito de dinheiro, então por favor não recomendo nada $$$$$$$
por Keith Palmer Jr. 20.11.2009 / 15:40

5 respostas

5

Não tem certeza do que você espera que não ocupará espaço em rack. :) Mas você não precisa de uma caixa de 1U completa para executar o pfSense. Os pequenos kits ALIX bastariam, e eles vêm pré-instalados. link

Essa é provavelmente a menor caixa de pegada que você vai achar que é realmente adequada para um ambiente de hospedagem, é ainda menor do que sua média SOHO Linksys / DLink / etc. Há pessoas correndo cargas decentes através deles. Heck, nós temos o Slashdotted em um servidor web atrás de um WRAP (o predecessor ALIX, 1/3 de sua capacidade) rodando pfSense e o site ficou ativo 100% do tempo, e foi tão responsivo quanto qualquer outro dia.

Se você precisa de menos de 75.000 conexões simultâneas ativas e menos de ~ 85 Mbps de taxa de transferência, o ALIX está perfeitamente bem. É preciso uma enorme quantidade de tráfego na web para chegar a esse ponto, de modo que seria bom para você.

    
por 21.11.2009 / 07:16
1

Há sempre a possibilidade de usar apenas o firewall interno de cada computador, em vez de usar um dispositivo separado.

Se você estiver em um firewall, a linha Netscreen provavelmente fará o que você quiser - até mesmo o SSG5 de nível de entrada fará o uso "leve" (até 8K conexões simultâneas), indo de lá dependendo do seu necessidades. No entanto, é uma unidade de hardware, o que significa que você ainda precisará encontrar espaço em seu rack para isso.

    
por 20.11.2009 / 15:53
0

Existem algumas outras vantagens de ter um gateway para seus computadores co-localizados. Quer seja um aparelho de algum tipo ou um computador.

A maioria dos appliances de gateway usa VIP's para expor os serviços por trás do firewall. A maioria deles permite um balanceamento de carga simples entre vários computadores dentro do firewall. Isso faz com que o gerenciamento de seus endereços IP externos seja um pouco mais fácil e fácil. Você pode facilmente direcionar o tráfego para um computador diferente internamente.

Do ponto de vista da segurança, a maioria dos appliances de gateway também tem outras funcionalidades. Então você também pode executar o IDS, anti-x (spam, vírus, malware). Ele permitirá que você configure um túnel VPN para acessar as interfaces de gerenciamento sem precisar expô-las à Internet. Se seus servidores precisarem de segmentação, também será possível configurar vlans separadas com firewalls entre.

Estamos muito felizes com os dispositivos Fortinet. Eles são mais baratos e oferecem mais funcionalidade em comparação com os dispositivos de nível de entrada de outros fornecedores. A empresa foi iniciada pelo mesmo cara que começou a Netscreen e a vendeu para a Juniper, e eles acabaram se tornando públicos para que a empresa fosse bem financiada e saudável.

    
por 20.11.2009 / 16:17
0

Você pode procurar por pequenos SOHO firewalls \ roteadores da Sonicwall, Netgear, DLink, etc.

link

link

link

    
por 20.11.2009 / 17:25
0

Dado que qualquer "dispositivo" na sua faixa de preço é quase certamente um servidor 1RU com algum tipo de software de firewall de qualquer maneira , o que há de errado em remover o intermediário, instalar um 1RU servidor, e indo com o que você sabe?

Editar (sob coação): Se o seu DC cobrar menos por algo que não é uma unidade de rack, coloque um PC antigo no rack e coloque o pfsense nisso.

    
por 20.11.2009 / 15:43

Tags

Desempenho insanamente lento do site Como descubro qual processo está escutando em um soquete no Windows Server 2003?