Dimizing Firewall para Micro-Datacenter

Temos um pequeno data center que estamos finalizando. Nós temos um núcleo + spline e depois switches TOR redundantes. Tudo é basicamente switches whitebox 10gb executando Cumulus; no entanto, vamos atualizar o núcleo nos próximos 12 meses para 40gb, mas isso nos leva a ir agora.

Obviamente, há muito tráfego que acaba sendo apenas tráfego do tipo leste-oeste, especialmente em nosso cluster OpenStack. Mas estamos tendo problemas para decifrar quanto tráfego vai acabar atingindo o dispositivo Firewall / ddos que estamos querendo comprar.

Planejamos usar o Firewall para lidar com BGP, dDos e, é claro, com a política de firewall de entrada e saída de rede. Mas nós simplesmente não sabemos quanto calcular ...

Eu vi pessoas usarem o canal da Internet para dimensionar todo o firewall, mas isso é realmente enganoso, já que há tráfego que não busca a totalidade ou a saída que ainda pode atingir uma política de firewall; por isso, espero que as pessoas que vieram antes de mim tenham algum conselho sábio sobre como dimensionar firewalls. Para referência; aqui está nossa configuração de rede ...