我正在检查一些防火墙选项,我不确定设备和“服务器+软件”解决scheme之间的性能差异。
我一直使用设备防火墙,但是我想知道如果使用强大的服务器,可以使用软件选项获得相同的性能。
我需要一个具有400 Mbps吞吐量和100.000个并发会话的环境,但这仅供参考。
对于您要推送的数据量,我强烈build议您购买Cisco ASA 5520 。 我曾经使用过这些,他们制作了一个非常强大的防火墙。 如果您愿意,他们也可以提供VPN服务。 规范说这些可以处理高达450Mbit和280k的会话。
如果你最终select了一个基于软件的防火墙(这有点不恰当,因为所有的防火墙都是基于软件的,我会离题的),我强烈推荐你使用类似于PFsense的东西。 它是基于BSD的,所以networking和防火墙的性能和安全性和这种产品一样好。 我想到使用ISA Server来路由和检查400Mbits
基于服务器的解决scheme和设备之间不能进行通用比较。 每个类别的硬件质量差异很大。 你会发现一些“电器”,只是商品硬件,廉价的网卡,运行Linux有一个很好的GUI前端。 把这个设备放在一个带有大量RAM,一对PCIe卡和PFsense的四核服务器级机器上,毫无疑问服务器将遍布整个“设备”。 相反,有些设备使用真正的硬件ASIC来处理数据包。 根据您的数据包负载和您想要执行的过滤types,这些可以是非常高的性能。
最后,我认为你要么尝试一些这些解决scheme,看看哪些会更好地为您工作,或者直接联系供应商关于特定的模型。
就像我说的,我在ASA平台和PFSense方面都有相当的经验。 这两个平台都有优势和弱点,但在你的情况下,我会想象要么能够处理你所期望的负载。
我想你会发现检查点防火墙是一个现成的PC,无论你购买他们的设备还是将他们的软件安装到自己的盒子上。
事实上,大多数防火墙将是软硬件的混合体, 在规模的一端是一台运行openbsd / freebsd和PF的PC机 – 它大部分都是软件,但是你可以使用一个以太网卡,它具有计算校验和和IP头卸载以及类似的东西的硬件。
在规模的另一端,像旧的极端networking峰会5i可以做硬件NAT和基于stream量的负载平衡,ACL执行和一堆其他的东西。 它不会做有状态的数据包检查或IDPtypes的东西,但是它会做一些防火墙的工作,并且做得非常快。
在你所看到的stream量负载上,任何现代服务器级别的PC都应该适用于简单的状态防火墙和NAT。 如果你想要其他的东西,看看哪个厂商提供了function和支持你想要的,而不是汗streamdetails背的细节,如果它是在一个asic或在CPU中完成。
我曾经使用ISA Server,只要configuration良好,并且没有足够的资源,就没有发现问题。 使用硬件设备时,可能会消除操作系统的开销,但这也可能会花费更多,具体取决于设置。 然而,我们的设置是规模小得多,但要回答你的问题,我们没有注意到在服务器上的开销之外的很大的区别。 我说,如果它是在专用机器上安装的,那么你应该没问题,只要记住,可能需要考虑基于软件的防火墙时需要考虑的更多安全方面的步骤。 由于他们不仅能够通过自己的软件挂钩,而且还能够运行它所运行的软件。 总而言之,如果机器是专用的,性能将取决于您的设置types。 我个人虽然喜欢硬件电器。