我正在确定在新的colo安装中要使用什么types的设备。 我们有configuration思科路由器的一些经验,但是我们的知识在Linux系统pipe理员方面更深入。 (签约一个CCNA是一个select,但是我担心他们是否能够在我们真正需要的时候使用。)因此,我不想使用Cisco / Juniper路由器,而是试图使用一个运行Shorewall的Linux机器。 这也将使我们能够利用我们现有的configurationpipe理和合规基础设施。 大部分将被安装将是相当简单的NAT。 没有BGP,OSFP,RIP或其他真实的路由协议。
这是想象中的设置:
我主要关心的是易于实施和维护。 成本并不是主要的关注点,但我不希望超过2500美元购买新设备(我的运气不好,但运气不好)。 我们目前的networking设备将保持在原来的位置。 无论我们使用什么将是新的购买。
在思科方面,我正在寻找类似于2901的东西。如果我要使用Linux解决scheme,我会放弃什么? 一个现代的基于Xeon的Linux / Shorewall盒子可以处理100Mbit的NAT和300条规则吗? 思科设备是否可以更好地处理DDoS攻击?
是的,你指定的硬件可以很容易地处理这个工作量,而且比较诚实地说,使用像样的网卡。
你考虑过pfSense而不是Linux / Shorewall吗? pfSense是基于FreeBSDnetworking堆栈和pf的,因此它的networking性能,稳定性和安全性在“软件”路由器平台上是首屈一指的。 它配备了一个很好的基于Web浏览器的configuration界面。 在这种环境下,我对pfSense有着丰富的经验,我从来没有对它的性能或function感到失望。
当然,思科设备可能能够比pfSense或Shorewall机器更好地处理DDoS,但不一定。 2901不是一个高性能的路由器,无论如何都是在软件中进行路由/交换,所以即使configuration得最好,也不会比替代路由更好。
一个build议 – 如果可以的话,抛弃NAT的想法。 你得到一个/ 24,所以你会有很多的IP地址。 closures路由器上的NAT,设置一个默认的拒绝防火墙策略,然后为所需的主机/端口添加允许规则。 NAT增加了路由器的额外负载,增加了额外的pipe理复杂性,并且不会为您购买任何额外的安全性。
提供具有NAT和路由的基本防火墙,但没有深度数据包检查,并不是CPU密集型任务。 PFsense硬件规格指南指出,1 GHz的CPU足以达到100 Mbps的线速性能。
基于Supermicro X7SPE-HF(或X7SPE-HF-D525)电路板构build的价格低廉的基于Atom的双核服务器非常适合这种应用。 这些设备可以安装在交换机和配线架旁边的电信机架上,配备双千兆位接口,还有一个PCI-Express插槽,可以轻松添加多达四个。 使用这种types的硬件,您可以用全新的组件构build一个开源防火墙设备,售价500美元或更less。 这里有一个build议零件清单 ,让你知道可能性的样子。
当然,商业防火墙和安全设备可能build立在非常相似的硬件上。 通常是购买商业防火墙设备时所付出的声誉,软件function和支持。
我很喜欢linux / iptables,但是我更喜欢使用pfsense,只是因为维护和添加漂亮的function比如内容过滤和vpn(虽然我还没有得到OpenVPN的工作,但我几乎没有尝试过,一次)。 我们有10mbit上下,使用一个旧的3Ghz至强与512MB的内存,但CPU使用率永远不会超过10%,内存使用永远不会超过64MB。