我必须在我们的Web服务器和数据库框之间放置一个防火墙。 我会承认我并不完全相信这是值得的努力……但我终于做到了。
不幸的是,我select的设备(Linksys RVS4000)是一个完整的狗狗。 哦,当然,它有双方的1Gb接口,但我正在获得低于100Mb吞吐量的方式。 我尝试的下一个设备是更多的传统防火墙,似乎并不希望路由专用地址(WatchGuard x55e)。
那么,对于那些在Web和数据库服务器之间放置防火墙的用户, 你使用什么?
注意:让我们不要辩论所说的防火墙的用处,在这种情况下,这是一个客户的要求,而不是辩论……我只是想得到一些工作,没有一个重大的性能影响。
如果好奇,这个博客文章有更多的细节。
一旦我将WatchGuard刷新到最新的主要版本升级(11.0.1),它就能正确处理所有的路由。 经过本周末的一些testing后,我会更了解这方面的performance。
我们在分部之间使用思科ASA(主动/被动对),他们运作良好。 如果100 Mb / s对于您来说足够快,即使最低端的5505被评为以150 Mb / s的速度通过,请参阅此处的模型比较。
而不是提出另一个设备,我build议debugging与Linksys的问题。 当QoS是缺乏性能的罪魁祸首时,我曾遇到过这个问题:最大可用带宽低于实际可用吞吐量。 所以,首先,我要禁用所有防火墙上的带宽pipe理。 其次,这是一个非常基本的技巧,也许你已经尝试过了,但是你设置了所有涉及的networking卡(在Web服务器上,在数据库服务器上,以及Linksys上的两个网卡),固定速度为1000Mb / s / Full双面,而不是“自动协商”? 根据我的经验,这种设备往往会引起麻烦。
我通常会使用这些Supermicro 1U服务器和Vyatta ,或其他一些Linux发行版和FireHOL (如果我需要添加除路由之外的服务)。
带有闪存卡的小盒子以只读模式运行pfSense 。 它可以做一些数据包过滤(虽然我不知道你想要做什么types),但你可以调整它,它真的很快。 首先显然testing网卡吞吐量。 有些需要一些tweats获得全速。
一旦全速运行,将状态表限制提高,然后增加状态超时,这将停止您的长时间运行的脚本超时。 我build议超时至less30秒比您的networking服务器上的连接超时。 它会停止空闲的连接,从重新使用防火墙和barfing。
如果交换机/路由器上基于系统的防火墙或访问列表不是一个选项,那么总有一个桥接防火墙的select(如果需要的话,谷歌这个词),你应该能够用任何* bsd / linux框build立这些天。
在客户端可以接受的数据库服务器上运行软件防火墙吗? 可能不那么复杂,如果他们已经谈论了1GB,吞吐量不是问题。