web-dev-qa-db-ja.com

専用ルーター/ファイアウォールとLinuxiptables / Shorewall

新しいコロインストールで使用したいデバイスの種類を検討中です。 Ciscoルーターの構成にはある程度の経験がありますが、Linuxのシステム管理者側の知識ははるかに深いものです。 (CCNAを契約することはオプションですが、本当に必要なときに利用できるかどうか心配です。)したがって、Cisco/Juniperルーターを使用する代わりに、Shorewallを実行しているLinuxボックスを使用したいと思います。これにより、既存の構成管理とコンプライアンスインフラストラクチャを活用することもできます。そのほとんどは、かなり単純なNATでセットアップされます。 BGP、OSFP、RIP、またはその他の実際のルーティングプロトコルはありません。

想像されるセットアップは次のとおりです。

  • 回路で最大100Mビットのスループット。標準のピークスループットは10Mビットに近いものです。
  • この背後にある20〜30のホスト
  • 主にHTTPSトラフィック。一部のHTTP、SMTP、SSH
  • / 24IPブロック

私の主な関心事は、実装と保守の容易さです。コストは主な関心事ではありませんが、私は新しいデバイスのために2500ドルを超えたくないです(私は再生ギアで不運に見舞われました)。現在のネットワーク機器は、現在の場所にとどまります。私たちが使用するものは何でも新規購入になります。

Cisco側では、2901のようなものを見ていました。Linuxソリューションを使用する場合、何を諦めますか?最新のXeonベースのLinux/Shorewallボックスは、100MビットのNAT、最大300のルールで処理できますか?CiscoデバイスはDDoS攻撃をかなりうまく処理できますか?

linuxfirewalliptablesciscorouter
3
mmalone

はい、指定したハードウェアは、まともなNICを使用して、このワークロードを簡単に処理できます。

Linux/Shorewallの代わりに pfSense を検討しましたか? pfSenseは、FreeBSDネットワークスタックとpfに基づいています。そのため、そのネットワークパフォーマンス、安定性、およびセキュリティは、「ソフトウェア」ルータープラットフォームに関しては他に類を見ません。それは素晴らしいウェブブラウザベースの設定インターフェースが付属しています。私はこの種の環境でpfSenseを使用した豊富な経験があり、そのパフォーマンスや機能に失望したことはありません。

確かに、CiscoデバイスpfSenseまたはShorewallボックスよりも優れたDDoSを処理できる可能性がありますが、必ずしもそうとは限りません。 2901は強力なルーターではなく、いずれにせよソフトウェアですべてのルーティング/スイッチングを実行しているため、最適に構成されていても、他のルーターよりもうまくいくとは限りません。

1つの推奨事項-可能であればNATのアイデアを捨ててください。/24を取得しているので、たくさんのIPアドレスがあります。NATルーターで、デフォルトの拒否ファイアウォールポリシーを設定してから、必要なホスト/ポートのみに許可ルールを追加します。NATルーターに負荷を追加し、管理をさらに複雑にします。追加のセキュリティを購入しないでください。

4
EEAA

基本的なファイアウォールにNATとルーティングを提供しますが、ディープパケットインスペクションなし)は、特にCPUを集中的に使用するタスクではありません。 . PFsenseハードウェアサイジングガイドライン は、1 GHzCPUが100Mbpsのワイヤスピードパフォーマンスに十分であることを示しています。

このタイプのアプリケーションでは、Supermicro X7SPE-HF(またはX7SPE-HF-D525)ボードを中心に構築された安価なデュアルコアAtomベースのサーバーが人気があります。これらは、スイッチやパッチパネルと一緒に電話会社のラックに取り付けることができ、2つのギガビットインターフェイスが搭載されており、PCI-expressスロットを備えているため、最大4つまで簡単に追加できます。このタイプのハードウェアを使用すると、500ドル以下の新しいコンポーネントでオープンソースのファイアウォールアプライアンスを構築できます。ここに 1つの提案されたパーツリスト 可能性がどのように見えるかについてのアイデアを与えるために。

もちろん、商用ファイアウォールとセキュリティアプライアンスは、非常によく似たハードウェア上に構築されている場合があります。通常、商用ファイアウォールアプライアンスを購入するときに支払うのは、評判、ソフトウェア機能、およびサポートです。

3
Skyhawk

私はlinux/iptablesを使うのはかなり便利ですが、コンテンツフィルタリングやVPNなどの気の利いた機能を維持および追加するのが非常に簡単であるという理由だけでpfsenseを使用することを好みます(OpenVPNを機能させることはできませんが、一度はほとんど試しませんでした) )。 512MBのRAM)の古い3Ghz Xeonを使用して、上下に10メガビットがありますが、CPU使用率が10%を超えることはなく、メモリ使用量が64MBを超えることはありません。

0
James