web-dev-qa-db-ja.com

単一サーバー上のエンタープライズルーター/ファイアウォール/コンテンツフィルター/プロキシのハードウェア

上司のために「安全な」ネットワークを設定する必要があります。今のところ、スイッチにリンクされたADSLルーターがあります。すべてのユーザーがこのスイッチに接続されています。セキュリティは明らかに悪いです。 ADSLルーターとスイッチの間にサーバーを置きたい。このサーバーは、私が思うに、橋になるでしょう。ただし、ファイアウォール、プロキシ、およびWebコンテンツフィルタである必要があります。約20人のユーザーがいます(ダウンロードなしでサーフィンするためにインターネットを頻繁に使用します)。

サーバーにはどのようなハードウェアを使用すればよいですか?もちろん、2つのNICが必要です。

  • RAMで十分ですか?
  • ブリッジソリューションはパフォーマンスの点で優れていますか? (おそらくNAT、または静的ルート...)
  • DebianまたはNetBSDを使用する必要がありますか? NetBSDはそのような仕事に適していると読みました
  • サーバーはLANのルーターにする必要がありますか、それともADSLルーターを維持しますか?

ご回答ありがとうございます。

PS:私の英語が下手でごめんなさい

3
Kortex786

私はあなたとまったく同じ問題を抱えていますが、少し大きなネットワークです。

Pfsense を使用することをお勧めします。これは、BSDに基づいており、非常に強力でありながらシンプルで明確なWebインターフェイスを介して構成されています。これは、2GBのRAM(ほとんど使用されていない)のCeleron 3Ghzプロセッサ上の70台のサーバーのゾーンをファイアウォールで保護しています。

透過的なブリッジとして構成することは、実際のアーキテクチャではほとんど何も変更できないため、最も効率的なセットアップでした。

したがって、ハードウェアコンポーネントの信頼性のために1台のNice Dellサーバー(ローエンドで十分です)を入手し、それにpfsenseをインストールすることをお勧めします。または、構成が非常に簡単な冗長性(CARP)を備えたPFsense上の2つの古いサーバーを再利用できます。

7

アントワーヌに似たものを提案します。素敵なローエンドのDellサーバーを入手してください。 2-4GB RAMは十分すぎるはずです。Debianに2インターフェイスブリッジとしてSHorewallをインストールしてください(私のサーバーOSを選択)-ファイアウォールプロキシおよびブラックリストとしてSquidとSquidGuardをインストールします(広告をブロックできます)同様に、ユーザーは好きです!)

Shorewallはトラフィックをルーティングするため、マシンのデフォルトゲートウェイとして設定する必要があります。また、Apacheをインストールし、proxy.pacやWPAD.datファイル(Windowsハウスの場合)を介してプロキシの詳細を提供することをお勧めします。

1
Dan

もつれを解くことは私の問題を解決するための最良のようです。 Webサイトにはハードウェア要件がありますが、ルーターmodでより優れた特別なハードウェアがあるのでしょうか。特別NICまたはMotherBoard?

0
Kortex786

比較的新しいボックス(1GB RAMのデュアルコア)で実行されているUntangle(www.untangle.comのLinuxディストリビューション)は優れたオプションです。

0
Corey

「自分でローリング」する代わりに、アプライアンスのベンダーを検討してください。何年にもわたって、私は多くの「ホワイトボックス」ディストリビューションを使用し、非常に満足していました。

http://en.wikipedia.org/wiki/List_of_Linux_router_or_firewall_distributions

あなたには2つの大きな利点があります:

  1. これらの専用ディストリビューションは、ロックダウンして実行するのにかかる時間が大幅に短縮されます

  2. 経営陣の煩わしさをより簡単に引き継ぐことができます

私が見たディストリビューションには、ホワイトボックスの最小要件が明確に記載されています。それらの推奨事項の1.5倍から2倍にします。

0
pcapademic

優れたファイアウォールアプリケーション(pf)が含まれているため、OSとしてOpenBSDを使用することをお勧めします。プロキシ/ウェブフィルターには、ポートツリーから非常に簡単に構築できるSquidを使用します。

Pfの利点は、トラフィックシェーピング/優先順位付けを備えた、最も堅牢なファイアウォールパッケージの1つであることです。そして、OpenBSDは間違いなくOpenSource * nixesの中で最も安全なものの1つです。

指定したユーザー数とインターネット接続では、ハードウェア要件はそれほど高くありません。適切な数のインターフェイスを備えた最近のワークステーションであれば、十分すぎるほどです。実際、2つの安価なシステムを購入すると、OBSDとpfで利用可能な組み込みのフェイルオーバーを利用できるようになります。

0
Greedo

したがって、説明に基づいて、必要なものは次のとおりです。ファイアウォール=> cpuの使用、プロキシ= ram/disk、Webコンテンツフィルター= cpuの使用2GHzおよび2GBのRAMを備えたすべての標準サーバーで十分だと思います。

0
wittwerch

いつでもハードウェアファイアウォールを実行できます。私は過去にそれらを使用しました。NetgearのFVS338またはFVX538を調べてください。それらは非常に安価で、実行したいほとんどのことを実行できます。 ISPをWANポートに接続してから、NetgearのLANからスイッチへの接続を実行します。

お役に立てれば

0
Hondalex

現在のユーザーセットを維持し、将来に向けて十分に拡張するには、1〜2GBのRAM)を備えたかなり最新のコンピューター(Pentium 4+)で十分だと思います。最近、特にLinuxまたはBSDベースのOSを使用している場合に、「古い」ハードウェアから実行できるタスク。重要でないタスク(グラフィカルサーバーなど)を最小限に抑えるだけです。

私はあなたが最もよく知っているオペレーティングシステムを選んで行くと思います。彼らは両方ともその仕事をうまく処理することができます。 BSDの方がおそらくオーバーヘッドは少ないですが、「BSDについての記事を読んだのですが、Debianの経験があります」ということになる場合は、使い慣れたOSを使用することをお勧めします。非実稼働システムではいつでもBSDを試すことができます。

新しいコンピューターをルーターとファイアウォールの両方として設定するのがおそらく最も簡単ですが、それをブリッジとして維持することにより、ユーザーとWebの間にファイアウォールの層を追加することになります。どちらの方法でも、必要なブリッジングとWebコンテンツフィルターを処理するのに十分なはずです。

0
andrewd18

real contentfiltering ala dansguardianを実行していない限り、それをハッキングしないPCハードウェアを見つけることはできません。ホームネット上の古いSmoothWallはP3-266/256MbのRAMでした!言われているようにanyエントリーレベルのサーバーは、HP ML110か何かでいいですか?

0
Tom Newton

私は、OpenBSDを使用して、利用可能な最も安価なAthlon64プロセッサ、1GBのRAM(512mbの方が高価だったため...)、および2つのネットワークカードを使用して、まさにそのような自家製システムで20ユーザーを実行した経験があります。私の以前の経験はLinuxでしたが、セキュリティの実績が印象的であるため、これにはOpenBSDを使用しました。 pf.confファイルには少し学習曲線が必要です。

PCは安定しており、パフォーマンスのボトルネックの兆候はありません。

0
Michael Shaw