単一サーバー上のエンタープライズルーター/ファイアウォール/コンテンツフィルター/プロキシのハードウェア

Question

上司のために「安全な」ネットワークを設定する必要があります。今のところ、スイッチにリンクされたADSLルーターがあります。すべてのユーザーがこのスイッチに接続されています。セキュリティは明らかに悪いです。 ADSLルーターとスイッチの間にサーバーを置きたい。このサーバーは、私が思うに、橋になるでしょう。ただし、ファイアウォール、プロキシ、およびWebコンテンツフィルタである必要があります。約20人のユーザーがいます（ダウンロードなしでサーフィンするためにインターネットを頻繁に使用します）。

サーバーにはどのようなハードウェアを使用すればよいですか？もちろん、2つのNICが必要です。

RAMで十分ですか？
ブリッジソリューションはパフォーマンスの点で優れていますか？（おそらくNAT、または静的ルート...）
DebianまたはNetBSDを使用する必要がありますか？ NetBSDはそのような仕事に適していると読みました
サーバーはLANのルーターにする必要がありますか、それともADSLルーターを維持しますか？

ご回答ありがとうございます。

PS：私の英語が下手でごめんなさい

Antoine Benkemoun · Answer

私はあなたとまったく同じ問題を抱えていますが、少し大きなネットワークです。

Pfsense を使用することをお勧めします。これは、BSDに基づいており、非常に強力でありながらシンプルで明確なWebインターフェイスを介して構成されています。これは、2GBのRAM（ほとんど使用されていない）のCeleron 3Ghzプロセッサ上の70台のサーバーのゾーンをファイアウォールで保護しています。

透過的なブリッジとして構成することは、実際のアーキテクチャではほとんど何も変更できないため、最も効率的なセットアップでした。

したがって、ハードウェアコンポーネントの信頼性のために1台のNice Dellサーバー（ローエンドで十分です）を入手し、それにpfsenseをインストールすることをお勧めします。または、構成が非常に簡単な冗長性（CARP）を備えたPFsense上の2つの古いサーバーを再利用できます。

Dan · Answer

アントワーヌに似たものを提案します。素敵なローエンドのDellサーバーを入手してください。 2-4GB RAMは十分すぎるはずです。Debianに2インターフェイスブリッジとしてSHorewallをインストールしてください（私のサーバーOSを選択）-ファイアウォールプロキシおよびブラックリストとしてSquidとSquidGuardをインストールします（広告をブロックできます）同様に、ユーザーは好きです！）

Shorewallはトラフィックをルーティングするため、マシンのデフォルトゲートウェイとして設定する必要があります。また、Apacheをインストールし、proxy.pacやWPAD.datファイル（Windowsハウスの場合）を介してプロキシの詳細を提供することをお勧めします。

Kortex786 · Answer

もつれを解くことは私の問題を解決するための最良のようです。 Webサイトにはハードウェア要件がありますが、ルーターmodでより優れた特別なハードウェアがあるのでしょうか。特別NICまたはMotherBoard？

Corey · Answer

比較的新しいボックス（1GB RAMのデュアルコア）で実行されているUntangle（www.untangle.comのLinuxディストリビューション）は優れたオプションです。

pcapademic · Answer

「自分でローリング」する代わりに、アプライアンスのベンダーを検討してください。何年にもわたって、私は多くの「ホワイトボックス」ディストリビューションを使用し、非常に満足していました。

http://en.wikipedia.org/wiki/List_of_Linux_router_or_firewall_distributions

あなたには2つの大きな利点があります：

これらの専用ディストリビューションは、ロックダウンして実行するのにかかる時間が大幅に短縮されます
経営陣の煩わしさをより簡単に引き継ぐことができます

私が見たディストリビューションには、ホワイトボックスの最小要件が明確に記載されています。それらの推奨事項の1.5倍から2倍にします。

Greedo · Answer

優れたファイアウォールアプリケーション（pf）が含まれているため、OSとしてOpenBSDを使用することをお勧めします。プロキシ/ウェブフィルターには、ポートツリーから非常に簡単に構築できるSquidを使用します。

Pfの利点は、トラフィックシェーピング/優先順位付けを備えた、最も堅牢なファイアウォールパッケージの1つであることです。そして、OpenBSDは間違いなくOpenSource * nixesの中で最も安全なものの1つです。

指定したユーザー数とインターネット接続では、ハードウェア要件はそれほど高くありません。適切な数のインターフェイスを備えた最近のワークステーションであれば、十分すぎるほどです。実際、2つの安価なシステムを購入すると、OBSDとpfで利用可能な組み込みのフェイルオーバーを利用できるようになります。

wittwerch · Answer

したがって、説明に基づいて、必要なものは次のとおりです。ファイアウォール=> cpuの使用、プロキシ= ram/disk、Webコンテンツフィルター= cpuの使用2GHzおよび2GBのRAMを備えたすべての標準サーバーで十分だと思います。

Hondalex · Answer

いつでもハードウェアファイアウォールを実行できます。私は過去にそれらを使用しました。NetgearのFVS338またはFVX538を調べてください。それらは非常に安価で、実行したいほとんどのことを実行できます。 ISPをWANポートに接続してから、NetgearのLANからスイッチへの接続を実行します。

お役に立てれば

andrewd18 · Answer

現在のユーザーセットを維持し、将来に向けて十分に拡張するには、1〜2GBのRAM）を備えたかなり最新のコンピューター（Pentium 4+）で十分だと思います。最近、特にLinuxまたはBSDベースのOSを使用している場合に、「古い」ハードウェアから実行できるタスク。重要でないタスク（グラフィカルサーバーなど）を最小限に抑えるだけです。

私はあなたが最もよく知っているオペレーティングシステムを選んで行くと思います。彼らは両方ともその仕事をうまく処理することができます。 BSDの方がおそらくオーバーヘッドは少ないですが、「BSDについての記事を読んだのですが、Debianの経験があります」ということになる場合は、使い慣れたOSを使用することをお勧めします。非実稼働システムではいつでもBSDを試すことができます。

新しいコンピューターをルーターとファイアウォールの両方として設定するのがおそらく最も簡単ですが、それをブリッジとして維持することにより、ユーザーとWebの間にファイアウォールの層を追加することになります。どちらの方法でも、必要なブリッジングとWebコンテンツフィルターを処理するのに十分なはずです。

Tom Newton · Answer

real contentfiltering ala dansguardianを実行していない限り、それをハッキングしないPCハードウェアを見つけることはできません。ホームネット上の古いSmoothWallはP3-266/256MbのRAMでした！言われているようにanyエントリーレベルのサーバーは、HP ML110か何かでいいですか？

Michael Shaw · Answer

私は、OpenBSDを使用して、利用可能な最も安価なAthlon64プロセッサ、1GBのRAM（512mbの方が高価だったため...）、および2つのネットワークカードを使用して、まさにそのような自家製システムで20ユーザーを実行した経験があります。私の以前の経験はLinuxでしたが、セキュリティの実績が印象的であるため、これにはOpenBSDを使用しました。 pf.confファイルには少し学習曲線が必要です。

PCは安定しており、パフォーマンスのボトルネックの兆候はありません。