我必须在我们的网络服务器和数据库之间安装防火墙。我承认我并不完全相信这样做是值得的……但我最终还是这么做了。
不幸的是,我选择的设备(Linksys RVS4000)完全是一团糟。当然,它两侧都有 1Gb 接口,但我的吞吐量却远低于 100Mb。我尝试的下一个设备更像是传统的防火墙,似乎不想路由私有地址(WatchGuard x55e)。
那么,对于那些在 Web 服务器和数据库服务器之间设置防火墙的人来说,你使用?
注意:我们不要争论所述防火墙的实用性,在这种情况下,它是客户的要求,并且无须争论...我只是想让某些东西正常工作,而不会对性能造成重大影响。
如果你好奇的话,博客文章有更多详细信息。
[2009 年 10 月 9 日更新] 一旦我将 WatchGuard 刷新到最新的主要版本升级 (11.0.1),它就可以正确处理所有路由。本周末进行一些测试后,我将对性能有更多了解。
答案1
我们在各个网段之间使用 Cisco ASA(主动/被动对),它们运行良好。如果 100 Mb/s 对您来说足够快,那么最低端的 5505 也只能以 150Mb/s 的速度传输流量,请参见这里用于模型比较。
答案2
我不建议使用其他设备,而是建议调试 Linksys 的问题。我曾经遇到过这个问题,当时 QoS 是性能不足的罪魁祸首:最大可用带宽远低于实际可用吞吐量。因此,首先,我会禁用所述防火墙上的所有带宽管理痕迹。其次,这是一个非常基本的技巧,也许您已经尝试过,但您是否已将涉及的每个网卡(在 Web 服务器上、在数据库服务器上以及 Linksys 上的两个网卡)设置为固定速度 1000Mb/s / 全双工,而不是“自动协商”?根据我的经验,它经常导致此类设备之间出现问题。
答案3
我通常会使用其中之一Supermicro 1U 服务器和维亚塔或其他 Linux 发行版和火力全开(如果我需要添加除了路由之外的其他服务)。
答案4
如果您的交换机/路由器上没有基于系统的防火墙或访问列表,那么您可以选择桥接防火墙(如果需要,请谷歌搜索该术语),您现在应该能够使用任何 *bsd/linux 机器来构建它。