我需要在防火墙后面设置几台服务器(目前是 4 台,将来会更多)。数据中心希望提供一个带有 IP 地址块的单个端口,然后我会让防火墙将正确的 IP 地址转发到正确的服务器。
您对合理的防火墙有何建议?
一些补充说明:
- 所有服务器都是低流量的网络服务器。
- 与数据中心网络的连接是千兆位的,我的突发上限是 6mb。
- 我不想要一些非常难以管理的东西。我习惯了 pfSense,它非常好,但目前我不想为 pfSense 额外增加一整台 1U 服务器。
- 我将被分配一块 8 或 16 个 IP 地址以分配给各个服务器。
- 我不是有钱人,所以请不要推荐任何 $$$$$$$
答案1
不确定您期望什么不会占用任何机架空间。:) 但是,您不需要完整的 1U 盒来运行 pfSense。小型 ALIX 套件就足够了,而且它们是预安装的。 http://www.netgate.com/index.php?cPath=60_84
这可能是您能找到的真正适合托管环境的占用空间最小的盒子,它甚至比普通的 SOHO Linksys/DLink/等还要小。有人通过它们运行相当不错的负载。哎呀,我们在运行 pfSense 的 WRAP(ALIX 的前身,容量是其 1/3)后面的 Web 服务器上安装了 Slashdotted,网站 100% 保持在线,并且响应速度与其他任何一天一样快。
如果您需要少于 ~75,000 个同时活动连接,并且吞吐量低于 ~85 Mbps,那么 ALIX 完全没问题。需要大量的网络流量才能达到这一点,所以这对您来说没问题。
答案2
始终有可能只使用每台计算机的内置防火墙而不是单独的设备。
如果您已安装防火墙,Netscreen 系列可能可以满足您的需求 - 即使是入门级 SSG5 也能够满足“轻度”使用(最多 8K 个同时连接),根据您的需要,可以进一步增加。但是,它是一个硬件单元,这意味着您仍然需要在机架中为其留出空间。
答案3
为共置计算机设置网关还有其他一些优势。无论它是某种设备还是计算机。
大多数网关设备使用 VIP 来公开防火墙后面的服务。其中大多数允许在防火墙内的多台计算机之间进行一些简单的负载平衡。这使得管理外部 IP 地址变得更容易一些,并且在紧急情况下,您可以轻松地将流量指向内部的另一台计算机。
从安全角度来看,大多数网关设备还具有其他功能。因此,您还可以运行 IDS、anti-x(垃圾邮件、病毒、恶意软件)。它将允许您设置 VPN 隧道来访问管理接口,而无需将它们暴露在互联网上。如果您的服务器需要分段,它还可以让您设置单独的 VLAN,并在它们之间设置防火墙。
我们对 Fortinet 设备非常满意。与其他供应商的入门级设备相比,它们更便宜,功能更多。该公司的创始人也是 Netscreen 的创始人,后来 Netscreen 被卖给了 Juniper,他们刚刚上市,因此公司资金充足,发展良好。
答案4
鉴于您价格范围内的任何“设备”几乎肯定都是带有某种防火墙软件的 1RU 服务器反正那么,仅仅移除中间人、安装 1RU 服务器并按照您所了解的方式进行有什么问题呢?
编辑(在压力下):如果您的 DC 对非机架单元的东西收取较少的费用,请将旧台式电脑放在机架中,然后将 pfSense 放在其上。