从思科的规格来看,其最大吞吐量数字有多可靠?
我正在考虑使用 ASA5505,我预计恒定负载约为指定最大值的 60-70%,峰值约为 80-90%。
与规格相比,人们对思科防火墙质量的总体看法如何?防火墙的主要任务是阻止端口和 NAT - 不阻止 http 类型的流量。
答案1
人们普遍认为思科不会就其规格撒谎。话虽如此,它们可能不是真实世界的规格。在防火墙上,需要配置的东西太多了,以至于你对数据包进行的任何检查都会影响你的吞吐量。添加 AIP-SSC 卡进行 IPS 检查,你的防火墙就会被埋没。
根据您的粗略数字,我会升级到具有千兆接口的 5510 或 5520。
答案2
单个连接(假设只是 RAW UDP 传输)可能会推动 100% 的吞吐量。
我更不确定如果有大量不同的 TCP 连接进行检查(如 http 等),会发生什么情况。每次检查都需要 CPU 处理,因此如果站点非常繁忙,CPU 限制可能会成为问题。
我会按照 GregD 所说的去做,稍微提高硬件水平(或者考虑使用带有 pfSense 或类似产品的 2U 服务器)。