我正在检查一些防火墙选项,但不确定设备和“服务器+软件”解决方案之间的性能差异。
我一直使用设备防火墙,但我想知道是否可以使用具有强大服务器的软件选项获得相同的性能。
我需要一个具有 400+Mbps 吞吐量和 100.000 个并发会话的环境,但这仅供参考。
答案1
对于你要推送的数据量,我强烈建议你使用类似思科 ASA 5520。我以前用过这些,它们非常功能强大的防火墙。如果您需要,它们还可以提供 VPN 服务。规格说明称,它们可以处理高达 450Mbit 和 280k 会话。
如果你最终决定使用基于软件的防火墙(这有点用词不当,因为所有防火墙都是基于软件的。我离题了),我强烈建议你使用类似PFSense。它基于 BSD,因此网络和防火墙性能和安全性对于此类产品来说已经是最好的了。一想到要使用 ISA Server 来路由和检查 400Mbits,我就不寒而栗……
澄清问题后进行编辑
无法对基于服务器的解决方案和设备进行一般性比较。每个类别的硬件质量差异巨大。您会发现一些“设备”只是商品硬件、廉价网卡,运行 Linux 并带有漂亮的 GUI 前端。将该设备与具有大量 RAM、几个 PCIe 卡和 PFsense 的四核服务器类机器进行比较,毫无疑问,服务器将完全胜过“设备”。相反,有些设备使用真正的硬件 ASIC 来处理数据包。根据您的数据包负载和您想要执行的过滤类型,这些可以是非常高性能。
最后,我认为您要么必须尝试其中一些解决方案,看看哪种解决方案更适合您,要么直接联系供应商了解具体型号。
就像我说的,我对 ASA 平台和 PFSense 都有相当多的经验。这两个平台各有优缺点,但就你的情况而言,我认为两者都能够很好地处理你预期的负载。
答案2
我想您会发现,无论您购买其设备还是将其软件安装到自己的机器上,检查点防火墙都是现成的 PC。
事实上,大多数防火墙都是软件和硬件的混合体;一方面是运行 openbsd/freebsd 和 PF 的 PC —— 它主要是软件,但您可以使用具有用于计算校验和和 IP 头卸载等类似功能的硬件的以太网卡。
另一方面,像旧版 extreme networks summit5i 这样的设备可以实现 NAT 和基于流量的负载平衡、ACL 执行和许多其他功能,全部通过硬件实现。它不会进行状态数据包检查或 IDP 类型的操作,但它可以执行防火墙的一些功能,而且速度非常快。
就您所看到的流量负载而言,任何现代服务器级 PC 都应能满足简单的状态防火墙和 nat 的要求。如果您需要其他功能,请查看哪个供应商提供您想要的功能和支持,而不要纠结于它是在 asic 还是 CPU 中完成的细节。
答案3
我曾经使用过 ISA Server,只要配置得当,并且有足够的资源,我并没有发现它有什么问题。而使用硬件设备,它们可能会消除操作系统的开销,但也可能花费更多,具体取决于设置。但是,我们的设置规模要小得多,但要回答您的问题,除了服务器开销外,我们没有注意到任何重大差异。我说,如果它是在专用机器上设置的,你应该没问题,只需记住,对于基于软件的防火墙,您可能需要考虑更多安全方面的步骤。因为它们不仅能够通过自己的软件进行绑定,而且还能通过运行它的软件进行绑定。总而言之,性能实际上取决于机器是否专用以及您的设置类型。不过,我个人确实喜欢硬件设备。