我正在寻找一种特定的硬件防火墙模型解决方案,以最好地解决以下问题[思科型号是最好的,因为我们的托管服务器可以以优惠的价格翻新它们]:
- 目前,一个托管中心内有 8 台服务器,每台服务器的输入速度为 100MBps(尽管它们的卡的额定速度为 1Gb),每台服务器都有自己的 IP,我希望尽可能减少潜在的吞吐量损失
- VPN 并不是一个真正的问题
- 如果防火墙可以处理多个子网/IP 范围就好了
- 目前,服务器的总带宽输入为 500kbps 至 2Mbps
- 处理流量最多的服务器处理约 1/3 的总流量
- 防火墙需要能够根据 IP/域名将流量路由到内部寻址的 Web 服务器
- 这些服务器总共托管 70 个网站
- 我希望防火墙能够处理流量、站点数量和服务器数量的 20-50% 的增长。
我最关心的是防火墙处理的入站和出站端口的数量。它至少需要 8 个出站端口和 8 个入站端口(在我看来)才能复制当前设置。
我也愿意接受涉及更改配置的建议。也许我需要在服务器和防火墙之间放置一个交换机?我还被告知,托管服务器可以选择将其端口的连接速度升级到 1Gbps - 这可能会解决总带宽问题。
好的 - 如果我可以提供任何相关数据,请告诉我。
答案1
您列出的任何内容听起来都不像是与大多数合理的防火墙相矛盾,因此您应该能够使用 Juniper SSG5 甚至更旧的 NetScreen 5GT 或 NS25 之类的产品。 (我对思科的产品线不太熟悉,但您可能会考虑 ASA 5505 或 5510,或更旧的 PIX。)
破坏防火墙的主要因素是加密的数量(这应该不是问题,因为您说您不需要 VPN)、每秒数据包数和并发流(您可能想要收集这些数据)以及 CPU 负载(如果您正在执行 DPI)。
答案2
我喜欢阿斯塔罗。它易于配置和部署。站点数量无关紧要,但您应该根据流量确定大小。它具有内置的静态和动态 VPN,因此您可以轻松远程访问 colo 网络。
Astaro 还拥有一些专门用于帮助安全的 Web 服务器。