有人要求我研究在 DMZ 中的 Web 服务器 (Debian/Apache/PHP) 和后端 MySQL 数据库之间放置防火墙以实现“隔离”。目前,iptables 正在 MySQL 服务器上运行,并且仅允许 SSH 和 MySQL 分别使用 TCP 22 和 3306。然而,这显然不够好,建议使用硬件防火墙。
以思科 ASA 5505 为例,其最大吞吐量为 150Mbps,与思科 ASA 5505 的千兆吞吐量相比,似乎相差甚远。Web 服务器和 MySQL 服务器现在可以在同一个 GbE 交换机上。
这值得担心吗?我现在无法给出任何数字,但假设您的典型表单驱动、数据输入 CRUD web 应用程序可能随时有 100 个并发用户会话。
如果没有任何实际吞吐量数字就无法确定这一点,有人可以建议任何测量方法吗?我正在考虑抓取 JMeter,模拟一些负载,并使用 ntop 测量 MySQL 接口的端口镜像(或者可能是 MySQL 服务器本身)上的带宽。
编辑:
我把千兆以太网的条目加粗了,理论上它的吞吐量应该是 125MB/s,而 Cisco 5505 的最大吞吐量是 150Mbps(或 ~18MB/s),而且这还不包括 NAT 或 ACL 解析等(虽然我认为 NAT 或 ACL 解析对单节点网络来说不是什么大问题)。即便如此,防火墙肯定是 Web 服务器和 MySQL 服务器之间的潜在瓶颈,因为一个好的 RAID1 设置加上高质量的 SAS 磁盘和其他服务器组件至少应该能够达到 50-75MB/s。
答案1
那么 Web 服务器上有两个 NIC,一个在 DMZ 上,一个在 LAN 上,怎么样?
编辑:由于答案已被接受,因此我会提供更多详细信息。
Web 服务器必然是面向公众的,其理念是使用防火墙,以便只有端口 80,443 可以公开访问。然后,它可以在内部通过 LAN 接口与数据库服务器通信。这也有利于将公共流量放在与内部流量不同的接口上。这是一种非常常见的配置,可以提供额外的安全性,因为公共流量和内部流量是身体上而不是依赖防火墙。
答案2
我不太清楚你的最大吞吐量是多少,因为思科网站讲述了一个不同的故事(150Mbps)。
这是 100Mb 以太网连接,当然,您的实际吞吐量将完全取决于多种因素,包括您在 ASA 上进行的过滤类型。使用 ASA 的优势在于您可以添加 AIP-SSC 卡并获得入侵预防/检测。
您可以尝试使用允许退货的供应商提供的 ASA5505。我无法判断您的吞吐量,因为我只有 5510 和 5520。我在家里使用 5505,没有发现吞吐量问题,但当然只有我和我的家人。
答案3
是的,这将是一个瓶颈,如果您想处理 1Gbps 线速,您可能需要更大的防火墙。
但是,你现在真的需要以 1Gbps 的速度运行吗?这可能是未来的要求,但如果你目前只使用 5Mbps 的速度,那么现在你仍然有足够的容量。
在连接 SQL 和 Web 服务器的交换机上,您可以使用某些东西从 MIB 中检索端口利用率状态,以查看您真正需要多少带宽。我们在工作中使用 Cacti,因为它免费、快速且易于设置。当我们预计/遇到性能问题时,我们可以监控交换机端口利用率,并使用证据来决定下一步该怎么做。
答案4
asa 5505 的吞吐量为 150 mbit/s。我看不出在安全方面有什么好处。可能是由不太了解防火墙的人决定的。