对于拥有 500-5000 名用户的公司来说,一些“典型”的互联网网关设置是什么?例如
- 防火墙——某些硬件设备?
- Web 代理 - squid 或其他代理软件/设备?
- 内容过滤/阻止 - Barracuda 或 Websense 或其他软件?
我对一些公司实际使用的例子很感兴趣。我的术语可能也有点问题。
答案1
在这种规模的网络中我期望找到:
冗余边缘路由器(在拟议网络规模较大的一端与不同的 ISP 多宿主)
冗余防火墙(专用硬件设备或运行防火墙软件的商用服务器计算机——热烈的讨论此处关于两者)
内容过滤和 Web 代理 - 使用商业或开源产品(同样,使用专用硬件或商用服务器计算机,适用相同的激烈争论)
我认为您的问题已经包含了您想要的部分答案。为大型网络提供这些服务与为小型网络提供这些服务相比并没有什么“魔力”,除了更加谨慎地考虑冗余、容量规划和测试。
以下是我曾经工作过的几个环境的一些细节:
我曾在一家财富 1000 强公司工作,该公司大约有 4,000 名客户,由两个基于 DS3 的互联网连接提供服务。边缘防火墙是采用主动/被动配置的 Cisco ASA-5520 设备。两台 Cisco 3600 系列路由器(不记得型号了)为 ISP 提供边缘连接。公司内大多数子网的互联网访问都通过 Websense 内容过滤设备进行过滤。我不知道是否存在任何缓存,但肯定有可能存在一些我不知道的透明缓存。
我与一家非营利性联盟合作,该联盟为许多公立学校提供互联网接入和应用程序托管服务(其整个客户群中拥有超过 5,000 名个人客户)。他们与上游互联网服务提供商具有冗余连接,并且与上游多宿主。他们使用 M86 8e6 过滤设备提供所有过滤。他们的缓存过去是由 STRATACACHE 设备提供的,但他们最近可能已经不再使用这些设备了——我没有跟进。他们的边缘防火墙仍然基于思科,上次我检查时,它是 Cisco Catalyst 6509 交换机中的防火墙服务模块。
答案2
我会逃离梭鱼——(谷歌梭鱼很烂)——当然那只是我使用他们的反垃圾邮件工具的经验不是他们的防火墙。
PFSense 有一个免费且非常棒的解决方案。
什么是 PFSense?
pfSense 是一款免费的开源定制版 FreeBSD 发行版,专门用作防火墙和路由器。除了是一个功能强大、灵活的防火墙和路由平台之外,它还包含一系列相关功能和一个软件包系统,允许进一步扩展,而不会给基础发行版增加臃肿和潜在的安全漏洞。pfSense 是一个受欢迎的项目,自成立以来下载量已超过 100 万次,并在无数安装中得到验证,从保护 PC 和 Xbox 的小型家庭网络到保护数千台网络设备的大型公司、大学和其他组织。
我们在许多网络的边缘运行 pfSense - 从我们支持的一些大型公司到数据中心为客户机提供的整个机柜。
它几乎支持任何类型的路由,包括 BGP,具有强大的防火墙,如果您愿意,也可以在透明模式下工作。
也可以在虚拟环境中运行,例如虚拟机
支持选项多种多样,包括论坛、电子邮件列表、付费支持甚至免费的 IRC 社区
我们与开源运动 PFSense 没有任何关联——只是使用并喜爱它。
- 根据要求编辑并添加至 barracuda 的链接...
我们的 PF 系统之一的图片 http://www.hostmedic.com/wp-content/uploads/2010/12/pf1exam.jpg
答案3
另一个选择是 Vyatta。
我喜欢 Vyatta,因为它确实非常接近思科设备的感觉 - 但它在 x86 硬件上运行。
他们的社区版通常每年发布两次左右。我们使用了他们的社区版,不久前将我们拥有的 WISP 升级到付费版 - 主要是为了支持选项。
限制流量的能力对于我们来说具有巨大的价值。
www.Vyatta.com 是什么
Vyatta 正在通过提供基于软件的开源网络操作系统来革新网络行业,该系统可移植到标准 x86 硬件以及常见的虚拟化和云计算平台上。通过部署 Vyatta,用户可以享受灵活的企业级路由和安全功能集,该功能集能够从 DSL 扩展到 20Gbps 性能,而成本仅为专有解决方案的一小部分。全球数以千计的物理和虚拟基础设施(从小型企业到财富 500 强)都通过 Vyatta 软件和设备进行连接和保护。
Vyatta 也将在虚拟环境中运行 - 据 Tolly 报道,它的成绩也非常不错。
但是,允许 2 个以上路由器的负载平衡和心跳需要付费版本 ;-(