我正在考虑在新的 colo 安装中要使用哪些类型的设备。我们在配置 Cisco 路由器方面有一些经验,但我们在 Linux 系统管理员方面的知识更丰富。(签约 CCNA 是一种选择,但我担心当我们真正需要他们时他们是否可用。)因此,我倾向于使用运行 Shorewall 的 Linux 机箱,而不是使用 Cisco/Juniper 路由器。这还将使我们能够利用现有的配置管理和合规性基础设施。其中大部分将设置为相当简单的 NAT。没有 BGP、OSFP、RIP 或其他实际路由协议。
想象中的设置如下:
- 电路上的最大吞吐量为 100Mbit。我们的标准峰值吞吐量更接近 10Mbit。
- 背后有 20-30 位房东
- 大部分是 HTTPS 流量。一些 HTTP、SMTP 和 SSH
- /24 IP 块
我主要关心的是实施和维护的简易性。成本不是主要问题,但我宁愿不要花超过 2500 美元购买新设备(我曾遇到过翻新设备不尽人意的情况)。我们当前的网络设备将保持原样。无论我们使用什么,都将是新购买的。
在 Cisco 方面,我考虑过 2901 之类的产品。如果我选择 Linux 解决方案,我会放弃什么?现代基于 Xeon 的 Linux/Shorewall 盒能否处理具有约 300 条规则的 100Mbit NAT?Cisco 设备能否更好地处理 DDoS 攻击?
答案1
是的,您指定的硬件可以轻松处理这个工作负载,而且说实话,只要配备合适的网卡,它就能处理得更好。
你有没有考虑过普富思而不是 Linux/Shorewall?pfSense 基于 FreeBSD 网络堆栈和 pf - 因此,在“软件”路由器平台中,其网络性能、稳定性和安全性是首屈一指的。它带有一个不错的基于 Web 浏览器的配置界面。我在这种环境中使用 pfSense 的经验非常丰富,我从未对它的性能或功能感到失望。
当然,思科设备可能能够比 pfSense 或 Shorewall 盒更好地应对 DDoS,但不一定。2901 不是高性能路由器,而且无论如何都是在软件中完成所有路由/交换,因此即使配置最佳,它的表现也可能不会比替代方案更好。
一个建议 - 如果可以的话,放弃 NAT 的想法。您将获得 /24,因此您将拥有足够的 IP 地址。关闭路由器上的 NAT,设置默认拒绝防火墙策略,然后仅为您需要的主机/端口添加允许规则。NAT 会增加路由器的额外负载,增加管理复杂性,并且不会为您带来任何额外的安全性。
答案2
提供具有 NAT 和路由的基本防火墙,但没有深度数据包检测并不是一项特别耗 CPU 的任务。PFsense 硬件尺寸指南表明 1 GHz CPU 足以实现 100 Mbps 线速性能。
围绕 Supermicro X7SPE-HF(或 X7SPE-HF-D525)主板构建的廉价双核 Atom 服务器是此类应用的热门选择。这些服务器可以与交换机和配线架一起安装在电信机架中,配有板载双千兆位接口,并有一个 PCI-express 插槽,可以轻松添加四个。使用这种类型的硬件,您可以用 500 美元或更少的全新组件构建开源防火墙设备。以下是一份建议零件清单让您了解各种可能性。
当然,商用防火墙和安全设备可能建立在非常相似的硬件上。购买商用防火墙设备时,人们通常看重的是声誉、软件功能和支持。
答案3
我对 linux/iptables 相当熟练,但我更喜欢使用 pfsense,因为它更容易维护,还可以添加内容过滤和 vpn 等实用功能(虽然我还没有让 OpenVPN 工作,但我几乎试过一次)。我们的上传和下载速度均为 10mbit,使用的是一台旧的 3Ghz Xeon 处理器,内存为 512mb,但 CPU 使用率从未超过 10%,内存使用率也从未超过 64mb。