我正在寻找商用防火墙设备的替代品。
网上的大多数资源都描述了家庭网络防火墙或亚千兆网络。考虑到 10GbE 正在成为标准的服务器连接,使用白盒设备是否能达到与专用设备相同的性能水平?
该问题特定于数据中心环境,这意味着:
- 服务器级硬件
- 10 至 40GbE 网络
其他要求:
- 开源操作系统
- 开源防火墙软件
我知道从服务器获得 10 Gbps 的速度已经相当困难了,但是是否有可能在不使用专门的硬件的情况下过滤如此大量的流量?
延迟是否与商用设备相当或至少处于同一数量级?
你们中有人在生产中运行这种设置吗?
开始之前有哪些陷阱和需要了解的事情?
我重写了原来的问题,将其范围缩小了:
是否可以在数据中心网络(10GbE 或更高)中运行基于 OpenBSD 的防火墙,并获得与 Cisco ASA、Juniper SRX 等设备相同或更好的延迟/带宽?
答案1
我对此表示怀疑。据我所知,OpenBSD 仍然缺乏适当的 SMP 支持,仍在与巨型锁问题作斗争,并且仍然有不支持 SMP 的 PF。
您应该看看 FreeBSD,它已经解决了这些问题。不过,实施 10GBe+ 网络和服务仍然需要比 Cisco/Juniper 设备更深入的知识。