我所在的公司有三个互联网连接。我们计划安装一个防火墙设备来覆盖所有三个连接。
从理论上讲,我可以想象通过将所有网络线路连接到一个非常昂贵的设备来实现这一点。
但是,我想使用 OpenSource 解决方案,例如 opensense 或 pfsense。因此我需要组装自己的硬件。
在不购买企业级防火墙设备的情况下,最有效的方法是什么?
答案1
就我的经验而言,我可以告诉你,没有任何便宜或昂贵的硬件能够让你获得与嵌入式 UTM 设备相同的性能。我尝试了 Endian 作为 VM 和裸机。它不可能像他们的 UTM 那样快速运行。
我可以建议您尝试开源的方式(pfSense 也是一个不错的选择)但您必须看看它是否适合您的环境。
在大型环境中,许多功能(例如 http(s) 上的内容过滤/防病毒,或流量整形、邮件代理等)都会变慢。使用 Endian 时,我在客户端数少于 30 个时就体验到了非常慢的代理!
如果他们既有免费的社区支持软件,又有企业级硬件设备,那应该有区别!否则,与可以在每台 10 年旧 PC 上运行的免费 ISO 相比,他们的硬件设备 4-5-10000 欧元的价格是不合理的。
因此,回答你的问题,如果你想要走便宜的方式,请使用你已经拥有的免费软件和硬件,但请考虑在将这样的解决方案投入生产之前,你必须对其进行测试。
这里提到的两个发行版都支持多上行链路。您可以设置多个 WAN,其中红端有一个 NIC,并使用 VLAN(两个发行版都支持)通过托管交换机处理路由器,或者每个路由器需要一个 NIC。我建议使用前者。然后,您将使用多个 WAN 定义故障转移策略或策略路由规则集,或者最好两者兼而有之!