项目是在 PFsense 防火墙后面共置一个小型数据中心结构(本地用于开发和托管目的 (WebServer))。我们准备了一些 HP DL360 G5 供此使用,因此我打算构建项目结构:
- 互联网提供商调制解调器/路由器
PfSense 防火墙: 3x PfSense 用于主要安全用途 + 3 个主要 PFsense 防火墙镜像(失败)。
Ubuntu MaaS DC 结构(包含 Juju 等等):1 个区域控制器 + 2 个机架控制器,用于 2 个独立机架服务器单元。
我的计划是使用 PFsense 构建多重防火墙。我希望逻辑架构是正确的:
Provider Router/Modem
|
PFs1---------------------------------------------------PFs1m
| |
PFs2---------------------------------------------------PFs2m
| |
PFs3---------------------------------------------------PFs3m
|
MaaS Region Controller
/\
/ \
/ \
MaaS Rack Controller--------------- -----------------MaaS Rack Controller
/ \ / \
Nodes Nodes Nodes Nodes
图例:
PFs{number} = PFsense
PFs{number}m = PFsense (HA 镜像)
是否可以使用多个 PFsense 防火墙来“提高”更多防火墙背后的安全性?如何做到这一点?
答案1
这个问题的答案是肯定的,你可以!
CARP 是此用途的最佳方法。
您可以根据需要配置任意数量的防火墙。您要做的就是将第一个防火墙镜像为克隆。例如:您有 3 个防火墙(FW1、FW2、FW3)
FW1 是主 0
FW2 是 1 的克隆
FW3 是 2 的克隆
所以如果:
1:FW1 处于 UP 状态 -> FW2 处于 UP 状态 -> FW3 处于 UP 状态 = FW1 正在运行(FW2 + FW3 作为克隆)
2:FW1 处于 DOWN 状态 -> FW2 处于 UP 状态 -> FW3 处于 UP 状态 = FW2 正在运行(FW3 作为克隆)
3:FW1 处于 DOWN 状态 -> FW2 处于 DOWN 状态 -> FW3 处于 UP 状态 = FW3 正在运行(无克隆)
4:FW1 处于 UP 状态 -> FW2 处于 DOWN/UP 状态 -> FW3 处于 DOWN/UP 状态 = FW1 正在运行(FW2 + FW3 作为克隆)
... 等等
。
在 PFSense 论坛上搜索 CARP+PFSense+Ubuntu。