專用路由器/防火牆與 Linux iptables/防火牆
我正在確定在新的 colo 安裝中要使用哪些類型的設備。我們有一些配置 Cisco 路由器的經驗,但我們在 Linux 系統管理員方面的知識要深得多。(簽約 CCNA 是一種選擇,但我擔心當我們真正需要它們時它們是否可用。)因此,我不使用 Cisco/Juniper 路由器,而是傾向於使用執行 Shorewall 的 Linux 機器。這也將使我們能夠利用我們現有的配置管理和合規性基礎設施。大部分設置將是相當簡單的 NAT。沒有 BGP、OSFP、RIP 或其他真正的路由協議。
這是想像中的設置:
- 電路上的最大吞吐量為 100Mbit。我們的標準峰值吞吐量更像是 10Mbit。
- 這背後有20-30個主機
- 主要是 HTTPS 流量。一些 HTTP、SMTP 和 SSH
- /24 IP 塊
我主要關心的是易於實施和維護。成本不是主要問題,但我不希望為新設備花費超過 2500 美元(我在翻新設備方面運氣不佳)。我們目前的網路設備將保持原狀。無論我們使用什麼都將是新的購買。
在 Cisco 方面,我正在尋找類似 2901 的產品。如果我使用 Linux 解決方案,我會放棄什麼?一個現代的基於 Xeon 的 Linux/Shorewall 機器可以處理 100Mbit 的 NAT 和大約 300 條規則嗎?Cisco 設備會更好地處理 DDoS 攻擊嗎?
是的,你指定的硬體可以很容易地處理這個工作量,而且更老實說,使用不錯的 NIC。
您是否考慮過pfSense而不是 Linux/Shorewall?pfSense 基於 FreeBSD 網路堆棧和 pf - 因此它的網路性能、穩定性和安全性在“軟體”路由器平台方面是首屈一指的。它帶有一個不錯的基於 Web 瀏覽器的配置界面。在這種環境中,我對 pfSense 有豐富的經驗,而且我從未對它的性能或功能感到失望。
當然,Cisco 設備可能能夠比 pfSense 或 Shorewall 設備更好地處理 DDoS,但不一定。2901 不是高性能路由器,並且無論如何都在軟體中進行所有路由/交換,因此即使配置最佳,它也可能不會比替代方案更好。
一項建議 - 如果可以的話,放棄 NAT 的想法。您將獲得 /24,因此您將擁有大量 IP 地址。關閉路由器上的 NAT,設置預設拒絕防火牆策略,然後僅為您需要的主機/埠添加允許規則。NAT 增加了路由器的額外負載,增加了額外的管理複雜性,並且不會為您購買任何額外的安全性。