Security

Web 和 DB 伺服器之間的防火牆

  • October 9, 2009

我不得不在我們的網路伺服器和數據庫之間設置防火牆。我承認我並不完全相信這是值得的努力……但我終於做到了。

不幸的是,我選擇的設備(Linksys RVS4000)是一個完整的狗。哦,當然,它的兩邊都有 1Gb 介面,但我的吞吐量低於 100Mb。我嘗試的下一個設備更像是傳統的防火牆,並且似乎不想路由私有地址(WatchGuard x55e)。

那麼,對於那些在 web 和 db 伺服器之間放置防火牆的人來說,使用什麼?

注意:我們不要爭論所述防火牆的用處,在這種情況下,它是客戶要求而不是爭論……我只是想讓一些東西在沒有重大性能影響的情況下工作。

如果好奇,這篇博文有更多細節。

$$ Updated 10/9/2009 $$ 一旦我將 WatchGuard 刷新到最新的主要版本升級 (11.0.1),它就會正確處理所有路由。在本週末進行一些測試後,我將了解更多有關性能的資訊。

我們在細分市場之間使用 Cisco ASA(主動/被動對),它們執行良好。如果 100 Mb/s 對您來說足夠快,即使是最低端的 5505 也能以 150Mb/s 的速度通過流量。請參閱此處了解模型比較。

我建議不要使用其他設備來調試 Linksys 的問題。當 QoS 是缺乏性能的罪魁禍首時,我曾經遇到過這個問題:最大可用頻寬遠低於可用的實際吞吐量。因此,首先,我會禁用所述防火牆上的所有頻寬管理痕跡。其次,這是一個非常基本的技巧,也許您已經嘗試過,但是您是否將所涉及的每個網卡(在 Web 伺服器上、數據庫伺服器上以及 Linksys 上的兩個網卡上)都設置為 1000Mb/s / 全速的固定速度雙工,而不是“自動協商”?根據我的經驗,它經常在這種設備之間造成麻煩。

引用自:https://serverfault.com/questions/71156