Web 和 DB 伺服器之間的防火牆

我不得不在我們的網路伺服器和數據庫之間設置防火牆。我承認我並不完全相信這是值得的努力……但我終於做到了。

不幸的是，我選擇的設備（Linksys RVS4000）是一個完整的狗。哦，當然，它的兩邊都有 1Gb 介面，但我的吞吐量低於 100Mb。我嘗試的下一個設備更像是傳統的防火牆，並且似乎不想路由私有地址（WatchGuard x55e）。

那麼，對於那些在 web 和 db 伺服器之間放置防火牆的人來說，你使用什麼？

注意：我們不要爭論所述防火牆的用處，在這種情況下，它是客戶要求而不是爭論……我只是想讓一些東西在沒有重大性能影響的情況下工作。

如果好奇，這篇博文有更多細節。

$$ Updated 10/9/2009 $$ 一旦我將 WatchGuard 刷新到最新的主要版本升級 (11.0.1)，它就會正確處理所有路由。在本週末進行一些測試後，我將了解更多有關性能的資訊。

我們在細分市場之間使用 Cisco ASA（主動/被動對），它們執行良好。如果 100 Mb/s 對您來說足夠快，即使是最低端的 5505 也能以 150Mb/s 的速度通過流量。請參閱此處了解模型比較。

我建議不要使用其他設備來調試 Linksys 的問題。當 QoS 是缺乏性能的罪魁禍首時，我曾經遇到過這個問題：最大可用頻寬遠低於可用的實際吞吐量。因此，首先，我會禁用所述防火牆上的所有頻寬管理痕跡。其次，這是一個非常基本的技巧，也許您已經嘗試過，但是您是否將所涉及的每個網卡（在 Web 伺服器上、數據庫伺服器上以及 Linksys 上的兩個網卡上）都設置為 1000Mb/s / 全速的固定速度雙工，而不是“自動協商”？根據我的經驗，它經常在這種設備之間造成麻煩。

引用自：https://serverfault.com/questions/71156