我有一个约有5台Web服务器的Linux Web服务器场，Web流量约为20Mbps。

当前，我们有一个梭子鱼340负载平衡器(远离此设备！)，它充当防火墙。我想放置一个专用防火墙，我想知道人们对构建和购买专用防火墙有何看法。

主要要求：

• 动态阻止胭脂交通
• 动态限制流量
• 阻止除80、443以外的所有端口
• 将端口22限制为一组IP
• 高可用性设置

同样，如果我们选择构建路线，那么我们如何知道系统可以处理的流量级别。

解决方案

回答

对这一领域了解不多，但也许对Astaro安全网关了解不多？

回答

正如他们所说："有多种方法可以给猫咪剥皮"：

自己构建它，运行Linux或者* BSD之类的东西。这样做的好处是，它使我们可以轻松地解决问题的动态部分，而这只是几个放置适当的shell / python / perl /其他脚本的问题。缺点是最高流量速率可能不是专用防火墙设备上的最高流量速率，尽管我们仍然应该能够获得300Mbit / sec范围内的数据速率。 (此时，我们开始达到PCI总线限制)可能已经足够高了，这对我们来说不是问题。

购买专用的"防火墙设备"​​这样做的可能弊端是，根据设备的不同，完成要尝试完成的"动态"部分会有些困难，这可能很容易(Net :: Telnet / Net： ：SSH浮现在脑海中)，还是没有。如果我们担心峰值流量，则必须仔细检查制造商的规格，其中一些设备与"常规" PC一样容易受到相同的流量限制，因为它们仍然会遇到PCI总线带宽问题，等等。到那时，我们最好自己动手。

我想如果我们愿意的话，我们可以将其更多地理解为"赞成与反对"。

FWIW，我们在我的工作地点运行双FreeBSD防火墙，并定期以40 + Mbit / sec的速度运行，而没有明显的负载/问题。

回答

在过去的8年中，我们维护了一个小型开发网络，其中包含约20到30台机器。我们有一台专用于防火墙的计算机。

实际上，我们从来没有遇到过严重的问题，我们现在正在用专用的路由器/防火墙解决方案替换它(尽管我们还没有决定哪个)。这样做的原因是：简单(目标是防火墙，而不是维持Linux的运行)，更少的空间和更少的功耗。

回答

与高可用性有关：可以故障转移/高可用性方式为防火墙配置OpenBSD。请参阅此说明。我听说他们已经完成了演示，其中的设置与高端Cisco设备一样(如果不是更好)。

回答

绝对可以。我帮助管理ISP，我们建立了两个防火墙。一种是故障转移和冗余。我们使用一个名为pfsense的程序。我不能再推荐这个程序了。它具有用于配置它的出色的Web界面，我们实际上是在紧凑型闪存卡上运行它的。

回答

嗨，在这种情况下，我将寻求专用的防火墙产品。我已经使用Checkpoint防火墙系列产品很多年了，我一直发现它们易于安装和管理，并且具有强大的支持。使用Checkpoint或者其竞争对手之一是一个相当昂贵的选择，特别是如果我们要将其与开源软件进行比较，则取决于预算。

我还使用了思科的PIX和ASA系列防火墙。这些也不错，但我认为更难管理