Le migliori pratiche per l'hardware del firewall

Question

Le migliori pratiche per l'hardware del firewall

#1 da (3 voti)
#2 da (1 voti)
#3 da (1 voti)
#4 da (0 voti)

2

Sto pensando di implementare un firewall / router basato su Linux con almeno 6 schede NIC da 1 Gb (rete con ~ 300 computer / server con > = 8 VLAN)

Qualcuno può raccomandare le migliori pratiche dell'hardware (riferimento a discussioni / documenti?) per un tale progetto?

Ho diversi libri sui firewall Linux, ma quelli sono principalmente orientati alle regole iptables ++, ma non c'è nulla sui consigli hardware riguardo la scelta del processore (numero di core, velocità, cache, fornitore) RAM, prestazioni / configurazione disco / archiviazione e altre considerazioni durante la scelta di NIC.

linux hardware firewalls

posta nesko 23.02.2013 - 11:33

fonte

4 risposte

Leggi altre domande sui tag linux hardware firewalls

Email compromessa a causa di Yahoo Mail Exploit Ogni linguaggio lato client è più vulnerabile?

score 3 · Answer 1

Ricorda innanzitutto che un errore del tuo firewall avrà un impatto sull'intera rete. Da questo punto di vista, è necessario acquistare hardware di livello server estremamente affidabile con parti di usura ridondanti e hot-swap o costruire un paio di macchine e utilizzare un protocollo come CARP per controllare il failover tra di loro.

Detto questo, la prima scelta critica riguarda le schede di interfaccia di rete. Le prestazioni variano ampiamente. Sono stato un fan della serie Intel PRO NIC per anni. Sono costosi, ma si esibiscono. Scelta semplice.

La prossima scelta riguarda la CPU. Il numero di cicli della CPU per pacchetto dipenderà molto dalle regole del firewall. Se parliamo della più semplice possibilità di una dozzina di regole con un po 'di mantenimento dello stato, il Core i5 più conveniente probabilmente finirà il lavoro. Ma se ti stai avvicinando a cento valutazioni di regole per pacchetto, o hai intenzione di eseguire proxy, rilevamento di intrusioni di rete, registrazione pesante o altro, avrai bisogno di più potenza della CPU. Quanto ancora? La risposta è al prototipo e al benchmark.

score 1 · Answer 2

Per un firewall di rete, qualsiasi nuovo hardware Intel dual-core (Core i3) funzionerà anche a 6x 1 Gbit / s. Per un firewall di applicazione, consiglierei un quad core (Core i5). 4 GB di RAM saranno sufficienti per entrambi gli usi. L'archiviazione su disco non è importante, ma sono necessari almeno 5 GB. Per le schede di rete raccomanderei Intel o Broadcom NIC che supportano l'interruzione di coalescenza su Linux. Non consiglio di acquistare da un fornitore HW come IBM, HP, Dell poiché pagherai in eccesso. Basta acquistare i componenti e assemblarli da soli se il negozio non lo assemblerà per te.

score 1 · Answer 3

Informazioni su ram, Puoi guardare qui Quanta memoria è consumata dal kernel Linux per connessione di rete TCP / IP? E ram è economico. Sono d'accordo con Matrix, che i3 CPU sarà sufficiente. Le schede NIC richiedono il tipo di server. Puoi fare la differenza su google tra quelle desktop.

score 0 · Answer 4

Una buona guida di dimensionamento generale da PfSense anche se il tuo chilometraggio può variare a seconda della distribuzione / software del firewall che hai terminato usando.

 Throughput: Mbps   Hardware requirements   
    1-10 Mbps           No less than 500 MHz CPU Single Core    
    1-40 Mbps           No less than 1000 MHz CPU Single Core   
    1-100 Mbps          No less than 1000 MHz CPU Single Core   
    1-350 Mbps          No less than 2.4 GHz CPU Dual/Quad Core 
    50-650 Mbps         No less than 2.4 GHz CPU Dual/Octa Core
    750 + Mbps          No less than 3.5 GHz Quad/Octa Core.    
    Until 10 Gbps       No less than 3.5 GHz Quad/Octa Core.