Я сейчас пытаюсь понять, какие типы устройств я хочу использовать при новой установке Colo. У нас есть некоторый опыт настройки маршрутизаторов Cisco, но мы гораздо глубже разбираемся в области системного администратора Linux. (Можно заключить договор с CCNA, но меня беспокоит, будут ли они доступны, когда они нам действительно понадобятся.) Поэтому вместо использования маршрутизатора Cisco / Juniper у меня возникает соблазн использовать Linux с запущенным Shorewall. Это также позволит нам использовать существующую инфраструктуру управления конфигурациями и соответствия требованиям. Большинство настроек будет довольно простым NAT. Нет BGP, OSFP, RIP или других реальных протоколов маршрутизации.
Вот воображаемая установка:
Меня больше всего беспокоит простота внедрения и обслуживания. Стоимость - не главная проблема, но я бы предпочел не покупать новое устройство дороже 2500 долларов (мне не повезло с восстановлением оборудования). Наше текущее сетевое оборудование останется там, где оно есть. Что бы мы ни использовали, это будут новые покупки.
Со стороны Cisco я смотрел что-то вроде 2901. Если бы я выбрал решение Linux, от чего бы я отказался? Может ли современный Linux / Shorewall на базе Xeon обрабатывать 100 Мбит NAT с ~ 300 правилами? Будет ли устройство Cisco значительно лучше справляться с DDoS-атакой?
Да, указанное вами оборудование может легко справиться с этой нагрузкой, и, честно говоря, с приличными сетевыми адаптерами.
Вы считали pfSense вместо Linux / Shorewall? pfSense основан на сетевом стеке FreeBSD и pf - поэтому его сетевая производительность, стабильность и безопасность не имеют себе равных, когда речь идет о «программных» платформах маршрутизаторов. Он поставляется с приятным интерфейсом настройки на основе веб-браузера. У меня был большой опыт работы с pfSense в подобной среде, и я никогда не разочаровывался в его производительности или функциональности.
Конечно, устройство Cisco может иметь возможность справиться с DDoS лучше, чем бокс pfSense или Shorewall, но не обязательно. 2901 не является высокопроизводительным маршрутизатором и в любом случае выполняет всю свою маршрутизацию / коммутацию программно, поэтому даже при оптимальной настройке он может оказаться не лучше, чем альтернатива.
Одна рекомендация - откажитесь от идеи NAT, если можете. Вы получаете / 24, так что у вас будет много IP-адресов. Отключите NAT на маршрутизаторе, настройте политику запрета межсетевого экрана по умолчанию, а затем добавьте разрешающие правила только для нужных вам хостов / портов. NAT добавляет дополнительную нагрузку на маршрутизатор, усложняет управление и не дает дополнительной безопасности.
Предоставление базового межсетевого экрана с NAT и маршрутизацией, но без глубокая проверка пакетов не требует особо интенсивной загрузки ЦП. В Рекомендации по выбору размеров оборудования PFsense указывают, что ЦП с частотой 1 ГГц достаточно для скорости проводной сети 100 Мбит / с.
Недорогие двухъядерные серверы на базе Atom, построенные на плате Supermicro X7SPE-HF (или X7SPE-HF-D525), популярны для этого типа приложений. Они могут устанавливаться в стойку телефонной компании вместе с коммутаторами и патч-панелями, оснащены двумя гигабитными интерфейсами на плате и имеют слот PCI-Express, который позволяет легко добавить до четырех дополнительных устройств. Используя этот тип оборудования, вы можете создать брандмауэр с открытым исходным кодом с совершенно новыми компонентами стоимостью 500 долларов или меньше. Вот один рекомендуемый список запчастей чтобы дать вам представление о том, как выглядят возможности.
Конечно, коммерческие межсетевые экраны и устройства безопасности могут быть построены на очень похожем оборудовании. Обычно при покупке коммерческого брандмауэра платят за репутацию, программные функции и поддержку.
Я хорошо разбираюсь в linux / iptables, но я предпочитаю использовать pfsense только потому, что его намного проще поддерживать и добавлять отличные функции, такие как фильтрация контента и vpn (хотя у меня не было OpenVPN для работы, но я едва пробовал однажды ). У нас есть 10 Мбит вверх и вниз, используя старый 3Ghz Xeon с 512 МБ ОЗУ, но использование процессора никогда не превышает 10%, а использование памяти никогда не превышает 64 МБ.