Меня попросили рассмотреть возможность размещения брандмауэра между веб-сервером (Debian / Apache / PHP) в DMZ и внутренней базой данных MySQL для достижения «изоляции». Прямо сейчас iptables работает на сервере MySQL и разрешает только TCP 22 и 3306 для SSH и MySQL соответственно. Однако этого явно недостаточно, и рекомендуется использовать аппаратный брандмауэр.
Если посмотреть на Cisco ASA 5505, например, макс. пропускная способность составляет 150 Мбит / с, что кажется большим шагом вниз по сравнению с пропускной способностью Gigabit, которую Веб-сервер и сервер MySQL теперь пользуются одним коммутатором GbE.
Это беспокоит? Я не могу сейчас назвать вам какие-либо цифры, но скажу ваше типичное веб-приложение CRUD с вводом данных, основанное на формах, с возможно, 100 одновременными пользовательскими сеансами в любое время.
Если это невозможно определить без каких-либо реальных показателей пропускной способности, может ли кто-нибудь предложить какие-либо методы измерения? Я думал захватить JMeter, смоделировать некоторую нагрузку и измерить полосу пропускания на зеркале порта интерфейса MySQL (или, возможно, на самом сервере MySQL) с помощью ntop.
РЕДАКТИРОВАТЬ:
Я выделил жирным шрифтом пункт о Gigabit Ethernet, который должен иметь теоретическую пропускную способность 125 МБ / с, тогда как Cisco 5505 имеет максимальную пропускную способность 150 Мбит / с (или ~ 18 МБ / с), и это не учитывает NAT или синтаксический анализ ACL и т. Д. (Хотя я не видит, что анализ NAT или ACL имеет большое значение для сети с одним узлом). Тем не менее, брандмауэр определенно будет потенциальным узким местом между веб-сервером и сервером MySQL, учитывая, что настройка RAID1 с высококачественными дисками SAS и другими серверными компонентами должна быть по крайней мере 50-75 МБ / с.
Как насчет двух сетевых адаптеров на веб-сервере, одного в DMZ и одного в локальной сети?
Изменить: поскольку ответ был принят, я помещаю более подробную информацию.
Веб-сервер обязательно общедоступен, идея состоит в том, чтобы использовать брандмауэр, чтобы общедоступными были только порты 80,443. Затем внутренне он может связываться с сервером базы данных через интерфейс LAN. Это также имеет то преимущество, что ваш общедоступный трафик размещается на отдельном интерфейсе от вашего внутреннего трафика. Это очень распространенная конфигурация, обеспечивающая дополнительную безопасность, поскольку общедоступный и внутренний трафик физически отдельно, вместо того, чтобы полагаться на брандмауэр.
Да, это было бы узким местом, и если вы хотите работать со скоростью линии 1 Гбит / с, вам, вероятно, понадобится брандмауэр большего размера.
Однако действительно ли вам сегодня нужно работать со скоростью 1 Гбит / с? Это может потребоваться в будущем, но если вы в настоящее время действительно используете, например, только 5 Мбит / с, у вас все еще останется достаточно емкости.
На коммутаторе, который соединяет SQL и веб-сервер, вы можете использовать что-нибудь для получения статуса использования порта из MIB, чтобы узнать, какая пропускная способность вам действительно нужна. Мы используем Cacti в работе, так как это было бесплатно, быстро и легко настроить. Мы можем отслеживать использование порта коммутатора, когда мы ожидаем / испытываем проблемы с производительностью, и использовать свидетельства, чтобы решить, что делать дальше.
Я не совсем уверен, где вы берете свой максимум. цифры пропускной способности, потому что Сайт Cisco рассказывает другую историю (150 Мбит / с).
Это соединение Ethernet 100 Мбит / с, и, конечно же, ваша реальная пропускная способность будет полностью зависеть от множества факторов, в том числе от того, какой тип фильтрации вы используете на ASA. Преимущество наличия ASA заключается в том, что вы можете добавить карту AIP-SSC и также получить предотвращение / обнаружение вторжений.
Вы всегда можете попробовать ASA5505 у поставщика, который разрешает возврат. Я не могу говорить о вашей пропускной способности, так как у меня только 5510 и 5520. Я использую 5505 лично из дома и не вижу проблем с пропускной способностью, но, конечно, это только я и моя семья.
Вам нужно будет подключить некоторый мониторинг (должно быть Мунин пакеты, которые все упрощают) и получите представление о том, что вам действительно нужно.
Если вы обнаружите, что действительно выходите за пределы 100 Мбит / с, вам просто понадобится более быстрый брандмауэр (или даже что-то вроде пары ящиков OpenBSD в аварийном переключении с carp + pfsync).
Пропускная способность asa 5505 составляет 150 мбит / с. Я не вижу выгоды с точки зрения безопасности. Наверное, решил кто-то, мало разбирающийся в брандмауэрах.