Мне пришлось установить брандмауэр между нашими веб-серверами и ящиком базы данных. Признаюсь, я не был полностью уверен, что это того стоило ... но я наконец сделал это.
К сожалению, устройство, которое я выбрал (Linksys RVS4000), - полная дворняжка. Конечно, у него есть интерфейсы по 1 Гб с обеих сторон, но у меня пропускная способность ниже 100 Мб. Следующее устройство, которое я попробовал, больше похоже на традиционный брандмауэр и, похоже, не хочет маршрутизировать частные адреса (WatchGuard x55e).
Итак, для тех из вас, кто устанавливает межсетевые экраны между веб-серверами и серверами баз данных, что делать ты использовать?
Примечание: давайте не будем обсуждать полезность указанного брандмауэра, в данном случае это требование клиента и не обсуждается ... Я просто хочу, чтобы что-то работало без значительного снижения производительности.
Если интересно, это Сообщение блога есть более подробная информация.
[Обновлено 09.10.2009] Как только я прошил WatchGuard до последней основной версии обновления (11.0.1), он правильно обрабатывает всю маршрутизацию. Я узнаю больше о производительности после некоторых тестов в эти выходные.
Мы используем Cisco ASA (активные / пассивные пары) между нашими сегментами, они хорошо себя зарекомендовали. Если 100 Мбит / с достаточно для вас, даже самый низкий уровень 5505 рассчитан на передачу трафика со скоростью 150 Мбит / с. См. Вот для сравнения моделей.
Вместо того, чтобы предлагать другое устройство, я предлагаю отладить проблему с Linksys. Однажды у меня возникла эта проблема, когда QoS было причиной недостаточной производительности: максимальная доступная пропускная способность была намного ниже реальной доступной пропускной способности. Итак, прежде всего, я бы отключил все следы управления пропускной способностью на указанном брандмауэре. Во-вторых, это очень простой трюк, и, возможно, вы уже пробовали это, но вы установили КАЖДУЮ задействованную сетевую карту (на веб-сервере, на сервере базы данных и на обоих сетевых устройствах Linksys) на фиксированную скорость 1000 Мбит / с / Full Дуплекс, а не "Автосогласование"? По моему опыту, между такими устройствами часто возникали проблемы.
Я обычно использую один из этих Серверы Supermicro 1U и Вятта, или какой-либо другой дистрибутив Linux и FireHOL (если мне нужно добавить службы, кроме маршрутизации).
Коробочка с флешкой в режиме только для чтения работает pfSense. Он может выполнять некоторую фильтрацию пакетов (хотя я не уверен, какой тип вы хотите использовать), но вы можете настроить его, и это действительно быстро. Сначала проверьте пропускную способность с помощью сетевых адаптеров. Некоторым требуется несколько настроек, чтобы получить полную скорость.
На полной скорости увеличьте предел таблицы состояний, а затем увеличьте тайм-аут состояния, что предотвратит тайм-аут вашего длительного скрипта. Я рекомендую установить тайм-аут как минимум на 30 секунд дольше, чем время ожидания соединения на ваших веб-серверах. Это остановит неиспользуемые соединения, которые повторно используются, от попадания в брандмауэр и блокировки.
если системный брандмауэр или список доступа на вашем коммутаторе / маршрутизаторе не подходят, всегда есть возможность выбрать брандмауэр моста (при необходимости погуглите этот термин), который в наши дни вы сможете построить с любым * bsd / linux ящиком.
Приемлем ли для клиента запуск программного брандмауэра на сервере базы данных? Возможно, гораздо менее сложный, и если они уже говорят на 1 ГБ, пропускная способность не проблема.