самодельный гигабитный брандмауэр с открытым исходным кодом и корпоративного уровня [закрыто]
Кто-нибудь сделал самодельный брандмауэр на основе * BSD / Linux, который может обрабатывать гигабитный трафик и надежно работать в течение многих лет? Существует довольно много программных решений, но есть ли аппаратная база для обеспечения надежного гигабитного межсетевого экрана?
Кто-то из брандмауэра с открытым исходным кодом или коммерческого брандмауэра заявил
, что «взгляните на Juniper SRX. никогда не получим такую же производительность с pfSense на Dell ».
Он не имеет в виду, что pfSense на Dell не может даже сравниться с SRX100 за 480 долларов, верно?
He's probably referring to hardware vs. software.
View from above
Yes to a certain point all hardware firewalls are software but given the right hardware you can reprogram the hardware. That is usually quite an expensive operation but once the hardware is reprogrammed the firewall can operate at line speed.
Performance in Linux
We had a DDOS attack on one of our sites with a GBit uplink. Under normal circumstances we were perfectly able to deliver nearly at wire speed. The attack however was a simple SYN-Flood and we couldn't take it.
The reason was a "crappy" card with only a single receive queue. That meant the only a single core was used by Linux to get the packages from the card. This resulted in a single core running at 100% usage which was too slow to process all the packages. So the servers behind the firewall were all bored but the one single core was maxed out (Yes we had SYN-Flood protection on, but since there were just to many incoming packages to the card -- before Linux even knew about it -- we couldn't take it)
Once we upgraded the hardware (only the network card, not anything else in the server) to a network card with more receive queues we saw more cores getting used and that was enough for our case. Hardware was (IIRC) 16 Cores CPU wise, 8 queues on the network card. All of a sudden we had 8 times the performance and that was enough.
That being said:
There's nothing you can do against a sufficiently large DDOS attack -- we were just lucky that it wasn't larger and the new setup could take it.
I'd always go for a hardware firewall if it implies better cover-your-behind: Leaving the technical specs aside it's just a matter of risk management. Get any Cisco/Juniper/whatever hardware and a decent support contract and you'll have someone to call who has to fix the problem or pay for the losses in case it doesn't do what was promised. Of course you'll need to get the budget for such a thing, but at a certain point the money for the investement is likely to be a fraction of what the expected income is. Also having a support contract and someone else to blame is a nice cover-you-behind tactic :)
EDIT: Missing if in the last paragraph.
Я собираюсь предложить контраргумент серверному ужасу и расширить то, что сказал мигаби. Для малых и средних установок мне очень нравится OpenBSD с постоянно развивающимися pf, CARP и друзьями. Насколько мне известно, FreeBSD (и, следовательно, pfSense) отстают в получении последних обновлений pf и CARP.
Конечно, вы должны быть готовы провести собственное тестирование и найти достойные системы с приличными сетевыми картами и быть осведомлен об ограничениях pf, но по моему опыту, все настройки имеют свои ограничения. Включение одной конкретной функции проверки в аппаратном устройстве может в некоторых случаях снизить производительность вдвое или даже хуже. И действительно ли вы развернете коммерческое решение в производстве без серьезного тестирования для проверки производителя? s претензий?
Часто вы можете получить два приличных устройства для отработки отказа, плюс третий для тестирования за меньшую сумму, чем вам пришлось бы заплатить за коммерческую альтернативу.
И, наконец, мне просто очень неудобно платить сумму денег на поддержку, если она не обязывает их должным образом документировать, покрывать убытки или исправлять ошибки в своем продукте. Я чувствую эту особую боль прямо сейчас, а боль без исходного кода - не мое.
Здесь Вы вроде как ответили на свой вопрос.
Да, можно построить брандмауэр с высокой пропускной способностью, который даст годы безотказной работы, и высокую пропускную способность, но Вы не можете просто использовать мусорное оборудование, чтобы добиться хорошего, Вы должны заплатить максимум баксов!
Если вы получите HP DL360 G6 (например, схожую спецификацию Dell или IBM) с двумя блоками питания, SAS-накопителями (или используете USB-флешку, подключенную к материнской плате) и поместите его на приличную систему ИБП, конфигурация которой продлится годами, и легко очистите Gig-трафик (встроенная NICS поддерживает TOE, если вы хотите это лицензировать), но если вы используете внутреннюю материнскую плату с realtek Nic и i3, которую вы получили в нижнем ящике вашего стола, у вас могут возникнуть проблемы.
Также помните, что приличные брандмауэры используют FPGA, чтобы сделать большую часть суммы, т.е. логику скорости проводов, ни одно программное решение никогда не сможет приблизиться к тому, что для эффективности, вращение 2 х 4-х ядер Xeons в течение 3 лет будет стоить электроэнергию!
Вышеуказанная конфигурация дешева на рынке реконфигурации, если вы подвешиваете предприятие на этом брандмауэре, вам нужен HP gen8 (или равноценный) с полной гарантией на месте и, вероятно, 2 из них кластеризованные для обхода отказа...
.Welp, TIL Juniper's Junos основан на FreeBSD, и это то, что используется в их маршрутизационном оборудовании. При этом вы, вероятно, сэкономите деньги и немного головной боли при использовании Juniper-устройства, потому что если аппаратное обеспечение выйдет из строя, вы сможете получить его поддержку. Однако есть компании, которые производят устройства, предназначенные для работы с PFSense, все, что вам нужно знать, это то, какой объем трафика вы планируете пропускать через них.
Проблемы с программным обеспечением спорные, PFSense, например, широко используется даже в корпоративных средах, поэтому их форумы полны информации, и вы всегда можете зайти на Serverfault.com за справкой о PFSense.
.У меня есть несколько запущенных мастер/ведомый, использующих 10 Гбит, дросселируемых до 2 Гбит через софтар, идущих уже 1 1/2 года.
Они представляют собой двухъядерные Xeon на 6 процессорах с сетевыми картами Intel. NIC от Intel, которые мы выбрали тогда, были важны, но я забыл точную причину. Я знаю, что это как-то связано с драйверами и тем, как прерывания распределялись между ядрами.
У нас также было требование маршрутизации другого типа интерфейсов. Что-то, что нельзя было купить в аппаратном брандмауэре, так что это было очень экономичное решение.
Так что да, это очень возможно. Используйте серверное оборудование.