专用路由器/防火墙与Linux iptables/Shorewall

Question

我正在找出我想在新的colo安装中使用哪种类型的设备。我们有一些配置Cisco路由器的经验，但我们对Linux系统管理员方面的了解要深得多。(与CCNA签约是一种选择，但我担心当我们真的需要他们的时候，他们是否会出现。)因此，我不使用Cisco/Juniper路由器，而是使用运行Shorewall的Linux盒。这也将使我们能够利用现有的配置管理和遵从性基础设施。其中大部分将被设置为相当简单的NAT。没有BGP，OSFP，RIP或其他真正的路由协议。

以下是想象中的设置：

• 100 max吞吐量最大的电路。我们的标准峰值吞吐量更像是10 10Mbit。
• 20-30主机背后
• 主要是HTTPS流量。一些HTTP、SMTP和SSH
• /24 IP块

我主要关心的是易于实现和维护。成本不是首要考虑的问题，但我不想花超过2500美元买一台新设备(我在旋转装备方面运气不好)。我们目前的网络设备将保持原样。我们用的都是新买的东西。

在思科方面，我看到的是2901。如果我要使用Linux解决方案，我会放弃什么呢？一个现代的基于Xeon的Linux/Shorewall盒能处理100 with的NAT吗？思科设备能更好地处理DDoS攻击吗？

Answer 1

是的，您指定的硬件可以轻松地处理此工作负载，而且更诚实地说，可以使用像样的NIC。

你考虑过pfSense而不是Linux/Shorewall吗？pfSense基于FreeBSD网络栈和pf --因此，当涉及到“软件”路由器平台时，它的网络性能、稳定性和安全性是首屈一指的。它有一个很好的基于浏览器的配置界面。我在这种环境中对pfSense有过丰富的经验，而且我从未对它的性能或功能感到失望。

当然，思科设备可能比pfSense或Shorewall盒能够更好地处理pfSense，但这并不一定。2901不是一个高性能的路由器，而且它的所有路由/交换都是在软件中进行的，所以即使配置优化，它的性能也不会比其他路由器更好。

一个建议-放弃NAT的想法，如果你可以。你得到了一个/24，所以你会有足够的IP地址。关闭路由器上的NAT，设置默认拒绝防火墙策略，然后只为所需主机/端口添加允许规则。NAT增加了路由器上的额外负载，增加了额外的管理复杂性，并且不会为您购买任何额外的安全性。

Answer 2

提供有NAT和路由的基本防火墙，但没有深入的数据包检查，并不是一项特别密集的CPU任务。PFsense硬件调整指南表明一个1 GHz的CPU足以满足100 Mbps的线速度性能.

围绕着SupermicroX7SPE-HF(或X7SPE-HF-D525)板构建的基于双核原子的廉价服务器在这类应用程序中很受欢迎。这些可以安装在一个电信机架与开关和补丁面板，与双千兆接口在船上，并有一个PCI快速插槽，使它足够容易加到更多四个。使用这种类型的硬件，您可以用500美元或更少的全新组件构建一个开源防火墙设备。下面是建议的零件清单，让您了解这些可能性是什么样子的。

当然，商业防火墙和安全设备可以建立在非常相似的硬件上。在购买商业防火墙设备时，通常需要支付声誉、软件特性和支持。

Answer 3

我对linux/iptable非常在行，但我更喜欢使用pfsense，因为维护和添加诸如内容过滤和vpn之类的优秀功能要容易得多(虽然我还没有让OpenVPN工作，但我几乎没有试过一次)。我们有10 10mbit上下，使用一个旧的3 3Ghz和512 of的RAM，但cpu使用率永远不会超过10%，内存使用永远不会超过64 of。