Mejores prácticas para hardware de firewall

2

Estoy planeando implementar un firewall / enrutador basado en Linux con al menos 6 x 1Gb NIC (red con ~ 300 computadoras / servidor con > = 8 VLAN)

¿Alguien puede recomendar las mejores prácticas de hardware (referencia a discusiones / documentos) para un diseño de este tipo?

Tengo varios libros sobre firewalls de Linux, pero están orientados principalmente a las reglas de iptables ++, pero no hay nada sobre las recomendaciones de hardware con respecto a la elección del procesador (número de núcleos, velocidad, caché, proveedor) RAM, rendimiento / configuración del disco / almacenamiento y otras consideraciones al elegir NIC's.

    
pregunta nesko 23.02.2013 - 11:33
fuente

4 respuestas

3

En primer lugar, recuerde que una falla en su firewall tendrá un impacto en toda su red. Desde esa perspectiva, debería comprar hardware extremadamente confiable para servidores con partes de desgaste redundantes e intercambiables en caliente, o construir un par de máquinas y utilizar un protocolo como CARP para controlar la conmutación por error entre ellas.

Dicho esto, la primera elección crítica se refiere a las tarjetas de interfaz de red. El rendimiento varía ampliamente. He sido fanático de las NIC de la serie Intel PRO durante años. Son caros, pero se desempeñan. Opción simple.

La siguiente opción tiene que ver con la CPU. La cantidad de ciclos de CPU por paquete dependerá en gran medida de las reglas de su firewall. Si estamos hablando de la posibilidad más simple de una docena de reglas con algún estado, el Core i5 más barato probablemente hará el trabajo. Pero si se está acercando a cien evaluaciones de reglas por paquete, o planea ejecutar proxies, detección de intrusos en la red, registros pesados u otras cosas similares, necesitará más potencia de CPU. ¿Cuánto más? La respuesta es al prototipo y al punto de referencia.

    
respondido por el ruief 24.02.2013 - 21:58
fuente
1

Para un firewall de red, cualquier nuevo hardware Intel de doble núcleo (Core i3) funcionará, incluso a 6x 1 Gbit / s. Para un firewall de aplicaciones, recomendaría un quad core (Core i5). 4 GB de RAM será suficiente para ambos usos. El almacenamiento en disco no importa, pero necesita al menos 5 GB. Para tarjetas de red, recomendaría Intel o Broadcom NIC que admiten la coalescencia de interrupción en Linux. No recomiendo comprar a un proveedor de HW como IBM, HP, Dell, ya que pagará de más. Solo compre los componentes y ensamble usted mismo si la tienda no lo ensambla por usted.

    
respondido por el Matrix 23.02.2013 - 16:21
fuente
1

Acerca de ram, puede consultar aquí ¿Cuánta memoria consume el kernel de Linux por conexión de red TCP / IP? Y la RAM es barata. Estoy de acuerdo con Matrix, que i3 cpu será suficiente. Las tarjetas NIC necesitan el tipo de servidor. Puedes buscar en Google la diferencia entre las de escritorio.

    
respondido por el Guntis 23.02.2013 - 18:31
fuente
0

Una buena guía de tamaño general de PfSense , aunque su millaje puede variar según la distribución de firewall / software que finalice utilizando.

 Throughput: Mbps   Hardware requirements   
    1-10 Mbps           No less than 500 MHz CPU Single Core    
    1-40 Mbps           No less than 1000 MHz CPU Single Core   
    1-100 Mbps          No less than 1000 MHz CPU Single Core   
    1-350 Mbps          No less than 2.4 GHz CPU Dual/Quad Core 
    50-650 Mbps         No less than 2.4 GHz CPU Dual/Octa Core
    750 + Mbps          No less than 3.5 GHz Quad/Octa Core.    
    Until 10 Gbps       No less than 3.5 GHz Quad/Octa Core.
    
respondido por el Andrew Bowers 21.10.2016 - 21:28
fuente

Lea otras preguntas en las etiquetas