防火墙 - 构建或购买

我有一个Linux Web服务器场,大约有5个Web服务器,Web流量大约是20Mbps.

我们目前有一个Barracuda 340 Load Balancer(远离这个设备 - 一块废话!),它充当防火墙.我想要一个专门的防火墙,我想知道人们对建设和购买专用防火墙的意见.

主要要求:

动态阻止胭脂交通

动态限制流量

阻止除80,443之外的所有端口

将端口22限制为一组IP

高可用性设置

此外,如果我们选择构建路径,我们如何知道系统可以处理的流量级别.

正如他们所说 - "有一种方法可以给猫皮肤":

自己构建,运行Linux或*BSD之类的东西.这样做的好处是,它可以很容易地完成你的问题的动态部分,这只是一些很好的shell/python/perl /无论脚本的问题.缺点是您的天花板流量速率可能与专用防火墙设备不同,尽管您仍然可以实现300Mbit/sec范围内的数据速率.(此时您开始遇到PCI总线限制)这可能足够高,以至于它不会对您造成任何问题.

购买专用的"防火墙设备"​​ - 这样做的可能缺点是,做你想要完成的"动态"部分有点困难 - 取决于设备,这可能很容易(Net :: Telnet /想到Net :: SSH).如果您担心峰值流量速率,则必须仔细检查制造商的规格 - 其中一些设备容易出现与"常规"PC相同的流量限制,因为它们仍会遇到PCI总线带宽问题等那时候,你也可以自己动手.

如果你愿意的话,我想你可以把这更多地看成是"赞成和反对"的.

FWIW,我们在我的工作地点运行双FreeBSD防火墙,并定期推动40 + Mbit/sec,没有明显的负载/问题.