Temel güvenlik duvarı, anahtar ve yönlendirici cihazı? [kapalı]

10

Ben bir geliştirici ve yıllardır sunucu yöneticisi veya ağ ile uğraşmadı, bu yüzden "paslı" çok cömerttir. Yeni bir web sunucusu kümesi kuruyorum (iki 1U web sunucusu ve bir DB sunucusu ile başlayarak). Bunu birkaç yıldır yapmadığım için, bugün hangi seçeneklerin mevcut olduğunu bilmiyorum.

Hepsini bir cihazda istiyorum:

  • Küçük, basit gbit anahtarı
  • Küçük, temel güvenlik duvarı
  • Küçük, temel yönlendirici / DHCP / ağ geçidi
  • Küçük, temel VPN erişimi
  • 1U alana sığar

Ben minimal bir web arayüzü ile basit bir şey kurabilir ve sonra unutabilir - Bir ev yönlendirici cihazın 2 adım yukarıda, sanırım.

Düzenleme: sysadmins ilk reaksiyon genellikle "hiçbir şekilde" çünkü onlara, tüm bunları yapan cihazlar genellikle bok. Lütfen benim amacım için farkındayım, şu anda sorun değil. Kurulumum (ve bütçem) bu işi gerçekten iyi yapan özel ekipmanı haklı çıkaracak kadar büyük değil . Sadece bu işi yapan bir şeye ihtiyacım var .

Öneriler?

networking  vpn  firewall  hosting  router 
Rex M
kaynak
Birini bulursanız, bize bildirin - Ben de benzer bir şeyi gözetiyorum!
Mark Henderson

Yanıtlar:

15

İşte size tavsiye ederim:

  1. Herhangi bir sunucu senaryosu için her ne pahasına olursa olsun Linksys tüketici yönlendiricilerinden uzak dur (hatta DD-WRT, vb. Koyarak), yük altında pul pul alırlar ve daha gelişmiş senaryolar (VPN, vb.) . Ev kullanımı için yapılmışlar ve bu şekilde tutmalısınız.
  2. Anahtarı güvenlik duvarından / ağ geçidinden ayırın. Bir tüketici / prosumer gigabit anahtarı bunun için muhtemelen iyi olacaktır (yani Netgear 5 bağlantı noktası). İstediğiniz kurulumda, basit ve verimli daha iyidir - sunucularınızı basit bir hızlı Katman 2 anahtarına bir araya getirmek size sağlam ve basit bir omurga sağlar ve bazı güvenlik duvarları veya all-in-one'lar yerleşiklerine ek yük ekler - burada ihtiyaç duymadığınız switchports ve / veya Katman 3 işlevselliğinde.
  3. Güvenlik duvarı / DHCP / ağ geçidi / VPN için - Cisco all-in-one'ların bazıları harika, ancak aradığınızdan daha fazla işlevsellik ve girişime sahip olabilir. Ardıç SSG-5'e göz atın. Bunlar Juniper Netscreen'i satın alana kadar Netscreen NS5-GT idi. Bence SSG-5'ler yaklaşık 600 $ yeni bir parça ve isterseniz 200 $ 'ın altında bir eBay Netscreen NS5-GT bulabilir ve "Sınırsız Kullanıcı" sürümünü bulduğunuzdan emin olabilirsiniz.
  4. VPN - Juniper / Netscreen VPN yapacak, ancak Netscreen istemci yazılımına ihtiyacınız var. Alternatif olarak, basit bir PPTP VPN'nin herhangi bir istemci yazılımı olmadan kullanması için bir Windows sunucusunda Yönlendirme ve Uzaktan Erişim ayarlayabilirsiniz. Daha da fazla gitmek istiyorsanız, sadece çalışmasını sağlayın, LogMeIn'den Hamachi kullanın, harika çalışıyor.
  5. Windows Ağ Yükü Dengeleme - Bu iyi çalışıyor, ancak bazı durumlarda Cisco Layer 3 yönlendirme ile iyi oynamıyor (bir IPv4 adresini sunucular arasında 'paylaşmak' için ARP önbellekleme ile bazı sihirli hileler yapmaya ihtiyaç duyduğundan ve Cisco cihazları bunu bir durdurulması gereken kötü güç). Cisco yoluna giderseniz, Cisco cihazını bunun için doğru şekilde yapılandırdığınızdan emin olun (üzerinde bir sürü makale var).

Juniper / Netscreen + 5 portlu gigabit anahtarıyla, hem 1U'ya sığabilmeniz gerekir hem de ihtiyacınız olduğunda oldukça gelişmiş şeyler yapabilen basit, hızlı ve güvenilir bir altyapıya sahip olursunuz.

Umarım yardımcı olur!

PS / edit: - Vyatta, Linux, vb tavsiye bir çift kişi: Bunlar kötü çözümler değil, (ayrıca, Untangle.com sunan potansiyel var gibi görünüyor) ve ben onları kullandım ve ofis uç nokta yönlendiriciler için onları seviyorum .. Ancak bu uygulama barındırma senaryosu olduğu için bu tür bir çözüm önermedim; prensip olarak, genel donanım üzerinde çalışan modüler yazılımların arkasındaki fikir, normalde 'pahalı' özelliklerin tümünü en uygun maliyetli ve en düşük ortak payda donanımına sıkıştırmaktır. Bunun kullanıcı uç noktası (ev, ofis, şube ofisi VPN, vb.) İçin iyi olduğunu düşünüyorum, ancak küçük / temel barındırma senaryoları için bile, 'veri merkezi' tarafı özel olarak tasarlanmış ürün yazılımı ile birlikte özel olarak tasarlanmış donanımı garanti eder.

güzergahı
kaynak
İkinci olarak "ayrı bileşenler" parçasını kullanacağım. Gerçekten bir güvenlik duvarı kullanıyorsanız (durum denetimleri, sadece erişim listeleri değil), içinden geçen herhangi bir şey gigabite yaklaşmayacaktır, muhtemelen 100 Mbps bile. VPN ile aynen. Durum hızında denetleyip şifreleyebilen donanım, bütçenizi aşacaktır. Bu nedenle, hızlı bağlantı gerektiren yerel sunucuları anahtarda tutun ve güvenlik duvarını / VPN'yi daha yavaş bir kenara koyun (örneğin, İnternet bağlantısı)
Geoff
4

Vyatta'ya bir göz at. Onlar fazla ... VPN, Router, NAT, DNS Yönlendirme, DHCP sunucusu gibi şeyleri sunan Linux Kernel kullanan oldukça kapsamlı ürün var ve www.vyatta.com veya www.vyatta.org topluluk sürümleri için. Cihazlarında, kendi donanımınızda veya VM olarak çalıştırabilirsiniz. Model 514 cihazları RIPv2, OSPF ve BGP, OpenVPN, IPSEC VPN, vb.

Bu bağlantı oldukça etkileyici: http://www.vyatta.com/products/product_comparison.php

netlinxman
kaynak
1
Giriş seviyesi cihaz 514'tür ve değiştirilebilir veya yönlendirilebilen dört adet 10/100 port ile birlikte gelir. Kendi 1- / 2- veya 4 portlu Gig-E kartınızı da eklemenizi sağlayan ek bir PCI yuvası var, böylece bu cihazı gerçekten iyi genişletebilirsiniz. Düşük güçlü. Küçük ayak izi. Çok esnek.
netlinxman
3

Linksys, bir ev yönlendiricisinin üzerinde, ancak bir ** yönlendiricinin tam olarak altında bazı iyi yönlendiricilere sahiptir. WRV54G gibi bir şey. Küçük, IPSec VPN'yi destekliyor, yönlendirici, DHCP, vb. Gibi. Sadece uymayan kısmı 100 Meg. Ancak 100 Meg'i aşırı yüklemek için çok fazla trafik çekmek zorunda kalacaksınız.

Bu, yük dengelemeyi halledecektir (bu, gereksinim listenizde değildi, ancak iki web sunucusunda bunun gerekli olduğunu varsayıyorum, bu yüzden bununla başa çıkmak için bir şeyler bulmanız gerekecek).

mrdenny
kaynak
1
Ben 100mb kısmı biraz ilgili, ben DB başlayan aynı ağa koymak umuyoruz. Belki 1 gb'lik bir anahtar ve bu adamı aynı birim rafa koyabilirim. RE yük dengeleme, bunlar Windows sunucularıdır, bu yüzden başlatmak için Windows NLB kullanacağımı düşünüyordum. Başka düşünceniz var mı?
Rex M
Bunu işlemek için Windows NLB kullanabilirsiniz. Ayrıca kullandığım küçük bir yük dengeleyici de var (ESX altında bir linux VM aracılığıyla, ancak muhtemelen Windows için yeniden derlenebilir), Cisco dişli ile çok daha iyi çalışıyor. Ben bazı iç şeyler için NLB kullanarak kullanın ve bu yüzden Pen için açık Cisco anahtarları ile sorun vardı. Dahili olarak 100'den fazla Megs iteceğinizi düşünüyorsanız, ön uç yönlendiriciye bağlı bir Gig anahtarını tercih edin. Bu iyi olmalı.
mrdenny
2

İki yol görüyorum:

  1. Cisco yönlendirici tarafından. Yukarıdaki her şeyi yapabilir ve bunu çok iyi yapar ama maliyeti $$
  2. Kendin Yap. 1U sunucusu satın al, NIC'leri koy ve BSD / Linux kur. Üstündeki her şeyi + çok daha fazlasını yapabilir (yani loadbalansing)

PS. Gerçekten hepsi bir arada ürüne mi ihtiyacınız var? Yönlendirici ve anahtar ayırmak kabul edilebilir mi?

PPS. ucuz 'n serin donanım bulacaksınız durumunda favorilere eklendi.

SaveTheRbtz
kaynak
2

KOBİ kategorisinde bir Sonicwall cihazı öneririm . Bu cihazlardan birkaçını yönettim ve onlar ONCE beni hayal kırıklığına uğratmadılar. Arayüz tipik Linksys'den biraz daha iyidir.

Bunu sadece ağ geçidi / VPN / güvenlik duvarı cihazı olarak kullanmanızı öneren ilk kişi olmayacağım. Tabii ki tüm ağır anahtarlama 24 portlu cihazlar tarafından yapılmalıdır.

p.campbell
kaynak
2

Listeyi eklemek için kişisel tercihim Juniper SRX serisi olacaktır.

Ancak daha fazla bağlantı noktasına ihtiyacınız olduğunda gerçek bir anahtar kullanın, modül eklemeye devam etmeyin.

LapTop006
kaynak
2

NetGear ProSafe FVS338 ile çok şansım oldu . NetGear'ın ayrıca bir Gb anahtarı - FVS336G . Sırasıyla 200 $ ve 300 $.

Yapmanız gerekenleri hemen hemen yapar ve bankayı kırmaz.

ps Bunun arkasında Windows NLB çalıştırıyorum. Hiç önemli değil - hiçbir şey yapmam gerekmiyordu.

Christopher_G_Lewis
kaynak
FVS336G, çoğu amaç için, çok önerilen 338'inizin gigabit versiyonudur? 300 dolar fena değil.
Rex M
Öyle görünüyor. Ve yine, bu ürünü gerçekten seviyorum. Yeniden bağlantılar hakkında akıllı - Kablo modemimi açıp kapatabilirim ve bu kutuya dokunmak zorunda değilim. Aslında, güç döngüsüne girmek için tek ihtiyacım olan son yazılım güncellemem olduğunu düşünüyorum. Bu kutu hakkında en iyi şey, sadece düşünmek zorunda kalmamanızdır.
Christopher_G_Lewis
1

OpenBSD, "varsayılan olarak güvenli" olduğu için bir güvenlik duvarı ayarlamak için özellikle iyidir, yani bunları yapmazsanız delik yoktur.

Ayrıca, konfigürasyonun kendisi, NAT, IPsec VPN, ...

Tabii ki herhangi bir kutu ile ağ oluşturmayı bilmelisiniz (NAT'ın anlamı, IPsec'in nasıl çalıştığının temelleri, bağlantı noktaları, ağ maskeleri, ...).

slovon
kaynak
0

Gerçekten tek bir kutu istiyorsanız, bir Cisco 3750 (veya karşılaştırılabilir anahtar) için gidebilirsiniz, temel (kuşkusuz ÇOK temel) güvenlik duvarı (erişim listeleri, gerçekten fantezi bir şey) ve rota paketleri yapabilir. Ne kadar "basit" bir VPN yapılandırması sağladıklarını bilmiyorum, ancak IPSEC uç noktalarını gerektiği gibi yapılandırabilmelisiniz.

Ancak, dürüst olmak gerekirse, bunları ayrı kutular olarak yapmaktan daha iyidir.

valin
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.