Firewall dasar, sakelar, & perangkat router? [Tutup]

10

Saya seorang pengembang dan sudah bertahun-tahun tidak berurusan dengan admin server atau jaringan, jadi "berkarat" sangat murah hati. Saya menyiapkan cluster server web baru (dimulai dengan dua server web 1U dan satu server DB). Karena saya belum melakukan ini dalam beberapa tahun, saya tidak benar-benar tahu opsi apa yang tersedia hari ini.

Saya ingin semua dalam satu perangkat:

  • Sakelar gbit kecil dan dasar
  • Firewall kecil dan dasar
  • Kecil, router dasar / DHCP / gateway
  • Akses VPN kecil dan dasar
  • Cocok di ruang 1U

Sesuatu yang sederhana dengan antarmuka web minimal yang dapat saya atur dan lupakan - 2 langkah di atas perangkat router rumah, saya kira.

Sunting: reaksi awal dari sysadmin seringkali "tidak mungkin" karena bagi mereka, perangkat yang melakukan semua ini biasanya omong kosong. Harap sadari untuk tujuan saya, saat ini tidak apa-apa. Pengaturan saya (dan anggaran) tidak cukup besar untuk membenarkan peralatan khusus yang melakukan hal ini dengan sangat baik . Saya hanya butuh sesuatu yang melakukan hal ini sama sekali .

Rekomendasi?

Rex M
sumber
Jika Anda menemukannya, beri tahu kami - Saya juga telah mengawasi sesuatu yang serupa!
Mark Henderson

Jawaban:

15

Inilah yang saya sarankan:

  1. Tinggal jauh dari router konsumen Linksys (bahkan menempatkan DD-WRT di atasnya, dll) di semua biaya untuk skenario server apa pun, mereka terkelupas di bawah beban dan skenario yang lebih maju (VPN, dll) dan saya memiliki tumpukan yang mati / bata. . Mereka dibuat untuk digunakan di rumah dan Anda harus tetap seperti itu.
  2. Pisahkan sakelar dari firewall / gateway. Switch gigabit konsumen / prosumer mungkin akan baik-baik saja untuk ini (yaitu port 5 Netgear). Dalam pengaturan yang Anda minta, sederhana dan efisien lebih baik - menempatkan server Anda bersama-sama pada switch Layer 2 cepat memberi Anda tulang punggung yang solid dan sederhana, dan beberapa firewall atau all-in-one akan menambah overhead tambahan untuk bangunan mereka. -di switchports dan / atau fungsionalitas Layer 3 yang tidak Anda butuhkan di sini.
  3. Untuk firewall / DHCP / gateway / VPN - Beberapa dari Cisco all-in-one bagus, tetapi mungkin memiliki lebih banyak fungsi dan kewirausahaan daripada yang Anda cari. Lihatlah Juniper SSG-5. Ini digunakan untuk menjadi Netscreen NS5-GT sampai Juniper membeli Netscreen. Saya pikir SSG-5 sekitar $ 600 per item baru dan jika Anda mau, Anda bisa menemukan eBay Netscreen NS5-GT dengan harga di bawah $ 200 sekarang, dan pastikan Anda menemukan versi "Pengguna Tidak Terbatas".
  4. VPN - Juniper / Netscreen akan melakukan VPN, tetapi Anda memerlukan perangkat lunak klien Netscreen. Atau, Anda bisa mengatur Routing dan Remote Access di server Windows untuk VPN PPTP sederhana untuk digunakan tanpa perangkat lunak klien. Jika Anda ingin lebih "hanya membuatnya bekerja", gunakan Hamachi dari LogMeIn, bekerja dengan sangat baik.
  5. Pada Windows Network Load Balancing - Ini berfungsi dengan baik tetapi dalam beberapa kasus TIDAK bermain dengan baik dengan perutean Cisco Layer 3 (karena mengandalkan melakukan beberapa trik sulap dengan caching ARP untuk 'berbagi' alamat IPv4 lintas server, dan perangkat Cisco melihat ini sebagai kekuatan jahat yang harus dihentikan). Jadi, jika Anda memilih rute Cisco, pastikan Anda mengkonfigurasi perangkat Cisco dengan benar untuk ini (ada banyak artikel di dalamnya).

Dengan sakelar Juniper / Netscreen + 5-port gigabit Anda harus dapat menyesuaikan keduanya dalam 1U dan Anda akan memiliki infrastruktur yang sederhana, cepat, dan andal yang dapat melakukan beberapa hal yang cukup canggih jika Anda membutuhkannya.

Semoga itu bisa membantu!

PS / edit: - Beberapa orang merekomendasikan Vyatta, Linux, dll: Itu bukan solusi yang buruk, (juga, penawaran Untangle.com sepertinya memiliki potensi), dan saya telah menggunakan mereka dan menyukai mereka untuk router titik akhir kantor .. tetapi saya tidak merekomendasikan solusi jenis ini karena ini adalah skenario aplikasi hosting; pada prinsipnya, ide di balik perangkat lunak modular yang berjalan pada perangkat keras generik adalah untuk memeras semua fitur yang biasanya 'mahal' yang Anda dapat ke dalam perangkat keras penyebut umum yang paling hemat biaya dan terendah. Saya pikir ini baik untuk endpoint pengguna (rumah, kantor, VPN kantor cabang, dll), tetapi bahkan untuk skenario hosting kecil / dasar saya pikir sisi 'pusat data' mengeluarkan perangkat keras yang dirancang khusus ditambah dengan firmware yang dirancang khusus.

routeNpingme
sumber
Saya akan kedua potongan "komponen terpisah". Jika Anda benar-benar menggunakan firewall (inspeksi stateful, bukan hanya akses-daftar) maka apapun yang melewatinya tidak akan mendekati gigabit, bahkan mungkin tidak 100 Mbps. Ditto dengan VPN. Perangkat keras yang dapat memeriksa dan mengenkripsi pada kecepatan pertunjukan akan melewati anggaran Anda. Jadi menjaga server lokal yang membutuhkan koneksi yang cepat di saklar, dan menempatkan firewall / VPN di tepi Anda lebih lambat (misalnya, koneksi internet)
Geoff
4

Pergi mengintip Vyatta. Mereka memiliki produk yang cukup komprehensif yang menggunakan Kernel Linux, menawarkan hal-hal seperti VPN, Router, NAT, Penerusan DNS, DHCP Server, dan Selengkapnya ... www.vyatta.com atau www.vyatta.org untuk versi komunitas. Anda dapat menjalankannya di alat mereka, perangkat keras Anda sendiri, atau sebagai VM. Perangkat model 514 mereka berfitur lengkap dengan RIPv2, OSPF, dan BGP, OpenVPN, IPSEC VPN, dll. Untuk <$ 800,00.

Tautan ini cukup mengesankan: http://www.vyatta.com/products/product_comparison.php

netlinxman
sumber
1
Alat entry level mereka adalah 514, dan dilengkapi dengan empat port 10/100 yang dapat diaktifkan atau dialihkan. Ada slot PCI tambahan yang memungkinkan Anda untuk menambahkan kartu Gig-E 1- / 2- atau 4-port Anda sendiri, sehingga Anda dapat benar-benar mengembangkan alat ini dengan cukup baik. Daya rendah. Jejak kaki kecil. Sangat fleksibel.
netlinxman
3

Linksys memiliki beberapa router yang layak yang berada di atas router rumah, tetapi di bawah penuh pada router **. Sesuatu seperti WRV54G. Ini kecil, mendukung IPSec VPN, adalah router, DHCP, dll. Hanya bagian yang tidak cocok adalah 100 Meg. Tetapi untuk membebani 100 Meg Anda harus mendorong banyak lalu lintas.

Ini tidak akan menangani load ballancing (yang tidak ada dalam daftar persyaratan Anda, tetapi dengan dua server web saya menganggap itu diperlukan, jadi Anda harus menemukan sesuatu untuk mengatasinya).

mrdenny
sumber
1
Bagian 100mb sedikit memprihatinkan, karena saya berharap untuk menempatkan DB pada jaringan yang sama dimulai. Mungkin saya bisa meletakkan saklar 1GB dan orang ini di rak unit yang sama. RE load balancing, ini adalah server Windows jadi saya berpikir saya akan menggunakan Windows NLB untuk memulai. Ada pemikiran lebih lanjut?
Rex M
Anda bisa menggunakan Windows NLB untuk mengatasinya. Ada juga load ballancer kecil yang telah saya gunakan (melalui VM linux di bawah ESX, tetapi mungkin bisa dikompilasi ulang untuk Windows) yang disebut Pen yang bekerja jauh lebih baik dengan peralatan Cisco. Saya menggunakan menggunakan NLB untuk beberapa hal internal dan memiliki masalah dengan itu berkat switch Cisco jadi beralih ke Pen. Jika Anda berpikir Anda akan mendorong internal lebih dari 100 Meg, maka gunakan sakelar Gig yang terhubung ke router ujung depan. Ini seharusnya bekerja dengan baik.
mrdenny
2

Saya melihat dua cara:

  1. Dengan router Cisco. Itu dapat melakukan semua hal di atas dan melakukan ini dengan sangat baik tetapi biaya $$
  2. Lakukan sendiri. Beli server 1U, masukkan NIC dan setup BSD / Linux. Itu dapat melakukan semuanya di atas + lebih banyak (yaitu loadbalansing)

PS. Apakah Anda benar-benar membutuhkan all-in-one? Mungkin memisahkan router dan switch dapat diterima?

PPS. ditambahkan ke favorit jika Anda akan menemukan perangkat keras keren dan murah.

SaveTheRbtz
sumber
2

Saya menyarankan perangkat Sonicwall dalam kategori SMB . Saya telah mengelola beberapa perangkat ini, dan mereka tidak SEKALI mengecewakan saya. Antarmuka sedikit lebih baik daripada Linksys yang khas.

Saya tidak akan menjadi yang pertama menyarankan untuk menggunakan ini hanya sebagai perangkat gateway / VPN / firewall. Tentu saja semua switching yang berat perlu dilakukan oleh perangkat 24 port.

p.campbell
sumber
2

Untuk menambahkan daftar, preferensi pribadi saya adalah baris Juniper SRX.

Tetapi segera setelah Anda membutuhkan lebih banyak port menggunakan switch nyata, jangan terus menambahkan modul.

LapTop006
sumber
2

Saya sudah banyak beruntung dengan NetGear ProSafe FVS338 saya . NetGear juga memiliki saklar Gb - FVS336G . US $ 200 dan $ 300 masing-masing.

Cukup banyak melakukan apa yang perlu Anda lakukan, dan tidak merusak bank.

ps saya menjalankan Windows NLB di belakang ini. Bukan masalah besar sama sekali - saya tidak perlu melakukan apa-apa.

Christopher_G_Lewis
sumber
Jadi FVS336G adalah, untuk sebagian besar tujuan, versi gigabit dari 338 Anda yang banyak direkomendasikan? $ 300 tidak buruk.
Rex M
Sepertinya begitu. Dan lagi, saya sangat suka produk ini. Ini cerdas tentang koneksi ulang - saya bisa menyalakan siklus modem kabel saya dan tidak harus menyentuh kotak ini. Bahkan, saya pikir satu-satunya waktu saya harus menghidupkan siklus itu adalah pembaruan firmware terakhir saya. Hal terbaik tentang kotak ini adalah Anda tidak perlu memikirkannya.
Christopher_G_Lewis
1

OpenBSD sangat bagus untuk mengatur firewall karena "aman secara default", artinya tidak ada lubang jika Anda tidak membuatnya.

Juga, konfigurasi itu sendiri sangat mudah, bahkan ketika Anda menggali lebih dalam ke NAT, IPsec VPN, ...

Tentu saja Anda harus tahu jaringan dengan kotak apa pun (apa yang NAT maksudkan, dasar-dasar bagaimana IPsec bekerja, apa itu porta, netmask, ...).

slovon
sumber
0

Jika Anda benar-benar menginginkan satu kotak, melakukan semua itu, Anda bisa menggunakan Cisco 3750 (atau switch yang sebanding), itu dapat melakukan firewall dasar (yang diakui SANGAT dasar) (akses-daftar, tidak ada yang benar-benar mewah) dan merutekan paket. Tidak tahu sampai sejauh mana mereka menyediakan konfigurasi VPN "sederhana", tetapi Anda harus dapat mengonfigurasi titik akhir IPSEC sesuai kebutuhan.

Tapi, jujur ​​saja, Anda mungkin lebih baik melakukan ini sebagai kotak terpisah.

Vatine
sumber