請問各位先進~請推薦防火牆

大家好,想跟大家請教那一些firewall比較適合我的user 狀況

目前狀況,
客戶有一個網站主機(流量很大~因為是全國學生均會使用的到 類似圖書系統查詢或是開放user使用某些功能 ex 帳號登入這種狀況),但又怕hacker入侵所以要購買防火牆,
流量部份我是不太知道要開到多少?因為這個case也還沒有進行!!只能以最大流量來做依據!
預計購入server HP DL-380 這台來當網站server


請問有經驗的前輩,推薦簡單設定的防火牆!要有網管 vpn 防毒 防駭 頻寬管理 的功能
因為客戶對電腦不太懂!!希望有中文介面設定
這樣有那些適合?

預算大約落在200000左右~可以調整

小弟有大概看一下 juniper這個牌子不知道好不好用!!


麻煩各位先進了!!謝謝!!
2008-06-24 20:58 #1
SORRY~再補充一下資料

server有3台 是否要購入2台firewall 來做負載平衡
需要2 wan來做分流嗎?或是買一台也可以呢?
在200K的範圍內能買到的Juniper UTM大概就是SSG-140了吧,預算在高一點則是SSG-350M,兩者皆有進共同供應契約-網路安全設備,可至台灣銀行的網頁中查詢。各種價位的版本都有,選購時要問清楚內含的硬體規格(RAM, Sessions)以及包含的License(AntiVirus/IPS/AntiSpam)。

Juniper SSG-140小弟使用的狀況是還算OK,至少他的WebUI非常的良好,操作起來蠻簡單的。所有的手冊都有繁體中文的版本,學習與管理都不算困難。介面雖然不是純中文的,不過從手冊上都可以找到操作說明。如果介面是中文的,我想可能是工程師先看不懂操作介面而陣亡

至於負載平衡,小弟是覺得不需要,既然對方是外行人,搞Firewall負載平衡一定會死人的,不如花多點錢買高檔一點的機器,一台搞定就好。另外你說server有三台,是只有這三台機器會在UTM之內還是以後還會有其他機器進來,這個也需要考慮。也許你還需要一台Gigabit Switch做Server Farm或者是直接挑UTM上有4-port以上的Gigabit port的機器。

隨便就一堆需要注意的地方,你要不要請對方合作的SI跟你談一談呢?
之後網路部分的系統應該還是要請對方的SI幫忙吧?
kivava 你好

設備配置的方法應該

網路線---->防火牆---->gigaport switch----->server(3台)----->後端再接儲存設備


不知道這樣的接法對嗎?

北油爽兵 wrote:

設備配置的方法應該

網路線---->防火牆---->gigaport switch----->server(3台)----->後端再接儲存設備


您所要選擇的儲存設備是哪款呢? 將採用何種方式連接伺服器呢? 看感覺是SAS介面的? 能不能show一下型號呢? 應該也是共同採購契約內的設備吧? 也許在後端的磁碟陣列中可以混搭SAS/SATA硬碟,作兩組磁碟陣列,SAS RAID做On-line的資料庫,SATA RAID做備份用。

還是預算大到資料庫的SQL又是另外一台主機!?


Gigabit Switch最好是選擇有網管型的,大約是Cisco 2960G-24這樣的就可以了。可以設定備援連線或者是Link Aggregation,增加一倍的頻寬。 前端也可以考慮使用硬體負載平衡,例如BlueCoat的產品,可減少一些調教的功夫。
其實大家都多慮了
我是不知道樓主的專案規模
我只能提供自己把一條T3專線+一條100Mb撐掛的類似網站建置經驗分享(後來是用TANET2才ok)
其實規劃這種internet服務 前提一定是先看可能流量
千萬不要彭風以為大家都會連進來 因為那是不可能的 (就算大也不是同一時間進來)
就算真的如此 網路頻寬根本上就限制了服務規模
如果對外頻寬根本受限(如T3 .. 100Mb)
那所有的設備都不需要考慮太高的等級 因為那根本是浪費(特別是現在server的運算能力超大)
Firewall的部份規格就完全依照可能的預估流量去採購
後端建議買一個Layer 4~7 Content switch
除了負載平衡 最主要是自動容錯切換
網路的接法
Internet --> Firewall --> Content switch --> Web Server --> Switching hub --> DB Server
利用Web Server 一定會配置的2張網路port再做一次隔離
至於Web Server 和後端DB間的Switching hub 其實隨便啦 (當然不要買雜牌)
畢竟連外都被限制住了,裡頭的traffice也根本飆不起來 (程式寫太爛不在此限)
有沒有網管功能不重要 因為你根本不會去看他
因為會出事情的是AP和SERVER 網路設備的機率實在太低了
完全被你猜中了

server是用sas的hd

後端是用sata 陣列來當儲存!!

太感謝幫忙了



switch 是用d-dlink的 dgs-3100-24的
感覺不太好

bala@syr wrote:
其實大家都多慮了
我...(恕刪)


看這專案的規模與用途就知道,這是教育部之類的政府機關的案子,前端的網路設備一定是6509之上等級的設備,其下的Switch最好是採用統一規格Cisco的,以免發生問題。本校骨幹均為Cisco的設備,某系當初也是為了預算問題選購D-Link的設備,使用期間就發生許多根本不知緣由的錯誤,最後整批換成Cisco之後,就沒有在發生問題了。給你的經驗做參考,Switch還是建議買Cisco的比較保險,至少絕大多數的MIS人員都有操作Cisco的設備的經驗,D-Link的就不一定,而且Cisco的設備找Support比較方便些。

至於需不需要採購網管型Switch,則是見仁見智。如果是一般的公司行號,我可能建議Server直接使用SSG-350M上的Gigabit Port,Juniper SSG系列也可利用擴充槽增加Gigabit Ethernet或者是SFP,蠻方便的,可以方便你利用;使用3Com或者是Linksys的無網管型8-port Switch也很OK,不過這是教育單位,錢就不必要省,以免之後出麻煩。教育單位就是你在預算範圍內能做到最好就怎麼做,最好是錢花下去就一切搞定,不要後續一直在添加預算,這對他們來說反而是個麻煩。

沒有在教育機關做過事,可能無法理解他們的想法。

北油爽兵 wrote:

server是用sas的hd

後端是用sata 陣列來當儲存!!

太感謝幫忙了


如果沒有要求一定要選擇HP的設備,小弟反而比較推薦Dell或者是IBM的2-Way Server。至少IBM X3650可以選擇3.5" SAS硬碟,六顆300G 10K/15K SAS不一定比八顆2.5" 146G 10K/15K SAS來的差,後端的儲存設備如果要在做添加時,IBM DS3200 也有進共同採購契約,直接購買不需要招標,方便許多。

DS3200可提供最多三台主機同時存取,設定方式可參考IBM DS3200的Sample Configuration,如此可簡化前端設備,使用X3550 1U 2-Way即可,所有的儲存交由DS3200管理,在DS3200上建立SAS與SATA兩組RAID分別連接多主機,如此系統就更簡單了,不過價格也不便宜就是了



不過我說實話啦... 前端防火牆不一定需要買有防毒功能的,因為沒什麼用,IPS也最好不要開,因為設定很麻煩,三天兩頭要處理誤判,對方單位一定會想殺掉你,最簡單的防火牆功能足夠了,Session數也比較多,較不容易因為DDOS掛點。

伺服器應該兩台就足夠了,一台App Server,一台SQL Server。目前共同供應契約Quad-Core與Dual-Core的機器同樣價錢,2-way Quad-Core就足夠應付多數環境,不如多花點錢在記憶體與儲存設備上。也不需要調校負載平衡的問題,架構簡單許多。

既然是大型專案,備份也絕對不能少,無論如何一定要有一組SATA RAID或NAS做排程備份。Tape或者是光碟片就免了吧,教育單位沒有人會這麼閒幫忙做備份的。


以上是一些建議,如果不符合你的需求,就請略過
我想樓主主要的用意主要是想要對兩條WAN的線路作備援吧!應該不是所謂的系統負載平衡!
除非你後端的Application system是設計成負載平衡的架構,不然系統負載不可能分散,所以
看來談的應該是線路(WAN)的備援,或線路(WAN)的負載平衡才是,一般所謂的content switch,
主要的目的還是建構在多台Application(系統設計是有load share的機制)的前端,利用content switch偵測
進來的request,到後台服務的load,藉以將request分流導入到不同的Application主機,將單一主機系統的負載降低,所以應該不是這種應用(當然content switch也是有分WAN用的或是Lan用的產品,其實下面講的設備,也是廣義的content switch)。

應此應該是對WAN線路的負載平衡或備援(HA),個人建議架構調整成:
Internet --> WAN Fault Tolerance device--> Firewall --> Switching hub-->Web Server
--> DB Server

WAN Fault Tolerance device這類的產品本身可以接入2個以上的WNA線路,作以下之功能,亦可添購兩台,
作WAN Fault Tolerance device的硬體備援(HA)


以上小小建議,若有誤,請指正,謝謝

WAN Fault Tolerance device >>舉例產品AscenLink
提供線路多重定址功能(Multi-homing)、容錯機制(Fault Tolerance)及負載平衡(Load Balance)的服務 7. 支援網路設備HA(High Availability)備援功能

kivava wrote:
看這專案的規模與用途...(恕刪)


哈哈哈
小弟就是因為在某上萬名學生的大學電算中心當過專任講師, 也幫教育部開發過Web系統
知道高教司所屬單位用錢之浮濫、專案計畫之澎風程度, 絕非一般納稅人可以想像
所以才說不要買太好的設備 把錢省下來給國小蓋廁所 這才是把我的所得稅用在最該用的地方
花一堆錢買hardware 事小, 軟體的品質不行或是服務的內容根本沒有價值
從某個角度講根本是圖利廠商,或圖利某校某些教授罷了
離題了 離題了 .... 回題回題

這個案子的設備應該會架在某學術單位裡
連外wan的部份不會在專案範圍內 也不可能是專案人員要負責的
所以wan備援或平衡或許不會是Issue
而且若能使用TANET2的頻寬 WAN NETWORK BW也不可能是問題
這類教育單位Web Application會出問題的地方 八九不離十是APPLICATION本身 (軟體品質 作業效能等等)
所以AP DB的架構容錯要求遠比網路重要
至於HARDWARE透過統購管道 其實花小錢買到的都非常夠用了






限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
提醒:內容可能因過於寫實、驚悚而令人感到不舒服,是否繼續觀看?

根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結