» Hardware Firewall - Аппаратные фаерволы

euserz
SRX 210

Цитата:

AES256+SHA-1 / 3DES+SHA-1 VPN performance - 65 Mbps

Как-то совсем маловато.

SonicWALL NSA 3500
starting at $3,395

Цитата:

3DES/AES VPN Throughput4     625 Mbps

А что такое маленькая контора ?
Вы имеете ввиду не для ISP ?
Или когда работаешь со своими внутреними сервисами и не предоставляешь услуг.

Ещё дело в том что у нас сейчас почти везде Mikrotik RB и нехотелось бы заводить зоопарк, но в то же время для важного проекта не хотелось бы огрести проблем и иметь хорошие возможности которых у Mikrotik нет для таких задач.

Цитата:

для будующего хостинга своих серверов

Цитата:

А что такое маленькая контора ?
Вы имеете ввиду не для ISP ?

Для ISP у Juniper имеется свой ряд решений, отвечая на Ваш вопрос, я исходил из комплексных корпоративных решений (которые делают всего по чуть-чуть), а не для ISP. Сиско будет всё тем же самым, только дороже.

И никогда я не понимал людей, выбирающих Mikrotik (в любых случаях). Наверное, делают дешево.

euserz

Цитата:

И никогда я не понимал людей, выбирающих Mikrotik (в любых случаях). Наверное, делают дешево.

Удобно, просто, дешёво.
Пока Cisco размазывает функционал в 10-ке устройств - у Mikrotik можно получить всё в одном устройстве.
Хотя есть свои проблемы.

Mikrotik RouterBoard CCR1036-12G-4S - $995
Netgear ProSecure UTM150 - Unified Threat Management - $1800
Cisco ASA 5550 - $4700
SonicWALL NSA 3500 - $3400(+2170)
Juniper SSG550M - $8520
CheckPoint CPAP-SG4407 4400 Appliance with 7 Security blades - $6800

Склоняюсь более к SonicWALL NSA 3500

Приветстую мужики.
Подниму тему.

Нужно : Файрвол с возможностью смотреть внутрь пакетов , находить определенную цепочку байтов в пакете и ограничивать максимальный рейт пакетов с этой цепочкой в секунду с определенного айпи.
Например :
айпи 10.1.1.1 Шлет трафик 1000 пакетов в секунду. В этом трафике 500 пакетов в секунду содержит допустим цепочку "0x11,0x22,0x33,0x44,0x55" . Файрвол должен резать эти 500 пакетов в секунду до 20 пакетов в секунду для этого айпи. Пакеты без искомой цепочки проходят без ограничений.
Через некоторое время появляется другой айпи 2.2.2.2 с такими-же или большими параметрами. Для него тоже надо применить ограничение.
Айпи адреса я заранее не знаю поэтому контролирующие правила должны быть динамическими.
Таких адресов ожидается около 10 тысяч уникальных в час.

Теперь вопрос.
На текущий момент я сижу на iptables на сервере масштаба HP DL380. Но желаю таки юзать что-то аппаратное. Что посоветуете в соотношении цена \ производительность по PPS ?

ktoto1
А можно мне прокомментировать желание уйти от netfilter/iptables? Кстати очень интересна его производительность. Поделитесь информацией пожалуйста.

Alukardd
От айпитаблов хочу уйти потому что хочу уйти от "сделай сам". Хочу - включил, настроил, забыл.
Ну а про производительность не думаю что стоит говорить. Слишком всё нелинейно. Тут надо не цифры писать, а целую статью. Ведь есть прямая зависимость даже от порядка последовательности правил, количества источников , размеров пакетов, типов пакетов итд. Многие факторы динамически меняются во времени, многие факторы накладываются друг на друга. Бывают моменты: парадоксально небольшой трафик , но задержки растут. Вобщем, я больше проведу времени в систематизации всего этого.

ktoto1
Эм... А вы думаете что железки сильно лучше работают и их проще настраивать?
А "сделай сам" тут не такой и большой, у вас уже есть всё что надо, включая u32 селектор, которым Вы по всей видимости и пользовались...

p.s. размер "костыля" должен быть не слишком велик, хотя у каждого свои претензии на этот счёт, я например, сегодня в скрипт для работы с Google Cloud Storage докинул около 50 строк кода на bash'е, а всё из-за того что утилита gsutil не имеет нужного мне функционала.