LINUX.ORG.RU
ФорумAdmin

Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper


0

0

Привет всем коллегам! Столкнулся с проблемой выбора апаратного фаервола мониторинга сети, так как есть необходимость шейпить полосу трафика на каждый айпи из сети (их около 1000), также мониторить аномалии пакетов , микро дос и тп. Сейчас используется tc для шейпинга полосы, и IPTABLES в качестве фаервола, однако ввиду большого количества пакетов, иногда достигает 50000 в сек., все это дело начинает тормозить , пинг внутри сети увеличивается в десять раз.

Сейчас смотрю в сторону апаратной защиты в виде Cisco или Juniper , может кто работал , сталкивался, заранее благодарен.

Полоса WAN - 50 Мб\сек.

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

>а какой бюджет проекта?

Вроде хохол, а вопросы как у москаля.

А по делу: в таком виде выбора нет, потому как "человеческие" netscreen'ы, которые isg, благополучно EOL и EOS со всеми вытекающими, остались только тяжелые во всех измерениях 5к. Juniper просрал все полимеры.

as33 ★☆☆ ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

>пинг внутри сети увеличивается в десять раз

>Полоса WAN - 50 Мб\сек.


эти два утверждения меня смущают
вам железку куда ставить надо?
на аплинк или внутрь сети?

и да, начинать надо с бюджета :)

hizel ★★★★★ ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

А что за железо сейчас, может стоить ядро линукса покрутить? памяти оперативной больше поставить, правила подправить

за 3000 уе и циско несовместимы как arm и виндось

dimon555 ★★★★★ ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

хм, 50 килопакетов это ещё ни о чём не говорит, но, имхо, не особая нагрузка. Я видел как тачки на гигабитном линке работали, там сотни килопакетов, куча правил в фаерволе и при этом они ещё клиентов обслуживать умудрялись, сотни запросов в секунду.

Хотя, понятное дело, разные модули iptables грузят тачку по-разному.

true_admin ★★★★★ ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

Имхо стоит начать с сетевых карточек от интеля за 100$/порт и вменяемого админа. 1000 юзеров и 50 мегабит это вообще не нагрузка. Тормозить там может только кривая конфигурация таблесов.

kilolife ★★★★★ ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

на 3000 уе из доступного и поддерживающего все требования вот
1) ASA5510-AIP10-K9
2) SSG-140-SH

второе, на мой взгляд более предпочтительно.

chocholl ★★ ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

Я вот тоже смотрю больше в сторону Juniper , нашел по нормальной цене SSG-520 , без модулей дополнительных, вот инетерсно может кто работал обеспечит ли он защиту от DDOS, флуда, SYN , а также мониторинг и ограничения полос на айпишники в сети без доп модулей ?
С Виду и по параметрам машинка очень грозная и мощная, но вот документация на сайте очень скудная, не совсем понятно, и со ScreenOS думаю разберусь, никогда не работал.

zaratustrik ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

от доса мало что защитить может, и это точно не железка данной ценовой категории.
а вы хостер чтоли?

у жунипера кстати хорошая документация
http://www.juniper.net/us/en/local/pdf/datasheets/1000143-en.pdf
http://www.juniper.net/customers/support/products/netscreenssg520.jsp

chocholl ★★ ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

> на каждый айпи из сети (их около 1000), > большого количества пакетов, иногда достигает 50000 в сек > Полоса WAN - 50 Мб\сек.

Это вообще не нагрузка. Что за машина, где всё это крутится?

paramonov ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

Я не хостер но работаю в небольшом ДЦ, поетому постоянно боремся с DDOS, флуд, и прочей гадостью сил никаких уже нет и iptables не справляется.... вернее справляется но пинг повышается очень сильно.

To chocholl я так понимаю вы работали с Юнипером, поделитесь впечатлением, стоит ли он своих денег и стоит ли вообще его ставить....

zaratustrik ()

Re: Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

ну как тебе сказать...

этот вендор очень редко меня разочаровывает, почти все заявленные возможности оборудования работают так как написано.

но не стоит забывать, что одно устройство не панацея. Тем более в таком щепетильном вопросе, как досы. Реализация системы защиты от досов очень сильно зависит от топологии сети, если задача просто обеспечить нормальное прохождение полезного трафика и загасить флуд,так как iptables затыкались, то эта модель жунипера подойдет. Если к тому же еще внешний канал забивается, то нужно смотреть в сторону более тяжелых/дорогих решений.

chocholl ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.