Hardware Firewall

[vtsafantakis]

καλησπέρα, επειδή τα firewall είναι αρκετά ακριβά, θέλω να κατασκευάσω ένα hardware firewall (αντί να αγοράσω). Θέλω να με κατευθύνετε για το τι υλικό πρέπει να έχω (cpu,ram,hdd κτλ) και τι λειτουργικό να βάλω. Από εκεί και πέρα πως το παραμετροποίω και τι πρέπει να προσέχω. όποιος γνωρίζει παρακαλώ ας με κατευθύνει .

 

ευχαριστώ εκ των προτέρων.

[xrist0f0r0s]

ενα κανονικο pc alla γρηγορο

cpu xeon/opteron, πολυ καλο τροφοδοτικο,καλη καρτα δικτυου 1000(εαν θες βαζεις 2 για να εισαι συγουρος)

ολα αυτα εξαρταται το τη θες να κανεις

και με ενα απλο cpu μπορεις να κανεις το pc firewall,

μπορεις να βαλεις και οτι λειτουργικο θελεις (debian,ipcop......)

 

δεν πολυξερω σε αυτο το θεμα παρα πολλα αλλα ελπιζω αυτο να σε καλυψε απο μια πλευρα

 

η τιμες τον firewall ειναι ακριβες αλλα καποια εχουν 2 cpu και ειναι πολυ καλα για την τιμη τους

[jim_p]

Εγω θα ελεγα να βαλεις καποιο πραγματικα παλιο pc (5ετιας +) το οποιο θα εχει πανω του μια καρτα δικτυου και μια εξειδικευμενη διανομη για firewall.

 

http://distrowatch.com/search.php?category=Firewall&origin=All&basedon=All&desktop=All&architecture=All&status=Active

[NullScan]

Δέν υπάρχουν one-size-fits-all λύσεις σε αυτά τα θέματα. Δέν μας έχεις δώσει σημαντικές πληροφορίες, για τί είδους δίκτυο προορίζεται το firewall, τί θές να πετύχεις με αυτό, σκοπεύεις να γράψεις πολλά και πολύπλοκα rules;

Μερικές βασικές πληροφορίες:

1. Το καλύτερο (μακράν) software firewall αυτή τη στιγμή είναι το pf του BSD. Πάρα πολύ καλό φυσικά και το iptables του Linux. Αποφασίζεις σύμφωνα με τις γνώσεις σου πάνω στο κάθε λειτουργικό, η εξοικείωση με το firewall configuration (δεδομένου φυσικά οτι έχεις τουλάχιστον βασικές γνώσεις δικτύων) έρχεται σχετικά εύκολα.

2. Αν καταλήξεις σε Linux θα έλεγα να επιλέξεις όποια διανομή σε βολεύει/γνωρίζεις ήδη και να δουλέψεις πάνω σε αυτή.

3. Αν από το firewall αυτό έχεις απαιτήσεις όπως statefull packet inspection ή προορίζεται να προστατέψει πολύ μεγάλο αριθμό συστημάτων, τότε έχεις κάποιες απαιτήσεις σε CPU και βασικές απαιτήσεις σε μνήμη αλλιώς θα παρατηρήσεις τεράστιες καθυστερήσεις στο traffic σου. Και πάλι εξαρτάται από το αν σε ενδιαφέρει να έχεις την γρηγορότερη δυνατή επικοινωνία με τα συστήματα πίσω από το firewall. Εδώ πρέπει να βρείς τη χρυσή τομή μεταξύ εξόδων που θα κάνεις και ποιότητα επικοινωνίας.

4. Πρέπει να αποφασίσεις (και πάλι με βάση την τοπολογία του δικτύου που θέλεις να προστατεύσεις) αν το μηχάνημα αυτό θα είναι η μοναδική γραμμή άμυνας του δικτύου ή θα υπάρχουν και άλλα συστήματα πιό πρίν (κάποιος router πχ που θα σου δίνει βασικές δυνατότητες ACL). Το link σου με τον έξω κόσμο πού θα βρίσκεται; Θα υπάρχει κάποιο DMZ; Υπάρχουν λύσεις ώστε να δουλέψει όλο το σύστημα με 1 κάρτα δικτύου αν και οι πιό σωστή λύση θα έλεγα οτι είναι με 2, 1 για την σύνδεση του firewall με το gateway σου και 1 για την σύνδεση των υπολοίπων συστημάτων με το firewall και κατ' επέκταση με τον έξω κόσμο.

5. Αν χρησιμοποιηθεί αυτό το μηχάνημα και σαν router π.χ. και κρατήσεις το gateway σου σε ρόλο transparent bridge τότε θα χρειαστείς και περισσότερη επεξεργαστική ισχύ. Αν δε θελήσεις να το χρησιμοποιήσεις και σαν proxy πχ τότε θα έχεις και απαιτήσεις σε αποθηκευτικά μέσα ανάλογα με το traffic που περιμένεις να περνάει από αυτό το σύστημα.

Εν ολίγοις για να μην το τραβάω, πρέπει πρώτα να δείς τις απαιτήσεις σου από το δίκτυο που θέλεις να φτιάξεις, μετά να αποφασίσεις την τοπολογία του και στο τέλος τα hardware specs τών σημαντικών συστημάτων του δικτύου θα τα δείς και μόνος σου.

[apoikos]

@vtsafantakis: τι γραμμή θες να «οδηγήσεις» και με πόσους clients πίσω από το firewall;