Re: Hardware für Paketfilter-Firewall

--On Dienstag, 20. September 2005 10:44 Uhr +0200 Roland Behme <rb(at)nugman.de> wrote:

>> Ich will eine grössere Organisation mit stärkerem Zugriff nach aussen
>> abschirmen. Das klassische Dreibein genügt, allerdings sollte das
>> 100 MBit-Netz nicht wesentlich gebremst werden. Der Rechner darf nicht
>> ausfallen, Verfügbarkeit ist sehr wichtig.
>
> Was spricht gegen eine dedizierte Firewall (z.B. NetScreen o.ä.)?

Das Preisgefuege wenn man so Nettigkeiten wie HA mit einkaufen moechte.
Die Krueppelversionen (nur 5 Tunnel, keine HA, etc. pp.) sind meist so
guenstig, dass sich der Selbstbau (wenn man sowas nicht "fertig als
Image im Schrank liegen hat") kaum rechnet.
Wenn die Anforderung "Verfuegbarkeit" wirklich oberste Prioritaet
hat, und die administrativen Kapazitaeten fuer eine Selbstbau-Loe-
sung verfuegbar sind, wuerde ich ueber eine Loesung mit pf(4)/carp(4)
nachdenken und ueberpruefen, ob es auch alle anderen Anforderungen
erfuellen kann.

Noch ein kurzer Nachtrag zur CPU-/Netzwerk-Leistung von "Appliance"-
Hardware: es gibt selbstverstaendlich auch "passende" SBCs mit hin-
reichender CPU-Leistung (VIA Nemehia Klasse z.B.; inkl. Crypto-Hard-
ware, fuer die auch unter FreeBSD Treibersupport existiert; oder
aktuelle Standard-CPU-Suckel von 370 bis 479) und "ordentlicher"
Netzwerk-Hardware (fxp(4), em(4), bge(4) z.B.).
Der Uebergang zwischen Netzwerk-Appliance und "mittel-schwerer"
Server-Hardware mit vielen Interfaces ist aber tatsaechlich sehr
fliessend; auch die Preise steigen dann schnell von um die 500,- EUR
auf mehrere Kilo-EUR.

Ein Griff in die mittlere Leistungsklasse:
<http://www.portwell.com/nar-5100.htm>

Ich habe bei Kunden etliche der kleinere Portwell-Kisten (NAD/NAR
205x) im Einsatz.

Aber auch andere IPC/SBC-Hersteller/Zusammenstoepsler bieten
passende Hardware an.

-Andreas

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 20 Sep 2005 - 11:44:04 CEST