Onderwerp: Wat is een geschikte firewall?

Ik heb momenteel een aantal SonicWall (Dell nu) nsa 2400's.
Leuke dingen, maar bij een 160K concurrent connecties geven die dingen het op. In theorie kunnen ze 235K aan, maar bij 150k-170k lopen de cores al op 100% en is het einde oefening.

Omdat we nog wat groeien en over een maandje een 400k connecties (met ca. 300+ Mbit traffic) hebben, ben ik op zoek naar een nieuw dingetje.

Iemand een voorstel? Ik zelf denk aan losse server met iets van pf, iptables, ipfw whatwever, maar weet eigenlijk niet of dat wel geschikt is... iemand ervaring met fw's of opzetjes die redelijk wat doorvoor aankunnen?

John

Met 300Mbit aan verkeer zou ik zelf voor een bekender merk gaan en niet zelf 'prutsen': vooral de support op dergelijke oplossingen vind ik zelf belangrijk.

Afhankelijk van welke features je verder zoekt, raad ik vaak bij klanten een Juniper SRX of een Fortinet Fortigate aan.

Ik raad je de Cisco 5515-x aan, zeer betrouwbare en stabiele firewall.

SRX of anders eens kijken naar Vyatta als je zelf wat wil 'knutselen' , heeft veel weg van SRX

haproxy / nginx als software?

Met zoveel connecties kom je bij de SRX in de duurdere modellen. De 550 bijvoorbeeld. Dan kun je voor minder geld beter de Cisco 5515-X nemen. De nieuwe 3xx lijn van SRX is wel netjes en betaalbaar maar net als bij Sonicwall altijd een grote marge houden tussen wat ze volgens de fabrikant aan concurrent connecties kunnen en wat je nodig hebt. Fortigate doet dat in hardware net als Cisco maar is duurder verwacht ik als de Cisco. Als je er nu maar 1 nodig hebt dan is de 5512-X een prima optie maar als je later of nu al redundantie wilt dan gelijk de 5515-X nemen.

Vyatta is erg leuk om mee te spelen maar op firewall gebied kan ik je aanraden om voor de bekende merken met software / definitie update contract te kiezen.

Oorspronkelijk geplaatst door systemdeveloper

Ik heb momenteel een aantal SonicWall (Dell nu) nsa 2400's.
Leuke dingen, maar bij een 160K concurrent connecties geven die dingen het op. In theorie kunnen ze 235K aan, maar bij 150k-170k lopen de cores al op 100% en is het einde oefening.

Omdat we nog wat groeien en over een maandje een 400k connecties (met ca. 300+ Mbit traffic) hebben, ben ik op zoek naar een nieuw dingetje.

Iemand een voorstel? Ik zelf denk aan losse server met iets van pf, iptables, ipfw whatwever, maar weet eigenlijk niet of dat wel geschikt is... iemand ervaring met fw's of opzetjes die redelijk wat doorvoor aankunnen?

John

Niet heel concreet, maar wat moet het _doen_ ?
300 Mbps routeren met een packetfilter ertussen is niet zo heel spannend.

Met (stateful) connection tracking [waarvan ik de meerwaarde in een hoop gevallen wil betwijfelen] wordt het meer werk, maar zijn 400K plain tcp sessies / 300 Mbps routeren nog steeds best goed te doen zonder heel exotische hardware.
400K SSL sessies termineren, diep content inspecten en dan doorzetten is wel echt werk geworden.

Leent het type deployment zich voor een aantal parallele devices ? Dat maakt schalen makkelijker, en een eventuele keuze met een onverwachte bottleneck wat minder pijnlijk dan wanneer je gedwongen bent een single instance van iets in één keer goed te kiezen.

Wat die nsa 2400 nu doet is primair wat poortjes open/dicht gooien. Daarnaast is het prettig dat ie floods kan proxien en zo.
De meeste toeters en bellen boeien me niet echt. Bij die nsa's betaal je je trouwens pimpelpaars aan licenties terwijl elk ding zorgt dat ie gewoon minder connecties aan kan.

Maar ik ben er gisteren eens goed ingedoken en blijkbaar had de klant zijn mobiele website (laad 1 page met shit and be done with it) vervangen door een versie van 'Marfeel' (mobiele apps) die besloot om per pageview, direct de nodige links op de page te cachen. (Beetje zoals jquery.mobile doet).

Wat dus resulteerde in de requests van bijna 15m images per dag. Gemiddeld is dat niet zo spannend maar de pieken trok de firewall gewoon niet.
De snelste oplossing was eigenlijk dat ik zijn website ombouwde (vandaar mijn late reactie hier) en cloudflare gewoon heb opgezadeld met die images.
Scheelt direct 98% aan traffic

Verder knal ik er voorlopig gewoon een 2de 2400 bij zijn rack en kijk ik eens naar de nsa 4600 en de cisco's die hier genoemd zijn.

Ik zou echt overstappen naar cloud oplossingen zijn voordeliger en veiliger, dat scheelt veel werk en tijd.

Wij hebben de 4500 van Sonicwall en die kan dit mákkelijk hebben. Perfect spul hoor. En kijk ook naar Vyos (opensource te installeren op een server) want de performance daarvan is helemaal bizar.

De 4500 is EOL, maar de 4600 is inderdaad een goede vervanger. Vyos ga ik ook eens naar kijken. Vroeger wat gespeeld toen ie nog Vyatta heette. Alleen nooit in de praktijk gebruikt.

Thanks voor de tips!

Oorspronkelijk geplaatst door Nex7Go

Ik zou echt overstappen naar cloud oplossingen zijn voordeliger en veiliger, dat scheelt veel werk en tijd.

jaaa cloud. dat lost al je problemen op. [/sarscasm]

Oorspronkelijk geplaatst door Nex7Go

Ik zou echt overstappen naar cloud oplossingen zijn voordeliger en veiliger, dat scheelt veel werk en tijd.

Ja, ik vind gele auto's ook heel mooi!

Oorspronkelijk geplaatst door Peter Bin

Ja, ik vind gele auto's ook heel mooi!

Negeer die gozer gewoon. Die is alleen maar posts aan het verzamelen met bullshit. Net ook weer een post van hem gemeld met een topickick van een jaar.

Oorspronkelijk geplaatst door systemdeveloper

De 4500 is EOL, maar de 4600 is inderdaad een goede vervanger. Vyos ga ik ook eens naar kijken. Vroeger wat gespeeld toen ie nog Vyatta heette. Alleen nooit in de praktijk gebruikt.

Thanks voor de tips!

Ik zie het. Ons support contract loopt nog tot volgend jaar en dan moeten we naar de 4600.. maar ik ben zo onwijs blij met VyOS dat ik denk dat we daar gewoon bij blijven. Gebruik het nu voor alles. VPN, Firewall, NAT, DDoS beveiliging. Het is een fork van Vyatta (dat is door Brocade gekocht) maar met meer functionaliteit.