La configuration DMZ e il throughput del firewall

Mi è stato chiesto di esaminare l'inserimento di un firewall tra un server web (Debian / Apache / PHP) nel DMZ e un database back-end MySQL per get "isolamento". Adesso, iptables è in esecuzione sul server MySQL e consente solo TCP 22 e 3306 per SSH e MySQL rispettivamente. Tuttavia, questo non è apparentemente abbastanza buono e si consiglia un firewall hardware.

Guardando ad esempio l'ASA 5505 di Cisco, il max. il throughput è di 150Mbps, che sembra abbastanza un passo verso il basso rispetto al throughput Gigabit che il server WebServer e MySQL godono di essere ora sullo stesso interruttore GbE .

È una preoccupazione? Non posso davvero darti numbers in questo momento, ma dici il tuo tipico application-driven CRUD webapp, con forse 100 sessioni simultanee di utente in qualsiasi momento.

Se questo è imansible da determinare senza alcun numero reale di trasmissione, chiunque può suggerire methods di misurazione? Stavo pensando di afferrare JMeter, simulando un po 'di carico e misurando la width di banda su uno specchio port dell'interface MySQL (o forse sul server MySQL stesso) con ntop.

EDIT:

Ho tagliato in grassetto l'articolo sulla Gigabit Ethernet, che dovrebbe avere un rendimento teorico di 125 MB / s, mentre il Cisco 5505 ha un throughput massimo di 150 Mbps (o ~ 18 MB / s) e che non conta NAT o ACL analisi ecc. non è ansible visualizzare l'analisi di NAT o ACL come un grosso problema per una networking un nodo). Ancora ancora, il firewall sarebbe sicuramente un potenziale collo di bottiglia tra il server web e il server MySQL, visto che una buona impostazione RAID1 con dischi SAS di alta qualità e altri componenti server dovrebbe alless essere in grado di spingere 50-75MB / s.

5 Solutions collect form web for “La configuration DMZ e il throughput del firewall”

Cosa su due NIC sul server web, uno sul DMZ e uno sulla LAN?

Modifica: Poiché la risposta è stata accettata sto mettendo più dettagli.

Il webserver è necessariamente pubblico, l'idea è di utilizzare firewall in modo che solo le porte 80.443 siano accessibili pubblicamente. Allora internamente può comunicare con il server di database su un'interface LAN. Questo ha anche il vantaggio di mettere il tuo traffico pubblico su un'interface separata dal traffico interno. Questa è una configuration molto comune e fornisce sicurezza extra perché il traffico pubblico e il traffico interno sono fisicamente separati, anziché fare affidamento su un firewall.

Non sono sicuro di where stai ricevendo il tuo max. numbers di throughput perché il sito di Cisco racconta una storia diversa (150Mbps).

Si tratta di una connessione Ethernet 100Mb e, naturalmente, il tuo livello di real-world dipenderà interamente da numerosi fattori, incluso il tipo di filtraggio che hai in corso sull'ASA. Il vantaggio di avere l'ASA è che è ansible aggiungere la scheda AIP-SSC e get anche la prevenzione / rilevazione delle intrusioni.

È sempre ansible provare l'ASA5505 da un fornitore che consente di restituire. Non posso parlare con il tuo throughput come ho solo 5510s e 5520s. Io uso un 5505 personalmente da casa e non vedo problemi con il throughput, ma naturalmente è solo io e la mia famiglia.

Sì, sarebbe un collo di bottiglia, e se vuoi gestire linee velocità di 1 Gbps, probabilmente hai bisogno di un firewall più grande.

Tuttavia, hai davvero bisogno di eseguire a 1Gbps oggi? Potrebbe essere un requisito futuro, ma se attualmente utilizzi solo 5Mbps, tu avresti ancora abbastanza capacità per ora.

Sull'interruttore che sta collegando il server SQL e il web server, è ansible utilizzare qualcosa per recuperare lo stato di utilizzo della port dalle MIB per vedere quanto la width di banda è veramente necessaria. Usiamo i Cacti al lavoro perché è stato gratuito, veloce e facile da installare. Possiamo monitorare le uscite di switchport quando anticipiamo / si verificano problemi di performance e usiamo le prove per decidere cosa fare successivamente.

Avrai bisogno di colbind un certo monitoraggio (dovrebbero essere i pacchetti munin che ottengono tutto andando facile cheesy) e get un'idea di ciò che realmente avete bisogno.

Se trovi veramente spingendo oltre 100Mbps, semplicemente hai bisogno di un firewall più veloce (o anche qualcosa come un paio di caselle OpenBSD in failover con carp + pfsync).

Il throughput di asa 5505 è di 150 mbit / s. Non vedo la sicurezza del beneficio saggio. Probabilmente deciso da qualcuno che non sa molto di firewalling.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.