Фаервол для веб-серверов в ДЦ?

Question

[Андрей]

Добрый день!
В ДЦ есть около 5 веб-серверов, есть желание изолировать их от сети ДЦ, а также, поднять IPSEC между нашим офисом и этими серверами.
Собственно, общий трафик веб-серверов - 500 мегабит/с, но есть перспектива роста. Трафик внутри тоннеля - 60 мегабит/с. Планируется 2 тоннеля (так как в офисе 2 канала), внутри которых OSPF.

На данный момент присматриваюсь к ASA5540. Подскажите, хватит ли этой железки или можно взять что-то более оптимальное в плане цена/качество/производительность?

Answer 1

[Макс]

если Вам на них только VPN поднять, да статические правила настроить - то на мой взгляд и 5525-х за глаза.Она "по паспорту" за гигабит тянет.

Comments

[Андрей]

А был практический опыт использования этой железки? Большие ли задержки создает? Какой у нее практический предел скорости при использовании простого NAT?

[Макс]

Андрей: нет, -х серия только весной появилась. у меня пока старые, без FirePower. NAT по сути простая операция, без DPI паспортую скорость показать обязано.

[Андрей]

Макс: ну DPI по сути то и не нужен, так что, как вариант, спасибо за наводку

[Макс]

Андрей: к слову, попробуйте у дистрибьютора взять на тест. Все одно настраивать надо, не хватит 25-ой - возьмете 40-ю, и просто перенесете конфиг.

[Андрей]

Макс: хм, тоже выход, спасибо!

Answer 2

[John_Alban]

Что именно вам нужно от файволов? Если что-то большее, чем VPN, то, может, посмотреть на Juniper SRX?

Comments

[Андрей]

Нужно 2 туннеля до офиса и натить трафик от/до серверов, плюс OSPF внутри туннелей (для балансировки/фейловера туннелей)

[John_Alban]

Это я понял, я имел ввиду security-фичи. Как по мне, SRX более гибкие железки - у них больше возможностей и производительности за те же деньи

[Андрей]

А в плане security-фич, если вдруг захочется, SRX что-то может?

[John_Alban]

Андрей: Опишите, что вам нужно в плане security. Если брать состоние "из коробки", то да, SRX более функционален

[Андрей]

John_Alban: Да вот пока не знаю. Будет около 5 веб-серверов, что интересного можно применить из того же SRX, чтобы повысить их защищенность?

[John_Alban]

Ок, понял. Мой telegram - @evgenimaksimov
Заканьте туда примерное описание задачь, которые решают сервера и что вы хотите получить после установки в плане security. Заодно, поподробнеее опишите сеть. А то мы здесь зафлудим ленту