网络世界最经常用到的,也是最重要的一个安全设备就是防火墙了,面对当今形形色色的防火墙,我们到底选择谁呢,CISO,华为,jump,还是干脆自己diy,防火墙的选择指标是什么呢,cpu,带宽还是OS呢,对于功能的选择我们需要vpn,layer7过滤,流控,还是IDS、交换路由结合呢?当然还有价格,功率,稳定性等影响。
其实就两种大选择一种是直接购买品牌防火墙(当然肯定会宰你几万几十万的呵呵,能拿点回扣不错),二中当然是自己diy罗,下面咱们就进入主体,观点纯属虚构,如有雷同,纯属巧合:
一、防火墙操作系统的选择
其实这个问题也牵扯到防火墙硬件的选择,很简单硬件是基础,操作系统就是驱动各种硬件,给软件开发使用搭建的一个平台,市场上有的系统有linux(debian,clearos,openwrt,dd-wrt,tomato,router,ros) bsd(freebsd,pf,m0ll0wall,netbsd,openbsd),我们到底选择谁呢,要回答这个问题首先我们要来认识下防火墙的架构:
通常来说我们只分为86架构,非86架构,86架构是早期很多开发商采用的硬件防火墙操作系统,开发难度小,功能多,但是有一个致命的缺点,就是86架构的cpu是复杂指令集,处理一个数据包需要执行几万个指令,而非86架构(我们常说的嵌入式cpu)的是精简指令的,甚至是专门为防火墙优化的,所以在处理大量小包的64位性能是86的十倍20十倍那么高,这就是为什么千兆万兆防火墙一般都是x86主cpu+mips多核心网络cpu的构架了,有人会问为什么不配置一块高性能的intel网卡来分担任务呢,其实一块高性能的网卡是对网络性能有帮助,但是网卡毕竟是一种低级的设备,功能,复杂度都没有CPU来的狠,最后还是要交给cpu来处里高级任务,这样往往网卡能顶住,cpu挂了!!所以有时候当cpu不够强悍时,还不如买一块性能低下的网卡来配合cpu,不让cpu累死!说了那么多我就是想说64为小包syn攻击防御,嵌入式的800MHZ的非86cpu 比3GHZ 的86cpu强不知道多少倍,个人估计起码要是10倍!
a、当你的防火墙要对付高流量,小包攻击ddos请选用嵌入式,arm,NP,mips构架防火墙硬件,操作系统就直接选择linux正营吧,其代表就是起源于ciso/syslink系统的opoenwrt或者dd-wrt,tomato(国人的支持多wan口叠加其实就是策略路由),为什么不选择freebsd-因为freebsd不支持硬件,为什么不选择netbsd/openbsd,因为性能低下,很多无线,新硬件,网卡不支持!而且防火墙不开放什么服务器软件,不需要太高的放渗透入侵,强制访问安全等等。。。。。。这其中我建议选择openwrt吧,免费,可定制非常高,就和一台linux机器一样的配置!!dd-wrt收费!tomato也是根据openwrt来的,作者配置好了策略路由支持双,四wan!至于route,ros也是国人改的linux系统,收费,功能繁琐,网吧可以考虑下!!
b、如果你选择的硬件是x86架构的,我建议只有一个系统合适你,就是freebsd,要么自己定制防火墙,要么选择m0llowakk或者pfsense!为什么不是linux很简单,当遇到大量小包攻击的时候(syn)freebsd的扛压能力大大超过linux,最极端的时候可以开启网卡polling模式,可以有效地降低cpu中断负载,不至于你的cpu0 100%占用!而且,特别是pfsense选用了openbsd的pf防火墙,支持syn三次握手代理,地址池,自动黑名单等等有用的功能,而且很小巧稳定,性能只是比linux 差一点,不过完全够用!可以直接配置一台不带硬盘,只有cpu,内存,内存卡的小盒子系统,省电,稳定,完全!!而且可以通过ipfw-classic实现和iptable layer-7一样的应用层过滤,反正大家都是山寨人家clearos公司的!还有商业的panbit,流控大师也是选用freebsd的,不过可惜啊,特征码给加密了。
c、当你的服务器处于vps guess中时,那就没办法了,装linux就用自带的iptale装freebsd就使用自带的ipfw,ipfiter,pf吧!
二、功能选择
现在很多防火墙默认都很强大,vpn,web界面控制,7层过滤,ids/ips,甚至还把防火墙放到交换机中,路由器中 组成了什么7层交换机啊 ,四层交换机,7层四层路由器等等,当然他们也不是简单的利用bsd/linux装交换机软件,路由软件,或者防火墙,是进行了二次开发的,可以有效地加速交换,路由性能,但是如果我们是Diy的防火墙需要那么多功能吗?
一个原则,功能影响性能,也同样影响安全!反过来也是功能影响安全,影响性能!其实我们要根据自己的情况来开启功能:
1、关闭web控制,既然是定制,肯定都是高手了,全屏幕console操作,手写防火墙,路由规则,要哪个web干嘛!影响性能安全!
2、关闭远程登录访问入口,直接本地登录防火墙diy机器,进行控制,什么ssh,telent就算了吧保持防火墙就干三件事,就是转发过滤流控!!就用基本的系统定制内核,配置策略路由,防火墙转发过滤,或者使用layer7过滤(不过要自己定制7层过滤特征码,免费的都很过时了,使用分析包软件分析,书写正则表达式,不难学,需要耐性和观察力呵呵!
3、至于vpn,ids,ips还是通过过防火墙转发到独立的电脑上进行分析,处理吧,防火墙本身就是拿老硬件定制的,不是什么专业的硬件防火墙,不要运行那么多消耗资源大的程序,
4、当所有的配置都设置好了,就可以学习m0n0wall干脆吧控制台也禁用了吧,谁也别想登陆了!
三、硬件的购买
1、选择老的硬件,淘汰的电脑,最好找个U盘吧硬盘去掉,最容易出错的东东!
2、到专门的定制防火墙设备的地方,定制盒子机箱,电源的等等,主板最好选择嵌入式开发板,或者nimi型x86板子,淘宝上大把大把的。
3、想支持无线,3G只要购买无线网卡,3G网卡插上就去了只要系统支持10跟天线都可以。
4、diy防火墙的成本控制(购买新硬件)看你要达到那款品牌防火墙性能,如果是20万的防火墙性能,你最好准备5000左右吧,一般是1/10-1/100,要看品牌黑不黑了。
好了,就说怎么多,就一句话概括,选择防火墙一看构架(影响OS)二看小包转发带宽三看价格,希望能给大家一点启示,无论你是想自己DIY防火墙,可还是购买展业防火墙。