论坛 › 架构设计 › 硬件防火墙怎么选?

wowchris 发表于 2011-12-02 17:23

硬件防火墙怎么选?

本帖最后由 wowchris 于 2011-12-02 18:52 编辑

公司现在有2个服务器在电信机房，主要是数据库和CRM应用，iptables配置这样的：

iptables -P INPUT DROP
iptables -F INPUT   
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F

iptables -A INPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 8038 -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -s xxx.xxx.xxx.xxx -p 0 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 8038 -j ACCEPT


/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart


secure里老看到有人扫描SSH，后来我的做法是改了端口和认证，由于数据比较重要，并且以后数据量的增大，考虑到会拖慢机器，所以想加个防火墙，可不知道加什么的好，太贵的买不动，买什么样的比较好呢？
选用思科PIX-506E-BUN-K9大家觉得好吗？

dreamice 发表于 2011-12-02 18:54

你到底是选硬件防火墙还是自己配置iptables进行防御？

wowchris 发表于 2011-12-05 10:33

2个都做，server本身做iptables，硬件防火墙也要用到，以防火墙为主，

dreamice 发表于 2011-12-05 11:51

2个都做，server本身做iptables，硬件防火墙也要用到，以防火墙为主，
wowchris 发表于 2011-12-05 10:33 http://bbs.chinaunix.net/images/common/back.gif


    你防御的目标要明确，才能有针对性的采取防范措施。

wowchris 发表于 2011-12-05 17:10

我是这么想的，首先我的服务器是暴露在公网上的，虽然在电信机房，但是通过IP就能直接找我到机器，我现在设置了iptaboles，虽然说是经过端口包过滤，但是不排除间接式扫描和端口扫描，密码探测器我也遇到过，我觉得暴露在公网上始终是隐患比较大，所以想弄个硬防火墙NAT,一是减少我服务器的压力，2是DDOS之类的也不会直接对冲击我的服务器，我是这个意思，不知道这样说大家能看明白不?

dreamice 发表于 2011-12-05 17:49

我是这么想的，首先我的服务器是暴露在公网上的，虽然在电信机房，但是通过IP就能直接找我到机器，我现在设 ...
wowchris 发表于 2011-12-05 17:10 http://bbs.chinaunix.net/images/common/back.gif


    你自己搭硬件服务器，还是买专业的啊？
另外，对于你不需要对外提供服务的端口，一定要关闭掉。

wowchris 发表于 2011-12-06 11:41

我有两个想法，一个是买硬件firewall，参考的是Juniper SG140和H3C_F100-A-AC，另外方法就是单拿个机器出来做NAT和网关，要是流量高的话就配置4网卡，，最终目的还是把server放在后端，
服务器端口设置的只开放SSh端口和其他指定端口，


问题就是我不知道那款设备适合我

dreamice 发表于 2011-12-06 16:14

我有两个想法，一个是买硬件firewall，参考的是Juniper SG140和H3C_F100-A-AC，另外方法就是单拿个机器出来 ...
wowchris 发表于 2011-12-06 11:41 http://bbs.chinaunix.net/images/common/back.gif


    你要防的是网络攻击还是服务器4—7层的攻击？
如果网络层攻击，那你买juniper的防火墙没问题，如果是应用层攻击，比如说hacker的sql注入，xss跨站等，juniper防火墙就爱莫能助了。
所以你还是要把需求弄明白才行哦。

wowchris 发表于 2011-12-06 16:43

本帖最后由 wowchris 于 2011-12-06 16:49 编辑

服务器上跑都是数据库，后期会有其他的应用平台，网站会跟上去，只是个门面，主要我还是针对的数据库的防护，而且后期还有可能会上win系统，所以现在我感觉什么都要防护，问下应用层用什么型号，或者说有什么比较好的解决办法啊？

dreamice 发表于 2011-12-06 20:55

服务器上跑都是数据库，后期会有其他的应用平台，网站会跟上去，只是个门面，主要我还是针对的数据库的防护 ...
wowchris 发表于 2011-12-06 16:43 http://bbs.chinaunix.net/images/common/back.gif


    现在有应用防火墙和数据库防火墙，看你怎么选择了。
对于数据库方面，因为不是直接暴露，程序写得好坏直接影响了其安全性。

查看完整版本: 硬件防火墙怎么选?