请教防火墙性能

sunas

请使用过下列两宽防火墙的朋友，给以建议，是否具有基于源ip地址的策略路由，能够支持多少条静态路由，稳定性，内核，我不关心并发数，也不关心价钱。netscreen-208和三星secuiwall-200。

sai

个人推荐NETSCREEN的牌子，毕竟是这行的权威啊。

JohnBull

反正你说的这些功能用一个Linux全能实现。

sai

楼上的，请问你打算用linux实现什么功能？
linux可以做数据包过滤吗？

JohnBull

原帖由 "sai" 发表：
楼上的，请问你打算用linux实现什么功能？
linux可以做数据包过滤吗？

OH! GOD!
小点声！在这里问这个问题小心被群殴！
让我怎么回答你呢？
太~~~~~~~~~~~~~~~~~可以了！

包过滤、NAT、包重写、QoS、流量整形、RED、SFQ、……
可以隐形也可以不隐形、PMTU发现、MSS嵌位、加上第三方软件可以做IDS……

你会的它都会，你不会的它也会！

参考资料：
http://lartc.org/
里面有中文版下载，看看吧！

sai

楼上的。
如果我要做包过滤的话，请问在linux下如何实现呢？
做IDS要第三方的软件是免费的吗？

JohnBull

原帖由 "sai" 发表：
楼上的。
如果我要做包过滤的话，请问在linux下如何实现呢？
做IDS要第三方的软件是免费的吗？

我先声明，这属于基本应用，本应该在Linux版讨论的。
利用Linux内核的netfilter功能，用iptables命令进行配置。详细概念请看文档：
http://www.netfilter.org/unreliable-guides/cn/packet-filtering-HOWTO-chn.html

方法也很简单：
如果你想过滤从10.0.0.5发往202.109.188.2:80的tcp请求，那就：
iptables -A FORWARD -s 10.0.0.5 -d 202.109.188.2 -p tcp --dport 80 -j DROP
就行了，具体方法参看iptables命令的手册。

至于IDS，有很多第三方软件可用，有免费的也有收费的。最著名的免费产品是SAINT和PortSentry。

sunas

老兄们，你们都脱离主题了，我问的可是关于防火墙的问题啊，谁能够仔细说说secuiwall-200,硬件是康柏的？如果是，基于哪款产品？操作系统呢，还是free-bsd?据说能做到两进两出，几乎相当于两台防火墙？希望大家给以解释啊

JohnBull

[quote]原帖由 "sunas"]老兄们，你们都脱离主题了，我问的可是关于防火墙的问题啊，谁能够仔细说说secuiwall-200,硬件是康柏的？如果是，基于哪款产品？操作系统呢，还是free-bsd?据说能做到两进两出，几乎相当于两台防火墙？希望大家给以?.........[/quote 发表：


没跑题，就是说给你听呢！
为什么一台高档PC机+自由软件就能实现的功能非得花大把的钱去买？
你的链路有多快？只要是不到OC-3的速率，都可以用一个双网卡的PC机线速实现！

Linux=支持源策略的路由器+包过滤防火墙+NAT网关+流量整形+……
而且还能做MAC地址的NAT!

zwei19

可是没有现成的文档参考，也做不了那么稳定啊，虽然我知道大多数防火墙都是这样做的，但是那可不是一个人能做得了的啊