网络拓扑简图: 有两条专线接入到FW上,分别是CTC 4M和CNC 10M 。 计划采购知名品牌的防火墙和四层交换机(链路负载均衡) 部分需求: 访问量: 未来两年内达二千人左右同时访问若干个服务。 服务器内部网升级到1000M Vpn : IPSEC/SSL (防火墙) 有若干对电信、网通的IP映射内部几十台服务器为外网提供几十个服务。 不用考虑公司内部员...
我所在的银行准备开发中间业务平台,现在正在考虑系统平台(主要是安全平台)。 我想请教一下大,最便宜的方案和最贵的方案是什么? Windows还是LINUX还是FREEBSD。 我建议使用红旗Linux+软件防火墙(其实我是想自己拿下这个项目,所以想找个最便宜的方案)。不知道在Linux下面有没有很好的软件防火墙产品。
网络拓扑简图: 有两条专线接入到FW上,分别是CTC 4M和CNC 10M 。 计划采购知名品牌的防火墙和四层交换机(链路负载均衡) 部分需求: 访问量: 未来两年内达二千人左右同时访问若干个服务。 服务器内部网升级到1000M Vpn : IPSEC/SSL (防火墙) 有若干对电信、网通的IP映射内部几十台服务器为外网提供几十个服务。 不用考虑公司内部员...
最近想基于IPFW做一个透明防火墙,但发现动态规则超时对于TCP可以控制在超时之前使用keepalive去判断两端是已经当了,还是仅仅停止了发包。在不使用这一功能时,动态规则按一定时间超时,但对于TCP而言,两端不发数据也很正常,这样的话隔一段时间之后动态规则超时就再也发不通了感觉还是干扰了原来的应用;而应用这一规则,则防火墙就不再透明了。 谁能给点建议?
最近因为要做防火墙相关的一些东西,看了一下ipfw,发现它被调用是在IP分片重组之前的,直接在交给IP层处理之前就做了过滤: ether_input -> ether_demux -> ether_ipfw_chk -> ip_fw_chk_ptr [ipfw_chk] 处理之后如果需要往下走,才进行协议分析并调用netisr_dispatch交给协议栈处理。在ipfw_chk函数中对于分片的第一个分片直接确认它至少有一个L4的协议头,否则就失败了: #define PULLUP_TO(len, p, T)  ...