Wat voor soort firewall voor meerdere drukke sites?

Ik heb een aantal machines die op dit moment, elk via een eigen IP adres, direct aan 't Internet hangen (rack bij XS4All). Aangezien elke machine z'n eigen (Windows... ) Firewall draait is het een onhandelbaar zootje. Daarbij is het zo dat als er een lek gevonden is in Windows, iemand mogelijkerwijs mijn machine(s) kan overnemen, wat pas geleden gebeurde.

Mijn idee is een machientje neer te zetten die alle 8 externe IPs heeft en alle data forward naar de juiste server.

Ik heb al wat rond gekeken maar heb nog geen idee waar ik naar zoek. Hoe heet zoiets? Een router? Load balancer? Firewall? Ook weet ik niet of het verstandig is een nieuwe server neer te zetten (met bijvoorbeeld een Linux distro), of dat er hardware oplossingen zijn.

Een paar eisen waar het aan moet voldoen:

-Heel betrouwbaar
-8 of liever 16 externe IPs aan kunnen (twee subnets)
-100mbit/sec kunnen verstuwen
-500+ concurrent connections aan kunnen
-Packetfiltering, zodat mijn Windows machientjes weer iets veiliger zijn
-Via Web Interface te configgen
-Niet alleen HTTP(S) aankunnen maar ook FTP, RDP (+filecopy)
-Extra leuk zou zijn als ik een soort toggle heb om aan te geven dat de server down is, en dat het apparaat dan een statische (in te stellen) pagina serveert als "This server is down, please wait blabla contact us at [bedrijf]".

Het is overigens niet "voor thuis", dus is "gratis" niet van primair belang.

Heeft iemand tips om mij op de goede weg te helpen?

ISA Server?

Reverse proxy?

ISA is een Windows product. Het liefst zou ik een Linux / non-Windows OS zijn, zodat een fout hierin niet meteen alle machines aanvalt. Daarbij is ISA voor zover ik weet niet zo super snel en is het een beetje overkill (met al die rules, stateful packetfiltering ,etc).

R0ck3t, wat bedoel jij met "Reverse proxy?" ?

"Een reverse proxy is een centrale server waarmee één of meerdere HTTP en HTTPS diensten ontsloten worden naar gebruikers. Wanneer HTTP requests binnen komen op de reverse proxy worden deze request bekeken en doorgezet naar achter liggende (web)servers; bijvoorbeeld in een DMZ. Simpel gezegd is een reverse proxy een soort webserver die de informatie die hij toont ophaalt bij andere servers. Een reverse proxy wordt voornamelijk in gezet voor HTTP verkeer, maar door aanpassingen kunnen ook HTTPS request worden afgehandeld. Het is zelfs mogelijk om nog ander verkeer af te handelen, maar dat moet per geval beoordeeld worden. "

Lijkt me precies wat je nodig hebt, of niet?

Wat is je budget en hoe belangrijk zijn de sites? Er zijn veel oplossingen te verzinnen, van freeware tot peperduur. Dus enige aanvullende info zou nuttig zijn

Je geeft aan dat Linux de voorkeur heeft. Heb je zelf genoeg ervaring om dat op te zetten en in te stellen? Anders is het misschien verstandiger om voor een hardware oplossing te kiezen. Die draaien in feite ook Linux (meestal een afgeleide van BSD) maar daar heb je ten minste fatsoenlijke support op en als een engineer hem heeft ingericht kun je het daarna zelf makkelijk via de webinterface beheren.

Zelf heb ik gewerkt met hardware fw's waaronder Netscreen, Cisco ASA en binnenkort krijgen we Fortinet spul. Met name de Cisco ASA vond ik prettig om mee te werken.

Als een reverse proxy dan ook RDP kan routeren en misschien dingen als Oracle, MySQL, etc (m.a.w., elk protocol moet mogelijk zijn), dan wel.

We hebben 1 site waar 200-500 gebruikers (kinderen ;-) tegelijk actief zijn. Daarnaast drie Terminal Servers (die zijn wel belangrijk) waar tot 60 man tegelijk op werken (worden er steeds meer) en nog een andere webserver waar een serieuze site draait.

Het kost ons niet duizenden Euro's als de boel plat gaat, maar vervelend is het wel en ik wil het tot een minimum beperken. Budget, tja. Ik zou denken dat tussen de 1000 en 2500 toch wel iets leuks te regelen valt?

Helaas heb ik weinig ervaring met Linux, zeker niet met het firewall / secure maken er van.

Op zich qua config zou het niet moeilijk moeten zijn, lijkt me.

Extern Intern
x.y.z.1 -> 192.168.0.1
x.y.z.2 -> 192.168.0.2
etc

Battle Bunny wijzigde dit bericht 15-05-2008 20:12 (16%)

*bump*

Toch nog iemand tips?

Misschien dat een Fortigate appliance iets voor je is ? De 200A is een leuk ding maar veel duurder dan je budget. Wellicht dat de 100A binnen je budget valt

Ik weet niet hoeveel geld je te besteden hebt maar anders zou je eens de netscreens van Juniper moeten bekijken.

http://www.juniper.net/pr...lash_ipsec_vpn/index.html

http://www.juniper.net/pr...creen_5_series/index.html

Cneeliz wijzigde dit bericht 17-05-2008 22:09 (20%)

Na wat zoekwerk heb ik het idee dat die Netscreens en Fortigate dingen meer bedoeld zijn om anders-om te werken (i.e., het beveiligen van client pcs binnen het netwerk). Ik wil juist meerdere servers beschermen tegen hacks.

Uiteindelijk ben ik hier uitgekomen:
http://www.defzone.com/lang/en/Defzone_300sg

Iemand hier ervaring mee? Erg leuk prijsje en lijkt te doen wat ik wil.

Ik snap wat je bedoeld. De fw in je link ken ik niet maar ik zat nog aan iets anders te denken. Is er geen mogelijkheid bij xs4all om je servers achter een fw te krijgen? Misschien goedkoper dan wanneer je dit zelf gaat doen. (mits uberhaupt mogelijk natuurlijk)

Hmm, inderdaad een idee. Na wat snuffelen op de site denk ik helaas niet. Daarbij is het toch ook wel fijn om dit in eigen hand te houden.