Pare-feu entre servers Web et DB

J'ai dû mettre un pare-feu entre nos servers Web et la boîte de database. Je vais avouer que je n'étais pas totalement convaincu que cela valait la peine … mais je l'ai enfin fait.

Malheureusement, l'appareil que j'ai choisi (Linksys RVS4000) est un chien complet. Oh, assurez-vous, il a des interfaces 1Gb des deux côtés, mais je reçois des débits inférieurs à 100Mb. Le prochain périphérique que j'ai essayé est plus un pare-feu traditionnel et ne semble pas vouloir apather des adresses privées (WatchGuard x55e).

Donc, pour ceux d'entre vous qui ont mis des pare-feu entre les servers web et db, qu'utilisez- vous ?

Remarque: Ne discutons pas l'utilité de ce pare-feu, dans ce cas, c'est une exigence du client et pas de débat … Je veux simplement que quelque chose fonctionne sans un coup de performance majeur.

Si curieux, cette publication de blog contient plus de détails.

[Mise à jour le 10/9/2009] Une fois que j'ai passé le WatchGuard à la dernière mise à jour de la version majeure (11.0.1), il gère tout le routing correctement. Je vais en savoir plus sur la performance après quelques essais ce week-end.

6 Solutions collect form web for “Pare-feu entre servers Web et DB”

Nous utilisons Cisco ASA (paires actives / passives) entre nos segments, ils ont bien fonctionné. Si 100 Mb / s est assez rapide pour vous, même l'extrémité inférieure 5505 est évaluée pour transmettre le trafic à 150Mb / s Voir ici pour la comparaison du model.

Au lieu de proposer un autre périphérique, je suggère de déboguer le problème avec Linksys. J'ai déjà eu ce problème lorsque QoS a été coupable d'un manque de performance: la bande passante maximale disponible était bien inférieure au débit réel disponible. Donc, tout d'abord, je désactive toutes les traces de gestion de la bande passante sur ledit pare-feu. Deuxièmement, c'est un truc très basique et peut-être que vous avez déjà essayé, mais avez-vous configuré TOUTE la carte réseau impliquée (sur le server web, sur le server db et les deux nics sur les Linksys) à une vitesse fixe de 1000Mb / s / Full Duplex, au lieu de "négociation automatique"? Dans mon expérience, cela a souvent causé des problèmes entre ce type d'appareil.

J'utiliserai généralement l'un de ces servers Supermicro 1U et Vyatta , ou d'autres disques Linux et FireHOL (si je dois append des services autres que le simple routing).

Petite boîte avec une carte flash en mode lecture en cours d'exécution pfSense . Il peut faire du filtrage de packages (même si je ne suis pas sûr de ce type que vous voulez faire), mais vous pouvez l'accorder et c'est très rapide. Testez avec les NIC d'abord évidemment pour le débit. Certains ont besoin de quelques tweats pour get une vitesse maximale.

Une fois à pleine vitesse, baissez la limite de la table d'état, puis augmentez le timeout d'attente de l'état qui empêchera votre script de longue durée de synchroniser. Je recommand d'avoir le timeout d'attente d'au less 30 secondes de plus que le timeout de connection sur vos servers Web. Cela empêchera les connections inactives qui seront réutilisées pour bash le pare-feu et les barfing.

Si le pare-feu basé sur le système ou la list d'access sur votre commutateur / routeur n'est pas une option, il est toujours possible de choisir un pare-feu (google ce terme si nécessaire) que vous devriez pouvoir build avec n'importe quelle case * bsd / linux ces jours-ci.

L'exécution d'un pare-feu logiciel sur le server de database est-elle acceptable pour le client? Peut-être beaucoup less complexes et s'ils parlent déjà à 1 Go, le débit n'est pas un problème.

  • Problème d'erreur BUILTIN \ Administrator du less de privilèges Configuration des stratégies de contrôle d'application avec AppLocker
  • Je viens de faire un chmod -x chmod
  • Configuration de WPA2-Enterprise avec Freeradius
  • Sharepoint et bibliothèques
  • Les servers AWS ont-ils besoin de fail2ban?
  • SecAst: Configuration des alertes par e-mail pour le count Google Apps
  • Analyser les journaux d'access d'Apache pour identifier rapidement les abus
  • Est-il avantageux de stringr plusieurs pare-feu au périmètre?
  • Comment éviter PHP Filesman Backdoor
  • Vulnérabilités CentOS - Exploits / Charge utile
  • Suivre l'utilisation du bandeau par application
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.