硬件防火墙怎么选?

wowchris

公司现在有2个服务器在电信机房，主要是数据库和CRM应用，iptables配置这样的：

iptables -P INPUT DROP
iptables -F INPUT   
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F

iptables -A INPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 8038 -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -s xxx.xxx.xxx.xxx -p 0 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 8038 -j ACCEPT


/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables restart


secure里老看到有人扫描SSH，后来我的做法是改了端口和认证，由于数据比较重要，并且以后数据量的增大，考虑到会拖慢机器，所以想加个防火墙，可不知道加什么的好，太贵的买不动，买什么样的比较好呢？
选用思科PIX-506E-BUN-K9大家觉得好吗？

dreamice

你到底是选硬件防火墙还是自己配置iptables进行防御？

wowchris

2个都做，server本身做iptables，硬件防火墙也要用到，以防火墙为主，

dreamice

2个都做，server本身做iptables，硬件防火墙也要用到，以防火墙为主，
wowchris 发表于 2011-12-05 10:33

    你防御的目标要明确，才能有针对性的采取防范措施。

wowchris

我是这么想的，首先我的服务器是暴露在公网上的，虽然在电信机房，但是通过IP就能直接找我到机器，我现在设置了iptaboles，虽然说是经过端口包过滤，但是不排除间接式扫描和端口扫描，密码探测器我也遇到过，我觉得暴露在公网上始终是隐患比较大，所以想弄个硬防火墙NAT,一是减少我服务器的压力，2是DDOS之类的也不会直接对冲击我的服务器，我是这个意思，不知道这样说大家能看明白不?

dreamice

我是这么想的，首先我的服务器是暴露在公网上的，虽然在电信机房，但是通过IP就能直接找我到机器，我现在设 ...
wowchris 发表于 2011-12-05 17:10

    你自己搭硬件服务器，还是买专业的啊？
另外，对于你不需要对外提供服务的端口，一定要关闭掉。

wowchris

我有两个想法，一个是买硬件firewall，参考的是Juniper SG140和H3C_F100-A-AC，另外方法就是单拿个机器出来做NAT和网关，要是流量高的话就配置4网卡，，最终目的还是把server放在后端，
服务器端口设置的只开放SSh端口和其他指定端口，


问题就是我不知道那款设备适合我

dreamice

我有两个想法，一个是买硬件firewall，参考的是Juniper SG140和H3C_F100-A-AC，另外方法就是单拿个机器出来 ...
wowchris 发表于 2011-12-06 11:41

    你要防的是网络攻击还是服务器4—7层的攻击？
如果网络层攻击，那你买juniper的防火墙没问题，如果是应用层攻击，比如说hacker的sql注入，xss跨站等，juniper防火墙就爱莫能助了。
所以你还是要把需求弄明白才行哦。

wowchris

服务器上跑都是数据库，后期会有其他的应用平台，网站会跟上去，只是个门面，主要我还是针对的数据库的防护，而且后期还有可能会上win系统，所以现在我感觉什么都要防护，问下应用层用什么型号，或者说有什么比较好的解决办法啊？

dreamice

服务器上跑都是数据库，后期会有其他的应用平台，网站会跟上去，只是个门面，主要我还是针对的数据库的防护 ...
wowchris 发表于 2011-12-06 16:43

    现在有应用防火墙和数据库防火墙，看你怎么选择了。
对于数据库方面，因为不是直接暴露，程序写得好坏直接影响了其安全性。