firewall (ipfw: static, stateful)
Richard Willmann
mk7ygre33apsq23c at foo.sk
Tue Apr 6 13:43:56 CEST 2010
> Cca 1300 uzivatelu na ethernetu, router (Core2 Duo 2.53GHz, 2GB RAM) s
> vlany a ospf a jiz zminenym firewallem s padesati pravidly (kde vetsina
> paketu zdola nejvyse deset), prakticky zadny NAT, s obvyklym tokem v tech
> zatizenejsich okamzicich neco pres 100MBps ma zatizeni do jednoho
> procenta - z cehoz ma cca tretinu na svedomi "scitatko dat".
Dane,
uprimne povedane ma tato tema celkom prekvapila a neda mi sa neopytat. Kde
vidis slabiny stavoveho firewallu? Ak som to spravne pochopil, cely problem
o ktorom ste diskutovali spociva v moznosti nekontrolovaneho narastu poctu
zaznamov v stavovej tabulke. Spravne?
Z mojho pohladu totiz za predpokladu, ze budeme hovorit o:
* dostatocne vykonnom stroji,
* inteligentnych sietovych kartach,
* rozumne nastavenych limitoch kontrolujucich manazment stavov (myslim tym
rozne limity na ich pocet, expiraciu, vazby stavov na zdrojove IP atd.)
prinos moze vyvazit a vo vacsine pripadov aj vyvazi niektore rizika, ktore s
nasadenim stavoveho firewallu prichadzaju. Okrem lepsieho pocitu z toho, ze
do siete neprichadzaju pakety, ktore by "nemali nikdy existovat" (pakety
neprisluchajuce ziadnemu otvorenemu spojeniu) je spracovanie paketov
stavovym firewallom (ale opat, nie vzdy ale obvykle) rychlejsie nez tym
nestavovym (z casti overene v praxi a aj v manualovych strankach je
napisane, ze vyhladavanie v tabulke stavov je rychlejsie nez v tabulke
firewallovych pravidiel).
Samozrejme, existuje vela pripadov, kedy nasadenie stavoveho firewallu je
vyslovene zbytocne pripadne dokonca neziaduce.
Ak si najdes chvilku, prosim o reakciu :)
pekny den
rwi
More information about the Users-l
mailing list