Brandvägg till Xserve

Vi kör ju en kombinerad miljö med både Win/OSX/Unix servrar och jag skulle inte våga köra en dag utan brandvägg. Man får väldigt bra kontroll med en utmärkt brandvägg - du kan på ett exakt sätt styra vad som är tillåtet och du får statistik (server för server) på trafiken. Jag kan även se per port/tjänst etc.

VPN/IPSEC-stödet är också trevligt så att du kan köra din Xserve lokalt även om den står på webhotell.
Portscanning och ping kan du döda genom en bra brandvägg. SMTP/POP-scanning med anti-spam, anti-virus etc är ju oxå bra.

Var ska servern stå, webhotell eller på DMZ i ert lokala nätverk?
(jag har 1U ledigt i vårt rack med 100Mbit anslutning )

Har genom åren provat endel olika lösningar på detta och måste säga att den firewallen (Soekris) vi har idag slår allt. Först och främst så kan den allt och för det andra kostar den nästan inget.

Jag fick min mønøWall powered Soekris från Catpipe. Den har också en härlig öststatskänsla i designen som man bara inte kan få nog av.

Du måste ha mer kraft - många GHz, SCSI-diskar och hårdvaru-RAID i brandväggen hajar du väl

Jag säger det igen.. Soekris med mønøWall. (Helt utan rörliga delar)

Den kan:
serial console interface for recovery
-set LAN IP address
-reset password
-restore factory defaults
-reboot system
wireless support (access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco)
captive portal
802.1Q VLAN support
stateful packet filtering
-block/pass rules
-logging
NAT/PAT (including 1:1)
DHCP client, PPPoE, PPTP and Telstra BigPond Cable support on the WAN interface
IPsec VPN tunnels (IKE; with support for hardware crypto cards and mobile clients)
PPTP VPN (with RADIUS server support)
static routes
DHCP server
caching DNS forwarder
DynDNS client
SNMP agent
traffic shaper
SVG-based traffic grapher
firmware upgrade through the web browser
Wake on LAN client
configuration backup/restore
host/network aliases

Skall väl också sägas att vi fick den levererad och installerad för 4.000 kr. (inkl moms)

Mjukvarubrandväggen (IPFW) i osx är ytterst kompetent! Exakt samma följer ju även med FreeBSD. Själv föredrar jag dock ipf/pf, eftersom det är enklare att sätta upp regelverket, men jag har aldrig testat dessa under osx.
Så ja; den är bra!

Prestanda sänkningen är marginel, medmindre du har lyckats göra ett antal hacker/cracker kollektiv förbannade (dvs, är ett onödigt populärt mål för attacker). Det är nog snarare troligare att Apache/MySQL dyker före IPFW isf..

"Utan rörliga delar" är ju bra men fungerar inte när du ska köra virusscanning och spamfiltrering av ett par hundra tusen mail om dagen. Du måste ha någon form av disk att spara på helt enkelt (eller sjukt mycket RAM såklart). Samma problem har exempelvis Watchguard osv.

Det hänger på användningsområdet

Virusscanning och spamfiltrering kör man ju på den mustiga mailservern med loads av härlig SCSI o snabb RAM

Sant, det är mest en fråga om hur man bygger upp systemet och var man utför olika moment. Jag är övertygad om att det finns många jättebra lösningar, det är inte direkt "rocket science" trots allt.

Den har ju ett CompactFlash

Varför bara köra en?
Två brandväggar av olika fabrikat (i detta fall en "hårdvarubrandvägg" och den inbyggda i Mac OS X) på varandra blir ju garanterat säkrare än en. Skulle någon hitta ett hål i den första brandväggen är ju risken att samma hål skulle finnas i nästa liten.

Det är väl bättre med tre isåfall? Två redundanta med failover ytterst och sedan en mjukvarubrandvägg i servern. Eller kanske ett cluster av servrar bakom?

Jo, det är klart, men då börjar vi komma upp i en del pengar.
Är det bara en Xserve det gäller kan det ju kännas lite overkill att ha redundanta brandväggar om inte servern bakom dem har redundans.

Jag håller helt med Mattias Bodlund gällande m0n0wall. Kör själv
en sådan hemma byggd på WRAP - Wireless Router Application
Platform, byggd av PCEngines.ch. 3 10/100 portar (web+mail
på DMZ) 128 MB RAM, CF, MiniPCI och console.

Visst, med Geode 233 MHz finns ingen kraft att scanna miljontals
mail med dag. Men har man sådan mailtrafik bör man allvarligt
fundera på en seperat mailwall. Annars kommer ni hogga firewallen
för mycket.

Vad vill jag säga? Ja, har ni inte så stor mailtrafik klarar er vanliga
mailserver av lasten med filtrering.