V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ace12
V2EX  ›  问与答

公司升级万兆网络,防火墙怎么选

  •  
  •   ace12 · 2018-10-13 23:13:11 +08:00 · 3928 次点击
    这是一个创建于 2232 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现公司使用的防火墙为 juniperssg140,只有千兆口,在网上找了很多,都不是很适合,要不是就是价格死贵,所以防火墙应该如何选择呢,有什么诀窍么?

    16 条回复    2018-10-14 13:53:08 +08:00
    yexm0
        1
    yexm0  
       2018-10-13 23:23:08 +08:00 via Android
    用得起全万兆的还缺那点小钱?
    alect
        2
    alect  
       2018-10-13 23:26:04 +08:00 via iPhone
    万兆也得分几条线吧,
    几条分开买防火墙就是了
    没用过么高级的,我瞎说的(。•ˇ‸ˇ•。)
    fzinfz
        3
    fzinfz  
       2018-10-13 23:30:48 +08:00 via Android
    防火墙是对外的吧,你确定要万兆?
    kn007
        4
    kn007  
       2018-10-13 23:37:19 +08:00
    外网万兆?多条线,还是单条线?
    kn007
        5
    kn007  
       2018-10-13 23:39:06 +08:00
    多条千兆就好处理,单条万兆的话,没办法,就是那么贵。
    ace12
        6
    ace12  
    OP
       2018-10-13 23:44:28 +08:00
    @kn007 额,这个不是很清楚,应该可以用多条线吧。。
    ace12
        7
    ace12  
    OP
       2018-10-13 23:48:10 +08:00
    @kn007 如果是单线的话,能在防火墙上层加一个交换机,然后通过链路聚合连到防火墙墙上么。
    kn007
        8
    kn007  
       2018-10-13 23:51:11 +08:00
    那样子,你防火墙不是还要万兆。。。
    你外线多条千兆,就直接买多口的防火墙就好了。
    单条万兆,就需要个前置三层,如果是拨号的,那就需要路由器。然后分出多条千兆给后面防火墙。
    降低防火墙成本,不过多口防火墙其实也不便宜,特别某些卖 wan 口授权的厂商。
    你可以找厂家出方案。
    Wenpo
        9
    Wenpo  
       2018-10-14 00:05:12 +08:00 via Android
    软路由
    azh7138m
        10
    azh7138m  
       2018-10-14 00:20:49 +08:00 via Android
    @Wenpo 万兆软路由还是很吃力的,单靠 U 来做转发,负载会很高的
    dot2017
        11
    dot2017  
       2018-10-14 01:36:28 +08:00
    hillstone 的硬防可以的,或者软防可以考虑,按节点个数收费
    Wenpo
        12
    Wenpo  
       2018-10-14 02:13:41 +08:00 via Android
    @azh7138m 我知道,负载高问题不大。能解决问题
    phoebuss
        13
    phoebuss  
       2018-10-14 05:18:20 +08:00 via Android
    换 Juniper SRX1500 …我们组的产品←_←
    ladeo
        14
    ladeo  
       2018-10-14 08:45:40 +08:00
    前提条件:确认到底是 WAN 还是 LAN 升级到万兆?

    万兆=10G,一般的小一点的 IDC,从单个运营商那里拉过来的宽带也只有 20-30G,贵司是做啥业务的...

    万兆通常也不会用提供,通常都是万兆光纤接入。

    让我们考虑一下流量模型:

    WAN 万兆,LAN 交换机还是千兆,那么到终端 PC 最多也还是千兆,结论是浪费 WAN 费用。

    我猜测 LZ 公司是内网万兆

    假如是万兆 LAN,其实瓶颈并不在防火墙,而在三层交换机上。防火墙并不需要很高等级。如果外网接入是 500M,那么普通千兆防火墙就可以了。

    ssg140 这个干儿子型号已经被 juniper 停止销售多少年了,还是换亲儿子 SRX1500 吧 @phoebuss

    另外防火墙我推荐买 NGFW,可以做到 7 层防护,paloalto(有钱)或者 fortigate(没钱),记得一定买相应的许可。

    至于具体型号直接联系防火墙的经销商好了,会根据实际情况帮你推荐的。


    Juniper 的 SRX 是传统 FW,现在不推荐啦。Cisco 的 ASA 本身做的不好也不推荐了。

    你搜一下"gartner ngfw 魔力象限",虽然是种营销,但是厂家都以上榜为荣。
    ps1aniuge
        15
    ps1aniuge  
       2018-10-14 13:35:57 +08:00
    juniper 资料屎一样,还都是英文。售后屎一样。产品 3 年过保后,连手册都不许下载。
    华为,h3c,售后好。产品过保 10 年,不买产品,也可以下中文手册。
    trepwq
        16
    trepwq  
       2018-10-14 13:53:08 +08:00 via iPhone
    x86 的 pfsense ?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2837 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 07:17 · PVG 15:17 · LAX 23:17 · JFK 02:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.