白色的防火牆
如果沒有安全方面的需求,我大概會使用Juniper SSG5很長的時間,他安靜,穩定,沈著,從來不罷工,但是他支持的VPN加密方式還是略微有些過時,最高只能到AES-CBC,畢竟他是二十年前的產品,雖然AES-CBC把密鑰加長之後,也不是不可以用,但SSG5的ASIC晶片似乎並不能承載過長的密鑰,還有一個問題是他的管理介面,支持的SSL庫無法更新,已經到了可以被溢出攻擊的階段,第三個問題呢就是他雖然有八個端口但都是百兆位,確實有點過時,所以還是要把他汰換掉。
juniper的OS和fortinet的OS都有虛擬化版本,嘗試了一下,覺得並不好用,錢花出去,得到一個並不那麼讓人滿意的付費版,而且虛擬化環境增加了更多的單點故障可能性,所以我最後決定使用商業硬體搭配開源防火牆軟體pfSense,在過去一年多的辦公環境使用中,效果很好,特別是VPN的速度,幾乎可以跑滿帶寬,而其他商用實體或虛擬化產品,對VPN則是施加了各種限制,想方設法的要從企業用戶的錢包裡把錢給摳出來。
pfSense是基於x86架構的軟體,所以我在伺服器的選型上花費了很多時間,他應該滿足以下的特點:
1,低功耗CPU
2,四到八個千兆位rj45端口
3,足夠小的體積
4,退役的工業級產品,有串口
市面上滿足前三點的產品非常多,可以說是玲瑯滿目,在Amazon上,各類中國生產的noname boxes(他們並不是沒有名字,而是生造了許多不存在的英文單字作為名字)幾乎到了傾銷的地步,但是他們都不具備工業級產品的品控,粗製濫造的也不在少數,但是因為銷量實在太大,甚至有youtuber去對這些noname boxes進行評測。
我原本選定的是惠普T620作為伺服器,他無風扇,雙核CPU,商用級別瘦客戶機,唯一的問題是他需要自己來增加一個額外的nic,還有一個小問題,是他主機板上的那顆nic是realtek,由於pfSense是基於FreeBSD設計,realtek的driver在FreeBSD下一向表現不好,當然這並不是什麼大問題,這裡講的表現不好,是realtek在FreeBSD下面不能長期穩定的跑在1000M/s的水平,跑上個七八百兆是沒有問題的,安裝上pfSense的T620伺服器在辦公室運行了一年多時間,非常穩定,沒有任何問題,但我還是需要一台交換機來連結其他的設備。
隨著IT設備的固定更新週期,往往能在網路上找到退役後還很新的工業產品,比如我這次尋覓到的Sophos SG105,低功耗四口千兆位防火牆,Sophos也是一款基於x86的防火牆軟體,他的介面華麗,功能豐富,主要的問題和其他工業防火牆一樣,對於VPN施加了各種限制,就讓你交錢才行,但我只需要用他的硬體,所以直接抹掉SSD,接上串口線,插上隨身碟,裝上pfSense就可以了。
我拿到手發現他的SSD運行時間才6800個小時,SSD啟動次數四十次,作為一台二十四小時開機的防火牆,這個時間才兩百多天,一年時間不到,也太新了點。
這台四個端口的工業級產品配備了atom E3826處理器,從管理介面響應速度來看甚至比我R86s上的N5100還快,這只是處理php的速度,並不是很重要,話說回R86s,也是蠻不錯的選擇,問題是他不是工業級產品,而且也沒有串口。SG105上原配的內存是2G,似乎不太夠用,不過從Google來看,是可以直接替換為更大的內存,不會像Cisco或者Juniper那樣,必須使用專用的內存條。
可惜的是,幾天之前從pfSense發展起來的商業公司Netgate宣布pfSensePlus不再免費提供給家用,所以這台設備只能使用community edition啦,Netgate的理由是,網路上充斥著大量未經授權預裝的pfSensePlus,請注意,是預裝,是的,就是我上面提到的那些Chinese made noname boxes,中國人的智慧總是會用爛很多東西,這個世界很難不被劣幣佔領。