[Pluto-security] Firewall HA

[Fabio Panigatti]

> - - appliance, tipo Cisco
> - - appliance linux-based, tipo Stonesoft, Astaro, Thunderwall, ecc
> - - server autoprodotto
>
> Chiedevo aiuto alla lista: avete esperienze dirette su queste soluzioni?
> In caso di server "casalingo", pensavo di usare heartbeat per il fileover,
> e non LVS (non dovrei distribuire il carico...). Che ne pensate?

Attualmente non esistono (AFAIK) soluzioni stateful failover per netfilter
che consentano il proseguimento delle sessioni RELATED (per le ESTABLISHED
ci si puo' arrangiare, anche se non al 100%). Se devi garantire che questo
traffico rimanga su, temo che dovrai abbandonare linux+netfilter (anche in
versione appliance, ovviamente).

Per il resto non saprei dirti. Se ovessi scegliere una soluzione con linux
allora andrei sul server autoprodotto. Se ci sono problemi legati al tempo
di messa in servizio e/o interfacce di configurazione semplici, penserei a
delle distribuzioni dedicate, al limite (Astaro, Mandrake MNF...), che, in
ogni caso, consentono una maggior flessibilita' di configurazione rispetto
alle soluzioni linux appliance (ed hanno costi di prima installazione piu
bassi, probabilmente).

Un prodotto ciso, forse, potrebbe dare maggiori garanzie al vostro cliente
in termini di manutenibilita' ed aggiornamento per il futuro nel caso loro
decidessero di cambiare fornitore (cioe' voi :-)).


Fabio