web-dev-qa-db-fra.com

Architecture PfSense pour le centre de données des petites entreprises

Le projet consiste à co-localiser une petite structure de centre de données (localement à des fins de développement et d’hébergement (WebServer)) derrière les pare-feu de PFsense. Nous avons quelques HP DL360 G5 prêtes à être utilisées à cet effet. Passons donc à la structure du projet que je compte construire:

  1. modem/routeur de fournisseur Internet

  2. Pfsense Firewall: 3x Pfsense pour l’utilisation principale de la sécurité + 3 Mise en miroir des principaux pare-feu PFsense par Fail.

  3. Structure Ubuntu MaaS DC (y compris Juju, etc.) : 1x contrôleur de région + 2x contrôleur de rack pour 2x unités de serveur en rack séparées.

Mon plan est de construire un pare-feu multiple avec PFsense. J'espère que l'architecture logique est correcte:

                              Provider Router/Modem
                                         |
            PFs1---------------------------------------------------PFs1m
             |                                                        |
            PFs2---------------------------------------------------PFs2m  
             |                                                        |
            PFs3---------------------------------------------------PFs3m
                                         |
                              MaaS Region Controller
                                         /\
                                        /  \
                                       /    \
    MaaS Rack Controller---------------      -----------------MaaS Rack Controller  
      /           \                                            /          \
    Nodes         Nodes                                      Nodes        Nodes

Légende:
PFs {number} = PFsense
PFs {nombre} m = PFsense (miroir pour HA)

Est-il possible d'utiliser plusieurs pare-feu PFsense pour "améliorer" la sécurité avec davantage de pare-feu derrière? Comment faire ça?

networkingserverjujumaasfirewall
1
Gianni

La réponse à cette question est OUI, vous pouvez!

CARP est la meilleure méthode pour cet usage.

Vous pouvez configurer autant de pare-feu que vous le souhaitez. Tout ce que vous allez faire est de refléter le premier pare-feu en tant que clone. Exemple: vous obtenez 3 pare-feu (FW1, FW2, FW3)

FW1 est le 0 principal
FW2 est le clone de 1
FW3 est le clone de 2

Donc si:
1: FW1 est UP -> FW2 est UP -> FW3 est UP = FW1 est en cours d'exécution (FW2 + FW3 en tant que clone)
2: FW1 est DOWN -> FW2 est UP -> FW3 est UP = FW2 est en cours d'exécution (FW3 en tant que clone)
3: FW1 est DOWN -> FW2 est DOWN -> FW3 est UP = FW3 est en cours d'exécution (pas de clone)
4: FW1 est UP -> FW2 est DOWN/UP -> FW3 est DOWN/UP = FW1 est en cours d'exécution (FW2 + FW3 en tant que clone).
.
.
etc.

Recherchez autour de CARP + PFSense + Ubuntu aussi bien sur les forums PFSense.

0
Gianni