请教什么硬件防火墙比较好

azero

实验室配置了100+万的小集群，12台CPU节点（每台1X3070），4台GPU节点（每台4X3090）
主要用于生物大分子的MD，QM/MM

想购置一个硬件防火墙，预算是几千块，主要是防外网求教如何选购或者有没什么牌子型号推荐

abin

网络安全方面, 永无止境.

既然上升到硬件层面, 就说硬件方面的建议.

第一, 最简单的, 做网络物理隔离, 严禁使用任何内网穿透工具, 比如流行的CF之类的.

第二, 限定key/密钥验证登录. 但是要严防微软机器被控制, 再登录服务器. 微软机器是软肋.

第三, 采用硬件隧道方案. 所有客户也需要安装该隧道客户端. 这一点, 华为, H3C, 或者高端的思科都可以搞定.
不过思科应该是超过预算了.

其实, 通过系统安全设定就能搞定安全了.

主要是围堵微软机器上的漏洞. 这个比较头疼.

小几千的预算, 就是买一个企业级的硬件网关路由器来做, 配合网络物理隔离.
硬件安全设备, 价格都比较贵的.

补充一下:
如果换个思路, 其实从系统层面基本就能搞定了.
第一, SSH+2FA模式.
第二, 网络物理隔离.
第三, 其他的, 涉及隧道方案, 可能存在违禁词汇, 自己研究吧.

azero

abin 发表于 2021-8-8 10:51
网络安全方面, 永无止境.

既然上升到硬件层面, 就说硬件方面的建议.

谢谢你的详细回答

但是作为一个防火墙小白，大部分看不懂
主要是用来防外网入侵，以后要是有计算资源剩余，可能把机时租出去

不知道硬件防火墙要看什么参数

abin

azero 发表于 2021-8-8 18:50
谢谢你的详细回答

但是作为一个防火墙小白，大部分看不懂

“防止外网入侵”,
你可能想多了.

其实在login node上, 使用Linux自己的防火墙, 对外开启SSH即可.
SSH密钥, 并限定用户名, 基本干掉99%的非法登录.

租赁, 就要涉及对外服务.
如果你在境外还好说.
在境内的话, 大家都是各种局域网, 你怎么保证对方登录?

由于涉及网络, 很多词汇可能违禁,
如有兴趣, 你可以电邮联系我.

abin

闲来无事.

我再补充一个解决方案.

无论是软件层面, 还是硬件防火墙, 都需要具有一定的网络运维技术.
京东上买的企业 XXX 网关防火墙, 用法是相当于用户和机器都在该网关后面, 也就是用户和机器, 都在同一个LAN或者分属几个不同的VLAN.

你可以换个思路.
login node, 仅仅允许, 单向访问, 也就是只能从login node对外访问, login node入站数据全都抛弃; 仅有来自XXX的访问放行.
这个iptable就搞定了.
或者完全彻底抛弃入站数据, 而采用单向的隧道实现.

租用境内云服务网络, 防火墙等操作交给云商家来处理.
他们的防火墙能力, 肯定比你弄的好用.
该云主机, 扮演ssh jumper only模式, 仅仅提供root ssh key登录.

该方案中,
1 防火墙控制, 有云商家来处理;
2 云主机网络, 能够实现境内外直接登录访问.
3 集群主控节点, 仅仅允许唯一网络端口进行登录, 安全性较高
4 额外设定pbs+ssh验证, 可实现, 如无计算, 用户无法访问任何一个计算节点, 保证资源完全被PBS管控.

缺点
1  需要花钱租用云主机.
2  需要根据实际需要租用网络带宽, 有一定费用
3  替换为境外云主机, 可以获取高带宽, 不过延时较高.

以上方案, 无需任何专用软件, 任何一个网络运维, 都能完成部署.

注意, 本人提到的方案, 都是在讨论security, 而非safety, 请特别留意.