Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 5725 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is the astro firewall good for me?

amiz
Is the astro firewall good for me?

I need a firewall for the hosting servers (4 strong servers) in the collocation farm that I have in a big ISP.
I was thinking of taking 1U P4 1giga ram + SATA driver and test the security Linux…..

I have a 100MB line to the internet and I was wondering if it will take the load?
I will not use any proxy just the firewall rules for protection….
How much concurrent connection can it take? How about throughput?

What do you think? Can I do it?
Do you have any experience with this type of installation?

Maybe I should go with PIX…or checkpoint…

Thanks

Amiz


This thread was automatically locked due to age.
Parents
  • 0
    You can see many tests and reports in the szene, where you can do your own image. imho the last test was in the ct-magazine nr. 17, site 150 (enterprise test). astaro is a great product!

    concurrent connections are based on your license. i think its the follwing:

    10User = 2.000 cc
    25User = 5.000cc
    50User= 16.000cc
    100User = 32.000cc
    250User = 64.000cc
    500User = 128.000cc
    Unlimited = unlimited

    please correct me somebody if i am wrong.
  • 0 in reply to synopex
    Correct me if I am wrong.

    CC limit is only for outgoing traffic –(from LAN to WAN)  
    Let say that I have 10 servers and I am using 10 IP's license with 2.000 cc limit.
    So basically if 300,000 clients from the internet in the same moment will open 300,000 sessions 
    The firewall will not block the http traffic because the limit is only for outgoing traffic.

    Do I make sense?

    Thanks
Reply
  • 0 in reply to synopex
    Correct me if I am wrong.

    CC limit is only for outgoing traffic –(from LAN to WAN)  
    Let say that I have 10 servers and I am using 10 IP's license with 2.000 cc limit.
    So basically if 300,000 clients from the internet in the same moment will open 300,000 sessions 
    The firewall will not block the http traffic because the limit is only for outgoing traffic.

    Do I make sense?

    Thanks
Children
  • 0 in reply to amiz
    I am not absolutely sure, but guess you are wrong. I think it doesn't matter what direction or interface the connection was established. But contact Astaro sales or your local partner for more info.
  • 0 in reply to MagicMike
    Hi Amiz, 

    your statement is not 100% true, 
    the maximum concurrent connection is a total number of all connections going through the firewall.
    Incoming and Outgoing.

    Regarding your question if ASL is right for your,
    i would say YES [;)]

    Tests have shown that ASL can handle traffic up to 800MBit/s and with 64byte packets is still closs to 100MBit.

    I would suggest using Intel Network cards with e100 or e1000 chipset as they provide the best performance.

    best regards
    Gert

    i
  • 0 in reply to Gert Hansen
    So let me get it straight….

    If I will use 10 user license with 16,000 concurrent sessions
    The 16,001 session will be dropped by the firewall?

    1) is there any licensing model that can give me higher concurrent session number
    Without buying license for imaginary internal users?
    My users are only internet users…. And I have less than 10 internal servers.

    2) The big problem: DDOS attack – this is attack that is generating thousands of sessions (sometimes 500,000 and more) that look like
    Normal and legit traffic (http get) and it is spoofed from different ip address so you can't dynamically block
    The source ip address. So think what will happen when I will have DDOS attack on my system with ASL firewall that has X concurrent sessions limit
    The DDOS will flood the session's table and normal users will be dropped by the ASL!!!!!!!!!!!!!!!!!!!!!!
    So basically attack from the internet will limit my license.

    Any work around for this problem?

    Thanks

    Ami
  • 0 in reply to amiz
    16,000 connections is a LOT.

    I have a 50 IP license with about 40 users and a few servers.

    Highest number of connections I see is about: 500
  • 0 in reply to Simon Shaw
    Its all depend on the type of server you have:
    "40 users and a few servers"
    Well if you have 40 users that connect to the server and small website than 16000 CC is ok with you,
    But if your main focus is web application and you have brand recognition and PPL are trying to attack
    You than you will have problem with CC limit.
    Take for example eBay they get millions of legit session but sometimes they get waves of DDOS attack
    That can take down the service if you have CC limit on the firewall.

    I personally think that CC limit should not be lower from the number of CC that the servers can handle.
  • 0 in reply to amiz
    I don't know if you host eBay or anything similar, but I think it is clear that the eBay hoster should have multiple Unlimited installations for the load balancing, behind each of them multiple web servers too. Otherwise, Astaro's DOS prevention systems should be able to prevent the cc limit problems mentioned.
  • 0 in reply to MagicMike
    I assume that would be the Syn Flood Protection (in ASL 5)?

    Has anyone tested it to see if it behaves as expected, and the licensing counting/connection tracking is still correct?
  • 0 in reply to amiz
    Think that's behind this licensing model. It prevents from being cheated (or license misuse) by providers  who want to protect servers hosting hundreds of paying customers with a cheap 10 user license.

    /|/|acarena