300Mb/s - is it possible?

Ok, I think I got it. Thanks.   Haven't set anything up as I don't have ASL yet.  Want to find out if it's even worth trying before spending the time setting it up.  [:)]

Is it possible to make ASL "invisible" like you can with a Netscreen, so routing on the LAN (to/through the ASL) isn't needed?

-Brian

Not sure what you mean, but  you cannot run ASL as a bridge.

You can do NAT and Proxy ARP, although they aren't really generally recommended unless you have no control over your IP scheme.

Is your DMZ not on a different subnet than your internal network(s)?

Normally, your gateway for your INT network would be the ASL internal interface, and for the DMZ would be the DMZ interface, ..., and Astaro automatically setups the static routing.
All you need to do are enter a few IPs and create some rules to allow traffic between networks.

Barry

The DMZ and Internal net are both on the same LAN right now.  Though I would have no need for routing on between them at this point.

No need for NAT.

Sounds simple enough, but just thought it'd be nice to not burden the device with routing when it's not needed.  Not sure if it's a good feature or not, but it seems kinda nice to drop a NetScreen into a net and nothing changes on any of the boxes using that transparent mode or whatever they call it.

-Brian

Sounds like some sort of bridging, which ASL doesn't do.

If you want to use ASL, you'd need to create a new subnet, or divide the one you have into 2 subnets.

Routing is fairly trivial; it's the packet filtering (firewall rules) that _can_ tend to slow things down if you have a lot of rules.

Barry

Post deleted by barrygould

FWIW, there are some speed ratings of various IPS systems  here. 

I don't know which of these are software running on PC hardware and which are ASIC hardware, but as you can see, the speeds and accuracies vary wildly. Also some had very good throughput but "some latency".

Barry

Apparently, snort-inline (what ASL uses for IPS) is capable of 500Mbps mentioned here as of 2003. Probably even faster in newer versions.

Unfortunately, the PDF doesn't seem to be available anymore.

Barry

[ QUOTE ]
encryption boards are becoming passe, at least with block ciphers, because the PCI-whatever bus once again becomes the limiting factor

[/ QUOTE ]

My thinking was to use such a board on the PCI-X bus; then no slowdown happens. But to make all that fly, your routing software is going to have to be coded to talk to that vendor's board; and many developers are leery of investing time in that if the board goes the way of the dodo bird.

We need the big boys (AMD, Intel) to do more encryption processing and make it a standard we know will be there next year...

Well some good news... Linux 2.6.11 includes drivers for VIA's Crypto accelerator.

Even PCI-X is kind of slow for block-cipher crypto if you're doing gigabit+ levels of traffic... you have to send data to the card, received the encrypted data back, and then send it out to the network.
Maybe better if the crypto could be done on the NIC on the way out... I don't know if that would work or not.

I'd think the VPN or SSL software would be talking to the accelerator, not the routing sw.

Wish I could find the article I read a week or two ago about these things going out of style.
Searching Google mostly just finds artices from 2000 or so (another indicator I guess [:)]  ).

The prices are still terrible on them though ($500 - $1500 each card)... more than most CPUs.
Also, a lot of these things only handle SSL handshakes and are useless for VPNs (even SSL VPNs) or even encrypting large files with SSL.

Another factor is newer ciphers like Blowfish & AES are MUCH faster on general-purpose CPUs than triple-des, etc.

I believe the VIA co-processor can be used for VPN acceleration though.

Barry

[ QUOTE ]
Maybe better if the crypto could be done on the NIC on the way out... I don't know if that would work or not.

[/ QUOTE ]

I think Intel has crypto NICs; real cheap!