Каковы преимущества выделенного межсетевого экрана вместо или в дополнение к использованию списков контроля доступа и проверки IP на маршрутизаторе?
Я понимаю, что это может зависеть от версии маршрутизатора, являются ли определенные версии маршрутизатора в основном межсетевым экраном и маршрутизатором в единице?
Я бы сказал, что они не предназначены для того же. ASA имеет мощный ЦП, поэтому он может обрабатывать большое количество пакетов с очень большим / сложным списком доступа. Более новая версия IOS может выполнять проверку с отслеживанием состояния, но требует много ресурсов процессора.
ACL (используемый для фильтрации IP-адресов) на маршрутизаторе изначально были разработаны для фильтрации сетевого потока с использованием только короткого списка доступа. Это работает на ASIC и работает очень-очень быстро. Сегодня вы можете сделать более мощную фильтрацию, но это нужно будет делать на ЦП, а ЦП маршрутизатора, как правило, менее мощный, чем в брандмауэре.
Поэтому я бы использовал короткие ACL на маршрутизаторах, обрабатывающих большие объемы трафика, которые будут выполняться на ASIC. Я бы использовал сложные ACL (CBAC и cie) на маршрутизаторе, который будет иметь только небольшие объемы трафика для фильтрации. Но я бы использовал ASA для фильтрации трафика из одной сети в другую, потому что вам понадобятся большие и сложные ACL, которые не будут работать на ASIC маршрутизатора и будут передавать слишком много пакетов для обработки маршрутизатора с его CPU.
Фильтрация с отслеживанием состояния. Списки управления доступом маршрутизаторов (по большей части) не имеют состояния, что является лавашом.
В настоящее время межсетевые экраны (даже Cisco) - это гораздо больше, чем фильтр пакетов:
Если вам нужна фильтрация необработанных пакетов для трафика с высокой пропускной способностью между вашими VLAN, используйте ACL в своей магистрали. Но если дело доходит до подключения вашей сети к другой, вы можете управлять не только уровнем 4.
Или, чтобы расширить ответ Циана, с надлежащим устройством брандмауэра вы можете войти и посмотреть на передаваемые данные.
Ваш обычный маршрутизатор может ограничивать исходный IP-адрес, IP-адрес назначения и порт, что может помочь вам заблокировать, скажем, весь HTTP-трафик на порту 80, исходящий от / к тому или иному.
Но полный брандмауэр позволит вам смотреть на трафик, проходящий через порт 80, и блокировать определенный контент.
Я могу, например, заблокировать трафик с типом содержимого «application / x-javascript» или «audio / x-pn-realaudio». Доступ ко всему остальному HTTP-трафику возможен, но мои пользователи не смогут загружать содержимое JavaScript и Real Audio.
Добавьте к этому ценность, установив антивирусный сканер на самом брандмауэре (в наши дни у большинства производителей есть какие-то предложения на основе подписки), и ваше устройство брандмауэра может обеспечить гораздо большую защиту, чем ваш маршрутизатор.
Теперь, когда Cisco добавляет протоколы маршрутизации к межсетевому экрану ASA и меньшему количеству сценариев требуются более привлекательные интерфейсы, чем Ethernet, экономические выгоды довольно убедительны для использования межсетевого экрана вместо маршрутизатора везде, где он будет делать то, что вам нужно, по крайней мере, в мире Cisco.
Значительно больше пропускной способности на доллар.
С другой стороны ... Встроенный диспетчер событий для программирования пользовательских ответов находится в сокращающемся списке функций, которые вы не получаете ... пока.
Я использую ASA5520 для обеспечения безопасности и уровня 3. Все мои коммутаторы относятся к уровню 2. Эта среда идеально подходит для 150–180 пользователей. Я добавил дополнительную карту уровня 3 сзади, чтобы получить в общей сложности 8 портов уровня 3 для моего ASA. Я использую гибрид роутера флешки. У меня есть 3 порта, выделенных для VLANS (порт 0 vlan 5-50) (порт 1 vlan 60-100). Порты 2 и 3 предназначены для моего основного Интернета и SIP-магистрали для моей дрянной АТС.
Сначала я был настроен скептически, но через 3 года после реализации он стал настоящей рок-звездой. Эта установка сэкономила мои доллары на выделенном роутере. Я думаю, что если моя среда достигнет отметки 200 пользователей, я перейду на уровень 3-го уровня маршрутизатора и коммутаторов ядра. Я сохраню ASA.