Назад | Перейти на главную страницу

Проект сети кампуса - Межсетевые экраны

Я проектирую кампусную сеть, и дизайн выглядит так:

LINX - это Лондонский Интернет-обмен, а JANET - Объединенная академическая сеть.

Моя цель - почти полное резервирование с высокой доступностью, потому что оно должно будет обслуживать около 15 тысяч человек, включая академический персонал, административный персонал и студентов. я прочитал некоторые документы в процессе, но я все еще не уверен в некоторых аспектах.

Я хочу посвятить это брандмауэрам: каковы движущие факторы при принятии решения использовать выделенный брандмауэр вместо встроенного брандмауэра в пограничном маршрутизаторе? Насколько я могу судить, встроенный брандмауэр имеет следующие преимущества:

Выделенный межсетевой экран имеет то преимущество, что он модульный.

Есть ли еще что-нибудь? Что мне не хватает?

Администратор / архитектор корпоративных систем здесь. Я бы никогда не спроектировал сеть такого масштаба, чтобы использовать что-либо, кроме выделенных устройств для каждой основной задачи: маршрутизации, коммутации, межсетевого экрана, балансировки нагрузки. Поступать иначе - просто плохая практика. Сейчас появляются и появляются продукты, такие как VMware NSX, которые стремятся виртуализировать эту инфраструктуру до массового оборудования (и, как правило, его меньше), и это нормально. Даже интригующе. Но даже тогда каждое виртуальное устройство выполняет свою работу.

Я расскажу об основных причинах, по которым они хранятся отдельно:

  1. Как сказал @Massimo, вы просто не получаете функциональность от комбинированных устройств; они потеряют возможности, необходимые для правильной оптимизации вашего дизайна.
  2. Это обеспечивает меньшую поверхность атаки на единицу: если в граничном маршрутизаторе существует критическая уязвимость, хотите ли вы, чтобы это была дыра, которую злоумышленник использует для получения доступа к межсетевому экрану?
  3. Это упрощает управление. Заманчиво думать, что комбинирование упрощает управление, но обычно это не так. Что делать, если у меня есть группа NetSec, управляющая политиками межсетевого экрана, и группа инфраструктуры, отвечающая за маршрутизацию? Теперь мне нужно правильно настроить детальные ACL на комбинированных устройствах, чтобы каждое из них могло получить то, что им нужно, и ничего больше. Кроме того, комбинированные устройства, как правило, имеют менее хорошо спланированные интерфейсы, особенно для крупных развертываний (я смотрю на вас, SonicWALL).
  4. Размещение инфраструктуры должно быть гибким. С комбинированными устройствами я в значительной степени придерживаюсь статической схемы: для каждого из них, которое я развертываю, у меня есть маршрутизатор и брандмауэр, где, возможно, мне действительно нужен был только брандмауэр. Конечно, я могу отключить функции маршрутизации, но это приводит к пункту выше о простом управлении. Кроме того, я вижу много проектов, пытающихся сбалансировать нагрузку всего, хотя на самом деле вам часто лучше балансировать нагрузку отдельно по зонам, поскольку есть некоторые вещи, которые должны пройти, а иногда вы снижаете избыточность или отказоустойчивость, вводя некоторые компоненты на стыках которые в них не нуждаются. Есть и другие примеры этого, но балансировщики нагрузки легко выбрать.
  5. Комбо-устройства легче перегрузить. Когда вы думаете о сетевых устройствах, вы должны учитывать объединительную плату: может ли этот комбинированный маршрутизатор / брандмауэр / балансировщик нагрузки справиться с пропускной способностью, которую на него бросают? Специальная техника, как правило, будет работать лучше.

Надеюсь, это поможет. Удачи в вашей сети. Если у вас есть дополнительные вопросы, пишите отдельно (отдельно от этого поста), и я постараюсь их ответить. Конечно, есть много умных людей, которые могут ответить так же хорошо или, надеюсь, лучше. Чао!

Хотя маршрутизаторы и брандмауэры частично перекрывают друг друга, у них совершенно разные цели; таким образом, маршрутизаторы обычно не преуспевают в брандмауэрах, а брандмауэры обычно не могут выполнять гораздо больше маршрутизации, чем перемещение пакетов с одного интерфейса на другой; это основная причина использовать разные устройства для двух ролей.

Другая причина заключается в том, что брандмауэры обычно имеют только интерфейсы Ethernet, полагаясь на соответствующий маршрутизатор для подключения к различным средам, таким как оптоволокно или DSL; соединения ваших интернет-провайдеров, скорее всего, будут обеспечиваться на таких носителях, поэтому в любом случае потребуются маршрутизаторы для их завершения.

Вы сказали, что вам нужна отработка отказа как для маршрутизации, так и для межсетевого экрана. Высокопроизводительные маршрутизаторы могут обеспечивать балансировку нагрузки и аварийное переключение между несколькими устройствами и несколькими соединениями ISP; Хотя межсетевые экраны имеют базовые возможности маршрутизации, они обычно не выполняют такие высокопроизводительные функции маршрутизации. Обратное верно для маршрутизаторов, действующих как межсетевые экраны: они обычно довольно ограничены по сравнению с настоящими высокопроизводительными межсетевыми экранами.