Дизайн мережі Campus - Брандмауери

Я проектую мережу кампусу, і дизайн виглядає приблизно так:

LINX - Лондонська Інтернет-біржа, а JANET - спільна академічна мережа.

Моя мета - це майже повністю надмірна кількість з високою доступністю, тому що в ній доведеться підтримувати близько 15 тисяч людей, включаючи викладачів, адміністративний персонал та студентів. Я прочитав деякі документи в процесі, але все ще не впевнений у деяких аспектах.

Я хочу присвятити цей брандмауер: які рушійні фактори вирішують використовувати спеціалізований брандмауер замість вбудованого брандмауера в прикордонному маршрутизаторі? Як я бачу, вбудований брандмауер має такі переваги:

• Простіше в обслуговуванні
• Краща інтеграція
• Один менш хоп
• Менша потреба в просторі
• Дешевше

Виділений брандмауер має перевагу в тому, що є модульним.

Є ще щось? Що я пропускаю?

Тут адміністратор / архітектор корпоративних систем. Я б ніколи не проектував мережу такого масштабу, щоб використовувати для будь-якого основного завдання нічого, крім виділених приладів: маршрутизацію, комутацію, брандмауер, балансування навантаження. Це просто погана практика робити інакше. Тепер з'явилися нові продукти на зразок NSX VMware, які прагнуть віртуалізувати цю інфраструктуру до товарного обладнання (і, як правило, менше), і це добре. Інтригуюче, навіть. Але навіть тоді кожен віртуальний прилад має свою роботу.

Я торкнуся основних причин, чому вони тримаються окремо:

1. Як сказав @Massimo, ви просто не отримуєте функціональність із комбінованих пристроїв; вони втрачають функції, необхідні для належної оптимізації дизайну.
2. Це забезпечує меншу поверхню атаки на одиницю: якщо в крайовому маршрутизаторі існує деяка критична експлуатація, чи хочете ви, щоб це була діра, яку зловмисник використовує, щоб отримати доступ до брандмауера?
3. Це спрощує управління. Заманливо думати, що комбінування полегшує управління, але це зазвичай не так. Що робити, якщо у мене є команда NetSec, яка керує політикою брандмауера та команда інфраструктури, яка обробляє маршрутизацію? Тепер я повинен правильно встановити дрібнозернисті ACL на комбінованих пристроях, щоб переконатися, що кожен може дістатися до того, що потрібно, і нічого іншого. Крім того, комбіновані пристрої, як правило, мають менш чітко сплановані інтерфейси, особливо для великих розгортань (я дивлюся на вас, SonicWALL).
4. Розташування інфраструктури має бути гнучким. Що стосується комбінованих пристроїв, я сильно застряг зі статичним розташуванням: для кожного, який я розгортаю, у мене є маршрутизатор і брандмауер, де, можливо, мені дуже хотілося брандмауера. Звичайно, я можу вимкнути функції маршрутизації, але це призводить до суттєвого питання про просте управління. Крім того, я бачу дуже багато конструкцій, які намагаються завантажити баланс усе, коли вам справді часто краще балансувати навантаження окремо в зонах, оскільки є деякі речі, які повинні пройти, а іноді вам заважає надмірність або стійкість, вводячи деякі компоненти на стиках які їм не потрібні. Є й інші приклади цього, але балансири навантаження легко вибрати.
5. Комбіновані пристрої можна легше перевантажувати. Розмірковуючи про мережеві пристрої, ви повинні врахувати опорну площину: чи може комбінований маршрутизатор / брандмауер / балансир навантаження обробляти пропускну здатність, яка кидається на нього? Спеціальна техніка, як правило, дешевше.

Сподіваюся, що це допомагає. Успіхів у вашій мережі. Якщо у вас є додаткові запитання, відправте їх (окремо від цієї публікації), і я спробую їх наздогнати. Звичайно, є багато розумних людей про те, хто може відповісти так само добре, чи сподіваємось, що краще. Чіао!

Хоча маршрутизатори та брандмауери перекриваються зовсім небагато, вони мають зовсім інші цілі; таким чином, маршрутизатори, як правило, не відрізняються брандмауером, і брандмауери зазвичай не можуть робити набагато більше маршрутизації, ніж переміщення пакетів з інтерфейсу на інший; це головна причина використання різних пристроїв для двох ролей.

Ще одна причина полягає в тому, що у брандмауерів зазвичай є лише інтерфейси Ethernet, покладаючись на належний маршрутизатор для підключення до різних носіїв інформації, таких як волокно або DSL; підключення ваших провайдерів, швидше за все, будуть надані на таких носіях, тому маршрутизатори будуть потрібні для їх припинення.

Ви сказали, що вам потрібна відмова як для маршрутизації, так і для брандмауера. Маршрутизатори високого класу можуть забезпечувати балансування навантаження та відмову на різних пристроях та безлічі підключень провайдера; хоча брандмауери мають основні можливості маршрутизації, вони зазвичай не виконують таких функцій високого класу маршрутизації. Зворотний бік справедливий для маршрутизаторів, які виконують функції брандмауера: вони, як правило, досить обмежені в порівнянні з реальними брандмауерами високого класу.