15 votos

Diseño de redes de Campus - Firewalls

Estoy diseñando una red de campus, y el diseño se parece a esto: My design

LINX es El London Internet Exchange y JANET es la Red Académica.

Mi objetivo es un casi-totalmente redundante, con alta disponibilidad, ya que tendrán que soportar alrededor de 15 mil personas, incluyendo el personal académico, personal administrativo y estudiantes. He leído algunos documentos en el proceso , pero aún no estoy seguro acerca de algunos aspectos.

Quiero dedicar este uno de los cortafuegos: ¿cuáles son los factores determinantes en la decisión de emplear un firewall dedicado, en lugar de un firewall incorporado en la frontera router? Por lo que puedo ver, incorporado un firewall tiene estas ventajas:

  • Más fácil de mantener
  • Mejor integración
  • Uno menos hop
  • Menor necesidad de espacio
  • Más barato

Dedicado firewall tiene la ventaja de ser modular.

¿Hay algo más? Lo que me estoy perdiendo?

11voto

Tohuw Puntos 220

Los Sistemas de la empresa, Administrador/Arquitecto aquí. Yo nunca lo haría diseño de una red de esta escala para uso nada, pero los dispositivos dedicados para cada tarea central: enrutamiento, conmutación, firewall, equilibrio de carga. Es simplemente mala práctica hacer lo contrario. Ahora, hay viene y productos como VMware NSX que buscan virtualizar esta infraestructura abajo de los productos básicos de hardware (y por lo general, menos de la misma), y eso está bien. Intrigante, incluso. Pero incluso entonces, cada dispositivo virtual tiene su trabajo.

Voy a golpear en la principales razones por la que estos se mantienen por separado:

  1. Como @Massimo dijo, simplemente no obtener la funcionalidad de los aparatos combinados; ellos van a perder las características que usted necesita para optimizar correctamente su diseño.
  2. Esto proporciona una menor superficie de ataque por unidad: si algunos críticos de explotar existe en el router de borde, ¿quieres que sea el agujero de un atacante utiliza para obtener acceso al servidor de seguridad?
  3. Se simplifica la gestión. Es tentador pensar que la combinación hace que la gestión sea más fácil, pero eso no suele ser cierto. ¿Qué pasa si tengo un NetSec equipo de gestión de las políticas de cortafuegos y un equipo de Infraestructura de manejo de enrutamiento? Ahora tengo que configurar correctamente de grano fino Acl en el combo de dispositivos para asegurarse de que cada uno puede obtener lo que necesita, y nada más. Además, el combinado de los dispositivos tienden a tener menos bien planeado interfaces, especialmente para grandes implementaciones (te estoy mirando a ti, SonicWALL).
  4. La infraestructura de la colocación debe ser flexible. Con el combo de los dispositivos, estoy bastante atascado con un diseño estático: por cada uno que estoy implementando, tengo un router y un firewall, donde tal vez yo realmente sólo quería un firewall. Seguro, puedo activar el enrutamiento de las características off, pero que lleva al punto anterior sobre la gestión simple. Además, veo un montón de diseños tratando de equilibrar la carga de todo, cuando en realidad está a menudo mejor equilibrio de carga por separado en las zonas, ya que hay algunas cosas que deben pasar a través de, y a veces le duele la redundancia o la flexibilidad mediante la introducción de algunos de los componentes en las uniones que no los necesita. Hay otros ejemplos de esto, pero los equilibradores de carga son fáciles de agarrar.
  5. Combo de dispositivos puede sobrecargarse más fácilmente. Cuando se piensa acerca de los dispositivos de la red, usted tiene que considerar el plano posterior: puede que combinado router/firewall/equilibrador de carga de controlar el rendimiento de ser arrojados en él? Dispositivos dedicados van a generalmente les va mejor.

Espero que ayude. Buena suerte con tu red. Si usted tiene más preguntas, post distancia (independiente de la de este post) y voy a tratar de capturarlos. Por supuesto, hay un montón de inteligente de los seres humanos acerca de quién puede responder igual de bien, o incluso mejor. Ciao!

6voto

yulia Puntos 16

Aunque los routers y firewalls se superponen un poco, tienen completamente diferentes propósitos; por lo tanto, los routers no suelen sobresalir en los cortafuegos y los firewalls generalmente no pueden hacer mucho más de enrutamiento de mover los paquetes de una interfaz a otra; esta es la razón principal para el uso de distintos dispositivos para las dos funciones.

Otra razón es que los cortafuegos normalmente sólo tienen interfaces Ethernet, basándose en una adecuada router para conectar a los diferentes medios de comunicación, como la fibra o ADSL; su Isp conexiones más probable es que sea proporcionada en dichos medios de comunicación, por lo tanto los routers será necesario de todos modos para terminar con todos ellos.

Usted dijo que se necesita de conmutación por error, tanto para el enrutamiento y los cortafuegos. De alta gama de routers pueden proporcionar equilibrio de carga y conmutación por error a través de múltiples dispositivos y múltiples conexiones ISP; mientras que los servidores de seguridad tienen básico de las capacidades de enrutamiento, por lo general, no realizan tales gama alta de funciones de enrutamiento. Lo contrario es cierto para los routers actúan como cortafuegos: por lo general son muy limitadas, en comparación a real de alta gama de servidores de seguridad.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: