Distribuzione del firewall in una rete di campus [chiuso]

Nel progettare una rete di campus come distribuiresti i tuoi firewall

Ho progettato una rete universitaria con 2 campus. Usano una linea affittata per collegare i due campus. C'è un firewall sul bordo di Internet e un firewall su ciascuno dei bordi della WAN. Ciascuno dei bordi della rete ha switch ridondanti e quindi firewall ridondanti. Esistono diversi firewall che proteggono i nostri dati sensibili. Molto probabilmente c'è un firewall in ogni edificio.

Ho pensato che questo potrebbe essere eccessivo. È importante avere un firewall in ogni edificio in quanto qualcuno potrebbe ottenere l'accesso alla rete all'interno di un edificio?

A quanto ho capito, il firewall in ogni edificio non impedisce a qualcuno di giocare con un altro computer nello stesso edificio. Ma ciò impedirebbe loro di inviare traffico spurio nel nostro nucleo di rete.

Non credo che ci siano argomenti sulla necessità di firewall sul lato Internet o sui nostri dati sensibili, ma ne ho bisogno in uno in ciascun edificio e sui bordi WAN?

Il posizionamento del firewall dipende meno dalla topologia di rete e dalla posizione degli asset e dai vettori di rischio. Come espresso, non è sufficiente continuare nella domanda per raccomandare il posizionamento.

In ogni caso, i vettori di rischio di cui dobbiamo essere consapevoli e pianificare:

• La connessione a Internet
• La WLAN; hai detto Università quindi questo sarà dove J. Random Student utilizzerà il proprio dispositivo sulla tua rete.
• Jack di rete cablati accessibili al pubblico (laboratori informatici, biblioteche, possibilmente anche aule)
• Le reti del dormitorio

Avrai bisogno di solide difese per le tue connessioni Internet, Dormitorio e WLAN. La WLAN si rivelerà problematica poiché è probabile che gli studenti necessitino di un migliore accesso alle risorse dell'Università non altrimenti esposti a Internet. La connessione Dorm può effettivamente essere completamente separata dalla normale connessione Internet dell'Università, ma probabilmente avrà una connessione incrociata (o passthrough basata su una sottorete) affinché gli Studenti possano accedere alle risorse dell'Università simili alla rete WLAN. Il riutilizzo dei jack di rete può essere difeso attraverso i controlli di accesso basati sulla porta che bloccano l'accesso a un indirizzo MAC specifico, senza la necessità di un firewall.

Inoltre, è necessario essere consapevoli delle risorse sicure che devono essere isolate dall'accesso di routine. Questi lo sai già, ma ...

• Sistemi ERP centrali
• Tutto ciò che riguarda l'infrastruttura di pagamento (roba PCI-DSS)
• Servizi amministrativi di base

Questi sono abbastanza grandi da essere probabilmente nella propria zona di sicurezza.

Dove hai bisogno dei firewall? Dipende molto. Puoi fare un bel po 'con semplici configurazioni di router (se gli edifici non sono accessibili tra loro, non è necessario proteggerli l'uno dall'altro). Fallo in modo intelligente, in base al quadro complessivo del rischio e non solo al grafico della topologia di rete.