Campus Network Design - Firewall

Sto progettando una rete di campus e il design è simile al seguente:

LINX è The London Internet Exchange e JANET è Joint Academic Network.

Il mio obiettivo è quasi completamente ridondante con elevata disponibilità, perché dovrà supportare circa 15.000 persone, tra cui personale accademico, personale amministrativo e studenti. Ho letto alcuni documenti nel processo, ma non sono ancora sicuro di alcuni aspetti.

Voglio dedicarlo ai firewall: quali sono i fattori guida nel decidere di utilizzare un firewall dedicato, anziché un firewall incorporato nel router di frontiera? Da quello che posso vedere, un firewall incorporato presenta questi vantaggi:

• Più facile da mantenere
• Migliore integrazione
• Un luppolo in meno
• Meno spazio richiesto
• Più economico

Il firewall dedicato ha il vantaggio di essere modulare.

C'è niente altro? Cosa mi sto perdendo?

Amministratore / Architetto di sistemi aziendali qui. Non progetterei mai una rete di queste dimensioni per utilizzare solo dispositivi dedicati per ogni attività principale: routing, commutazione, firewall, bilanciamento del carico. È semplicemente una cattiva pratica fare diversamente. Ora, ci sono prodotti emergenti come l'NSX di VMware che cercano di virtualizzare questa infrastruttura fino all'hardware delle materie prime (e di solito, meno), e va bene. Intrigante, anche. Ma anche allora, ogni appliance virtuale ha il suo lavoro.

Colpirò i principali motivi per cui questi sono tenuti separati:

1. Come diceva @Massimo, semplicemente non si ottiene la funzionalità dai dispositivi combo; perderanno le funzionalità necessarie per ottimizzare correttamente il tuo design.
2. Ciò fornisce una superficie di attacco più piccola per unità: se esiste un exploit critico nel router perimetrale, vuoi che sia il buco che un utente malintenzionato utilizza per ottenere l'accesso al firewall?
3. Semplifica la gestione. È allettante pensare che combinare renda più facile la gestione, ma di solito non è vero. Cosa succede se ho un team NetSec che gestisce i criteri firewall e un team Infrastruttura che gestisce il routing? Ora devo impostare correttamente ACL a grana fine sui dispositivi combinati per garantire che ciascuno di essi possa raggiungere ciò di cui hanno bisogno e nient'altro. Inoltre, i dispositivi combinati tendono ad avere interfacce meno ben pianificate, in particolare per distribuzioni di grandi dimensioni (ti sto guardando, SonicWALL).
4. Il posizionamento infrastrutturale deve essere flessibile. Con i dispositivi combinati, sono praticamente bloccato con un layout statico: per ognuno che sto implementando, ho un router e un firewall, dove forse volevo davvero solo un firewall. Certo, posso disattivare le funzionalità di routing, ma questo porta al punto precedente sulla gestione semplice. Inoltre, vedo molti progetti che provano a bilanciare il carico di tutto, quando in realtà stai spesso meglio il bilanciamento del carico separatamente nelle zone, poiché ci sono alcune cose che dovrebbero passare attraverso e a volte danneggi la ridondanza o la resilienza introducendo alcuni componenti negli incroci che non ne hanno bisogno. Ci sono altri esempi di questo, ma i bilanciatori del carico sono facili da scegliere.
5. I dispositivi combinati possono essere sovraccaricati più facilmente. Quando si pensa alle appliance di rete, è necessario considerare il backplane: quel router combinato / firewall / bilanciamento del carico può gestire il throughput che viene lanciato? In genere, gli apparecchi dedicati andranno meglio.

Spero possa aiutare. Buona fortuna con la tua rete. Se hai ulteriori domande, posta via (separato da questo post) e proverò a prenderle. Certo, ci sono molti umani intelligenti su chi può rispondere altrettanto bene, o si spera meglio. Ciao!

Mentre router e firewall si sovrappongono un po ', hanno scopi completamente diversi; quindi, i router di solito non eccellono nel firewalling e i firewall di solito non possono fare molto più routing che spostare i pacchetti da un'interfaccia a un'altra; questa è la ragione principale per usare dispositivi distinti per i due ruoli.

Un altro motivo è che i firewall di solito hanno solo interfacce Ethernet, facendo affidamento su un router adeguato per connettersi a supporti diversi, come fibra o DSL; le connessioni dei tuoi ISP saranno molto probabilmente fornite su tali supporti, quindi i router saranno comunque necessari per terminarli.

Hai detto che hai bisogno del failover sia per il routing che per il firewalling. I router di fascia alta possono fornire il bilanciamento del carico e il failover su più dispositivi e connessioni ISP multiple; mentre i firewall hanno funzionalità di routing di base, di solito non eseguono tali funzioni di routing di fascia alta. È vero il contrario per i router che fungono da firewall: di solito sono piuttosto limitati rispetto ai firewall di fascia alta reali.