Campus Network Design - Firewall


15

Sto progettando una rete di campus e il design è simile al seguente: Il mio design

LINX è The London Internet Exchange e JANET è Joint Academic Network.

Il mio obiettivo è quasi completamente ridondante con elevata disponibilità, perché dovrà supportare circa 15.000 persone, tra cui personale accademico, personale amministrativo e studenti. Ho letto alcuni documenti nel processo, ma non sono ancora sicuro di alcuni aspetti.

Voglio dedicarlo ai firewall: quali sono i fattori guida nel decidere di utilizzare un firewall dedicato, anziché un firewall incorporato nel router di frontiera? Da quello che posso vedere, un firewall incorporato presenta questi vantaggi:

  • Più facile da mantenere
  • Migliore integrazione
  • Un luppolo in meno
  • Meno spazio richiesto
  • Più economico

Il firewall dedicato ha il vantaggio di essere modulare.

C'è niente altro? Cosa mi sto perdendo?


1
Ho modificato il post originale per restringerlo a una domanda. Grazie ad entrambi!
user3081239

3
Sto aggiungendo questo come commento perché probabilmente pubblicherai un'altra domanda sul design principale. Vedo che hai menzionato anche switch core e router core; quello è un luogo dove questa divisione di ruoli è molto probabilmente non necessaria. Gli switch core di fascia alta di solito funzionano anche a livello 3 e sono abbastanza bravi nel routing; puoi tranquillamente pensarli come router con una larghezza di banda interna molto elevata e decine o centinaia di interfacce ad alta velocità. A meno che non sia necessario inviare traffico interno attraverso qualcosa di diverso da Ethernet o fibra, i router dedicati sono solo inutili qui.
Massimo

2
Quindi, guardando il design sopra, quello che stai dicendo è che quei due router core non sono altro che un salto in più? Soprattutto perché non c'è nulla tra loro, come un firewall o qualsiasi hardware personalizzato?
user3081239

3
Non sono solo un ulteriore salto, sono anche uno spreco di risorse e potenzialmente un collo di bottiglia.
Massimo

2
Questa domanda sarebbe adatta a networkengineering.stackexchange.com
MichelZ,

Risposte:


11

Amministratore / Architetto di sistemi aziendali qui. Non progetterei mai una rete di queste dimensioni per utilizzare solo dispositivi dedicati per ogni attività principale: routing, commutazione, firewall, bilanciamento del carico. È semplicemente una cattiva pratica fare diversamente. Ora, ci sono prodotti emergenti come l'NSX di VMware che cercano di virtualizzare questa infrastruttura fino all'hardware delle materie prime (e di solito, meno), e va bene. Intrigante, anche. Ma anche allora, ogni appliance virtuale ha il suo lavoro.

Colpirò i principali motivi per cui questi sono tenuti separati:

  1. Come diceva @Massimo, semplicemente non si ottiene la funzionalità dai dispositivi combo; perderanno le funzionalità necessarie per ottimizzare correttamente il tuo design.
  2. Ciò fornisce una superficie di attacco più piccola per unità: se esiste un exploit critico nel router perimetrale, vuoi che sia il buco che un utente malintenzionato utilizza per ottenere l'accesso al firewall?
  3. Semplifica la gestione. È allettante pensare che combinare renda più facile la gestione, ma di solito non è vero. Cosa succede se ho un team NetSec che gestisce i criteri firewall e un team Infrastruttura che gestisce il routing? Ora devo impostare correttamente ACL a grana fine sui dispositivi combinati per garantire che ciascuno di essi possa raggiungere ciò di cui hanno bisogno e nient'altro. Inoltre, i dispositivi combinati tendono ad avere interfacce meno ben pianificate, in particolare per distribuzioni di grandi dimensioni (ti sto guardando, SonicWALL).
  4. Il posizionamento infrastrutturale deve essere flessibile. Con i dispositivi combinati, sono praticamente bloccato con un layout statico: per ognuno che sto implementando, ho un router e un firewall, dove forse volevo davvero solo un firewall. Certo, posso disattivare le funzionalità di routing, ma questo porta al punto precedente sulla gestione semplice. Inoltre, vedo molti progetti che provano a bilanciare il carico di tutto, quando in realtà stai spesso meglio il bilanciamento del carico separatamente nelle zone, poiché ci sono alcune cose che dovrebbero passare attraverso e a volte danneggi la ridondanza o la resilienza introducendo alcuni componenti negli incroci che non ne hanno bisogno. Ci sono altri esempi di questo, ma i bilanciatori del carico sono facili da scegliere.
  5. I dispositivi combinati possono essere sovraccaricati più facilmente. Quando si pensa alle appliance di rete, è necessario considerare il backplane: quel router combinato / firewall / bilanciamento del carico può gestire il throughput che viene lanciato? In genere, gli apparecchi dedicati andranno meglio.

Spero possa aiutare. Buona fortuna con la tua rete. Se hai ulteriori domande, posta via (separato da questo post) e proverò a prenderle. Certo, ci sono molti umani intelligenti su chi può rispondere altrettanto bene, o si spera meglio. Ciao!


6

Mentre router e firewall si sovrappongono un po ', hanno scopi completamente diversi; quindi, i router di solito non eccellono nel firewalling e i firewall di solito non possono fare molto più routing che spostare i pacchetti da un'interfaccia a un'altra; questa è la ragione principale per usare dispositivi distinti per i due ruoli.

Un altro motivo è che i firewall di solito hanno solo interfacce Ethernet, facendo affidamento su un router adeguato per connettersi a supporti diversi, come fibra o DSL; le connessioni dei tuoi ISP saranno molto probabilmente fornite su tali supporti, quindi i router saranno comunque necessari per terminarli.

Hai detto che hai bisogno del failover sia per il routing che per il firewalling. I router di fascia alta possono fornire il bilanciamento del carico e il failover su più dispositivi e connessioni ISP multiple; mentre i firewall hanno funzionalità di routing di base, di solito non eseguono tali funzioni di routing di fascia alta. È vero il contrario per i router che fungono da firewall: di solito sono piuttosto limitati rispetto ai firewall di fascia alta reali.


Diresti, quindi, che le grandi aziende come i campus non usano quasi mai i firewall incorporati, a parte scopi finanziari, e molto probabilmente impiegheranno firewall dedicati in luoghi appropriati?
user3081239
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.