Projektowanie sieci Campus - zapory ogniowe

15

Projektuję sieć kampusu, a projekt wygląda następująco: Mój projekt

LINX to londyńska giełda internetowa, a JANET to wspólna sieć akademicka.

Moim celem jest prawie w pełni redundancja o wysokiej dostępności, ponieważ będzie musiała wspierać około 15 tys. Osób, w tym pracowników akademickich, pracowników administracyjnych i studentów. W tym czasie przeczytałem kilka dokumentów , ale nadal nie jestem pewien co do niektórych aspektów.

Chcę poświęcić to zaporom ogniowym: jakie są czynniki decydujące o zastosowaniu dedykowanej zapory ogniowej zamiast wbudowanej zapory w routerze granicznym? Z tego, co widzę, wbudowana zapora ma następujące zalety:

  • Łatwiejsze w utrzymaniu
  • Lepsza integracja
  • O jeden skok mniej
  • Mniejsze zapotrzebowanie na miejsce
  • Taniej

Dedykowana zapora ogniowa ma tę zaletę, że jest modułowa.

Czy jest coś jeszcze? czego mi brakuje?

użytkownik3081239
źródło
1
Zredagowałem oryginalny post, aby zawęzić go do jednego pytania. Dziękuję wam obu!
user3081239
3
Dodaję to jako komentarz, ponieważ prawdopodobnie opublikujesz kolejne pytanie dotyczące podstawowego projektu. Widzę, że wspomniałeś także o przełącznikach rdzeniowych i routerach rdzeniowych; że jest to miejsce, gdzie ten podział ról jest najprawdopodobniej niepotrzebne. Wysokiej klasy przełączniki rdzeniowe zwykle działają również w warstwie 3 i są dość dobre w routingu; możesz bezpiecznie myśleć o nich jako o routerach z bardzo dużą wewnętrzną przepustowością i dziesiątkami lub setkami szybkich interfejsów. O ile nie musisz wysyłać wewnętrznego ruchu przez coś innego niż Ethernet lub światłowód, dedykowane routery są tutaj po prostu bezużyteczne.
Massimo
2
Patrząc na powyższy projekt, mówisz, że te dwa routery są niczym więcej niż dodatkowym skokiem? Zwłaszcza, że ​​nie ma między nimi nic, na przykład zapory ogniowej lub niestandardowego sprzętu?
user3081239
3
Są nie tylko dodatkowym chmielem, ale także marnotrawstwem zasobów i potencjalnie wąskim gardłem.
Massimo
2
To pytanie byłoby dobrze dopasowane do networkengineering.stackexchange.com
MichelZ

Odpowiedzi:

11

Administrator / architekt systemów korporacyjnych tutaj. Nigdy nie zaprojektowałbym sieci na taką skalę, aby do każdego podstawowego zadania używać wyłącznie dedykowanych urządzeń: routingu, przełączania, zapory ogniowej, równoważenia obciążenia. To po prostu zła praktyka robić inaczej. Teraz pojawiają się nowe produkty, takie jak NSX firmy VMware, które starają się zwirtualizować tę infrastrukturę do sprzętu towarowego (i zwykle mniej), i to jest w porządku. Intrygujące nawet. Ale nawet wtedy każde urządzenie wirtualne ma swoją pracę.

Omówię główne powody, dla których są one oddzielone:

  1. Jak powiedział @Massimo, po prostu nie dostajesz funkcjonalności z urządzeń kombinowanych; stracą funkcje potrzebne do prawidłowej optymalizacji projektu.
  2. Zapewnia to mniejszą powierzchnię ataku na jednostkę: jeśli istnieje jakiś krytyczny exploit w routerze brzegowym, czy chcesz, aby był to otwór wykorzystywany przez atakującego w celu uzyskania dostępu do zapory ogniowej?
  3. Upraszcza zarządzanie. Kuszące jest myślenie, że łączenie ułatwia zarządzanie, ale zwykle nie jest to prawdą. Co się stanie, jeśli mam zespół NetSec zarządzający zasadami zapory i zespół ds. Infrastruktury obsługujący routing? Teraz muszę odpowiednio ustawić drobnoziarniste listy ACL na urządzeniach kombinowanych, aby upewnić się, że każdy może dostać się do tego, czego potrzebuje i nic więcej. Dodatkowo urządzenia kombi mają zwykle mniej dobrze zaplanowane interfejsy, szczególnie w przypadku dużych wdrożeń (patrzę na ciebie, SonicWALL).
  4. Umieszczenie w infrastrukturze musi być elastyczne. W przypadku urządzeń typu combo utknąłem z układem statycznym: dla każdego, który wdrażam, mam router i zaporę ogniową, gdzie może naprawdę chciałem tylko zapory ogniowej. Jasne, mogę wyłączyć funkcje routingu, ale prowadzi to do powyższego punktu dotyczącego prostego zarządzania. Ponadto widzę wiele projektów, które próbują zrównoważyć wszystko, kiedy naprawdę lepiej jest wyrównywać obciążenie osobno w strefach, ponieważ jest kilka rzeczy, które powinny przejść, a czasami szkodzi nadmiarowości lub odporności, wprowadzając niektóre elementy na skrzyżowaniach które ich nie potrzebują. Istnieją inne przykłady tego, ale moduły równoważenia obciążenia są łatwe do wybrania.
  5. Urządzenia kombi mogą łatwiej zostać przeciążone. Myśląc o urządzeniach sieciowych, należy wziąć pod uwagę płytę montażową: czy ten combo router / zapora sieciowa / moduł równoważenia obciążenia poradzą sobie z przesyłaną przepustowością? Urządzenia dedykowane będą ogólnie lepiej.

Mam nadzieję, że to pomaga. Powodzenia w twojej sieci. Jeśli masz dodatkowe pytania, wyślij je (osobno od tego postu), a ja postaram się je złapać. Oczywiście jest wielu sprytnych ludzi, którzy potrafią odpowiedzieć równie dobrze lub, mam nadzieję, lepiej. Cześć!

Tohuw
źródło
6

Chociaż routery i zapory ogniowe dość się pokrywają, mają zupełnie inne cele; w związku z tym routery zwykle nie przodują w zaporze ogniowej, a zapory ogniowe zwykle nie mogą wykonywać dużo więcej routingu niż przenoszenie pakietów z interfejsu na inny; jest to główny powód używania odrębnych urządzeń dla dwóch ról.

Innym powodem jest to, że zapory ogniowe zwykle mają tylko interfejsy Ethernet, polegające na odpowiednim routerze do łączenia się z różnymi mediami, takimi jak światłowód lub DSL; połączenia twoich dostawców usług internetowych najprawdopodobniej będą zapewnione na takich mediach, dlatego i tak routery będą potrzebne do ich zakończenia.

Powiedziałeś, że potrzebujesz przełączania awaryjnego zarówno do routingu, jak i zapory ogniowej. Zaawansowane routery mogą zapewniać równoważenie obciążenia i przełączanie awaryjne na wielu urządzeniach i wielu połączeniach ISP; chociaż zapory ogniowe mają podstawowe możliwości routingu, zwykle nie wykonują tak zaawansowanych funkcji routingu. Odwrotna sytuacja dotyczy routerów działających jako zapory ogniowe: są one zwykle dość ograniczone w porównaniu z prawdziwymi zaporami wysokiej klasy.

Massimo
źródło
Czy powiedziałbyś zatem, że duże przedsiębiorstwa, takie jak kampusy, prawie nigdy nie używają wbudowanych zapór ogniowych, oprócz celów finansowych, i najprawdopodobniej stosują dedykowane zapory ogniowe w odpowiednich miejscach?
user3081239