Проектирование сети кампусов - Брандмауэры

Я проектирую сеть кампуса, и дизайн выглядит так:

LINX - это Лондонская интернет-биржа, а JANET - объединенная академическая сеть.

Моя цель - почти полная избыточность с высокой доступностью, потому что она должна будет поддерживать около 15 тысяч человек, включая академический персонал, административный персонал и студентов. Я прочитал некоторые документы в процессе, но я все еще не уверен в некоторых аспектах.

Я хочу посвятить это брандмауэрам: что является движущим фактором при принятии решения о применении выделенного брандмауэра вместо встроенного брандмауэра в пограничном маршрутизаторе? Из того, что я вижу, встроенный брандмауэр имеет следующие преимущества:

• Проще поддерживать
• Лучшая интеграция
• На один хоп меньше
• Меньше места
• Дешевле

Выделенный межсетевой экран обладает тем преимуществом, что является модульным.

Есть ли еще что-нибудь? Что мне не хватает?

Администратор корпоративных систем / Архитектор здесь. Я бы никогда не спроектировал сеть такого масштаба, чтобы использовать что-либо кроме выделенных устройств для каждой основной задачи: маршрутизация, коммутация, межсетевой экран, балансировка нагрузки. Это просто плохая практика - поступать иначе. Теперь есть готовые продукты, такие как VMware NSX, которые стремятся виртуализировать эту инфраструктуру вплоть до стандартного оборудования (и обычно его меньше), и это нормально. Даже интригующе. Но даже тогда у каждого виртуального устройства есть своя работа.

Я расскажу о главных причинах, почему они хранятся отдельно:

1. Как сказал @Massimo, вы просто не получаете функциональность от комбинированных устройств; они потеряют возможности, необходимые для правильной оптимизации вашего дизайна.
2. Это обеспечивает меньшую поверхность атаки на единицу: если в пограничном маршрутизаторе существует какой-либо критический эксплойт, хотите ли вы, чтобы это была дыра, которую злоумышленник использует для получения доступа к брандмауэру?
3. Это упрощает управление. Заманчиво думать, что объединение облегчает управление, но обычно это не так. Что если у меня есть команда NetSec, управляющая политиками брандмауэра, и команда инфраструктуры, управляющая маршрутизацией? Теперь мне нужно правильно настроить детализированные списки ACL на комбинированных устройствах, чтобы каждый из них мог получить то, что ему нужно, и ничего больше. Кроме того, комбинированные устройства, как правило, имеют менее хорошо спланированные интерфейсы, особенно для больших развертываний (я смотрю на вас, SonicWALL).
4. Инфраструктурное размещение должно быть гибким. С комбо-устройствами я почти застрял в статической компоновке: для каждого развертываемого устройства у меня есть маршрутизатор и брандмауэр, где, возможно, мне действительно нужен только брандмауэр. Конечно, я могу отключить функции маршрутизации, но это приводит к пункту выше о простом управлении. Кроме того, я вижу множество проектов, пытающихся все уравновесить нагрузкой, когда на самом деле вам часто лучше балансировать нагрузку отдельно в зонах, так как есть некоторые вещи, которые должны пройти, и иногда вы наносите ущерб избыточности или отказоустойчивости, вводя некоторые компоненты в соединениях. это не нужно им. Есть и другие примеры этого, но балансировщики нагрузки легко выбрать.
5. Комбо-устройства могут быть перегружены легче. Размышляя о сетевых устройствах, вы должны рассмотреть объединительную плату: может ли этот комбинированный маршрутизатор / брандмауэр / балансировщик нагрузки обрабатывать пропускную способность, создаваемую на нем? Выделенные приборы, как правило, будут лучше.

Надеюсь, это поможет. Удачи в вашей сети. Если у вас есть дополнительные вопросы, отправьте их (отдельно от этой публикации), и я постараюсь их найти. Конечно, есть много умных людей, которые могут ответить так же, или, надеюсь, лучше. Чао!

Хотя маршрутизаторы и брандмауэры частично перекрываются, они имеют совершенно разные цели; таким образом, маршрутизаторы обычно не преуспевают в брандмауэрах, и брандмауэры обычно не могут выполнять намного больше маршрутизации, чем перемещение пакетов от интерфейса к другому; это основная причина использования разных устройств для двух ролей.

Другая причина заключается в том, что брандмауэры обычно имеют только интерфейсы Ethernet, полагаясь на соответствующий маршрутизатор для подключения к различным средам, таким как оптоволокно или DSL; Соединения ваших интернет-провайдеров, скорее всего, будут предоставляться на таких носителях, поэтому в любом случае для их завершения потребуются маршрутизаторы.

Вы сказали, что вам нужно аварийное переключение как для маршрутизации, так и для межсетевого экрана. Высококачественные маршрутизаторы могут обеспечить балансировку нагрузки и аварийное переключение между несколькими устройствами и несколькими соединениями ISP; в то время как брандмауэры имеют базовые возможности маршрутизации, они обычно не выполняют такие высококачественные функции маршрутизации. Обратное справедливо для маршрутизаторов, действующих как межсетевые экраны: они обычно весьма ограничены по сравнению с настоящими высокопроизводительными межсетевыми экранами.