Estoy tratando de comprender las redes y, al mirar los diferentes enrutadores, firewalls y conmutadores, encontré Cisco ASA, que muchos usan para firewall y capacidades de enrutamiento. , entonces, si usa un ASA, ¿no necesita necesariamente un enrutador o un conmutador l3?
Respuesta
Es bueno use los dispositivos para lo que están diseñados.
Los enrutadores son buenos para enrutar protocolos y usar uno en el que se conecta al ISP (y quizás ejecute BGP) es correcto.
Los conmutadores son buenos y rentable para proporcionar una gran cantidad de puertos de acceso a sus usuarios.
Generalmente se requiere un firewall con estado en el medio para proteger contra ataques. Los ASA pueden enrutar o puentear el tráfico, pero su propósito es utilizar un firewall, NAT y (a veces) VPN de sitio a sitio. La única razón por la que enrutan o puentean es para que los paquetes pasen por la lógica del firewall.
Una pieza que falta es: ¿qué dispositivo actuará como reenviador DHCP y puerta de enlace predeterminada para todos esos puertos de conmutación internos? Si el interruptor fuera un interruptor L3, podría hacerlo. En una red pequeña, la ASA podría hacerlo. Una empresa mediana agregaría una capa de jerarquía: un conmutador L3 para enrutamiento interno con un montón de conmutadores L2 para puertos de acceso económicos.
Si bien un dispositivo Cisco puede actuar como servidor DHCP, se recomienda tener el Cisco reenvía DHCP a un servidor dedicado.
También debe proporcionar DNS. Tener su propio sistema de resolución de DNS con filtrado de dominios de malware es bueno para la seguridad.
Para redundancia: duplique todos los dispositivos. Pero comprenda que cada puerto de acceso solo se conecta a un conmutador de acceso. La complejidad de agregar redundancia provoca interrupciones en la configuración humana, pero generalmente son más breves porque tiene el hardware para recuperar en el sitio. Las interrupciones causadas por el hardware son raras, pero no querrá estar un día sin funcionar esperando que TAC le envíe algo. También es bueno poder reiniciar un dispositivo a la vez sin causar interrupciones (tenga en cuenta la excepción del puerto de conmutación).
Otro punto sobre el uso de ASA como enrutadores: los firewalls con estado niegan el tráfico «asimétrico». Por lo tanto, debe usarlos en los puntos de estrangulamiento en los que impone que el tráfico los atraviese en ambas direcciones. Es también por eso que los ASA redundantes se implementan en «clusters» donde dos cajas físicas actúan como una caja lógica en el cuello de botella.
Editar: también es importante considerar la «capa financiera» del modelo OSI:
(Precio por puerto de 10 gigas)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive
No compra un ASA caro donde un switch L3 de precio moderado servirá.
Respuesta
Básicamente, el firewall es un dispositivo de seguridad donde el tráfico entrante y saliente es controlado, restringido, inspeccionado y monitoreado. El cortafuegos opera en Layer3, layer4 y layer7 del modelo OSI. También tiene capacidades de enrutamiento.
Depende totalmente de los requisitos comerciales lo que todos los dispositivos deben usarse en la configuración.