Snažím se porozumět práci v síti a při pohledu na různé routery, firewally a switche jsem narazil na Cisco ASA, které mnozí používají pro firewall a směrovací schopnosti , takže pokud používáte ASA, nepotřebujete nutně směrovač nebo přepínač l3?
Odpovědět
Je dobré používejte zařízení k tomu, pro co jsou určena.
Směrovače jsou dobré ve směrovacích protokolech a použití těch, kde se připojujete k ISP (a možná používáte BGP), je správné.
Přepínače jsou dobré a nákladově efektivní pro poskytování velkého počtu přístupových portů pro vaše uživatele.
Pro ochranu před útoky je obvykle vyžadován stavový firewall uprostřed. ASA mohou směrovat nebo překlenout provoz, ale jejich účelem je firewall, NAT a (někdy) VPN typu site-to-site. Jediným důvodem, proč směrují nebo přemosťují, je dostat pakety logikou brány firewall.
Jeden chybějící kousek je: jaké zařízení bude fungovat jako server pro předávání DHCP a výchozí bránu pro všechny tyto interní switchporty? Pokud byl přepínač přepínačem L3, mohl by to udělat. V malé síti to ASA dokázala. Střední podnik by přidal vrstvu hierarchie: přepínač L3 pro vnitřní směrování s hromadou přepínačů L2 pro levné přístupové porty.
Zatímco zařízení cisco může fungovat jako server DHCP, doporučuje se mít Společnost Cisco předává protokol DHCP na vyhrazený server.
Musíte také poskytnout DNS. Mít vlastní překladač DNS s filtrováním malwarových domén je dobré pro zabezpečení.
Pro redundanci: zdvojnásobte všechna zařízení. Ale pochopte, že každý přístupový port se připojuje pouze k jednomu přístupovému přepínači. Složitost přidávání redundance způsobuje výpadky lidské konfigurace, ale jsou obecně kratší, protože máte hardware, který se na místě obnoví. Výpadky způsobené hardwarem jsou vzácné, ale nechcete být jeden den bez čekání, až vám TAC něco pošle. Je také hezké mít možnost restartovat jedno zařízení najednou, aniž by došlo k výpadkům (všimněte si výjimky switchport).
Další bod týkající se použití ASA jako směrovačů: stavové brány firewall popírají „asymetrický“ provoz. Musíte je tedy použít v chokepointech, kde vynucujete, aby jimi prošel provoz v obou směrech. To je také důvod, proč jsou redundantní ASA rozmístěny v „klastrech“, kde dva fyzické boxy fungují jako jeden logický box v chokepointu.
Upravit: je také důležité vzít v úvahu „finanční vrstvu“ modelu OSI:
(Cena za 10 gigový port)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Nekupujete si drahé ASA, u kterých bude fungovat přepínač L3 se střední cenou.
Odpovědět
V zásadě je firewall bezpečnostním zařízením, kde je příchozí a odchozí provoz řízen, omezován a kontrolován a monitorován. Brána firewall pracuje na vrstvách 3, 4 a 7 modelu OSI. Má také možnosti směrování.
Zcela záleží na obchodních požadavcích, co všechno musí být v nastavení použito.