Jeg prøver at forstå netværk og når jeg ser på de forskellige routere, firewalls og switche, stødte jeg på Cisco ASA, som mange bruger til firewall og routing evner , så hvis du bruger en ASA, behøver du ikke nødvendigvis en router eller l3-switch?
Svar
Det er godt at Brug enheder til det, de er designet til.
Routere er gode til routingprotokoller, og det er korrekt at bruge en, hvor du opretter forbindelse til internetudbyderen (og måske kører BGP).
Switches er gode og omkostningseffektivt til at levere et stort antal adgangsporte til dine brugere.
En stateful firewall kræves generelt i midten for at beskytte mod angreb. ASAer kan dirigere eller bygge brotrafik, men deres formål er at firewall, NAT og (undertiden) sted-til-sted VPN. Den eneste grund til, at de ruter eller broer, er at få pakkerne gennem firewalllogikken.
Et manglende stykke er: hvilken enhed skal fungere som DHCP-videresenderen og standard-gateway for alle disse interne switchports? Hvis kontakten var en L3-switch, kunne den gøre det. I et lille netværk kunne ASA gøre det. En mellemstor virksomhed vil tilføje et hierarkilag: en L3-switch til intern routing med en række L2-switche til billige adgangsporte.
Mens en cisco-enhed kan fungere som DHCP-server, anbefales det at have Cisco videresender DHCP til en dedikeret server.
Du skal også angive DNS. At have din egen DNS-resolver med malware-domæne-filtrering er godt for sikkerheden.
For redundans: dobbelt alle enheder. Men forstå, at hver adgangsport kun opretter forbindelse til en adgangskontakt. Kompleksiteten ved at tilføje redundans forårsager udfald af menneskelig konfiguration, men de er generelt kortere, fordi du har hardwaren til at gendanne på stedet. Hardware forårsaget afbrydelser er sjældne, men du vil ikke være nede i en dag og vente på, at TAC sender dig noget. Det er også rart at kunne genstarte en enhed ad gangen uden at forårsage afbrydelser (bemærk undtagelsen fra switchport).
Et andet punkt om at bruge ASAer som routere: statefulde firewalls nægter “asymmetrisk” trafik. Så du skal bruge dem på chokepoint, hvor du håndhæver, at trafikken går gennem dem i begge retninger. Det er også grunden til, at overflødige ASAer indsættes i “klynger”, hvor to fysiske kasser fungerer som en logisk kasse i chokepunktet.
Rediger: det er også vigtigt at overveje det “økonomiske lag” i OSI-modellen:
(Pris pr. 10 gig-port)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Du køber ikke en dyr ASA, hvor en moderat prissat L3-switch vil gøre.
Svar
Grundlæggende er firewall en sikkerhedsenhed, hvor indgående og udgående trafik kontrolleres, begrænses og inspiceres og overvåges. Firewall fungerer på Layer3, layer4 og layer7 af OSI-modellen. Det har også rutefunktioner ..
Det afhænger helt af forretningskrav, hvad alle enheder skal bruges i opsætningen.