Ich versuche, das Netzwerk zu verstehen, und als ich mir die verschiedenen Router, Firewalls und Switches ansah, stieß ich auf Cisco ASA, das viele für Firewall- und Routing-Funktionen verwenden Wenn Sie also einen ASA verwenden, benötigen Sie nicht unbedingt einen Router oder einen l3-Switch?
Antwort
Es ist gut zu Verwenden Sie Geräte für das, wofür sie entwickelt wurden.
Router können Protokolle gut routen, und die Verwendung eines Protokolls, bei dem Sie eine Verbindung zum ISP herstellen (und möglicherweise BGP ausführen), ist korrekt.
Switches sind gut und kostengünstig für die Bereitstellung einer großen Anzahl von Zugriffsports für Ihre Benutzer.
Zum Schutz vor Angriffen ist im Allgemeinen eine zustandsbehaftete Firewall in der Mitte erforderlich. ASAs können Datenverkehr weiterleiten oder überbrücken, dienen jedoch der Firewall, NAT und (manchmal) dem Site-to-Site-VPN. Der einzige Grund, warum sie routen oder überbrücken, besteht darin, die Pakete über die Firewall-Logik abzurufen.
Ein fehlendes Element ist: Welches Gerät wird als DHCP-Weiterleitung und Standard-Gateway für all diese internen Switchports fungieren? Wenn der Schalter ein L3-Schalter wäre, könnte er dies tun. In einem kleinen Netzwerk könnte die ASA dies tun. Ein mittleres Unternehmen würde eine Hierarchieebene hinzufügen: einen L3-Switch für das interne Routing mit einer Reihe von L2-Switches für günstige Zugangsports.
Während ein Cisco-Gerät als DHCP-Server fungieren kann, wird empfohlen, den Cisco leitet DHCP an einen dedizierten Server weiter.
Sie müssen auch DNS bereitstellen. Ein eigener DNS-Resolver mit Malware-Domain-Filterung ist aus Sicherheitsgründen gut.
Aus Redundanzgründen: Verdoppeln Sie alle Geräte. Beachten Sie jedoch, dass jeder Zugriffsport nur mit einem Zugriffsschalter verbunden ist. Die Komplexität des Hinzufügens von Redundanz führt zu Ausfällen der menschlichen Konfiguration, die jedoch im Allgemeinen kürzer sind, da Sie über die Hardware verfügen, die vor Ort wiederhergestellt werden kann. Hardware-verursachte Ausfälle sind selten, aber Sie möchten nicht einen Tag lang warten, bis TAC Ihnen etwas liefert. Es ist auch schön, jeweils ein Gerät neu starten zu können, ohne Ausfälle zu verursachen (beachten Sie die Switchport-Ausnahme).
Ein weiterer Punkt zur Verwendung von ASAs als Router: Stateful Firewalls verweigern „asymmetrischen“ Datenverkehr. Sie müssen sie also an Engpässen verwenden, an denen Sie erzwingen, dass der Datenverkehr in beide Richtungen durch sie fließt. Aus diesem Grund werden redundante ASAs auch in „Clustern“ bereitgestellt, in denen zwei physische Boxen als eine logische Box im Chokepoint fungieren.
Bearbeiten: Es ist auch wichtig, die „finanzielle Schicht“ des OSI-Modells zu berücksichtigen:
(Preis pro 10-Gig-Port)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Sie kaufen keinen teuren ASA, für den ein preisgünstiger L3-Switch geeignet ist.
Antwort
Grundsätzlich ist Firewall ein Sicherheitsgerät, bei dem eingehender und ausgehender Datenverkehr kontrolliert, eingeschränkt sowie überprüft und überwacht wird. Die Firewall arbeitet auf Schicht 3, Schicht 4 und Schicht 7 des OSI-Modells. Es verfügt auch über Routing-Funktionen.
Es hängt völlig von den Geschäftsanforderungen ab, welche Geräte für die Einrichtung verwendet werden müssen.