Sto cercando di capire il networking e guardando i diversi router, firewall e switch, mi sono imbattuto in Cisco ASA che molti usano per firewall e capacità di routing , quindi se usi un ASA non hai necessariamente bisogno di un router o di uno switch l3?
Risposta
È bene usa i dispositivi per ciò per cui sono progettati.
I router sono bravi a instradare i protocolli e usarne uno in cui ti connetti allISP (e forse esegui BGP) è corretto.
Gli switch sono buoni e conveniente per fornire un gran numero di porte di accesso per i tuoi utenti.
Un firewall stateful è generalmente richiesto nel mezzo per proteggersi dagli attacchi. Gli ASA possono instradare o collegare il traffico, ma il loro scopo è firewall, NAT e (a volte) VPN da sito a sito. Lunico motivo per cui instradano o collegano è per far passare i pacchetti attraverso la logica del firewall.
Un pezzo mancante è: quale dispositivo agirà come forwarder DHCP e gateway predefinito per tutti quegli switchport interni? Se linterruttore fosse un interruttore L3, potrebbe farlo. In una piccola rete lASA potrebbe farlo. Una media impresa aggiungerebbe un livello di gerarchia: uno switch L3 per il routing interno con un gruppo di switch L2 per porte di accesso economiche.
Sebbene un dispositivo cisco possa fungere da server DHCP, si consiglia di avere il Cisco inoltra DHCP a un server dedicato.
È necessario fornire anche il DNS. Avere il proprio resolver DNS con filtro del dominio del malware è utile per la sicurezza.
Per la ridondanza: raddoppia tutti i dispositivi. Ma tieni presente che ogni porta di accesso si connette solo a un interruttore di accesso. La complessità dellaggiunta della ridondanza causa interruzioni della configurazione umana, ma generalmente sono più brevi perché hai lhardware per il ripristino in loco. Le interruzioni causate dallhardware sono rare, ma non vuoi restare fermo per un giorno in attesa che TAC ti spedisca qualcosa. È anche bello poter riavviare un dispositivo alla volta senza causare interruzioni (nota leccezione switchport).
Un altro punto sullutilizzo di ASA come router: i firewall stateful negano il traffico “asimmetrico”. Quindi devi usarli alle strozzature in cui imponi che il traffico li attraversi in entrambe le direzioni. Questo è anche il motivo per cui gli ASA ridondanti vengono distribuiti in “cluster” in cui due scatole fisiche agiscono come una scatola logica nel punto di strozzatura.
Modifica: è anche importante considerare il “livello finanziario” del modello OSI:
(prezzo per porta da 10 gig)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Non si acquista un ASA costoso dove andrà bene un interruttore L3 a un prezzo moderato.
Risposta
Fondamentalmente il firewall è un dispositivo di sicurezza in cui il traffico in entrata e in uscita è controllato, limitato, ispezionato e monitorato. Firewall opera su Layer3, layer4 e layer7 del modello OSI. Ha anche capacità di routing ..
Dipende totalmente dai requisiti aziendali di ciò che tutti i dispositivi devono essere utilizzati nella configurazione.