ネットワークを理解しようとしています。さまざまなルーター、ファイアウォール、スイッチを見ると、ファイアウォールやルーティング機能に多く使用されているCiscoASAに出くわしました。したがって、ASAを使用する場合、必ずしもルーターやl3スイッチは必要ありませんか?
回答
設計された目的でデバイスを使用します。
ルーターはプロトコルのルーティングに優れており、ISPに接続する(おそらくBGPを実行する)場所で使用するのが適切です。
スイッチは優れています。また、ユーザーに多数のアクセスポートを提供するには、費用対効果が高くなります。
攻撃から保護するために、通常、中央にステートフルファイアウォールが必要です。 ASAはトラフィックをルーティングまたはブリッジできますが、その目的はファイアウォール、NAT、および(場合によっては)サイト間VPNです。ルーティングまたはブリッジする唯一の理由は、ファイアウォールロジックを介してパケットを取得することです。
1つ欠けているのは、これらすべての内部スイッチポートのDHCPフォワーダーおよびデフォルトゲートウェイとして機能するデバイスはどれかということです。スイッチがL3スイッチの場合は、それを実行できます。小規模なネットワークでは、ASAがそれを実行できます。中規模企業は、階層のレイヤーを追加します。内部ルーティング用のL3スイッチと安価なアクセスポート用のL2スイッチの束です。
CiscoデバイスはDHCPサーバーとして機能できますが、シスコはDHCPを専用サーバーに転送します。
DNSも提供する必要があります。マルウェアドメインフィルタリングを備えた独自のDNSリゾルバを使用すると、セキュリティに役立ちます。
冗長性を確保するには、すべてのデバイスを2倍にします。ただし、すべてのアクセスポートは1つのアクセススイッチにのみ接続することを理解してください。冗長性を追加することの複雑さは、人間の構成の停止を引き起こしますが、現場で回復するハードウェアがあるため、一般的には短くなります。ハードウェアによる停止はまれですが、TACから何かが出荷されるのを待つために1日ダウンしたくはありません。また、停止を引き起こすことなく一度に1つのデバイスを再起動できるのも便利です(スイッチポートの例外に注意してください)。
ASAをルーターとして使用することに関するもう1つのポイントは、ステートフルファイアウォールが「非対称」トラフィックを拒否することです。したがって、トラフィックが両方向に通過するように強制するチョークポイントでそれらを使用する必要があります。これが、冗長ASAが「クラスター」に展開され、2つの物理ボックスがチョークポイントで1つの論理ボックスとして機能する理由でもあります。
編集:OSIモデルの「財務レイヤー」を考慮することも重要です:
(10ギガポートあたりの価格)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive 手頃な価格のL3スイッチで十分な高価なASAを購入する必要はありません。
回答
基本的にファイアウォールは、着信および発信トラフィックが制御、制限、検査、監視されるセキュリティデバイスです。ファイアウォールは、OSIモデルのレイヤー3、レイヤー4、レイヤー7で動作します。ルーティング機能もあります。
セットアップですべてのデバイスを使用する必要があるのはビジネス要件に完全に依存します。