네트워킹을 이해하려고 노력 중이며 다양한 라우터, 방화벽 및 스위치를 살펴보면 방화벽 및 라우팅 기능에 많이 사용되는 Cisco ASA를 발견했습니다. , 따라서 ASA를 사용하는 경우 “라우터 또는 l3 스위치가 반드시 필요하지는 않습니까?
답변
설계된 용도로 장치를 사용하십시오.
라우터는 라우팅 프로토콜에 능숙하며 ISP에 연결하고 BGP를 실행하는 곳을 사용하는 것이 옳습니다.
스위치가 좋습니다. 사용자에게 많은 수의 액세스 포트를 제공하는 데 비용 효율적입니다.
공격으로부터 보호하려면 일반적으로 중간에 상태 저장 방화벽이 필요합니다. ASA는 트래픽을 라우팅하거나 브리지 할 수 있지만 그 목적은 방화벽, NAT 및 (때로는) 사이트 간 VPN입니다. 그들이 라우팅하거나 브리지하는 유일한 이유는 방화벽 로직을 통해 패킷을 가져 오는 것입니다.
한 가지 누락 된 부분은 모든 내부 스위치 포트에 대해 DHCP 전달자 및 기본 게이트웨이로 작동 할 장치가 무엇입니까? 스위치가 L3 스위치라면 가능합니다. 소규모 네트워크에서는 ASA가이를 수행 할 수 있습니다. 중간 규모 기업은 계층 구조를 추가합니다. 내부 라우팅을위한 L3 스위치와 저렴한 액세스 포트를위한 L2 스위치가 있습니다.
시스코 장치가 DHCP 서버 역할을 할 수 있지만이를 사용하는 것이 좋습니다. Cisco는 DHCP를 전용 서버로 전달합니다.
또한 DNS를 제공해야합니다. 악성 코드 도메인 필터링 기능이있는 자체 DNS 리졸버를 보유하는 것은 보안에 좋습니다.
중복성을 위해 : 모든 장치를 두 배로 늘립니다. 그러나 모든 액세스 포트는 하나의 액세스 스위치에만 연결된다는 점을 이해하십시오. 중복성 추가의 복잡성은 인간 구성 중단을 발생 하지만 일반적으로 현장에서 복구 할 하드웨어가 있기 때문에 더 짧습니다. 하드웨어로 인한 중단은 드물지만 TAC에서 배송을 기다리는 하루를 기다리지 않습니다. 또한 중단을 일으키지 않고 한 번에 하나의 장치를 재부팅 할 수 있다는 점도 좋습니다 (스위치 포트 예외에주의).
ASA를 라우터로 사용하는 또 다른 요점은 상태 저장 방화벽이 “비대칭”트래픽을 거부한다는 것입니다. 따라서 트래픽이 양방향으로 통과하도록 강제하는 초크 포인트에서 사용해야합니다. 또한 중복 ASA가 두 개의 물리적 상자가 초크 포인트에서 하나의 논리적 상자 역할을하는 “클러스터”에 배포되는 이유이기도합니다.
편집 : OSI 모델의 “재무 계층”을 고려하는 것도 중요합니다.
(10gig 포트 당 가격)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive 저렴한 가격의 L3 스위치를 사용하는 값 비싼 ASA를 구매하지 않습니다.
답변
기본적으로 방화벽은 들어오고 나가는 트래픽을 제어, 제한, 검사 및 모니터링하는 보안 장치입니다. 방화벽은 OSI 모델의 Layer3, layer4 및 layer7에서 작동합니다. 라우팅 기능도 있습니다 ..
모든 장치를 설정에 사용해야하는 비즈니스 요구 사항에 전적으로 의존합니다.