Jeg prøver å forstå nettverk og når jeg ser på de forskjellige rutere, brannmurer og brytere, kom jeg over Cisco ASA som mange bruker for brannmur og ruting. , så hvis du bruker en ASA, trenger du ikke nødvendigvis en ruter eller l3-bryter?
Svar
Det er bra å bruk enheter til det de er designet for.
Rutere er flinke til å ruteprotokoller og å bruke en der du kobler til Internett-leverandøren (og kanskje kjøre BGP) er riktig.
Brytere er gode og kostnadseffektivt for å tilby et stort antall tilgangsporter til brukerne dine.
En stateful brannmur er vanligvis nødvendig i midten for å beskytte mot angrep. ASA-er kan dirigere eller bygge brotrafikk, men formålet er å brannmur, NAT og (noen ganger) sted-til-sted VPN. Den eneste grunnen til at de ruter eller broer er å få pakkene gjennom brannmurlogikken.
Et manglende stykke er: hvilken enhet skal fungere som DHCP-videresending og standard gateway for alle de interne bryterportene? Hvis bryteren var en L3-bryter, kunne den gjøre det. I et lite nettverk kunne ASA gjøre det. En mellomstor bedrift vil legge til et lag av hierarki: en L3-bryter for intern ruting med en rekke L2-brytere for billige tilgangsporter.
Mens en cisco-enhet kan fungere som DHCP-server, anbefales det å ha Cisco videresender DHCP til en dedikert server.
Du må også oppgi DNS. Å ha din egen DNS-resolver med malware-domene-filtrering er bra for sikkerheten.
For redundans: doble alle enhetene. Men forstå at hver tilgangsport bare kobles til en tilgangsbryter. Kompleksiteten ved å legge til redundans årsaker menneskelige konfigurasjonsbrudd, men de er generelt kortere fordi du har maskinvaren til å gjenopprette på stedet. Maskinvareforstyrrelser er sjeldne, men du vil ikke være nede i en dag og vente på at TAC skal sende deg noe. Det er også hyggelig å kunne starte en enhet om gangen uten å forårsake avbrudd (merk bryterport unntaket).
Et annet poeng om å bruke ASA-er som rutere: statlige brannmurer nekter «asymmetrisk» trafikk. Så du må bruke dem på chokepoints der du håndhever at trafikken går gjennom dem i begge retninger. Det er også grunnen til at overflødige ASA-er distribueres i «klynger» der to fysiske bokser fungerer som en logisk boks i kokepunktet.
Rediger: det er også viktig å vurdere det «økonomiske laget» av OSI-modellen:
(Pris per 10 gig-port)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Du kjøper ikke en dyr ASA der en moderat priset L3-bryter vil gjøre.
Svar
I utgangspunktet er brannmur sikkerhetsenhet der inn- og utgående trafikk kontrolleres, begrenses og inspiseres og overvåkes. Brannmur fungerer på Layer3, layer4 og layer7 av OSI-modellen. Det har også rutemuligheter ..
Det avhenger helt av forretningskravene hva alle enhetene trenger for å brukes i oppsettet.