Ik “probeer netwerken te begrijpen en toen ik naar de verschillende routers, firewalls en switches keek, kwam ik Cisco ASA tegen, dat door velen wordt gebruikt voor firewall- en routeringsmogelijkheden , dus als je een ASA gebruikt, heb je niet per se een router of L3-switch nodig?
Answer
Het is goed om apparaten gebruiken waarvoor ze zijn ontworpen.
Routers zijn goed in het routeren van protocollen en het gebruik van een protocol waarbij u verbinding maakt met de ISP (en misschien BGP uitvoert) is correct.
Schakelaars zijn goed en kosteneffectief voor het leveren van grote aantallen toegangspoorten voor uw gebruikers.
Over het algemeen is een stateful firewall in het midden vereist om bescherming te bieden tegen aanvallen. ASAs kunnen verkeer routeren of overbruggen, maar hun doel is een firewall, NAT en (soms) site-to-site VPN. De enige reden dat ze routeren of overbruggen, is om de pakketten door de firewalllogica te krijgen.
Een ontbrekend stukje is: welk apparaat gaat fungeren als de DHCP-forwarder en standaardgateway voor al die interne switchpoorten? Als de schakelaar een L3-schakelaar was, zou hij het kunnen. In een klein netwerk zou de ASA het kunnen doen. Een middelgrote onderneming zou een hiërarchische laag toevoegen: een L3-switch voor interne routing met een aantal L2-switches voor goedkope toegangspoorten.
Hoewel een cisco-apparaat kan fungeren als DHCP-server, wordt aanbevolen om de Cisco stuurt DHCP door naar een speciale server.
U moet ook DNS opgeven. Het hebben van een eigen DNS-resolver met filtering van malware-domeinen is goed voor de beveiliging.
Voor redundantie: verdubbel alle apparaten. Maar begrijp dat elke toegangspoort maar met één toegangsschakelaar kan worden verbonden. De complexiteit van het toevoegen van redundantie veroorzaakt storingen in de menselijke configuratie, maar deze zijn over het algemeen korter omdat u over de hardware beschikt om ter plaatse te herstellen. Door hardware veroorzaakte storingen zijn zeldzaam, maar u wilt geen dag wachten tot TAC u iets verzendt. Het is ook fijn om één apparaat tegelijk opnieuw op te starten zonder uitval te veroorzaken (let op de switchport-uitzondering).
Nog een punt over het gebruik van ASAs als routers: stateful firewalls weigeren asymmetrisch verkeer. Je moet ze dus gebruiken op knelpunten waar je afdwingt dat het verkeer er in beide richtingen doorheen gaat. Dat is ook de reden waarom overtollige ASAs worden ingezet in “clusters” waar twee fysieke boxen fungeren als één logische box in het knelpunt.
Bewerken: het is ook belangrijk om rekening te houden met de “financiële laag” van het OSI-model:
(Prijs per 10-gig-poort)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive
U koopt geen dure ASA waar een redelijk geprijsde L3-switch voldoende is.
Antwoord
In wezen is een firewall een beveiligingsapparaat waarmee inkomend en uitgaand verkeer wordt gecontroleerd, beperkt en geïnspecteerd en bewaakt. Firewall werkt op Layer3, Layer4 en Layer7 van het OSI-model. Het heeft ook routeringsmogelijkheden.
Het hangt volledig af van de zakelijke vereisten wat alle apparaten nodig hebben bij de installatie.