Încerc să înțeleg rețeaua și când mă uit la diferitele routere, firewall-uri și switch-uri, am dat peste Cisco ASA pe care mulți îl folosesc pentru firewall și abilități de rutare , deci dacă utilizați un ASA, nu aveți neapărat nevoie de un router sau de un switch l3?
Răspuns
Este bine să utilizați dispozitive pentru ceea ce sunt concepute.
Ruterele sunt bune la protocoalele de rutare și utilizarea unuia în care vă conectați la ISP (și poate rulați BGP) este corectă.
Comutatoarele sunt bune și rentabil pentru furnizarea unui număr mare de porturi de acces pentru utilizatorii dvs.
Un firewall de stare este, în general, necesar în mijloc pentru a proteja împotriva atacurilor. ASA pot direcționa sau controla traficul, dar scopul lor este să devină firewall, NAT și (uneori) VPN site-to-site. Singurul motiv pentru care direcționează sau leagă este de a trece pachetele prin logica firewall-ului.
O piesă lipsă este: ce dispozitiv va acționa ca expeditor DHCP și gateway implicit pentru toate acele porturi de comutare interne? Dacă comutatorul era un comutator L3, ar putea să o facă. Într-o rețea mică, ASA ar putea să o facă. O întreprindere medie ar adăuga un strat de ierarhie: un comutator L3 pentru rutare internă cu o grămadă de comutatoare L2 pentru porturi de acces ieftine.
În timp ce un dispozitiv Cisco poate acționa ca server DHCP, este recomandat să aveți Cisco redirecționează DHCP către un server dedicat.
De asemenea, trebuie să furnizați DNS. Având propriul dvs. rezolvator DNS cu filtrarea domeniului malware este bun pentru securitate.
Pentru redundanță: dublați toate dispozitivele. Dar înțelegeți că fiecare port de acces se conectează doar la un singur comutator de acces. Complexitatea adăugării redundanței cauzează întreruperi ale configurației umane, dar acestea sunt, în general, mai scurte, deoarece aveți hardware-ul pentru recuperare pe site. Întreruperile cauzate de hardware sunt rare, dar nu doriți să fiți întrerupt o zi, așteptând ca TAC să vă livreze ceva. Este, de asemenea, plăcut să puteți reporni un dispozitiv odată fără a provoca întreruperi (rețineți excepția switchport).
Un alt punct despre utilizarea ASA-urilor ca routere: firewall-urile de stare refuză traficul „asimetric”. Așadar, trebuie să le folosiți la punctele de chok, unde impuneți traficului să treacă prin ele în ambele direcții. De aceea, de asemenea, ASA-urile redundante sunt desfășurate în „clustere”, unde două cutii fizice acționează ca o singură casetă logică în chokepoint.
Editați: este, de asemenea, important să luați în considerare „stratul financiar” al modelului OSI:
(Preț per port de 10 gig)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Nu cumpărați un ASA scump în cazul în care va face un comutator L3 cu preț moderat.
Răspuns
Practic, paravanul de protecție este un dispozitiv de securitate în care traficul de intrare și de ieșire este controlat, restricționat și inspectat și monitorizat. Firewall-ul funcționează pe Layer3, layer4 și layer7 din modelul OSI. Are și capacități de rutare ..
Depinde în totalitate de cerințele companiei de ce trebuie utilizate toate dispozitivele în configurare.