Campus Network Design - Firewalls

15

Ich entwerfe ein Campus-Netzwerk und das Design sieht folgendermaßen aus: Mein Design

LINX ist The London Internet Exchange und JANET ist Joint Academic Network.

Mein Ziel ist eine fast vollständige Redundanz bei hoher Verfügbarkeit, da etwa 15.000 Mitarbeiter, darunter akademische Mitarbeiter, Verwaltungsmitarbeiter und Studenten, unterstützt werden müssen. Ich habe einige Dokumente in diesem Prozess gelesen , bin mir jedoch in einigen Aspekten noch nicht sicher.

Ich möchte dieses Thema den Firewalls widmen: Was sind die ausschlaggebenden Faktoren für die Entscheidung, eine dedizierte Firewall anstelle einer eingebetteten Firewall im Grenzrouter einzusetzen? Soweit ich sehen kann, bietet eine eingebettete Firewall die folgenden Vorteile:

  • Einfacher zu warten
  • Bessere Integration
  • Ein Sprung weniger
  • Geringer Platzbedarf
  • Billiger

Eine dedizierte Firewall hat den Vorteil, dass sie modular aufgebaut ist.

Gibt es noch etwas? Was vermisse ich?

user3081239
quelle
1
Ich habe den ursprünglichen Beitrag bearbeitet, um ihn auf eine Frage einzugrenzen. Danke euch beiden!
user3081239
3
Ich füge dies als Kommentar hinzu, da Sie wahrscheinlich eine weitere Frage zum Kerndesign stellen werden. Wie ich sehe, haben Sie auch Core-Switches und Core-Router erwähnt. , Das ist ein Ort , an dem diese Rollenverteilung wird höchstwahrscheinlich nicht benötigt. High-End-Core-Switches arbeiten normalerweise auch auf Schicht 3 und können recht gut routen. Sie können sie sicher als Router mit sehr hoher interner Bandbreite und Dutzenden oder Hunderten von Hochgeschwindigkeitsschnittstellen betrachten. Sofern Sie internen Datenverkehr nicht über Ethernet oder Glasfaser senden müssen, sind dedizierte Router hier einfach nutzlos.
Massimo
2
Wenn Sie sich also das obige Design ansehen, sagen Sie, dass diese beiden Core-Router nichts anderes als ein zusätzlicher Hop sind? Zumal nichts zwischen ihnen ist, wie eine Firewall oder eine benutzerdefinierte Hardware?
user3081239
3
Sie sind nicht nur ein zusätzlicher Hopfen, sondern auch eine Verschwendung von Ressourcen und möglicherweise ein Engpass.
Massimo
2
Diese Frage passt gut zu networkengineering.stackexchange.com
MichelZ

Antworten:

11

Enterprise Systems Administrator / Architect hier. Ich würde niemals ein Netzwerk dieser Größenordnung entwerfen, das nur dedizierte Appliances für jede Kernaufgabe verwendet: Routing, Switching, Firewall, Lastenausgleich. Es ist einfach eine schlechte Übung, etwas anderes zu tun. Jetzt gibt es aufstrebende Produkte wie NSX von VMware, die versuchen, diese Infrastruktur bis auf Standardhardware (und normalerweise weniger davon) zu virtualisieren, und das ist in Ordnung. Selbst faszinierend. Aber auch dann hat jede virtuelle Appliance ihre Aufgabe.

Ich werde auf die Hauptgründe eingehen, warum diese getrennt gehalten werden:

  1. Wie @Massimo sagte, erhalten Sie die Funktionalität von Combo-Geräten einfach nicht. Sie werden die Funktionen verlieren, die Sie benötigen, um Ihr Design richtig zu optimieren.
  2. Dies bietet eine geringere Angriffsfläche pro Einheit: Wenn im Edge-Router ein kritischer Exploit vorhanden ist, soll dies die Lücke sein, die ein Angreifer für den Zugriff auf die Firewall verwendet?
  3. Es vereinfacht die Verwaltung. Es ist verlockend zu glauben, dass das Kombinieren das Verwalten einfacher macht, aber das ist normalerweise nicht der Fall. Was ist, wenn ein NetSec-Team Firewall-Richtlinien verwaltet und ein Infrastruktur-Team das Routing verwaltet? Jetzt muss ich die fein abgestimmten ACLs auf den Kombigeräten richtig einstellen, um sicherzustellen, dass sie alle das erreichen, was sie brauchen, und sonst nichts. Außerdem haben Kombigeräte in der Regel weniger gut geplante Schnittstellen, insbesondere für große Bereitstellungen (ich sehe Sie, SonicWALL).
  4. Die Platzierung der Infrastruktur muss flexibel sein. Bei Combo-Geräten habe ich ein statisches Layout: Für jeden, den ich bereitstelle, habe ich einen Router und eine Firewall, wo ich eigentlich nur eine Firewall haben wollte. Sicher, ich kann die Routing-Funktionen ausschalten, aber das führt zum obigen Punkt über die einfache Verwaltung. Darüber hinaus gibt es viele Designs, die versuchen, den Lastausgleich für alle Bereiche zu gewährleisten, wenn der Lastausgleich in Zonen häufig besser ist, da einige Bereiche durchgelassen werden müssen und manchmal Redundanz oder Ausfallsicherheit durch die Einführung einiger Komponenten an Knotenpunkten beeinträchtigt werden das braucht sie nicht. Es gibt andere Beispiele dafür, aber Load Balancer sind leicht zu finden.
  5. Kombigeräte können leichter überlastet werden. Wenn Sie über Netzwerk-Appliances nachdenken, müssen Sie die Rückwandplatine berücksichtigen: Kann diese Kombination aus Router, Firewall und Load Balancer den damit verbundenen Durchsatz bewältigen? Spezialgeräte werden in der Regel besser abschneiden.

Ich hoffe, das hilft. Viel Glück mit Ihrem Netzwerk. Wenn Sie weitere Fragen haben, posten Sie diese (getrennt von diesem Beitrag) und ich werde versuchen, sie zu fangen. Natürlich gibt es eine Menge kluger Menschen, die genauso gut oder hoffentlich besser antworten können. Ciao!

Tohuw
quelle
6

Router und Firewalls überlappen sich zwar ziemlich, haben aber ganz andere Zwecke. Daher zeichnen sich Router normalerweise nicht durch Firewalling aus, und Firewalls können in der Regel nicht viel mehr routen als das Verschieben von Paketen von einer Schnittstelle zu einer anderen. Dies ist der Hauptgrund für die Verwendung unterschiedlicher Geräte für die beiden Rollen.

Ein weiterer Grund ist, dass Firewalls normalerweise nur über Ethernet-Schnittstellen verfügen und sich auf einen geeigneten Router verlassen, um eine Verbindung zu verschiedenen Medien wie Glasfaser oder DSL herzustellen. Die Verbindungen Ihrer ISPs werden höchstwahrscheinlich auf solchen Datenträgern bereitgestellt. Daher werden ohnehin Router benötigt, um sie zu beenden.

Sie sagten, Sie benötigen ein Failover sowohl für das Routing als auch für die Firewall. High-End-Router können Load Balancing und Failover für mehrere Geräte und mehrere ISP-Verbindungen bereitstellen. Firewalls verfügen zwar über grundlegende Routingfunktionen, führen jedoch normalerweise keine solchen High-End-Routingfunktionen aus. Das Gegenteil gilt für Router, die als Firewalls fungieren: Sie sind im Vergleich zu echten High-End-Firewalls normalerweise recht begrenzt.

Massimo
quelle
Würden Sie dann sagen, dass große Unternehmen wie Campus-Unternehmen fast nie eingebettete Firewalls verwenden, abgesehen von finanziellen Zwecken, und am ehesten dedizierte Firewalls an geeigneten Orten einsetzen?
user3081239