Cố gắng lắp tường lửa tập trung vào cấu trúc liên kết mạng


11

Tôi đang trong quá trình điều khiển mạng của chúng tôi, vấn đề tôi tiếp tục quay lại là: cố gắng đưa lớp 3 vào lõi, trong khi vẫn có một tường lửa tập trung.

Vấn đề chính tôi gặp ở đây là các công tắc "lõi nhỏ" mà tôi đang tìm kiếm luôn có giới hạn ACL trong phần cứng thấp, thậm chí ở kích thước hiện tại của chúng tôi, chúng tôi có thể nhanh chóng đạt được. Tôi hiện đang (hy vọng) mua một cặp EX4300-32F cho lõi, nhưng tôi đã xem xét các mẫu khác và các tùy chọn khác từ phạm vi ICX của Juniper và Brocade. Tất cả chúng dường như có cùng giới hạn ACL thấp.

Điều này có ý nghĩa hoàn hảo vì các công tắc lõi cần có khả năng duy trì định tuyến tốc độ dây, vì vậy đừng muốn hy sinh quá nhiều thông qua xử lý ACL. Vì vậy, tôi không thể tự làm tất cả các tường lửa của mình trên lõi.

Tuy nhiên, chúng tôi chủ yếu làm các máy chủ được quản lý hoàn toàn và việc có tường lửa tập trung (trạng thái) sẽ giúp ích rất nhiều cho việc quản lý đó - vì chúng tôi không thể có khách hàng nói chuyện trực tiếp với nhau. Tôi muốn giữ nó theo cách đó nếu chúng ta có thể, nhưng tôi cảm thấy như thể hầu hết các mạng ISP sẽ không làm điều này, vì vậy trong hầu hết các trường hợp, việc định tuyến trong lõi sẽ dễ dàng hơn.

Để tham khảo, đây là cấu trúc liên kết lý tưởng tôi muốn làm (nhưng không chắc chắn nơi phù hợp với FW rõ ràng).

mạng

Giải pháp Curent

Ngay bây giờ, chúng tôi có một cấu hình bộ định tuyến. Điều này cho phép chúng tôi thực hiện NAT, tường lửa trạng thái và định tuyến Vlan tất cả trong một điểm. Rất đơn giản.

Tôi có thể tiếp tục với (khoảng) giải pháp tương tự bằng cách mở rộng L2 đến tận "đỉnh" của mạng của chúng tôi - các bộ định tuyến biên. Nhưng sau đó tôi mất tất cả những lợi ích của việc định tuyến tốc độ dây mà lõi có thể mang lại cho tôi.

IIRC, các bộ chuyển mạch lõi có thể thực hiện định tuyến 464 Gbps trong khi các bộ định tuyến biên của tôi có thể cung cấp khoảng 10 hoặc 20 Gbps nếu tôi may mắn. Đây không phải là vấn đề về mặt kỹ thuật ngay bây giờ, mà là vấn đề tăng trưởng. Tôi cảm thấy như thể bây giờ chúng ta không thiết kế kiến ​​trúc để tận dụng khả năng định tuyến lõi, sẽ rất khó để làm lại mọi thứ khi chúng ta lớn hơn và cần phải tận dụng khả năng đó. Tôi muốn có nó ngay lần đầu tiên.

Phương pháp khả thi

Lớp 3 để truy cập

Tôi nghĩ rằng có lẽ tôi có thể mở rộng L3 cho các công tắc truy cập và do đó chia các quy tắc tường lửa thành các phân đoạn nhỏ hơn để phù hợp với giới hạn phần cứng của ACL của công tắc truy cập. Nhưng:

  • Theo như tôi biết, đây sẽ không phải là những ACL có trạng thái
  • L3 to Access, với tôi, dường như không linh hoạt hơn nhiều. Di chuyển máy chủ hoặc di chuyển VM sang các tủ khác sẽ đau đớn hơn.
  • Nếu tôi sẽ quản lý một tường lửa ở đầu mỗi giá (chỉ sáu trong số chúng), tôi có thể muốn tự động hóa bằng mọi cách. Vì vậy, tại thời điểm đó, không có nhiều bước nhảy vọt để tự động hóa việc quản lý tường lửa ở cấp máy chủ. Do đó tránh được toàn bộ vấn đề.

Tường lửa bắc cầu / trong suốt trên mỗi đường lên giữa truy cập / lõi

Điều này sẽ phải liên quan đến nhiều hộp tường lửa và tăng đáng kể phần cứng cần thiết. Và có thể đắt hơn so với việc mua các bộ định tuyến lõi lớn hơn, thậm chí sử dụng các hộp Linux cũ đơn giản làm tường lửa.

Bộ định tuyến lõi khổng lồ

Có thể mua một thiết bị lớn hơn có thể làm tường lửa tôi cần và có khả năng định tuyến lớn hơn nhiều. Nhưng thực sự không có ngân sách cho nó, và nếu tôi đang cố gắng làm cho một thiết bị làm một cái gì đó không được thiết kế cho nó, có lẽ tôi sẽ phải đi đến một thông số kỹ thuật cao hơn nhiều. hơn tôi sẽ khác

Không có tường lửa tập trung

Vì tôi đang nhảy qua vòng, có lẽ điều này không đáng để cố gắng. Đó luôn là một điều tốt đẹp để có, và đôi khi là một điểm bán hàng cho những khách hàng muốn có tường lửa "phần cứng".

Nhưng dường như việc có một tường lửa tập trung cho mạng "toàn bộ" của bạn là không thể thực hiện được. Sau đó, tôi tự hỏi làm thế nào các ISP lớn hơn có thể cung cấp các giải pháp tường lửa phần cứng cho khách hàng với các máy chủ chuyên dụng, khi họ có hàng trăm hoặc thậm chí hàng ngàn máy chủ?

Bất cứ ai cũng có thể nghĩ ra một cách giải quyết vấn đề này? Hoặc là một cái gì đó tôi đã bỏ lỡ hoàn toàn, hoặc một biến thể về một trong những ý tưởng ở trên?

CẬP NHẬT 2014-06-16:

Dựa trên đề xuất của @ Ron, tôi tình cờ thấy bài viết này giải thích khá rõ vấn đề tôi đang gặp phải, và một cách tốt để giải quyết vấn đề.

Trừ khi có đề xuất khác, tôi sẽ nói đây là loại vấn đề đề xuất sản phẩm, vì vậy tôi cho rằng đó là kết thúc của nó.

http://it20.info/2011/03/the-93-000-firewall-rules-probols-and-why-cloud-is-not-just-orchestration/


Bạn đang sử dụng VRF-lite hoặc MPLS trong mạng? Những thiết bị chuyển mạch cốt lõi là gì?
Daniel Dib

@DanielDib Chưa sử dụng VRF hoặc MPLS, nhưng tôi đang lên kế hoạch triển khai nó giữa trang này và trang khác. Thương hiệu chưa được xác định rõ ràng (vẫn đang tìm ra danh sách mua hàng) ... Nhưng hiện tại, chủ yếu là tìm kiếm Juniper EX4300-32F hoặc Brocade ICX 6610-48-PE
Geekman

1
Tôi đã bỏ phiếu để đóng; Lý do là câu hỏi bạn đang hỏi đi sâu vào chi tiết rất cụ thể cho giải pháp của bạn, chẳng hạn như lựa chọn nhà cung cấp / mô hình nào và hạn chế về ngân sách, v.v., điều này sẽ thay đổi việc cung cấp sản phẩm của bạn cho khách hàng của bạn như thế nào ... , đó là những quyết định kinh doanh. Bạn có thể hỏi các pro và con của mỗi cấu trúc liên kết là gì, nhưng không ai có thể thực sự cho bạn biết cái gì là tốt nhất cho bạn.
jwbensley

1
Hai xu của tôi về tình hình của bạn là; Bạn đã từng xem xét tường lửa hỗ trợ các bối cảnh như Cisco ASAs hay chỉ có tường lửa ảo chưa? Có một số máy chủ VM mà bạn có thể quay tường lửa cho mỗi khách hàng với hai giao diện, một giao diện mà bạn thả vào Vlan của khách hàng làm cổng mặc định và một cổng mà bạn cắm vào Vlan đối diện công khai đối với các bộ định tuyến biên của bạn. Chỉ là một ý nghĩ (tôi thích tường lửa ảo).
jwbensley

2
Tôi sẽ nghiêm túc nhìn vào các tường lửa ảo hóa như Cisco ASA 1000V hoặc Catbird (catbird.com). Bằng cách đó, bạn có thể đặt tường lửa trên mọi máy chủ. Giữ danh sách truy cập của bạn ra khỏi bộ định tuyến cốt lõi của bạn.
Ron Trunk

Câu trả lời:


5

Tôi sẽ chọn một trong hai lựa chọn:

Tường lửa ảo cho mỗi người thuê

Ưu điểm:

  • Có thể mở rộng theo chiều ngang
  • Spin-up và spin-down
  • Tương đối miễn dịch với các thay đổi cấu trúc / cấu trúc tương lai
  • Hoàn thành tách biệt / tách biệt khách hàng

Nhược điểm:

  • Trừ khi bạn thi hành một mẫu tiêu chuẩn, bây giờ bạn có n tường lửa riêng để quản lý
  • Bây giờ bạn có n tường lửa riêng để theo dõi
  • Bây giờ bạn có n tường lửa riêng lẻ để vá

Khung / tường lửa lớn với một định tuyến / bối cảnh cho mỗi người thuê

Triển khai một tường lửa trung tâm lớn (cụm) treo bên cạnh lõi của bạn và sử dụng một thể hiện định tuyến bên trongbên ngoài để định tuyến lưu lượng qua lại (ví dụ: cổng mặc định trên Ví dụ nội bộ là tường lửa, cổng mặc định trên tường lửa là thể hiện bên ngoài của bạn trên lõi và mặc định cho thể hiện bên ngoài là đường viền của bạn.)

Ưu điểm:

  • Hộp duy nhất để quản lý và cấu hình
  • Hộp duy nhất để theo dõi
  • Hộp duy nhất để vá
  • Phân tách khách hàng

Nhược điểm:

  • Chi phí một ngày sẽ cao hơn
  • Không thu nhỏ
  • Tùy thuộc vào cấu hình lưu lượng giữa các khách hàng có thể bắt đầu định tuyến qua các bộ định tuyến biên của bạn

0

Những công tắc cốt lõi nào bạn đang chạy? Các chính sách thường được thực hiện ở lớp phân phối, nếu bạn đang đi với thiết kế Core bị sập, thì lõi sẽ có thể xử lý các yêu cầu của bạn. Ngoài ra, bạn thích kiểm tra nhà nước hay chỉ acls. Nếu bạn có bất kỳ sự tuân thủ nào bạn cần tuân theo, acls có thể không đủ.

Cá nhân, tôi sẽ đi với một tường lửa, có lẽ tìm một cái có thể được nhóm lại để bạn có thể phân cụm từng cái lại với nhau và duy trì cơ sở quy tắc được quản lý tập trung, chẳng hạn như tường lửa nguồn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.