Thiết kế mạng trường - Tường lửa

Tôi đang thiết kế một mạng lưới trường và thiết kế trông như thế này:

LINX là Sàn giao dịch Internet Luân Đôn và JANET là Mạng học thuật chung.

Mục tiêu của tôi là dự phòng gần như đầy đủ với tính sẵn sàng cao, bởi vì nó sẽ phải hỗ trợ khoảng 15k người, bao gồm nhân viên học tập, nhân viên hành chính và sinh viên. Tôi đã đọc một số tài liệu trong quá trình, nhưng tôi vẫn không chắc chắn về một số khía cạnh.

Tôi muốn dành cái này cho tường lửa: các yếu tố thúc đẩy trong việc quyết định sử dụng tường lửa chuyên dụng, thay vì tường lửa nhúng trong bộ định tuyến biên giới là gì? Từ những gì tôi có thể thấy, một tường lửa nhúng có những lợi thế sau:

• Dễ bảo trì hơn
• Tích hợp tốt hơn
• Một ít hop
• Yêu cầu không gian ít hơn
• Giá rẻ hơn

Tường lửa chuyên dụng có lợi thế là mô-đun.

Có gì khác? Tôi đang thiếu gì?

Quản trị viên / Kiến trúc sư hệ thống doanh nghiệp tại đây. Tôi sẽ không bao giờ thiết kế một mạng lưới ở quy mô này để sử dụng bất cứ thứ gì ngoại trừ các thiết bị chuyên dụng cho từng nhiệm vụ cốt lõi: định tuyến, chuyển mạch, tường lửa, cân bằng tải. Nó chỉ đơn giản là thực hành xấu để làm khác. Bây giờ, có những sản phẩm sắp ra mắt như NSX của VMware tìm cách ảo hóa cơ sở hạ tầng này xuống phần cứng hàng hóa (và thường là ít hơn), và điều đó tốt. Hấp dẫn, thậm chí. Nhưng ngay cả sau đó, mỗi thiết bị ảo có công việc của nó.

Tôi sẽ nhấn vào những lý do chính tại sao chúng được giữ riêng biệt:

1. Như @Massimo đã nói, bạn chỉ cần không lấy chức năng ra khỏi các thiết bị kết hợp; họ sẽ mất đi các tính năng bạn cần để tối ưu hóa đúng thiết kế của bạn.
2. Điều này cung cấp một bề mặt tấn công nhỏ hơn trên mỗi đơn vị: nếu một số khai thác quan trọng tồn tại trong bộ định tuyến biên, bạn có muốn đó là lỗ hổng mà kẻ tấn công sử dụng để có quyền truy cập vào tường lửa không?
3. Nó đơn giản hóa việc quản lý. Thật hấp dẫn khi nghĩ rằng việc kết hợp sẽ giúp quản lý dễ dàng hơn, nhưng điều đó thường không đúng. Điều gì xảy ra nếu tôi có nhóm NetSec quản lý chính sách tường lửa và nhóm Cơ sở hạ tầng xử lý định tuyến? Bây giờ tôi phải đặt đúng ACL hạt mịn trên các thiết bị kết hợp để đảm bảo mỗi thiết bị có thể đạt được những gì chúng cần và không có gì khác. Ngoài ra, các thiết bị kết hợp có xu hướng có ít giao diện được lên kế hoạch tốt, đặc biệt là cho các triển khai lớn (tôi đang nhìn vào bạn, SonicWALL).
4. Vị trí hạ tầng cần phải linh hoạt. Với các thiết bị kết hợp, tôi bị mắc kẹt khá nhiều với bố cục tĩnh: với mỗi thiết bị tôi đang triển khai, tôi đã có bộ định tuyến và tường lửa, nơi có lẽ tôi thực sự chỉ muốn có tường lửa. Chắc chắn, tôi có thể tắt các tính năng định tuyến, nhưng điều đó dẫn đến quan điểm trên về quản lý đơn giản. Ngoài ra, tôi thấy rất nhiều thiết kế đang cố gắng cân bằng mọi thứ, khi thực sự bạn nên giảm cân bằng tải riêng rẽ trong các khu vực, vì có một số thứ nên đi qua, và đôi khi bạn làm tổn thương sự dư thừa hoặc khả năng phục hồi bằng cách giới thiệu một số thành phần tại các điểm nối không cần chúng Có những ví dụ khác về điều này, nhưng cân bằng tải rất dễ chọn.
5. Các thiết bị kết hợp có thể bị quá tải dễ dàng hơn. Khi nghĩ về các thiết bị mạng, bạn phải xem xét bảng nối đa năng: bộ cân bằng bộ định tuyến / tường lửa / bộ cân bằng tải đó có thể xử lý thông lượng được ném vào nó không? Thiết bị chuyên dụng sẽ nói chung giá vé tốt hơn.

Mong rằng sẽ giúp. Chúc may mắn với mạng của bạn. Nếu bạn có thêm câu hỏi, hãy gửi đi (tách biệt khỏi bài đăng này) và tôi sẽ cố gắng bắt chúng. Tất nhiên, có rất nhiều người thông minh về người có thể trả lời tốt như vậy, hoặc hy vọng tốt hơn. Ciao!

Trong khi các bộ định tuyến và tường lửa chồng chéo khá nhiều, chúng có các mục đích hoàn toàn khác nhau; do đó, các bộ định tuyến thường không vượt trội trong việc tường lửa và tường lửa thường không thể định tuyến nhiều hơn so với việc di chuyển các gói từ giao diện sang giao diện khác; đây là lý do chính để sử dụng các thiết bị riêng biệt cho hai vai trò.

Một lý do khác là tường lửa thường chỉ có giao diện Ethernet, dựa vào bộ định tuyến thích hợp để kết nối với các phương tiện khác nhau, như cáp quang hoặc DSL; Các kết nối ISP của bạn rất có thể sẽ được cung cấp trên các phương tiện đó, do đó, các bộ định tuyến sẽ vẫn cần thiết để chấm dứt chúng.

Bạn nói rằng bạn cần chuyển đổi dự phòng cả cho định tuyến và tường lửa. Các bộ định tuyến cao cấp có thể cung cấp cân bằng tải và chuyển đổi dự phòng trên nhiều thiết bị và nhiều kết nối ISP; trong khi tường lửa có khả năng định tuyến cơ bản, chúng thường không thực hiện các chức năng định tuyến cao cấp như vậy. Điều ngược lại là đúng đối với các bộ định tuyến hoạt động như tường lửa: chúng thường khá hạn chế khi so sánh với tường lửa cao cấp thực sự.