Desain Jaringan Kampus - Firewall

Saya merancang jaringan kampus, dan desainnya terlihat seperti ini:

LINX adalah The London Internet Exchange dan JANET adalah Jaringan Akademik Bersama.

Sasaran saya hampir sepenuhnya berlebihan dengan ketersediaan tinggi, karena harus mendukung sekitar 15k orang, termasuk staf akademik, staf administrasi, dan mahasiswa. Saya sudah membaca beberapa dokumen dalam proses, tetapi saya masih tidak yakin tentang beberapa aspek.

Saya ingin mendedikasikan yang ini untuk firewall: apa saja faktor pendorong dalam memutuskan untuk menggunakan firewall khusus, alih-alih firewall yang tertanam di router perbatasan? Dari apa yang saya lihat, firewall yang tertanam memiliki kelebihan-kelebihan ini:

• Lebih mudah dirawat
• Integrasi yang lebih baik
• Satu lompatan kurang
• Kebutuhan ruang lebih sedikit
• Lebih murah

Firewall khusus memiliki keunggulan menjadi modular.

Apakah ada hal lain? Apa yang saya lewatkan?

Administrator / Arsitek Sistem Perusahaan di sini. Saya tidak akan pernah mendesain jaringan skala ini untuk menggunakan apa pun kecuali peralatan khusus untuk setiap tugas inti: routing, switching, firewall, load balancing. Itu hanya praktik yang buruk untuk dilakukan sebaliknya. Sekarang, ada produk yang akan datang seperti NSX VMware yang berusaha untuk memvirtualisasikan infrastruktur ini ke perangkat keras komoditas (dan biasanya, lebih sedikit dari itu), dan itu bagus. Menarik, bahkan. Tetapi meskipun demikian, setiap alat virtual memiliki tugasnya.

Saya akan membahas alasan utama mengapa ini tetap terpisah:

1. Seperti yang dikatakan @Massimo, Anda sama sekali tidak mendapatkan fungsionalitas dari perangkat kombo; mereka akan kehilangan fitur yang Anda butuhkan untuk mengoptimalkan desain Anda.
2. Ini memberikan permukaan serangan yang lebih kecil per unit: jika ada exploit kritis di router edge, apakah Anda ingin itu menjadi lubang yang digunakan penyerang untuk mendapatkan akses ke firewall?
3. Ini menyederhanakan manajemen. Sangat menggoda untuk berpikir bahwa menggabungkan membuat pengelolaan lebih mudah, tetapi itu biasanya tidak benar. Bagaimana jika saya memiliki tim NetSec yang mengelola kebijakan firewall dan tim Infrastruktur yang menangani perutean? Sekarang saya harus benar mengatur ACL berbutir halus pada perangkat kombo untuk memastikan mereka masing-masing bisa mendapatkan apa yang mereka butuhkan, dan tidak ada yang lain. Selain itu, perangkat kombo cenderung memiliki antarmuka yang kurang terencana, terutama untuk penyebaran besar (Saya melihat Anda, SonicWALL).
4. Penempatan infrastruktur harus fleksibel. Dengan perangkat kombo, saya cukup macet dengan tata letak statis: untuk setiap yang saya gunakan, saya punya router dan firewall, di mana mungkin saya benar-benar hanya menginginkan firewall. Tentu, saya bisa mematikan fitur perutean, tetapi itu mengarah ke poin di atas tentang manajemen yang sederhana. Selain itu, saya melihat banyak desain mencoba memuat keseimbangan semuanya, ketika sebenarnya Anda sering lebih baik menyeimbangkan muatan secara terpisah di zona, karena ada beberapa hal yang harus dilewati, dan kadang-kadang Anda merusak redundansi atau ketahanan dengan memperkenalkan beberapa komponen di persimpangan. itu tidak membutuhkan mereka. Ada contoh lain dari ini, tetapi load balancers mudah dipilih.
5. Perangkat combo dapat kelebihan beban dengan lebih mudah. Ketika berpikir tentang peralatan jaringan, Anda harus mempertimbangkan backplane: dapatkah router combo / firewall / load balancer menangani throughput yang dilemparkan padanya? Peralatan khusus biasanya harganya lebih baik.

Semoga itu bisa membantu. Semoga berhasil dengan jaringan Anda. Jika Anda memiliki pertanyaan lebih lanjut, poskan (terpisah dari pos ini) dan saya akan mencoba menangkapnya. Tentu saja, ada banyak manusia pintar yang bisa menjawab dengan baik, atau semoga lebih baik. Ciao!

Sementara router dan firewall tumpang tindih sedikit, mereka memiliki tujuan yang sama sekali berbeda; dengan demikian, router biasanya tidak unggul di firewall, dan firewall biasanya tidak bisa melakukan lebih banyak routing daripada memindahkan paket dari suatu antarmuka ke antarmuka lainnya; ini adalah alasan utama untuk menggunakan perangkat berbeda untuk dua peran tersebut.

Alasan lain adalah bahwa firewall biasanya hanya memiliki antarmuka Ethernet, bergantung pada router yang tepat untuk terhubung ke media yang berbeda, seperti serat atau DSL; Koneksi ISP Anda kemungkinan besar akan disediakan pada media tersebut, sehingga router akan tetap diperlukan untuk menghentikannya.

Anda bilang Anda perlu failover untuk routing dan firewall. Router kelas atas dapat menyediakan penyeimbangan muatan dan failover di beberapa perangkat dan beberapa koneksi ISP; sementara firewall memiliki kemampuan perutean dasar, mereka biasanya tidak melakukan fungsi perutean canggih seperti itu. Kebalikannya berlaku untuk router yang bertindak sebagai firewall: mereka biasanya sangat terbatas jika dibandingkan dengan firewall high-end yang sebenarnya.