Kampüs Ağı Tasarımı - Güvenlik Duvarları

15

Bir kampüs ağı tasarlıyorum ve tasarım şöyle görünüyor: Benim tasarımım

LINX Londra İnternet Borsası ve JANET Ortak Akademik Ağdır.

Amacım yüksek kullanılabilirliğe sahip neredeyse tamamen gereksizdir, çünkü akademik personel, idari personel ve öğrenciler de dahil olmak üzere yaklaşık 15 bin kişiyi desteklemesi gerekecektir. Bu süreçte bazı belgeleri okudum , ancak bazı yönlerden hala emin değilim.

Bunu güvenlik duvarlarına ayırmak istiyorum: sınır yönlendiriciye gömülü bir güvenlik duvarı yerine özel bir güvenlik duvarı kullanmaya karar vermenin itici faktörleri nelerdir? Görebildiğim kadarıyla, gömülü bir güvenlik duvarının şu avantajları vardır:

  • Bakımı daha kolay
  • Daha iyi entegrasyon
  • Bir daha az atlama
  • Daha az yer ihtiyacı
  • Daha ucuz

Özel güvenlik duvarı modüler olma avantajına sahiptir.

Başka bir şey var mı? Neyi kaçırıyorum?

networking  load-balancing  network-design 
user3081239
kaynak
1
Orijinal yayını bir soruya daraltmak için düzenledim. İkinize de teşekkürler!
user3081239
3
Bunu bir yorum olarak ekliyorum çünkü muhtemelen temel tasarım hakkında başka bir soru göndereceksiniz. Görüyorum ki çekirdek anahtarlar ve çekirdek yönlendiriciler de; bu rol bölümünün büyük olasılıkla gereksiz olduğu bir yer. Üst düzey çekirdek anahtarları genellikle katman 3'te de çalışır ve yönlendirme konusunda oldukça iyidir; bunları, çok yüksek dahili bant genişliğine ve onlarca veya yüzlerce yüksek hızlı arayüze sahip yönlendiriciler olarak güvenle düşünebilirsiniz. Ethernet veya fiberden farklı bir şeyle dahili trafik göndermeniz gerekmedikçe, özel yönlendiriciler burada işe yaramaz.
Massimo
2
Peki, yukarıdaki tasarıma baktığınızda, bu iki çekirdek yönlendiricinin ekstra bir atlamadan başka bir şey olmadığını söylüyorsunuz? Özellikle aralarında güvenlik duvarı veya özel donanım gibi bir şey olmadığı için mi?
user3081239
3
Bunlar sadece fazladan bir sıçrama değil, aynı zamanda kaynak kaybı ve potansiyel olarak bir darboğazdır.
Massimo
2
MichelZ

Yanıtlar:

11

Kurumsal Sistem Yöneticisi / Mimar. Yönlendirme, anahtarlama, güvenlik duvarı, yük dengeleme: her temel görev için özel cihazlar dışında hiçbir şey kullanmak için bu ölçekte bir ağ tasarlamam. Aksi halde yapmak kötü bir uygulamadır. Şimdi, VMware NSX gibi bu altyapıyı emtia donanımına (ve genellikle daha azına) sanallaştırmaya çalışan ürünler var ve bu iyi. İlgi çekici, hatta. Ancak o zaman bile, her sanal cihazın işi var.

Bunların ayrı tutulmasının başlıca nedenlerine değineceğim:

  1. @Massimo'nun dediği gibi, kombo cihazlardan işlevselliği elde edemezsiniz; tasarımınızı uygun şekilde optimize etmek için ihtiyaç duyduğunuz özellikleri kaybedeceklerdir.
  2. Bu, birim başına daha küçük bir saldırı yüzeyi sağlar: kenar yönlendiricide bir miktar kritik istismar varsa, saldırganın güvenlik duvarına erişmek için kullandığı delik olmasını ister misiniz?
  3. Yönetimi kolaylaştırır. Birleştirmenin yönetimi kolaylaştırdığını düşünmek cazip gelebilir, ancak bu genellikle doğru değildir. Güvenlik duvarı politikalarını yöneten bir NetSec ekibim ve bir Altyapı ekibinin yönlendirme yönlendirmesi varsa ne olur? Şimdi, her birinin ihtiyaç duydukları şeye erişebilmelerini sağlamak için birleşik cihazlarda ince taneli ACL'leri düzgün bir şekilde ayarlamam gerekiyor ve başka bir şey yok. Ayrıca, birleşik aygıtlar, özellikle büyük dağıtımlar için daha az planlanmış arabirimlere sahip olma eğilimindedir (Sana bakıyorum, SonicWALL).
  4. Altyapı yerleşiminin esnek olması gerekir. Kombo cihazlarda, statik bir düzen ile takıldım: dağıttığım her biri için, bir yönlendirici ve bir güvenlik duvarım var, belki sadece gerçekten bir güvenlik duvarı istedim. Tabii, yönlendirme özelliklerini kapatabilirim, ancak bu basit yönetim ile ilgili yukarıdaki noktaya götürür. Buna ek olarak, her yerde yük dengelemeye çalışan birçok tasarım görüyorum, gerçekten de bölgelerde ayrı olarak yük dengelemeden daha iyi olduğunuzda, geçmesi gereken bazı şeyler olduğundan ve bazen kavşaklarda bazı bileşenler ekleyerek artıklık veya esnekliğe zarar verdiğinizde onlara ihtiyacı yok. Bunun başka örnekleri de var, ancak yük dengeleyicilerin seçilmesi kolaydır.
  5. Combo cihazları daha kolay aşırı yüklenebilir. Ağ cihazlarını düşünürken arka planı göz önünde bulundurmalısınız: bu birleşik yönlendirici / güvenlik duvarı / yük dengeleyici, atılan verimi işleyebilir mi? Özel cihazlar genellikle daha iyi ücret alacaktır.

Umarım yardımcı olur. Ağınızda iyi şanslar. Başka sorularınız varsa, yayınlayın (bu yazıdan ayrı olarak) ve onları yakalamaya çalışacağım. Tabii ki, kimin de iyi ya da umarım daha iyi cevap verebileceği konusunda çok sayıda zeki insan var. Ciao!

Tohuw
kaynak
6

Yönlendiriciler ve güvenlik duvarları biraz örtüşürken, tamamen farklı amaçları vardır; bu nedenle yönlendiriciler genellikle güvenlik duvarında mükemmel değildir ve güvenlik duvarları genellikle paketleri bir arabirimden diğerine taşımaktan çok daha fazla yönlendirme yapamaz; iki rol için farklı cihazlar kullanmanın ana nedeni budur.

Diğer bir neden, güvenlik duvarlarının fiber veya DSL gibi farklı ortamlara bağlanmak için uygun bir yönlendiriciye dayanan genellikle yalnızca Ethernet arabirimlerine sahip olmasıdır; İSS'lerinizin bağlantıları büyük olasılıkla bu tür bir medyada sağlanacaktır, bu nedenle onları sonlandırmak için yine de yönlendiricilere ihtiyaç duyulacaktır.

Hem yönlendirme hem de güvenlik duvarı için yük devretmeye ihtiyacınız olduğunu söylediniz. Üst düzey yönlendiriciler, birden çok aygıt ve birden çok ISS bağlantısı arasında yük dengeleme ve yük devretme sağlayabilir; güvenlik duvarlarının temel yönlendirme özellikleri olsa da, genellikle bu tür üst düzey yönlendirme işlevlerini gerçekleştirmezler. Bunun tersi, güvenlik duvarı görevi gören yönlendiriciler için geçerlidir: gerçek üst düzey güvenlik duvarlarıyla karşılaştırıldığında genellikle oldukça sınırlıdır.

Massimo
kaynak
Öyleyse, kampüsler gibi büyük işletmelerin finansal amaçların dışında neredeyse hiç gömülü güvenlik duvarları kullanmadıklarını ve büyük olasılıkla uygun yerlerde özel güvenlik duvarları kullanacaklarını söyleyebilir misiniz?
user3081239
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.