当社には、ファイアウォールとVPNアクセス用に、異なるベンダー(チェックポイント/シスコ)の2つの個別のファイアウォールデバイスがあります。
現在、VPNサービスとファイアウォールサービスの両方をホストする単一ベンダーからの新しいクラスター化ソリューション(2つの新しいデバイス)への移行の可能性を評価しています。
このソリューションの長所と短所は何かについての考え/アイデアはありますか?
パフォーマンスが低下する可能性があるため、それらを分離しておくことをお勧めする記事をいくつか読んだことがありますが、これが問題になることはないと思います(既に行ったサイズに基づいて)。
それらを分離しておくことは、実際には有用なアイデアではありません。 FWとVPNの分割が実際に役立つことはほとんどありません。これが何かに適している唯一のシナリオは、VPNに影響を与える成功したDoS攻撃です。しかし、ファイアウォールに対してDoSが発生した場合、VPNデバイスが機能しているという事実はあまり役に立ちません。
逆に、たとえば2つのASAを冗長モードで使用している場合、それらはVPNをサポートしているため、1つのベンダー+冗長性のすべてを利用できます。
同じデバイスからのアクセスを適切に制御するのは非常に簡単です。実際には、ファイアウォールで、VPN IPが実際にアクセスできるものを構成することもできます。これは、管理を簡素化し、個別のデバイスを使用するよりも優れたセキュリティを提供するため、大きな利点になります。