web-dev-qa-db-ja.com

キャンパスネットワーク設計-ファイアウォール

私はキャンパスネットワークを設計しています。設計は次のようになります。 My design

LINXはロンドンインターネットエクスチェンジであり、JANETはジョイントアカデミックネットワークです。

私の目標は、高可用性を備えたほぼ完全な冗長性です。これは、アカデミックスタッフ、管理スタッフ、学生を含む約15,000人をサポートする必要があるためです。プロセスで somedocuments を読みましたが、いくつかの側面についてはまだわかりません。

これをファイアウォール専用にしたいと思います。境界ルーターに埋め込まれたファイアウォールではなく、専用のファイアウォールを採用することを決定する際の推進要因は何ですか?私が見ることができることから、組み込みファイアウォールには次の利点があります。

  • メンテナンスが簡単
  • より良い統合
  • 1ホップ少ない
  • 必要なスペースが少ない
  • 安い

専用ファイアウォールには、モジュール式であるという利点があります。

他に何かありますか?何が欠けていますか?

networkingload-balancingnetwork-design
15
user3081239

Enterprise Systems Administrator/Architectはこちら。ルーティング、スイッチング、ファイアウォール、ロードバランシングなど、各コアタスクに専用のアプライアンス以外を使用するこの規模のネットワークを設計することは決してありません。それ以外の場合は、単に悪い習慣です。現在、VMwareのNSXのような新製品があり、このインフラストラクチャを仮想化して一般的なハードウェア(通常はそれよりも少ない)を実現しようとしていますが、それは問題ありません。興味をそそります。しかし、それでも、各仮想アプライアンスにはその役割があります。

これらが別々に保たれている主な理由について説明します。

  1. @Massimoが言ったように、コンボデバイスから機能を引き出しません。デザインを適切に最適化するために必要な機能を失うことになります。
  2. これにより、ユニットあたりの攻撃面が小さくなります。エッジルーターに重要なエクスプロイトが存在する場合、攻撃者がファイアウォールへのアクセスを取得するために使用するホールにしたいですか?
  3. 管理が簡単になります。組み合わせると管理が容易になると考えるのは魅力的ですが、通常はそうではありません。ファイアウォールポリシーを管理するNetSecチームとルーティングを処理するインフラストラクチャチームがある場合はどうなりますか?次に、コンボデバイスにきめ細かいACLを適切に設定して、それぞれが必要なものだけに到達できるようにする必要があります。さらに、コンボデバイスは、特に大規模な展開(SonicWALLで見ています)の場合、十分に計画されたインターフェースを備えていない傾向があります。
  4. インフラストラクチャの配置には柔軟性が必要です。コンボデバイスでは、静的なレイアウトにほとんどこだわっています。展開しているすべてのデバイスに、ルーターとファイアウォールがあり、ファイアウォールだけが必要だったのかもしれません。もちろん、ルーティング機能をオフにすることもできますが、それが上記の単純な管理のポイントにつながります。さらに、多くの設計がすべてを負荷分散しようとしているのを目にしますが、実際には、通過する必要があるものがあるため、ゾーンで個別に負荷分散を行う方がよい場合が多く、ジャンクションにコンポーネントを導入することで冗長性または復元力を損なうことがあります。それらを必要としません。これには他にも例がありますが、ロードバランサーは簡単に選択できます。
  5. コンボデバイスは、より簡単に過負荷になる可能性があります。ネットワークアプライアンスについて考えるときは、バックプレーンを考慮する必要があります。そのコンボルーター/ファイアウォール/ロードバランサーは、スローされるスループットを処理できますか?専用電化製品の方が一般的にうまくいきます。

お役に立てば幸いです。ネットワークで頑張ってください。さらに質問がある場合は、投稿してください(この投稿とは別に)。私はそれらを見つけようとします。もちろん、だれが同じように、あるいはうまくいけばもっと上手に答えられるかについては、賢い人間がたくさんいます。チャオ!

11
Tohuw

ルーターとファイアウォールはかなり重複していますが、目的はまったく異なります。したがって、ルーターは通常、ファイアウォール機能に優れておらず、ファイアウォールは通常、インターフェイスから別のインターフェイスにパケットを移動するよりもはるかに多くのルーティングを実行できません。これが、2つの役割に異なるデバイスを使用する主な理由です。

もう1つの理由は、ファイアウォールには通常イーサネットインターフェイスしかなく、適切なルーターを使用してファイバーやDSLなどの異なるメディアに接続しているためです。 ISPの接続はそのようなメディアで提供される可能性が高いため、ルーターを終了するにはルーターが必要になります。

ルーティングとファイアウォールの両方にフェイルオーバーが必要だとおっしゃいました。ハイエンドルーターは、複数のデバイスと複数のISP接続間で負荷分散とフェールオーバーを提供できます。ファイアウォールには基本的なルーティング機能がありますが、通常、そのようなハイエンドルーティング機能は実行されません。ファイアウォールとして機能するルーターについては、その逆が当てはまります。実際のハイエンドファイアウォールと比較すると、通常は非常に制限されています。

6
Massimo