CiscoファイアウォールとCiscoルーターACL

ステートフルフィルタリング。ルーターのACLは（ほとんどの場合）ステートレスであり、これは重要です。

今日（シスコのファイアウォールでさえ）、ファイアウォールはパケットフィルターをはるかに超えています。

• 特定のアプリケーションプロトコル（IDS/IPS機能、URLフィルターなど）をデコードします
• ヘッダーを書き換えます（例：NAT）
• VPNゲートウェイ
• アンチウイルス
• younameit

VLAN間の高帯域幅トラフィックにrawパケットフィルタリングが必要な場合は、バックボーンでACLを使用します。ただし、ネットワークを別のネットワークに接続する場合は、レイヤー4以上を制御することをお勧めします。

または、Cianの回答を拡張するには、適切なファイアウォールデバイスを使用して、渡されたデータを確認できます。

通常のルーターは、送信元IP、宛先IP、およびポートを制限できます。これにより、ポート80で送受信されるすべてのhttpトラフィックなどをブロックできます。

ただし、フルファイアウォールを使用すると、ポート80を通過するトラフィックを確認し、特定のコンテンツをブロックできます。

たとえば、「application/x-javascript」または「audio/x-pn-realaudio」のコンテンツタイプでトラフィックをブロックできます。他のすべてのHTTPベースのトラフィックには問題なくアクセスできますが、ユーザーはJavaScriptとRealAudioのコンテンツをダウンロードできません。

ファイアウォール自体にウイルススキャナーを組み込むことでこれに付加価値を付け（ほとんどのメーカーは最近、何らかのサブスクリプションベースのサービスを提供しています）、ファイアウォールデバイスはルーターよりもはるかに優れた保護を提供できます。

セキュリティとレイヤ3にASA5520を使用しています。すべてのスイッチはレイヤ2です。この環境は、150〜180人のユーザーに最適です。背面にレイヤー3カードを追加して、ASAに合計8つのレイヤー3ポートを追加しました。スティックルーターのハイブリッドを使用しています。 VLAN専用の3つのポート（ポート0 vlan 5-50）（ポート1 vlan 60-100）があります。ポート2と3は、私のプライマリインターネット専用であり、SIP私のくだらないPBX用のインターネットトランクです。

最初は懐疑的でしたが、実装してから3年が経ち、完全なロックスターになりました。この設定により、専用ルーターへの支出にかかる費用を節約できました。私の環境が200ユーザーマークに達した場合、キックバットレイヤー3ルーターとコアスイッチにアップグレードすると思います。 ASAはそのままにしておきます。

シスコがルーティングプロトコルをASAファイアウォールに追加し、イーサネットよりも優れたインターフェイスを必要とするシナリオが少なくなった今、少なくともシスコの世界では、必要な場所でルータの代わりにファイアウォールを使用することは経済的に非常に魅力的です。

1ドルあたりのスループットが大幅に向上します。

一方、カスタム応答をプログラミングするための組み込みイベントマネージャーは、まだ取得できない機能の縮小リストに含まれています。