キャンパスネットワーク設計-ファイアウォール

15

キャンパスネットワークを設計していますが、設計は次のようになります。 私のデザイン

LINXはロンドンインターネットエクスチェンジであり、JANETは共同学術ネットワークです。

私の目標は、アカデミックスタッフ、管理スタッフ、学生を含む約1万5千人をサポートする必要があるため、高可用性を備えたほぼ完全な冗長化です。私はその過程でいくつかの 文書を読みましたが、いくつかの側面についてはまだわかりません。

これをファイアウォール専用にしたいのですが、境界ルーターに埋め込まれたファイアウォールの代わりに、専用のファイアウォールを採用することを決定する原動力は何ですか?私が見ることができることから、組み込みファイアウォールには次の利点があります。

  • メンテナンスが簡単
  • より良い統合
  • ホップが1つ少ない
  • 必要なスペースが少ない
  • 安い

専用ファイアウォールには、モジュール式であるという利点があります。

他に何かありますか?私は何が欠けていますか?

networking  load-balancing  network-design 
user3081239
ソース
1
元の投稿を編集して、1つの質問に絞り込みました。あなたがた両方に感謝します!
user3081239
3
おそらくコアデザインに関する別の質問を投稿するので、これをコメントとして追加します。コアスイッチとコアルーターについても言及しました。これは、この役割の分割が不要になる可能性が最も高い場所です。ハイエンドコアスイッチは通常レイヤー3でも動作し、ルーティングが非常に優れています。非常に高い内部帯域幅と数十または数百の高速インターフェイスを備えたルーターと見なすことができます。イーサネットやファイバーとは異なるものを介して内部トラフィックを送信する必要がない限り、ここでは専用ルーターは役に立ちません。
マッシモ
2
それで、上記の設計を見て、あなたが言っているのは、これらの2つのコアルーターは余分なホップに過ぎないということですか?特に、ファイアウォールやカスタムハードウェアのように、それらの間に何もないのですか?
user3081239
3
それらは余分なホップであるだけでなく、リソースの浪費であり、潜在的にボトルネックでもあります。
マッシモ
2
この質問はのために良いフィット感でしょうnetworkengineering.stackexchange.com
MichelZ

回答:

11

エンタープライズシステム管理者/アーキテクトはこちら。ルーティング、スイッチング、ファイアウォール、負荷分散などのコアタスクごとに専用のアプライアンス以外を使用するような規模のネットワークを設計することはありません。それ以外の場合は、単に悪い習慣です。現在、VMwareのNSXのように、このインフラストラクチャを汎用ハードウェア(そして通常はそれよりも少ないもの)に仮想化しようとする新製品がありますが、それは問題ありません。魅力的ですら。しかし、それでも、各仮想アプライアンスには仕事があります。

これらが別々に保たれる主な理由を見つけます。

  1. @Massimoが言ったように、コンボデバイスから機能を取得するだけではありません。設計を適切に最適化するために必要な機能を失うことになります。
  2. これにより、ユニットあたりの攻撃対象領域が小さくなります。エッジルータに重大なエクスプロイトが存在する場合、それを攻撃者がファイアウォールにアクセスするために使用するホールにしたいですか?
  3. 管理が簡素化されます。組み合わせることで管理が容易になると考えるのは魅力的ですが、通常はそうではありません。ファイアウォールポリシーを管理するNetSecチームとルーティングを処理するインフラストラクチャチームがある場合はどうなりますか?ここで、コンボデバイスにきめ細かなACLを適切に設定して、それぞれが必要なものにアクセスできるようにし、他には何もできないようにする必要があります。さらに、コンボデバイスは、特に大規模な展開の場合、十分に計画されていないインターフェースを持つ傾向があります(SonicWALLを探しています)。
  4. インフラストラクチャの配置には柔軟性が必要です。コンボデバイスでは、静的なレイアウトにかなりこだわっています。展開するたびに、ルーターとファイアウォールがあります。確かに、ルーティング機能をオフにすることはできますが、単純な管理に関する上記のポイントにつながります。さらに、通過する必要があるものがあるため、ゾーンで個別に負荷分散を行う方が良い場合が多く、時にはジャンクションにいくつかのコンポーネントを導入することで冗長性または弾力性を損なう場合、すべての負荷分散を試みる多くの設計を見ますそれらは必要ありません。他の例もありますが、ロードバランサーは簡単に選択できます。
  5. コンボデバイスは、より簡単に過負荷になる可能性があります。ネットワークアプライアンスについて考えるときは、バックプレーンを検討する必要があります。そのコンボルーター/ファイアウォール/ロードバランサーは、スローされるスループットを処理できますか?専用の機器は、一般的にうまくいくでしょう。

お役に立てば幸いです。ネットワークで頑張ってください。さらに質問がある場合は、(この投稿とは別に)投稿してください。それらをキャッチしようとします。もちろん、誰が同じように答えることができるか、うまくいけばもっとうまく答えることができるかについて、賢い人間がたくさんいます。チャオ!

トフ
ソース
6

ルーターとファイアウォールはかなり重複していますが、目的はまったく異なります。したがって、ルーターは通常、ファイアウォールに優れておらず、ファイアウォールは通常、パケットをインターフェイスから別のインターフェイスに移動するよりも多くのルーティングを実行できません。これが、2つの役割に異なるデバイスを使用する主な理由です。

もう1つの理由は、通常、ファイアウォールにはイーサネットインターフェイスのみがあり、適切なルーターに依存してファイバーやDSLなどの異なるメディアに接続することです。ISPの接続はこのようなメディアで提供される可能性が高いため、とにかくそれらを終了するにはルーターが必要になります。

ルーティングとファイアウォールの両方にフェールオーバーが必要だと言いました。ハイエンドルーターは、複数のデバイスと複数のISP接続で負荷分散とフェールオーバーを提供できます。ファイアウォールには基本的なルーティング機能がありますが、通常、このようなハイエンドのルーティング機能は実行されません。ファイアウォールとして機能するルーターの場合は逆です。実際のハイエンドファイアウォールと比較すると、通常は非常に制限されています。

マッシモ
ソース
では、キャンパスのような大企業は、財務目的を除いてほとんど組み込みファイアウォールを使用せず、適切な場所に専用ファイアウォールを使用する可能性が最も高いと言えますか?
user3081239
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.