Se posso eseguire un sito sul sito VPN, NAT & ACL riflessivi su un router periferico (oltre alle normali funzioni di routing), quale sarebbe l'uso di eseguire un firewall azionario dietro di esso?
Ad esempio, Core Switch - > Firewall - > Edge Router - > Connessioni ISP
Chiesto in un altro modo, perché vorresti eseguire VPN e amp; ACL riflessivi sul firewall e funzioni di routing NAT + sul router, se il router può fare tutto?
Ciò che non si menziona, e ciò che è importante in generale per questo tipo di domande, è in particolare quale tipo di hardware si possiede, quali sono i requisiti (throughput, connessioni concorrenti, carico crittografico, ecc.). Qual è l'istantanea del tuo traffico, da dove viene, e cosa dovrebbe idealmente entrare e uscire?
(E devi anche preoccuparti degli scenari peggiori - a seconda di chi stai supportando - il mondo, i clienti esterni con SLA, i clienti interni, due persone in un ufficio - potresti doverti preoccupare nel peggiore dei casi solo un po ', o potenzialmente potrebbe essere al centro del tuo progetto).
Con quello mancante, ecco alcuni motivi generali per cui eviterei soluzioni all-in-one:
la maggior parte dei dispositivi di ruolo - router, o switch o firewall - in particolare una volta usciti dalle materie prime di fascia bassa - sono ottimizzati per i loro ruoli principali.
Ciò significa che l'hardware è ottimizzato: la crittografia per IPSec o altre VPN viene trasferita agli ASIC, i backplane diventano super-autostrade (o non), i chip specializzati gestiscono i flussi di livello 2, ecc. Gli switch Cisco hanno utilizzato ASICS per sempre. Juniper e Cisco hanno fatto il routing da molto tempo e sanno come scaricare l'hardware in modo appropriato.
... e software sono ottimizzati. I componenti potrebbero funzionare, ma se sono aggiunte, non integrate dall'inizio, vedrai il risultato in termini di flessibilità, resilienza e stabilità. In molti casi, le aziende hanno acquisito perché hanno dispositivi che puntano su un punto debole e fanno una o due cose molto bene - nel tempo le funzionalità sono state aggiunte (e aggiunte e aggiunte), generalmente solo nel software, in modo che tu, il cliente può acquistare un bel prodotto "a tutto tondo". Puoi vedere le conseguenze di tutto ciò, dalle interfacce utente di base alla rigidità degli strumenti di reporting per alcune componenti rispetto ad altre. Se si dispone di ACL riflessivi e VPN e IPSec e acquisizione di pacchetti e deep packet su un dispositivo - qualcuno deve configurarlo, qualcuno deve monitorarlo e qualcuno dovrà, a un certo punto, risolverlo. Queste cose vengono naturalmente, derivano dalla progettazione dell'interfaccia utente o devi chiamare il supporto solo per spiegare la verbosità del menu o analizzare un core dump?
L'analogia ridicola numero uno - puoi mettere uno spoiler su un civico, e potrebbe anche fare qualcosa di piccolo , ma quello spoiler è davvero solo una decorazione. (Se la tua sicurezza è tutta una questione di colpire le scatole giuste per gli audit, a volte puoi "scappare" con le decorazioni, ma questa non è una vera sicurezza, e noi lo sappiamo.)
Avere un prodotto che fa troppo può apparire anche nel supporto del prodotto. Se hai un problema sul tuo dispositivo Tutto, quanto supporto c'è per esso? Da quanto tempo supportano la 96ª e 97ª funzionalità aggiuntiva di questo dispositivo? Se è un ripensamento, questo potrebbe essere un problema. Quanti sviluppatori ha coinvolto il fornitore nei test di regressione, correzioni di bug e nuove versioni di codice?
Per l'hardware, spesso è possibile aggiungere moduli che forniscono maggiore potenza in alcune aree. Cisco vende un sacco di schede e moduli che annullano il lavoro di crittografia, 'anti-X', o IDS / IPS, e questi vanno da tutto, dagli switch core ASA a 6500. Grande idea? Dipende. Puoi permetterti un altro dispositivo o farai di più con meno?
E i router sono ancora i migliori per il routing del traffico, gli switch core in genere non sono meno ingannevoli con gli elenchi di accesso, i firewall non funzionano con OSPF e BGP.
Per finire, ecco un'altra ridicola analogia: un atleta può essere un fantastico nuotatore, giocatore di pallacanestro o ginnasta, ma ciò non significa che lo stesso atleta debba anche occupare una posizione nel calcio o nel ruolo di rugby. Se sei un responsabile IT e hai una serie di requisiti, puoi avere un dispositivo che occupa tutte quelle caselle del tuo elenco - riempi tutte le posizioni disponibili sul tuo elenco. Ma se hai il budget e le risorse per comprare e distribuire una soluzione più strong per ogni esigenza che hai, io certamente andrei lontano come una strategia più sostenibile.
Separazione di preoccupazione. Sì, il router può fare il lavoro di un firewall, ma un firewall adeguato farà un lavoro migliore. Avrai più controllo sulla rete e avrai un fallback se il router viene violato.
Non ha senso aggiungere un firewall di controllo stateful o spostare VPN e NAT a un firewall di ispezione stateful. Questo perché i firewall di ispezione stateful classificano e controllano il traffico in base ai numeri di porta. Dato il numero di applicazioni port-hopping e il numero di applicazioni che utilizzano Port 80 o Port 443, un firewall stateful è inutile.
Tuttavia, raccomanderei l'implementazione di un firewall "di prossima generazione" (NGFW) dietro al router periferico. Le funzioni chiave che NGFW eseguirà sarebbero l'identificazione e il controllo delle applicazioni, il controllo dell'utente, la segmentazione della rete interna, il routing basato su policy, QoS e prevenzione delle minacce.
Poiché la maggior parte degli attacchi popolari aggira un firewall di ispezione dei pacchetti eseguendo la porta 80, suggerirei una configurazione leggermente diversa.
Innanzitutto, dieci anni fa, i principali fornitori di firewall incorporavano i protocolli di routing nei loro firewall, in modo che il router periferico potesse essere eliminato, semplificando la progettazione e l'implementazione della rete. Sono stati concordati abbastanza tipi di sicurezza IT aziendale, quindi Nokia / Check Point, Juniper / NetScreen e Cisco hanno avuto un business fiorente. Quindi, almeno secondo l'opinione popolare basata sulle vendite, puoi avere un solido design di rete se il firewall e il router periferico sono lo stesso dispositivo.
Suggerirei, quindi, di avere un firewall / router all'estremità e quindi un qualche tipo di proxy o dispositivo Deep Packet Inspection appena dentro. Il firewall / router gestisce tutte le cose vecchie, "facili" e ben comprese. Il proxy / DPI fornisce una certa protezione contro le cose attuali. Tutto il traffico interno deve passare attraverso un dispositivo proxy / DPI, per verificare che il traffico in uscita sia accettabile (non da un trojan o worm, non andando a siti che potrebbero far citare l'organizzazione) e che le risposte che arrivano non siano malware (non che otterrai il 100%, ma puoi ridurre l'esposizione potenziale)
Potresti ottenere un firewall DPI VPN con routing, tutto in una scatola, per un sacco di soldi. Quello sarebbe ok. Suggerirei, quindi, di dividere il funzionale in base al carico anziché solo alla funzione. Quindi, se hai un sacco di traffico VPN, e questo sta legando la CPU, allora ha senso ottenere un dispositivo VPN separato. Se DPI / proxy sta prendendo un sacco di CPU, estrailo nella sua casella.
Infine, prendi parte alla religione Defense In Depth. Pensa a quali vulnerabilità hai quando vengono compromessi diversi componenti della rete, ad esempio i computer degli utenti finali o il server Exchange o il server di backup aziendale. Eseguendo ciascuno a turno, pensa al design della tua rete, al modo in cui rilevi che il componente è stato compromesso, quali potrebbero essere i passi successivi che un utente malintenzionato potrebbe eseguire e come potresti risolvere il problema dopo che è stato trovato il compromesso.