Diseño de red del campus: firewalls

Estoy diseñando una red de campus, y el diseño se ve así:

LINX es The London Internet Exchange y JANET es Joint Academic Network.

Mi objetivo es casi totalmente redundante con alta disponibilidad, ya que tendrá que apoyar a unas 15k personas, incluido el personal académico, el personal administrativo y los estudiantes. He leído algunos documentos en el proceso, pero todavía no estoy seguro de algunos aspectos.

Quiero dedicar este a los firewalls: ¿cuáles son los factores determinantes para decidir emplear un firewall dedicado, en lugar de un firewall integrado en el enrutador de borde? Por lo que puedo ver, un firewall integrado tiene estas ventajas:

• Más fácil de mantener.
• Mejor integración
• Un salto menos
• Menos espacio requerido
• Más barato

El firewall dedicado tiene la ventaja de ser modular.

¿Hay algo mas? ¿Qué me estoy perdiendo?

Enterprise Systems Administrator / Architect aquí. Nunca diseñaría una red de esta escala para usar otra cosa que dispositivos dedicados para cada tarea central: enrutamiento, conmutación, firewall, equilibrio de carga. Es simplemente una mala práctica hacer lo contrario. Ahora, hay productos emergentes como el NSX de VMware que buscan virtualizar esta infraestructura a hardware básico (y, por lo general, menos), y eso está bien. Intrigante, incluso. Pero incluso entonces, cada dispositivo virtual tiene su trabajo.

Llegaré a las principales razones por las que se mantienen separadas:

1. Como dijo @Massimo, simplemente no obtienes la funcionalidad de los dispositivos combinados; van a perder las características que necesita para optimizar adecuadamente su diseño.
2. Esto proporciona una superficie de ataque más pequeña por unidad: si existe alguna vulnerabilidad crítica en el enrutador de borde, ¿desea que sea el agujero que utiliza un atacante para obtener acceso al firewall?
3. Simplifica la gestión. Es tentador pensar que la combinación facilita la administración, pero eso no suele ser cierto. ¿Qué sucede si tengo un equipo de NetSec que administra las políticas de firewall y un equipo de Infraestructura que maneja el enrutamiento? Ahora tengo que configurar correctamente las ACL de grano fino en los dispositivos combinados para asegurarme de que cada uno pueda llegar a lo que necesita y nada más. Además, los dispositivos combinados tienden a tener interfaces menos bien planificadas, especialmente para implementaciones grandes (te estoy mirando, SonicWALL).
4. La colocación de infraestructura debe ser flexible. Con los dispositivos combinados, estoy bastante atrapado con un diseño estático: por cada uno que estoy implementando, tengo un enrutador y un firewall, donde tal vez realmente solo quería un firewall. Claro, puedo desactivar las funciones de enrutamiento, pero eso lleva al punto anterior sobre la administración simple. Además, veo muchos diseños que intentan equilibrar la carga de todo, cuando realmente a menudo es mejor equilibrar la carga por separado en las zonas, ya que hay algunas cosas que deben pasar, y a veces dañas la redundancia o la resistencia al introducir algunos componentes en las uniones que no los necesitan Hay otros ejemplos de esto, pero los equilibradores de carga son fáciles de elegir.
5. Los dispositivos combinados pueden sobrecargarse más fácilmente. Al pensar en los dispositivos de red, debe tener en cuenta la placa posterior: ¿puede ese enrutador / firewall / equilibrador de carga combinado manejar el rendimiento que se le arroja? A los dispositivos dedicados generalmente les irá mejor.

Espero que ayude. Buena suerte con tu red. Si tiene más preguntas, publíquelas (aparte de esta publicación) e intentaré encontrarlas. Por supuesto, hay muchos humanos inteligentes acerca de quién puede responder igual de bien o, con suerte, mejor. Ciao!

Si bien los enrutadores y los firewalls se superponen bastante, tienen propósitos completamente diferentes; por lo tanto, los enrutadores no suelen sobresalir en el cortafuegos, y los cortafuegos generalmente no pueden hacer mucho más enrutamiento que mover paquetes de una interfaz a otra; Esta es la razón principal para utilizar dispositivos distintos para los dos roles.

Otra razón es que los cortafuegos generalmente solo tienen interfaces Ethernet, que dependen de un enrutador adecuado para conectarse a diferentes medios, como fibra o DSL; Las conexiones de su ISP probablemente se proporcionarán en dichos medios, por lo que se necesitarán enrutadores de todos modos para terminarlos.

Dijiste que necesitas la conmutación por error tanto para el enrutamiento como para el firewall. Los enrutadores de gama alta pueden proporcionar equilibrio de carga y conmutación por error en múltiples dispositivos y múltiples conexiones de ISP; Si bien los firewalls tienen capacidades de enrutamiento básicas, por lo general no realizan funciones de enrutamiento de alta gama. Lo contrario es cierto para los enrutadores que actúan como firewalls: generalmente son bastante limitados en comparación con los firewalls de gama alta reales.