Projeto de rede do campus - firewalls

Enterprise Systems Administrator / Architect aqui. Eu nunca projetaria uma rede dessa escala para usar nada além de dispositivos dedicados para cada tarefa principal: roteamento, comutação, firewall, balanceamento de carga. É simplesmente uma má prática fazer o contrário. Agora, estão surgindo produtos como o NSX da VMware que buscam virtualizar essa infra-estrutura até o hardware comum (e normalmente, menos), e tudo bem. Intrigante mesmo. Mas, mesmo assim, cada appliance virtual tem seu trabalho.

Encontrarei as principais razões pelas quais elas são mantidas separadas:

1. Como disse @Massimo, você simplesmente não obtém a funcionalidade dos dispositivos de combinação; eles vão perder os recursos que você precisa para otimizar adequadamente seu design.
2. Isso fornece uma superfície de ataque menor por unidade: se alguma exploração crítica existir no roteador de borda, você deseja que esse seja o buraco que um atacante usa para obter acesso ao firewall?
3. Simplifica o gerenciamento. É tentador pensar que combinar torna o gerenciamento mais fácil, mas isso geralmente não é verdade. E se eu tiver uma equipe da NetSec gerenciando políticas de firewall e uma equipe de infraestrutura gerenciando o roteamento? Agora eu tenho que configurar corretamente as ACLs refinadas nos dispositivos de combinação para garantir que cada uma possa chegar ao que precisam, e nada mais. Além disso, os dispositivos combinados tendem a ter interfaces menos bem planejadas, especialmente para grandes implantações (estou olhando para você, SonicWALL).
4. A veiculação de infra-estrutura precisa ser flexível. Com dispositivos combinados, estou praticamente preso a um layout estático: para cada um que estou implantando, eu tenho um roteador e um firewall, onde talvez eu realmente só quisesse um firewall. Claro, posso desativar os recursos de roteamento, mas isso leva ao ponto acima sobre o gerenciamento simples. Além disso, vejo muitos designs tentando balancear a carga de tudo, quando na verdade é melhor equilibrar a carga separadamente nas zonas, pois há algumas coisas que devem passar e, às vezes, você prejudica a redundância ou a resiliência introduzindo alguns componentes nas junções que não precisam deles. Há outros exemplos disso, mas os balanceadores de carga são fáceis de serem usados.
5. Os dispositivos combinados podem ficar sobrecarregados com mais facilidade. Ao pensar em dispositivos de rede, você deve considerar o backplane: pode o roteador combo / firewall / balanceador de carga lidar com a taxa de transferência que está sendo lançada nele? Aparelhos dedicados geralmente se sairão melhor.

Espero que ajude. Boa sorte com sua rede. Se você tiver mais perguntas, poste fora (separe este post) e tentarei pegá-las. É claro que há muitos humanos espertos sobre quem pode responder tão bem ou, quem sabe, melhor. Ciao!

Embora os roteadores e os firewalls se sobreponham um pouco, eles têm finalidades totalmente diferentes; assim, os roteadores não costumam se sobressair no firewall, e os firewalls normalmente não podem fazer muito mais roteamento do que mover pacotes de uma interface para outra; esse é o principal motivo para usar dispositivos distintos para as duas funções.

Outra razão é que os firewalls geralmente possuem apenas interfaces Ethernet, contando com um roteador adequado para se conectar a diferentes mídias, como fibra ou DSL; Provavelmente, as conexões de seus ISPs serão fornecidas em tais mídias, assim, os roteadores serão necessários de qualquer maneira para terminá-las.

Você disse que precisa de failover para roteamento e firewall. Os roteadores high-end podem fornecer balanceamento de carga e failover em vários dispositivos e várias conexões ISP; Embora os firewalls tenham recursos básicos de roteamento, eles geralmente não executam essas funções de roteamento de ponta. O inverso é verdadeiro para os roteadores que atuam como firewalls: eles são geralmente bastante limitados quando comparados aos firewalls reais de alto nível.