ACLs do Cisco Firewall vs Cisco Router

Eu diria que eles não são projetados para fazer as mesmas coisas. O ASA tem uma poderosa CPU para poder lidar com um grande número de pacotes com listas de acesso muito grandes e complexas. A versão mais recente do IOS pode fazer inspeção com informações de estado, mas é muito intensa.

O ACL (usado para filtragem de ip) no roteador foi originalmente projetado para filtrar a rede para o fluxo de rede usando apenas uma lista de acesso curta. Isso funciona no ASIC e é muito rápido. Hoje você pode fazer uma filtragem mais poderosa, mas ela precisa ser feita na CPU, e a CPU de um roteador tende a ser menos poderosa do que em um firewall.

Portanto, eu usaria ACLs curtas em roteadores que lidam com grandes quantidades de tráfego, que serão executadas no ASIC. Eu usaria ACLs complexas (CBAC & cie) em um roteador que terá apenas pequenas quantidades de tráfego para filtrar. Mas eu usaria um ASA para filtrar o tráfego de uma rede para outra porque você precisará de ACLs grandes e complexas que não serão executadas em um ASIC de roteador e passarão muitos pacotes para o identificador de roteador com sua CPU.

Filtragem com estado. As ACLs dos roteadores são (em sua maior parte) sem estado, o que é uma pita.

Ou, para expandir a resposta de Cian, com um dispositivo de firewall adequado, você pode entrar e dar uma olhada nos dados que estão sendo transmitidos.

Seu roteador regular pode restringir o IP de origem, o IP de destino e a porta que podem ajudá-lo a bloquear o tráfego HTTP na porta 80 proveniente de / para tal e tal.

Mas um firewall completo permitirá que você veja o tráfego passando na porta 80 e bloqueie conteúdo específico.

Por exemplo, posso bloquear o tráfego com um tipo de conteúdo de 'application / x-javascript' ou 'audio / x-pn-realaudio'. Todos os outros tráfegos baseados em HTTP podem ser acessados ok, mas meus usuários não poderão baixar conteúdo JavaScript e Real Audio.

Adicione valor a isso encanando em um verificador de vírus no próprio Firewall (a maioria dos fabricantes tem algum tipo de oferta baseada em assinaturas nos dias de hoje) e seu dispositivo de firewall pode oferecer proteção muito maior do que seu roteador.

Atualmente, os firewalls (mesmo da Cisco) são muito mais do que um filtro de pacotes:

• Decodifique determinados protocolos de aplicativo (funcionalidade IDS / IPS, filtro de URL etc.)
• Reescrever cabeçalhos (por exemplo, NAT)
• Gateway de VPN
• Anti-vírus
• younameit

Se você precisar de filtragem de pacotes brutos para tráfego de alta largura de banda entre suas VLANs, use as ACLs em seu backbone. Mas se se trata de conectar sua rede a outra, você pode querer controlar mais do que a camada 4.

Muito mais throughput por $.

Por outro lado ... O Embedded Event Manager para programação de respostas personalizadas está na lista de recursos que você não recebe ... ainda.

Eu tenho usado um ASA5520 para minha segurança e Camada 3. Todos os meus switches são Camada 2. Esse ambiente é ideal para 150-180 usuários. Eu adicionei uma camada adicional de 3 cartas na parte de trás para me dar um total de 8 camadas 3 portas para o meu ASA. Eu estou usando um híbrido de roteador de uma vara. Tenho 3 portas dedicadas a VLANs (porta 0 vlan 5-50) (porta 1 vlan 60-100). As portas 2 e 3 são dedicadas à minha internet principal e tronco de internet SIP para o meu craxPerma.

Eu estava cético no começo, mas 3 anos após a implementação, tem sido uma estrela do rock total. Essa configuração economizou meu dinheiro gasto em um roteador dedicado. Eu acho que se o meu ambiente atingir a marca de 200 usuários, eu vou subir para um switch de ponta 3 de roteador e core. Eu vou manter o ASA.