エッジルーターのセキュリティサービスと標準ファイアウォール
サイト間VPNを実行できる場合、NAT&エッジルーターの再帰ACL(および通常のルーティング機能))、その背後でストックファイアウォールを実行する使用法は何ですか?
たとえば、コアスイッチ->ファイアウォール->エッジルーター-> ISP接続
別の方法で尋ねると、ファイアウォールでVPNと再帰ACLを実行する理由、およびNAT +ルーターがルーティング機能を実行できる場合、ルーターがそれをすべて実行できる場合)
あなたが言及していないこと、およびこれらの種類の質問にとって一般的に重要なことは、具体的には、どのような種類のハードウェア、要件(スループット、同時接続、暗号化負荷など)であるかです。トラフィックのスナップショットはどのようなもので、どこから来て、理想的には何が出入りするのでしょうか。
(そして、サポートしている人に応じて、世界、SLAを使用する外部顧客、内部クライアント、オフィスに2人いる場合など、最悪のケースのシナリオについても心配する必要があります。最悪の場合について心配する必要があるかもしれません。ほんの少し、または潜在的にそれはあなたのデザインの中核になるかもしれません)。
これが欠けているため、オールインワンソリューションを回避する一般的な理由をいくつか次に示します。
- オールインワンデバイスは、単一障害点(または、少なくとも、障害によって無効化される傾向が高い、データパスの折りたたみ)を残します
ほとんどの役割のデバイス-ルーター、スイッチ、またはファイアウォール-特にローエンドのコモディティ製品から抜け出した場合-は、主要な役割に合わせて最適化されています。
これはハードウェアが最適化されていることを意味します-IPSecまたは他のVPNの暗号化がASICにオフロードされ、スイッチバックプレーンがスーパーハイウェイ(またはそうでない)になり、特殊なチップがレイヤー2フローなどを処理します。CiscoスイッチはASICSを永久に使用しています。ジュニパーネットワークスとシスコは長い間ルーティングを行っており、ハードウェアに適切にオフロードする方法を知っています。
...そしてsoftwareは最適化されています。コンポーネントは機能するかもしれませんが、それらが追加であり、最初から統合されていない場合は、柔軟性、回復力、および安定性の結果がわかります。多くの場合、企業は、弱点を補い、1つまたは2つの機能を非常にうまく実行するデバイスを持っているために買収しました-時間の経過とともに機能が追加(および追加、追加)されました。顧客はニースの「充実した」製品を購入できます。この結果は、基本的なユーザーインターフェイスから、一部のコンポーネントと他のコンポーネントのレポートツールの厳密さまで、すべてに見ることができます。デバイスに再帰的なACLとVPN、IPSec、およびパケットキャプチャと詳細なパケット検査がある場合、誰かがそれを構成し、誰かがそれを監視しなければならず、誰かがいつかはトラブルシューティングを行う必要があります。これらは自然に発生するものですか、UIの設計から流れ出るものですか、それともメニューの言い回しを説明するため、またはコアダンプを分析するためだけにサポートに問い合わせる必要がありますか?
とんでもないアナロジーナンバーワン-あなたは市民にスポイラーを置くことができます、そしてそれは少し何かをするかもしれませんが、そのスポイラーは本当に単なる装飾です。 (セキュリティが監査のための適切なボックスにアクセスすることすべてである場合、装飾で「逃げる」ことができます。しかし、これは本当のセキュリティではなく、私たちはそれを知っています。)
機能が多すぎる製品は、製品サポートにも表示されます。すべてのデバイスで問題が発生した場合、どの程度のサポートがありますか?彼らはこのデバイスの96番目と97番目のアドオン機能をどのくらいの期間サポートしてきましたか?それが後付けである場合、これは問題になる可能性があります。ベンダーは何人の開発者を回帰テスト、バグ修正、および新しいコードリリースに関与させましたか?
ハードウェアの場合、多くの場合、一部の領域で追加のパワーを提供するモジュールを追加できます。シスコでは、暗号化、「アンチX」、またはIDS/IPSの機能をオフロードする多くのカードとモジュールを販売しており、これらはASAから6500コアスイッチまですべてに含まれます。いい案?場合によります。別のデバイスを購入する余裕がありますか、それともより少ないリソースでより多くのことを実行できますか?
そしてルータは依然としてトラフィックのルーティングに最適であり、コアスイッチは一般にアクセスリストをだまさない方が良いです。ファイアウォールはOSPFとBGPを実行しない方がいいです。
終わりに、ここにもう1つのとんでもないアナロジーがあります-アスリートは素晴らしいスイマー、バスケットボールプレーヤー、または体操選手になることができますが、同じアスリートがフットボールまたはラグビーの名簿でもポジションを埋める必要があるという意味ではありません。あなたがIT担当者であり、一連の要件がある場合は、1つのデバイスでリストにあるすべてのチェックボックスを使用することができます。しかし、あなたが持っているそれぞれのニーズに対してより強力なソリューションを購入して展開するための予算とリソースを持っているなら、私は確かにそれをより持続可能な戦略として遠くまで行きます。
懸念の分離。はい、ルーターはファイアウォールの機能を実行できますが、適切なファイアウォールの方がより適切に機能します。ネットワークをより細かく制御できるようになり、ルーターが破られた場合のフォールバックが可能になります。
ステートフルインスペクションファイアウォールを追加したり、VPNおよびNATをステートフルインスペクションファイアウォールに移動しても意味がありません。これは、ステートフルインスペクションファイアウォールがトラフィックをポート番号で分類および制御するためです。ポートホッピングアプリケーションの数と、ポート80またはポート443を使用するアプリケーションの数を考えると、ステートフルファイアウォールは役に立ちません。
ただし、エッジルーターの背後に "次世代"ファイアウォール(NGFW)を展開することをお勧めします。 NGFWが実行する主な機能は、アプリケーションの識別と制御、ユーザー制御、内部ネットワークのセグメンテーション、ポリシーベースのルーティング、QoS、および脅威の防止です。
一般的な攻撃のほとんどは、ポート80を介して実行することでパケット検査ファイアウォールをバイパスするため、少し異なる構成をお勧めします。
まず、10年前、主要なファイアウォールベンダーはルーティングプロトコルをファイアウォールに組み込んでいたため、エッジルーターをなくし、ネットワークの設計と展開を簡素化することができました。十分な企業ITセキュリティタイプが合意されたため、Nokia/Check Point、Juniper/NetScreen、およびCiscoはビジネスを成功させました。したがって、少なくとも販売に基づく一般的な意見では、ファイアウォールとエッジルーターが同じデバイスである場合、堅固なネットワーク設計を実現できます。
次に、エッジにファイアウォール/ルーターを配置し、その中にプロキシまたはディープパケットインスペクションデバイスを配置することをお勧めします。ファイアウォール/ルーターは、古くて「簡単」でよく理解されているものすべてを処理します。プロキシ/ DPIは、現在のものに対するいくつかの保護を提供します。すべての内部トラフィックは、プロキシ/ DPIデバイスを通過する必要があります。これは、発信されるトラフィックが受け入れ可能であること(トロイの木馬やワームからではなく、組織を訴えられるサイトに向かうものではない)と、戻ってくる応答がマルウェアではないことを検証するためです。 (100%が得られるわけではありませんが、潜在的な露出を減らすことができます)。
ルーティング付きのDPI VPNファイアウォールをすべて1つのボックスにまとめて、多額のお金を稼ぐことができます。それは大丈夫だろう。したがって、機能だけでなく、負荷に基づいて機能を分割することをお勧めします。したがって、大量のVPNトラフィックがあり、それがCPUを占有している場合は、個別のVPNデバイスを取得することは理にかなっています。 DPI /プロキシが大量のCPUを使用している場合は、それを専用のボックスに引き出します。
最後に、Defense In Depth宗教のいくつかを入手してください。エンドユーザーのマシン、Exchangeサーバー、企業のバックアップサーバーなど、ネットワークのさまざまなコンポーネントが侵害された場合にどのような脆弱性があるかを考えてください。それぞれを順番に実行して、ネットワーク設計、コンポーネントが侵害されたことを検出する方法、攻撃者が実行できる次のステップ、および侵害が発見された後に混乱をクリーンアップする方法について考えます。