要防火牆管得到內網, 就要能把傳輸封包經過它(inline的方式), 或讓它能看到(透過 mirror packet的方式).
大眾平民化的架構設計, 還是用L3 switch做簡單的內網段間的ACL.
防火牆負責Internet邊際ACL, 或是有預算多買一台防火牆或是WAF在很重要的server前做細部控管.
或是在L3 mirror特定的流量到防火牆上檢查.
原因呢 ?
個人覺得是產品定位其主要功能之於性價比問題,
市場上大宗的 L3 switch 主應用是跨網段的高速傳輸.
所以把固定的功能硬體化(晶片)達到高速傳送和低延遲.
應用要成熟不變動, 且有一定的經濟規模, 開硬體晶片才能符合成本和市場可接受價格.
所以在面對主力客群能付得起 $$ 的限制下, L3 switch的ACL在硬體晶片只做到 L3/L4 stateless. ACL邏輯比較簡單, 晶片電路設計成本比較低.
ACL要stateful, 甚至要處理L7內容, 還要能記錄.
整個邏輯規則相對複雜許多, 晶片電路設計成本相對高.
而且安全的應用推陳出新, 若要符合市場價格. 總不能常常patch開新晶片吧.
要switch可以做到防火牆的功能, 又要能維持高傳輸的能力.
花大把 $$ 還是能買到這樣的產品的. 但你有預算買電信骨幹或data cernter用的產品放公司內網, 或是有預算多買一堆內網防火牆嗎 ?
主要是看公司規模以及你的網路架構,以往會是把routing的部分交給L3 coreswitch做處理,用ACL來管控,防火牆只負責過濾進出的流量,但因應現今的資安威脅已經不單純只是南北向的流量而是來自於內網中的橫向移動,現在用NGFW做路由並檢查內網流量也是一種架構,但這就回歸到公司規模及成本考量,你的預算,你要買到什麼等級的防火牆才能handle你的內外流量?
魚與熊掌阿, 速度和安全.
預算有限時,
不管如何, 終端設備上的防毒防駭軟體還是要裝的. 不會只靠單一的網路設備防護達到較高的防護力.
每一位前輩給我的回覆都非常好,只能選擇一個最佳解答實在令人難以抉擇,感謝 zyman2008 前輩的解答,我受益良多
能不能讓這些管理讓防火牆來做呢?
看你防火牆的廠牌跟等級功能
讓防火牆做區網路由,會有效能問題,分工問題,還有VLAN數量 跟防火牆PORT 數量問題(總之成本問題)
所以我公司有10多個VLAN ,是用L3 SWITCH做區網路由跟ACL
但關係企業只有兩段 VLAN 跟10多台電腦,所以沒有L3 Switch ,是直接讓防火牆做 區網路由跟ACL
把 L3 Switch 串聯在一起並由防火牆來控制內部流量及外部流量呢?
我公司的L3 switch (CISCO )跟防火牆(Fortinet)不同廠牌,所以沒辦法做這件事,
你的防火牆,LAN port有沒有10Gb?有沒有支援VLAN Tag功能?
或是有多個LAN Port,並且可以獨立使用...?
想要管理inside VLAN1 to inside VLAN2
那麼vlan1 的gateway就必須是防火牆的LAN Port IP
那麼vlan2 的gateway就必須是防火牆的LAN Port IP
如果你的防火牆LAN是可以支援並使用VLAN Tag建立多個IP interface
那就超方便的,甚至可以開4096個LAN (IP interface)
在Policy管制條例設定時,就須設定LAN to LAN的規則了
架構圖看起來很簡單
但主要是路由運作的觀念
簡單來說如果你把路由交給交換器來做
就不容易做到防火牆介入資安管理的功能
因為流量根本不經過它(防火牆)
要跨VLAN來做資安流量的管控
就必須讓流量經過防火牆
可以用每一段一條線接入防火牆的一個接口
或者說用VLAN tag帶入防火牆同一接口
無論哪一種都是要讓防火牆做路由
因此重點就來了
傳統交換器是處理1G~10G等級流量
而傳統防火牆是處理100M~1G等級的流量
把流量全交給防火牆做路由
按道理說傳統防火牆是有困難的
所幸時代進步,賴半導體晶片加速能力
新世代防火牆NGFW有晶片加速處理能力
以Palo Alto防火牆PA-3200以上就有專屬網路晶片加速能力
請見原廠網址說明圖
而該型號以下的機種還是靠CPU及memory運算
但是NGFW主要是做資安檢核處理
光是網路加速但對於AV/IPS甚至SSL加密等級的網路流量
如果不能用晶片予以處理
則兩津勘吉大大的實質問題仍未解決
所以對於廠商介紹產品當深入了解實際內涵
以符合我們企業真正的用途
當然啦
如果網路架構及資安維運方式仍停留在傳統思想
不擔心威脅潛伏日日月月年年進步
或是老闆永遠只怕花錢
那就只要網路會通就好
政府罰錢的經費都少於買一台新世代防火牆
您又何必擔心呢
問題一:(前略)是否可以在防火牆做所有流量的走向控管?
ANS.可以在防火牆上控制所有流量的走向,透過設定適當的防火牆規則,例如允許或封鎖特定的流量或服務,可以實現對流量的細粒度控制和管理。
問題二:例如哪天想要讓 vlan 1 不能通向 vlan 2 ,可以在 L3 Switch ACL 來做到,但是這樣子防火牆的功用是甚麼?能不能讓這些管理讓防火牆來做呢?
ANS.是的,您可以使用 L3 Switch 上的 ACL 來控制 VLAN 之間的流量,例如禁止 VLAN 1 與 VLAN 2 之間的通信。在此情況下,防火牆可以提供其他功能,例如防止外部攻擊、病毒和惡意軟件入侵,以及過濾不良的流量。
問題三:以實作面來說應該要怎麼做才能把 L3 Switch 串聯在一起並由防火牆來控制內部流量及外部流量呢?
ANS.若要實作 L3 Switch 的 VLAN 互通並由防火牆控制內部流量及外部流量,您可以採用下列步驟:
(1)將 L3 Switch 上的兩個 VLAN 分別設定為不同的子網段。
(2)啟用 IP 路由,讓 VLAN 之間的流量能夠正確地路由。
(3)在 L3 Switch 上設定 ACL,以控制 VLAN 之間的流量。
(4)設定防火牆規則,以控制內部流量及外部流量的走向,例如防止未經授權的訪問,過濾不良流量,以及保護內部網路安全。
(5)在 L3 Switch 上設定默認路由,以將所有外部流量指向防火牆。同時,設定防火牆上的靜態路由,以將來自 L3 Switch 的內部流量返回到 L3 Switch。