вторник, 18 марта 2014 г.

Отличие межсетевого экрана от маршрутизатора (Firewall vs Router)

Как было описано ранее, при возникновении более одного сетевого сегмента (к примеру: сегмент серверов, сегмент пользователей) требуется устройство третьего уровня модели OSI (L3), т.е. маршрутизирующее устройство.
Если в сети находится большое кол-во информационных ресурсов (файловый сервер, корпоративный портал, виртуальная инфраструктура) и требуется высокая скорость маршрутизации внутри сети, то необходимо применять коммутаторы третьего уровня модели OSI. Различие маршрутизатора и коммутатора третьего уровня было описано ранее.
Как только появляется необходимость маршрутизации трафика во внешнюю сеть (Internet) необходимо использовать маршрутизатор или межсетевой экран. Рассмотрим отличия этих устройств. В чем разница? Где использовать межсетевой экран, а где маршрутизатор?
В качестве примера будем рассматривать маршрутизаторы и межсетевые экраны компании Cisco.
Если посмотреть на функции и технологии, которые обычно используют организации, то они присутствуют как в межсетевых экранах так и в маршрутизаторах:
  • Маршрутизация с использованием динамических протоколов маршрутизации (RIPv1,2, OSPF, EIGRP)
  • NAT - Network Address Translation (трансляция сетевых адресов)
  • Фильтрация трафика (Access list)
  • Site-to-Site VPN
  • Remote Access VPN
Что касается IPS, то в современных маршрутизаторах так же доступна данная функция, включаемая дополнительной лицензией.
Рис. 1 - Маршрутизатор Cisco ISR G2 2921

В межсетевых экранах серии Cisco ASA 5500 возможно использовать функционал IPS, применив специальный модуль AIP-SSM.

Рис. 2 - IPS модуль AIP-SSM для межсетевых экранов Cisco ASA 5500

Начиная с серии Cisco ASA 5500-X, функция IPS интегрирована и не требует установки дополнительных модулей. Для активации требуется соответствующая лицензия.

Рис. 3 - Межсетевой экран Cisco ASA 5500-X

Главное предназначение Cisco ASA это безопасность. И такие функции безопасности как межсетевой экран, IPS, VPN, подключение удаленных пользователей, с технической точки зрения реализованы лучше чем на обычном маршрутизаторе. В межсетевых экранах по умолчанию включены многие функции безопасности, которые на маршрутизаторе необходимо настраивать в ручную, либо вообще отсутствуют.
Рассмотрим ключевые функции Cisco ASA не вдаваясь в технические подробности:
  1. Deep packet inspectoin - глубокий анализ пакетов;
  2. Identity Firewall (IDFW) - предоставление доступа к сети и ее сегментам на основе учетных данных из LDAP (Acive Directory);
  3. TrustSec - похоже на IDFW, но более гибкая технология. Работает в связке с Cisco ISE;
  4. IPS - в новой серии Cisco ASA 5500-X функция активируется дополнительной лицензией, без приобретения модуля;
  5. Cisco ASA CX - безопасность с учетом контекста, контроль использования приложений для пользователей и групп, WEB фильтр с проверкой репутации;
  6. Два режима работы МЭ - маршрутизируемый (Routed) и прозрачный (Transparent Mode);
  7. NAT, Twice NAT;
  8. Remote Access VPN (Client, Clientless);
  9. Site-to-Site IPsec VPN;
  10. Кластеризация - возможность создания кластера из 8 устройств (МЭ);
Межсетевой экран это в первую очередь фильтр. Использование МЭ исключительно для маршрутизации будет неправильным, тем более что многие функции доступны только в традиционных маршрутизаторах:
  1. BGP;
  2. MPLS;
  3. DMVPN;
  4. GRE;
  5. WLAN Controller
Несколько полезных графиков:

Если подвести итог, то можно сделать некоторый вывод.
Межсетевой экран стоит выбрать в том случае, когда в головном офисе требуется организовать безопасный доступ в Интернет, защищенный удаленный доступ пользователей и подключение удаленных филиалов.
Маршрутизатор же больше подходит для небольших филиалов, т.к. он обойдется дешевле, при этом сможет объединить большинство необходимых функций.
Для крупных организаций, имеющих большое количество филиалов, будет разумным применение обоих устройств, где маршрутизатор будет использоваться для динамической маршрутизации (OSPF, EIGRP, BGP). Тем самым разгружается МЭ, обеспечивающий функции безопасности (фильтрация, IPS, VPN и т.д.)

2 комментария:

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers