校园networkingdevise – 防火墙
我正在devise一个校园networking,devise如下: 
LINX是伦敦互联网交换和JANET是联合学术networking。
我的目标是几乎完全多余的高可用性,因为它将不得不支持大约15万人,包括学术人员,行政人员和学生。 我已经阅读了一些 文件 ,但是我仍然不确定一些方面。
我想把这个专门用于防火墙:决定采用专用防火墙的驱动因素是什么,而不是边界路由器中的embedded式防火墙? 从我所看到的,embedded式防火墙有这些优点:
- 有没有办法添加更多的后端服务器haproxy而不重新启动haproxy?
- EC2弹性负载平衡器DNS和路由问题
- 在HAProxy中使用TCP负载均衡时,是否所有出站stream量都通过LB?
- HAProxy和Ngnix在反向代理模式下的区别是什么?
- Outlook无法通过Direct Access 2012 R2连接到负载平衡的Exchange 2013群集
- 更容易维护
- 更好的整合
- less一跳
- 更less的空间需求
- 便宜
专用防火墙具有模块化的优点。
还有别的事吗? 我错过了什么?
企业系统pipe理员/架构师。 我永远不会devise这种规模的networking来为每个核心任务使用除专用设备之外的任何东西:路由,交换,防火墙,负载平衡。 否则做不好的做法。 现在,VMware的NSX等即将推出的产品试图将这种基础架构虚拟化为商品硬件(通常less一些),没关系。 有趣,甚至。 但即使如此,每个虚拟设备都有其工作。
我会打这些被分开的主要原因:
- 正如@Massimo所说的,你根本就没有从组合设备中获得function。 他们将失去你需要正确优化你的devise的function。
- 这为每个单元提供了一个较小的攻击面:如果在边缘路由器中存在一些严重的攻击,您是否希望这是攻击者用来访问防火墙的漏洞?
- 它简化了pipe理。 想想组合使得pipe理变得更容易,这是很诱人的,但通常情况并非如此。 如果我有一个pipe理防火墙策略的NetSec团队和一个处理路由的基础设施团队? 现在我必须在组合设备上正确地设置细粒度的ACL,以确保它们各自能够满足他们所需要的,而不是其他任何东西。 此外,组合设备往往没有精心策划的界面,特别是对于大型部署(我在看你,SonicWALL)。
- 基础设施的布局需要灵活。 对于组合设备,我几乎坚持使用静态布局:对于我正在部署的每个人,我都有一个路由器和一个防火墙,也许我只是想要一个防火墙。 当然,我可以closures路由function,但是这导致了简单pipe理的上述问题。 另外,我看到很多devise试图平衡所有的负载,当你真的在区域中单独进行负载平衡时更好一些,因为有些东西应该通过,有时候通过在路口引入一些组件来伤害冗余或弹性那不需要它们。 还有其他的例子,但是负载平衡器很容易select。
- 组合设备可以更容易地超载。 在考虑networking设备时,您必须考虑背板:组合路由器/防火墙/负载均衡器可以处理吞吐量吗? 专用电器通常会更好。
希望有所帮助。 祝你networking好运。 如果您还有其他问题,请发帖(分开这篇文章),我会尽力抓住他们。 当然,有很多聪明的人可以回答谁,或者希望更好。 再见!
虽然路由器和防火墙重叠了很多,但它们的目的完全不同。 因此,路由器通常不擅长防火墙,而防火墙通常不会比将数据包从接口移动到另一个接口更多。 这是为两个angular色使用不同设备的主要原因。
另一个原因是防火墙通常只有以太网接口,依靠合适的路由器连接到不同的媒体,如光纤或DSL; 你的互联网服务提供商的连接将很可能在这样的媒体上提供,因此无论如何都需要路由器来终止它们。
你说你需要故障转移路由和防火墙。 高端路由器可以跨多个设备和多个ISP连接提供负载均衡和故障切换; 而防火墙具有基本的路由function,通常不会执行如此高端的路由function。 对于充当防火墙的路由器,情况正好相反:与真正的高端防火墙相比,它们通常非常有限。