试图使集中式防火墙适合网络拓扑


11

我正在彻底检查我们的网络,我一直回想的问题是:尝试将第3层带入核心,同时仍具有集中式防火墙。

我在这里遇到的主要问题是,我一直关注的“微型核心”交换机始终具有较低的硬件内ACL限制,即使在我们当前的大小下,我们也可以很快达到该限制。我目前(希望)购买一对EX4300-32F内核,但是我看过其他型号,以及瞻博网络和Brocade ICX系列的其他选件。它们似乎都具有相同的低ACL限制。

这非常有意义,因为核心交换机需要能够保持线速路由,因此不想通过ACL处理牺牲太多。因此,我无法在核心交换机本身上完成所有防火墙工作。

但是,我们主要处理完全托管的服务器,而拥有集中式(状态)防火墙对该管理有很大帮助-因为我们无法让客户直接相互交谈。如果可以的话,我想保持这种方式,但是我觉得大多数ISP网络都不会做这种事情,因此为什么在大多数情况下,在核心中进行路由很简单。

作为参考,这是我理想情况下想做的拓扑(但不确定在何处适合FW)。

网络

当前解决方案

现在,我们有一个棒式路由器配置。这使我们能够一站式完成NAT,状态防火墙和VLAN路由。非常简单。

通过将L2一直扩展到网络的“顶部”(边界路由器),我可以继续使用(大致)相同的解决方案。但是后来,我失去了核心可以为我提供的线速路由的所有好处。

IIRC的核心交换机可以进行464 Gbps的路由,而如果幸运的话,我的边界路由器将能够提供10或20 Gbps的路由。从技术上讲,这现在不是问题,而是增长的问题。我觉得好像我们现在不设计架构以利用核心路由功能一样,当我们规模更大并且需要利用该功能时,重做所有内容将很痛苦。我宁愿第一次就做对。

可能的解决方案

第3层访问

我以为我可以将L3扩展到访问交换机,从而将防火墙规则分解为更小的段,然后将这些段适应访问交换机ACL的硬件限制。但:

  • 据我所知,这些不是有状态的ACL
  • 对我来说,L3 Access似乎更加僵化。服务器移动或VM迁移到其他机柜会更加痛苦。
  • 如果我要在每个机架的顶部(只有六个)管理防火墙,那么我可能还是想要自动化。因此,在这一点上,在主机级别自动管理防火墙并不是很大的飞跃。从而避免了整个问题。

访问/核心之间的每个上行链路上的桥接/透明防火墙

这将必须涉及多个防火墙盒,并显着增加所需的硬件。甚至可能比购买更大的核心路由器还要昂贵,即使使用普通的老式Linux机器作为防火墙。

巨型核心路由器

可以购买更大的设备来完成我需要的防火墙,并具有更大的路由能力。但是确实没有预算,而且,如果我要使设备执行并非为它设计的功能,则可能必须选择更高的规格。比起其他方式

没有集中式防火墙

由于我跳了圈,也许这不值得。这一直是一件好事,有时对于想要“硬件”防火墙的客户来说是一个卖点。

但是,为“整个”网络设置集中式防火墙似乎是不可行的。那么,我想知道,当拥有专用服务器的客户拥有数百甚至数千台主机时,大型ISP如何为他们提供硬件防火墙解决方案?

谁能想到解决这个问题的方法?是我完全错过的东西,还是上述想法之一的变化?

2014年6月16日更新:

基于@Ron的建议,我偶然发现了这篇文章,它很好地解释了我所面临的问题,并且是解决该问题的好方法。

除非有其他建议,否则我现在要说这是产品推荐类型的问题,所以我想这已经结束了。

http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/


您在网络中使用VRF-lite还是MPLS?核心交换机是什么品牌?
Daniel Dib 2014年

@DanielDib尚未使用VRF或MPLS,但是我打算在此站点和另一个站点之间部署它。品牌还没有确定(仍在确定购买清单)...但是现在主要关注的是Juniper EX4300-32F或Brocade ICX 6610-48-PE
Geekman 2014年

1
我投票决定关闭;原因是您要提出的问题会针对您的解决方案深入探讨非常具体的细节,例如选择哪个供应商的品牌/型号以及预算限制等,这将如何改变您为客户提供的产品...在此不适合所有这些,这些都是业务决策。您可以询问每种拓扑的优点和缺点,但是没有人能真正告诉您什么是最适合您的。
jwbensley 2014年

1
我对你的情况的两分便是:您是否考虑过支持诸如Cisco ASA之类的上下文的防火墙,甚至只是拥有虚拟防火墙?拥有一些VM主机,您可以通过两个接口为每个客户启用防火墙,其中一个接口作为默认网关放入客户VLAN,另一接口插入边缘路由器的面向公众的VLAN。只是一个想法(我更喜欢虚拟防火墙)。
jwbensley 2014年

2
我会认真看一下虚拟防火墙,例如Cisco ASA 1000V或Catbird(catbird.com)。这样,您可以在每个虚拟服务器上放置防火墙。将访问列表保留在核心路由器之外。
罗恩·

Answers:


5

我会选择两个选择之一:

单个租户虚拟防火墙

优点:

  • 水平可扩展
  • 向上旋转和向下旋转
  • 相对不受未来拓扑/设计更改的影响
  • 完全的客户分离/隔离

缺点:

  • 除非您强制执行标准模板,否则您现在将具有n个单独的防火墙来管理
  • 您现在有n个单独的防火墙要监视
  • 您现在有n个要修补的防火墙

大型防火墙机箱/集群,每个租户具有路由实例/上下文

部署一个悬挂在核心一侧的大型中央防火墙(集群),并使用内部外部路由实例在其上来回路由流量(例如:内部实例上的默认网关是防火墙,内部实例上的默认网关)防火墙是核心上的外部实例,外部实例的默认值是边界。)

优点:

  • 单框管理和配置
  • 单盒监控
  • 单盒贴片
  • 客户分离

缺点:

  • 第一天的费用会更高
  • 没有缩小
  • 根据配置,客户间流量可能会开始跨边界路由器路由

0

您正在运行哪些核心交换机?策略通常是在分发层完成的,如果您使用的是折叠的Core设计,则Core应该能够满足您的要求。另外,您是否喜欢状态全面检查或ACL。如果您需要遵循任何法规,acl可能还不够。

就个人而言,我会使用防火墙,也许会寻找可以集群的防火墙,以便可以将每个集群集群在一起并维护集中管理的规则库,例如Sourcefire防火墙。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.