校园网络设计-防火墙

我正在设计一个校园网络，设计看起来像这样：

LINX是伦敦互联网交易所，而JANET是联合学术网络。

我的目标是几乎完全冗余且具有高可用性，因为它将必须支持大约15,000人，其中包括学术人员，行政人员和学生。在此过程中，我已经阅读了一些 文档，但是我仍然不确定某些方面。

我要专门针对防火墙：决定采用专用防火墙而不是边界路由器中的嵌入式防火墙的驱动因素是什么？据我所知，嵌入式防火墙具有以下优点：

• 易于维护
• 更好的整合
• 少跳一跳
• 更少的空间需求
• 便宜一点

专用防火墙具有模块化的优势。

还有别的事吗？我想念什么？

企业系统管理员/建筑师在这里。我绝不会设计如此规模的网络来为每个核心任务使用专用设备之外的任何东西：路由，交换，防火墙，负载平衡。否则，这简直是不好的做法。现在，出现了诸如VMware的NSX之类的新兴产品，这些产品寻求将这种基础架构虚拟化为商用硬件（通常少用），这很好。甚至有趣。但是即使那样，每个虚拟设备也都有其工作。

我将探讨为什么将它们分开放置的主要原因：

1. 正如@Massimo所说，您根本不会从组合设备中获得功能；他们将失去正确优化设计所需的功能。
2. 这样可以提供较小的单位攻击面：如果边缘路由器中存在一些关键漏洞，您是否希望这成为攻击者用来访问防火墙的漏洞？
3. 它简化了管理。容易想到合并可以使管理更容易，但这通常并非如此。如果我有一个NetSec团队管理防火墙策略而一个Infrastructure团队处理路由该怎么办？现在，我必须在组合设备上正确设置细粒度的ACL，以确保它们各自都能达到所需的功能，而别无其他。此外，组合设备的接口设计往往不那么理想，特别是对于大型部署（我正在寻找SonicWALL）。
4. 基础设施的放置需要灵活。对于组合设备，我几乎只能采用静态布局：对于我部署的每个设备，我都有一个路由器和一个防火墙，也许我真的只想要一个防火墙。当然，我可以关闭路由功能，但这引出了上面有关简单管理的观点。此外，我看到许多设计都试图对所有内容进行负载平衡，而实际上，您通常最好单独进行区域中的负载平衡，因为有些东西应该通过，有时您会在联结处引入一些组件来损害冗余或弹性。不需要它们。还有其他示例，但是负载均衡器很容易选择。
5. 组合设备更容易过载。在考虑网络设备时，您必须考虑背板：组合路由器/防火墙/负载均衡器可以处理被扔给它的吞吐量吗？专用电器的价格总体上会更好。

希望能有所帮助。祝您网络关系顺利。如果您还有其他问题，请发布（与本帖子分开），我将尝试抓住它们。当然，有很多聪明的人可以回答同样的问题，甚至希望更好。再见！

尽管路由器和防火墙有很多重叠，但是它们的用途完全不同。因此，路由器通常在防火墙方面并不擅长，并且防火墙通常无法完成比将数据包从一个接口移动到另一个接口更多的路由。这是为这两个角色使用不同设备的主要原因。

另一个原因是防火墙通常仅具有以太网接口，依靠适当的路由器连接到不同的媒体，例如光纤或DSL；您的ISP的连接很可能会在此类介质上提供，因此无论如何都需要路由器来终止它们。

您说需要路由和防火墙都进行故障转移。高端路由器可以在多个设备和多个ISP连接之间提供负载平衡和故障转移；尽管防火墙具有基本的路由功能，但它们通常不执行此类高端路由功能。对于充当防火墙的路由器而言，情况恰恰相反：与真正的高端防火墙相比，它们通常非常有限。