it-swarm-korea.com

Edge 라우터의 보안 서비스와 표준 방화벽

사이트 간 VPN, NAT & 엣지 라우터에서 반사 ACL (일반 라우팅 기능 포함))을 실행할 수 있다면 그 뒤에서 재고 방화벽을 실행하는 용도는 무엇입니까?

예를 들어, 코어 스위치-> 방화벽-> 에지 라우터-> ISP 연결

다른 방법으로 질문했는데, 라우터가 모든 작업을 수행 할 수 있다면 방화벽에서 VPN 및 반사 ACL을 실행하고 라우터에서 NAT + 라우팅 기능을 실행하려는 이유는 무엇입니까?)

8
Josh Brower

언급하지 않은 것과 이러한 종류의 질문에서 일반적으로 중요한 것은 특히 보유하고있는 하드웨어의 종류, 요구 사항 (처리량, 동시 연결, 암호화로드 등)입니다. 트래픽 스냅 샷은 어떻게 생겼고, 어디에서 왔으며, 이상적으로 들어오고 나가야하는 것은 무엇입니까?

(또한 지원 대상에 따라 세계, SLA를 보유한 외부 고객, 내부 고객, 사무실에있는 두 사람 등 최악의 시나리오에 대해 걱정해야 할 수도 있습니다. 조금만 또는 잠재적으로 디자인의 핵심 일 수 있습니다.).

그 누락으로 인해 내가 올인원 솔루션을 피하는 일반적인 이유는 다음과 같습니다.

  • 올인원 장치를 사용하면 단일 장애 지점 (또는 장애로 인해 비활성화 될 가능성이 더 높은 축소 된 데이터 경로)이 발생합니다.
  • 라우터, 스위치 또는 방화벽과 같은 대부분의 역할 장치는 특히 저가형 상품에서 벗어나면 주요 역할에 최적화되어 있습니다.

    • 이는 하드웨어 최적화됨을 의미합니다. IPSec 또는 기타 VPN에 대한 암호화가 ASIC에 오프로드되고, 스위치 백플레인이 초고속 (또는 그렇지 않음)이되고, 특수 칩이 레이어 2 흐름을 처리하는 등의 작업을 수행합니다. Cisco 스위치는 ASICS를 영원히 사용해 왔습니다. . 주니퍼와 시스코는 오랫동안 라우팅을 수행해 왔으며 하드웨어로 적절히 오프로드하는 방법을 알고 있습니다.

    • ... 그리고 software가 최적화되었습니다. 구성 요소는 작동 할 수 있지만 처음부터 통합되지 않고 추가 된 구성 요소 인 경우 유연성, 탄력성 및 안정성의 결과를 볼 수 있습니다. 많은 경우 회사는 약점을 보완하고 한두 가지 일을 아주 잘 수행하는 장치를 가지고 있기 때문에 인수했습니다. 시간이 지남에 따라 일반적으로 소프트웨어에만 기능이 추가 (및 추가 및 추가)되어 고객은 Nice "다재다능한"제품을 구입할 수 있습니다. 기본 사용자 인터페이스에서 일부 구성 요소와 다른 구성 요소에 대한보고 도구의 강성에 이르기까지 모든 부분에서이 결과를 볼 수 있습니다. 반사 ACL과 VPN, IPSec, 패킷 캡처 및 심층 패킷 검사가 장치에있는 경우 누군가 장치를 구성하고 누군가 모니터링해야하며 누군가가 문제를 해결해야합니다. 이러한 것들이 자연스럽게 나오는 것입니까, UI 디자인에서 흘러 나오는 것입니까, 아니면 메뉴 설명을 설명하거나 핵심 덤프를 분석하기 위해 지원을 요청해야합니까?

어리석은 비유 첫 번째-시민에게 스포일러를 걸 수 있고 심지어 작은 무언가를 할 수도 있지만 그 스포일러는 실제로 장식 일뿐입니다 . (보안이 감사에 적합한 상자를 선택하는 것이 전부라면, 때로는 장식으로 "떠날"수 있습니다. 그러나 이것은 실제 보안이 아니며 우리는 알고 있습니다.)

너무 많은 작업을 수행하는 제품이 있으면 제품 지원에도 나타날 수 있습니다. Everything 장치에 문제가있는 경우 얼마나 많은 지원이 있습니까? 이 장치의 96 번째 및 97 번째 추가 기능을 얼마나 오랫동안 지원 했습니까? 나중에 생각한다면 문제가 될 수 있습니다. 공급 업체가 회귀 테스트, 버그 수정 및 새 코드 릴리스에 참여한 개발자는 몇 명입니까?

하드웨어의 경우 일부 영역에서 추가 전력을 제공하는 모듈을 추가 할 수 있습니다. 시스코는 암호 화폐 또는 '안티 -X'또는 IDS/IPS 작업을 오프로드 할 수있는 많은 카드와 모듈을 판매하며 이들은 ASA에서 6500 코어 스위치에 이르기까지 모든 분야에 적용됩니다. 좋은 생각 이세요? 조건에 따라서. 다른 장치를 구입할 수 있습니까? 아니면 더 적은 비용으로 더 많은 일을 할 수 있습니까?
그리고 라우터는 여전히 트래픽을 라우팅하는 데 최고이며, 코어 스위치는 일반적으로 액세스 목록에 속지 않는 것이 낫습니다. 방화벽은 OSPF 및 BGP를 실행하지 않는 것이 좋습니다.

끝으로, 여기에 또 다른 말도 안되는 비유가 있습니다. 운동 선수는 환상적인 수영 선수, 농구 선수 또는 체조 선수가 될 수 있지만, 그렇다고해서 같은 선수가 축구 나 럭비 명단에서 자리를 채워야한다는 의미는 아닙니다. IT 담당자이고 일련의 요구 사항이있는 경우 하나의 장치가 목록에있는 모든 확인란을 선택하도록 할 수 있습니다. 목록에서 사용 가능한 모든 위치를 채우십시오. 그러나 각 요구 사항에 맞는 더 강력한 솔루션을 구매하고 배포 할 수있는 예산과 리소스가 있다면 더 지속 가능한 전략으로 확실히 갈 것입니다.

7
jgbelacqua

우려의 분리. 예, 라우터는 방화벽 역할을 할 수 있지만 적절한 방화벽이 더 나은 작업을 수행합니다. 네트워크에 대한 더 많은 제어권을 갖게되며 라우터가 침해 될 경우 대체 조치를 취할 수 있습니다.

6
Steve

상태 저장 검사 방화벽을 추가하거나 VPN 및 NATing을 상태 저장 검사 방화벽으로 이동하는 것은 의미가 없습니다. 이는 상태 저장 검사 방화벽이 포트 번호로 트래픽을 분류하고 제어하기 때문입니다. 포트 호핑 애플리케이션의 수와 포트 80 또는 포트 443을 사용하는 애플리케이션의 수를 고려할 때 상태 저장 방화벽은 쓸모가 없습니다.

그러나 Edge 라우터 뒤에 "차세대"방화벽 (NGFW)을 배포하는 것이 좋습니다. NGFW가 수행 할 주요 기능은 애플리케이션 식별 및 제어, 사용자 제어, 내부 네트워크 세분화, 정책 기반 라우팅, QoS 및 위협 방지입니다.

3
Bill Frank

대부분의 인기있는 공격은 포트 80을 통해 실행되는 패킷 검사 방화벽을 우회하므로 약간 다른 구성을 제안합니다.

첫째, 10 년 전 주요 방화벽 공급 업체는 라우팅 프로토콜을 방화벽에 통합하여 Edge 라우터를 제거하여 네트워크 설계 및 배포를 단순화 할 수있었습니다. 충분한 기업 IT 보안 유형이 동의했기 때문에 Nokia/Check Point, Juniper/NetScreen 및 Cisco는 비즈니스가 번창했습니다. 따라서 적어도 판매를 기반으로 한 대중적인 의견으로는 방화벽과 Edge 라우터가 동일한 장치이면 견고한 네트워크 설계를 가질 수 있습니다.

그런 다음 Edge에 방화벽/라우터가 있고 내부에 일종의 프록시 또는 Deep Packet Inspection 장치가있는 것이 좋습니다. 방화벽/라우터는 오래되고 "쉽고"잘 이해되는 모든 것을 처리합니다. 프록시/DPI는 현재 항목에 대한 보호 기능을 제공합니다. 모든 내부 트래픽은 프록시/DPI 장치를 통과하여 나가는 트래픽이 허용 가능한지 (트로이 목마 나 웜이 아니라 조직이 고소를 당할 사이트로 이동하지 않음) 다시 들어오는 응답이 멀웨어가 아닌지 확인해야합니다. (100 %는 아니지만 잠재적 인 노출을 줄일 수 있습니다).

많은 비용으로 라우팅 기능이있는 DPI VPN 방화벽을 하나의 상자에 모두 얻을 수 있습니다. 괜찮을 것입니다. 따라서 기능보다는 부하를 기준으로 기능을 나누는 것이 좋습니다. 따라서 VPN 트래픽이 많고 이것이 CPU를 묶는 경우 별도의 VPN 장치를 구입하는 것이 좋습니다. DPI/프록시가 CPU를 많이 사용하는 경우 자체 상자로 꺼내십시오.

마지막으로 Defence In Depth 종교를 얻으십시오. 네트워크의 여러 구성 요소 (예 : 최종 사용자 컴퓨터, Exchange 서버 또는 회사 백업 서버)가 손상되었을 때 어떤 취약성이 있는지 생각해보십시오. 차례로 각각을 수행하면서 네트워크 설계, 구성 요소가 손상되었음을 감지하는 방법, 공격자가 수행 할 수있는 다음 단계, 손상된 항목이 발견 된 후 문제를 정리할 수있는 방법에 대해 생각하십시오.

1
pcapademic