Paweł R.

Paweł R. „Moje prochy będą
gorętsze od ich
życia!”

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

Witam,

mam takie pytanie o dobra 'praktyke' jesli chodzi o siec polaczeniowa miedzy routerem a firewalem. Juz opisuje o co chodzi.
Otoz zostalo mi zadane pytanie - jesli w organizacji istnieje taka topologia:
ISP----> Router-----> Firewall -----> LAN & DMZ

ISP daje dwie adresacje - klase (dwu adresowa) do polaczenia miedzy soba a routerem oraz
klase powiedzmy /24 do uzytku w inside.
W "nie" normalnych warunkach zawsze sprawa byla uproszczona, poniewaz isp wchodzil do routera i sieci wewnetrzne byly bezposrednio podlaczone do routera. Wiec bramka dla sieci adresow zewnetrznych rowniez tam sie znajdowala. W powyzszej konfiguracji sprawa sie komplikuje, poniewaz jak zapne bramke na firewallu to pozostaje kwestia sieci polaczeniowej miedzy Routerem a Firewallem. Moja odpowiedz byla taka - sa trzy opcje:
1. Bramke dla adresow zewnetrznych zapinasz na firewallu, a polaczenie miedzy routerem i firewallem realizujesz za pomoca jakiejs adresacji prywatnej i na routerze ukrywasz ja (tak aby nie wyswietlala sie w MTR)
2. Swoja siec /24 rozbijasz na jedna polaczeniowa miedzy firewallem a routerem a pozostala czesc juz wewnatrz sieci rozprowadzasz (na firewallu dla pozostalej sieci robisz bramke)
3. Zapinasz bramke dla tej sieci na routerze, a na firewallu robisz static'i do sieci wewnetrznej.

Z punktu widzenia bezpieczenstwa zasugerowalem ta trzecia opcje. Nie mniej jednak pozostala we mnie taka niepewnosc sytuacji. A jak wy 'zrealizowalibyscie' kwestie polaczenia firewalla z routerem i gdzie zrobilibyscie bramke dla tej sieci adresow zewnetrznych.


P.S. Jesli troche belkocze to przepraszam, jestem chory.

Pozdrawiam
Pawel
Jakub Rosiak

Jakub Rosiak Administrator
WAN&LAN Teleca
Poland Sp. z.o.o

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

A co ma robić ten router? Czy on jest w ogóle do czegoś potrzebny? Bo może warto go pominąć?

Pozdrawiam,
Jakub
Paweł R.

Paweł R. „Moje prochy będą
gorętsze od ich
życia!”

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

Z tego co wiem to w niedldugim czasie bgp bo dojdzie drugi operator.
Wojciech Bajorek

Wojciech Bajorek Wiodący Inżynier
Systemowy / Team
Leader, Tieto |
Właścic...

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

To jest dobry schemat i jak najbardziej sensowne jest użycie routera i firewalla.

Wg mnie najlepszym rozwiązaniem jest konfiguracja "połączeniówki" na routerze od strony ISP oraz zaadresowanie klasy /24 na interfejsie wewnętrznym routera.
Tutaj masz dwie możliwości:
1) dzielisz /24 na mniejsze klasy, w zależności od tego jakie kawałki potrzebujesz (np. połączeniówka pomiędzy routerem a firewallem + adresy IP jako static na FW, część np. do przeroutowania za firewall)
2) adresujesz całą /24 a na firewallu robisz tylko static

Lepszym rozwiązaniem jest opcja 1 - daje większą swobodę w zarządzaniu klasą adresową.
Wspomniałeś o względach bezpieczeństwa. Czym się sugerowałeś przy tym wyborze?
Wg mnie różnic w bezpieczeństwie tutaj nie ma - w obu rozwiązaniach i tak zamierzasz używać FW (czy to stosując static czy przeroutowując za firewall).

###
Rozwiązanie które zaproponowałeś jako punkt pierwszy jest średnio dobrą opcją i niepotrzebnie komplikuje Ci sytuację, a już na pewno będzie to problem przy BGP.
Paweł R.

Paweł R. „Moje prochy będą
gorętsze od ich
życia!”

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

Wojciech Bajorek:

###
Rozwiązanie które zaproponowałeś jako punkt pierwszy jest średnio dobrą opcją i niepotrzebnie komplikuje Ci sytuację, a już na pewno będzie to problem przy BGP.


To byla jedna z opcji jakie zaproponowalem, nie powiedzialem, ze najlepsza. Dzielenie adresacji ma sens ale jest malo skalowalne, bo jak masz siec /28 to podzial znacznia ja zmniejsza. Dlatego wydaje mi sie, ze static na firewallu jest jak najbardziej rozsadne. Moje pytanie ma bardziej na celu okreslenie best practice jakie rekomenduje cisco ;)
Wojciech Bajorek

Wojciech Bajorek Wiodący Inżynier
Systemowy / Team
Leader, Tieto |
Właścic...

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

W tym wypadku oba rozwiązania są dobre i wybór jednego z nich jest uwarunkowany rzeczywistymi wymaganiami dla danej infrastruktury.

To właśnie zależy od tego czy bazujesz tylko na static, czy masz środowisko mieszane i nadajesz adresy publiczne by uniknąć NAT (notabene ma to sens w przypadku większych środowisk, w końcu to dodatkowe obciążenie dla maszyny + wpisy w konfiguracji).

konto usunięte

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

A może dobrym rozwiązaniem było by zastosowanie następującej konfiguracji :

Internet ---> Modem DSL operatora np. Netia, Orange ------> Firewall ------> Router ----> Sieć LAN

Szukając po internecie odpowiedzi na pytanie jak najlepiej podłączyć Firewall i Router napotkałem takie właśnie konfiguracje. Czy waszym zdaniem zaproponowane rozwiązanie jest poprawne ?

Pomiędzy Fierwall a Routerem można nadać adresację np. 172.18.224.1 a po stronie Routera np. 192.168.1.1 , takie rozwiązanie dodatkowo ukryje sieć LAN .
Dariusz J.

Dariusz J. Administrator sieci
komputerowej

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

Z jednego punktu widzenia to dodatkowe urządzenie które może ulec awarii, wszystko zależy od topologi i potrzeb wydzielonych stref np. DMZ potrzeby zastosowania w danym miejscu NAT itp...

Swoją drogą temat lekko stary :-)

konto usunięte

Temat: Siec polaczeniowa miedzy routerem a firewallem - dobra...

Wiem, że temat stary :-) ale znalazłem go i postanowiłem napisać.

DMZ nie biorę pod uwagę, nie mam takiej potrzeby. Za routerem mam 4 sieci z tego 3 mają mieć dostęp do internetu. Zgadzam się że dodatkowe urządzenie w szeregu to dodatkowy punkt mogący ulec uszkodzeniu. Firewall ma funkcję routera ale jakoś nie jestem przekonany w 100% czy z Firewalla zrobić router i zaporę. Dlatego rozważam opcję :

1) Internet ---> Modem ----> Router ----> Firewall ----> sieć LAN
2) Internet ---> Modem ----> Firewall ---->Router ---> sieć LAN
3) Internet ---> Modem ----> Firewall- jako router ----> sieć LAN

Rozmawiałem z kilkoma znajomymi informatykami i na 6 osób, 2 wybierają opcję 3, 1 osoba za opcją 2 i 3 osoby wybierają 1 opcję.

Dlatego chcę jeszcze zweryfikować z kimś moje wątpliwości zanim podłączę urządzenia w sieci.

Następna dyskusja:

Emigracja - dobra czy zła??




Wyślij zaproszenie do