Como assumir o controle de sua infraestrutura de rede. CAPÍTULO TRÊS Segurança de rede. Parte três

Este artigo é o quinto de uma série de artigos intitulados "Como colocar a infraestrutura de rede sob seu controle". O conteúdo de todos os artigos da série e os links podem ser encontrados aqui .

Esta parte se concentrará na auditoria dos segmentos de design de segurança do campus (Office) e VPN de acesso remoto.



Pode parecer que o design de uma rede do escritório seja simples.

Na verdade, pegamos switches L2 / L3 e os conectamos. Em seguida, realizamos a configuração elementar de vilans, gateways padrão, aumentamos o roteamento simples, conectamos controladores WiFi, pontos de acesso, instalamos e configuramos o ASA para acesso remoto, estamos felizes por tudo ter funcionado. Em princípio, como já escrevi em um dos artigos anteriores desta série, quase todos os alunos que ouviram (e aprenderam) dois semestres de um curso de televisão podem projetar e configurar uma rede de escritórios para “de alguma forma funcionar”.

Mas quanto mais você aprende, menos elementar essa tarefa começa a parecer. Para mim, pessoalmente, esse tópico, o tema do design de redes de escritórios, não parece nada simples e, neste artigo, tentarei explicar o porquê.

Em suma, muitos fatores precisam ser considerados. Muitas vezes, esses fatores estão em conflito entre si e precisam buscar um compromisso razoável.
Essa incerteza é a principal dificuldade. Então, falando em segurança, temos um triângulo com três vértices: segurança, conveniência para os funcionários e o preço da solução.
E cada vez que você tem que encontrar um compromisso entre os três.

Arquitetura

Como exemplo de arquitetura para esses dois segmentos, eu, como nos artigos anteriores, recomendo o modelo Cisco SAFE : Enterprise Campus , Enterprise Internet Edge .

Estes são documentos um pouco desatualizados. Trago-os aqui, porque, em princípio, os esquemas e a abordagem não foram alterados, mas, ao mesmo tempo, gosto mais da apresentação do que na nova documentação .

Sem exigir que você use as soluções da Cisco, ainda acho útil estudar cuidadosamente esse design.

Este artigo, como sempre, sem pretender ser de forma alguma, é um complemento para essas informações.

No final do artigo, analisaremos o design do Cisco SAFE para o escritório em termos dos conceitos descritos aqui.

Princípios gerais

O design de uma rede de escritório, é claro, deve atender aos requisitos gerais discutidos aqui no capítulo "Critérios de avaliação da qualidade do projeto". Além do preço e da segurança que pretendemos discutir neste artigo, há mais três critérios que devemos considerar ao projetar (ou ao fazer alterações):

• escalabilidade
• conveniência em gerenciamento (gerenciabilidade)
• disponibilidade

Muito do que foi discutido para os data centers também é válido para o escritório.

Mas, no entanto, o segmento de escritórios tem sua própria especificidade, o que é crítico do ponto de vista da segurança. A essência dessa especificidade é que esse segmento é criado para fornecer serviços de rede aos funcionários (bem como parceiros e convidados) da empresa e, como resultado, temos duas tarefas no mais alto nível de consideração de problemas:

• proteja os recursos da empresa de ações maliciosas que podem vir de funcionários (convidados, parceiros) e do software que eles usam. Isso também inclui proteção contra conexões de rede não autorizadas.
• proteger sistemas e dados do usuário

E este é apenas um lado do problema (ou melhor, um vértice do triângulo). Por outro lado, a conveniência do usuário e o preço das soluções aplicadas.

Vamos começar analisando o que o usuário espera de uma rede moderna de escritórios.

Amenidades

A seguir, como são as "conveniências de rede" para um usuário do escritório:

• Mobilidade
• A capacidade de usar toda a gama de dispositivos e sistemas operacionais familiares
• Fácil acesso a todos os recursos necessários da empresa
• Disponibilidade de recursos da Internet, incluindo vários serviços em nuvem
• Rede "Trabalho rápido"

Tudo isso se aplica a funcionários e convidados (ou parceiros), e essa já é uma tarefa dos engenheiros da empresa com base na autorização para diferenciar o acesso de diferentes grupos de usuários.

Vamos dar uma olhada em cada um desses aspectos.

Mobilidade

É sobre a capacidade de trabalhar e usar todos os recursos necessários da empresa de qualquer lugar do mundo (é claro, onde a Internet está disponível).

Isso se aplica totalmente ao escritório. Isso é conveniente quando você tem a oportunidade de continuar trabalhando em qualquer lugar do escritório, por exemplo, receber e-mails, comunicar-se em um messenger corporativo, estar disponível para uma chamada de vídeo ... Assim, isso permite que, por um lado, resolva alguns problemas através do "ao vivo" comunicação (por exemplo, para participar de comícios) e, por outro lado - esteja sempre online, fique a par e resolva rapidamente algumas tarefas urgentes de alta prioridade. É muito conveniente e, de fato, melhora a qualidade das comunicações.

Isso é alcançado pelo design correto da rede WiFi.

Observação

Isso geralmente levanta a questão: basta usar apenas o WiFi? Isso significa que você pode se recusar a usar portas Ethernet no escritório? Se falamos apenas de usuários, e não de servidores que, no entanto, são sábios para se conectar a uma porta Ethernet comum, em geral a resposta é: sim, você pode limitar-se a apenas WiFi. Mas existem nuances.

Existem grupos de usuários importantes que exigem uma abordagem separada. Esses são, é claro, administradores. Em princípio, uma conexão WiFi é menos confiável (em termos de perda de tráfego) e menos rápida que uma porta Ethernet comum. Isso pode ser significativo para os administradores. Além disso, os administradores de rede, por exemplo, podem basicamente ter sua própria rede Ethernet dedicada para conexões fora de banda.

Pode haver outros grupos / departamentos em sua empresa para os quais esses fatores também são importantes.

Há outro ponto importante - telefonia. Talvez por algum motivo você não queira usar o VoIP sem fio e queira usar telefones IP com uma conexão Ethernet normal.

Em geral, nas empresas em que trabalhei, geralmente havia a possibilidade de uma conexão WiFi e uma porta Ethernet.

Desejo que a mobilidade não se limite apenas ao escritório.

Para garantir a capacidade de trabalhar em casa (ou em qualquer outro local com Internet acessível), é usada uma conexão VPN. Ao mesmo tempo, é desejável que os funcionários não sintam a diferença entre o trabalho em casa e o trabalho remoto, o que implica a presença dos mesmos acessos. Discutiremos como organizar isso um pouco mais adiante no capítulo “Sistema de autenticação e autorização centralizada unificada”.

Observação

Provavelmente, você não poderá fornecer totalmente a mesma qualidade de serviços para o trabalho remoto que possui no escritório. Vamos supor que você esteja usando um Cisco ASA 5520 como um gateway VPN. De acordo com a folha de dados, este dispositivo pode "digerir" apenas o tráfego VPN de 225 Mbps. Naturalmente, em termos de largura de banda, uma conexão VPN é muito diferente de trabalhar em um escritório. Além disso, se, por algum motivo, o atraso, a perda, a instabilidade (por exemplo, você desejar usar a telefonia IP do escritório) para os serviços de rede forem significativos, você também não terá a mesma qualidade como se estivesse no escritório. Portanto, ao falar sobre mobilidade, devemos ter em mente as possíveis limitações.

Acesso fácil a todos os recursos da empresa

Esta tarefa deve ser resolvida em conjunto com outros departamentos técnicos.
A situação ideal é quando o usuário precisa se autenticar apenas uma vez e depois obtém acesso a todos os recursos necessários.
Oferecer acesso fácil sem comprometer a segurança pode aumentar significativamente a eficiência do trabalho e reduzir o nível de estresse de seus colegas.

Observação 1

A facilidade de acesso não é apenas quantas vezes você precisa digitar uma senha. Se, por exemplo, de acordo com sua política de segurança, para conectar-se do escritório ao datacenter, você deve primeiro conectar-se ao gateway VPN e, ao mesmo tempo, perder o acesso aos recursos do escritório, isso também é muito, muito inconveniente.

Observação 2

Existem serviços (por exemplo, acesso a equipamentos de rede) em que geralmente temos nossos próprios servidores AAA dedicados e essa é a norma quando, nesse caso, você precisa se autenticar várias vezes.

Disponibilidade de recursos da Internet

A Internet não é apenas entretenimento, mas também um conjunto de serviços que podem ser muito úteis para o trabalho. Existem também fatores puramente psicológicos. Uma pessoa moderna através da Internet através de muitos threads virtuais conectados a outras pessoas e, na minha opinião, não há nada de errado se ele continuar sentindo essa conexão, mesmo enquanto trabalha.

Do ponto de vista da perda de tempo, não há com o que se preocupar se um funcionário, por exemplo, tiver skype em execução, e ele passará 5 minutos conversando com um ente querido, se necessário.

Isso significa que a Internet deve estar sempre disponível? Isso significa que os funcionários podem abrir o acesso a todos os recursos e não ter controle sobre eles?

Não, claro que não. O nível de abertura da Internet pode ser diferente para diferentes empresas - do fechamento completo à abertura total. Discutiremos maneiras de controlar o tráfego posteriormente nas seções sobre recursos de segurança.

A capacidade de usar toda a gama de dispositivos familiares

É conveniente quando, por exemplo, você tem a oportunidade de continuar usando todos os seus meios habituais de comunicação no trabalho. Não há dificuldade em implementar isso tecnicamente. Para fazer isso, você precisa de WiFi e um convidado vilan.

Também é bom se você pode usar o sistema operacional ao qual está acostumado. Mas, na minha observação, geralmente, isso é permitido apenas para gerentes, administradores e desenvolvedores.

Exemplo

Você pode, é claro, seguir o caminho das proibições, proibir o acesso remoto, proibir a conexão de dispositivos móveis, restringir todas as conexões Ethernet estáticas, restringir o acesso à Internet, sem deixar de remover telefones celulares e gadgets no ponto de verificação ... e, dessa forma, algumas organizações com aumento requisitos de segurança e talvez em alguns casos isso possa ser justificado, mas ... concorda que parece uma tentativa de interromper o progresso em uma única organização. Obviamente, eu gostaria de combinar as oportunidades que as tecnologias modernas oferecem com um nível adequado de segurança.

Rede "Trabalho rápido"

A taxa de transferência de dados tecnicamente consiste em muitos fatores. E a velocidade da sua porta de conexão geralmente não é a mais importante delas. Nem sempre a operação lenta do aplicativo está conectada a problemas de rede, mas agora estamos interessados ​​apenas na parte da rede. O problema mais comum de "diminuir a velocidade" de uma rede local está relacionado à perda de pacotes. Isso geralmente ocorre com um efeito gargalo ou com problemas de L1 (OSI). Com menos frequência, em alguns projetos (por exemplo, quando um firewall atua como o gateway padrão em suas sub-redes e, portanto, todo o tráfego passa por ele), o desempenho do hardware pode estar faltando.

Portanto, ao escolher o equipamento e a arquitetura, você precisa correlacionar as velocidades das portas finais, troncos e o desempenho do equipamento.

Exemplo

Suponha que você use comutadores com portas de 1 gigabit como comutadores de nível de acesso. Eles são interconectados através de um Etherchannel 2 x 10 gigabits. Como gateway padrão, você usa um firewall com portas de gigabit para conectar à rede L2 do escritório que você usa 2 portas de gigabit combinadas em um Etherchannel.

Essa arquitetura é bastante conveniente em termos de funcionalidade, porque todo o tráfego passa pelo firewall e você pode gerenciar confortavelmente políticas de acesso e aplicar algoritmos complexos para controlar o tráfego e impedir possíveis ataques (veja abaixo), mas do ponto de vista da largura de banda e desempenho, esse projeto, é claro, tem problemas em potencial. Assim, por exemplo, 2 hosts que fazem o download de dados (com uma velocidade de porta de 1 gigabit) podem carregar totalmente uma conexão de 2 gigabit no firewall e, portanto, levar à degradação do serviço para todo o segmento de escritórios.

Examinamos um vértice do triângulo, agora vamos ver como podemos fornecer segurança.

Meios de proteção

Portanto, é claro, geralmente, nosso desejo (ou melhor, o desejo de nossa liderança) é alcançar o impossível, ou seja, proporcionar o máximo de comodidade, segurança e preço mínimos.

Vejamos quais métodos temos para fornecer proteção.

Para o escritório, eu destacaria o seguinte:

• abordagem de design de confiança zero
• alto nível de proteção
• visibilidade da rede
• sistema centralizado de autenticação e autorização
• verificação de host

A seguir, abordamos mais detalhadamente cada um desses aspectos.

Zero confiança

O mundo da TI está mudando muito rápido. Literalmente nos últimos 10 anos, o advento de novas tecnologias e produtos levou a uma grande revisão dos conceitos de segurança. Há dez anos, do ponto de vista da segurança, segmentamos a rede em zonas de confiança, dmz e não confiança, e a chamada “defesa de perímetro” foi aplicada, onde havia duas linhas de defesa: desconfiança -> dmz e dmz -> confiança. Além disso, a proteção geralmente era limitada a listas de acesso baseadas em cabeçalhos L3 / L4 (OSI) (portas IP, TCP / UDP, sinalizadores TCP). Tudo relacionado a níveis mais altos, incluindo L7, foi deixado para o SO e os produtos de proteção instalados nos hosts finais.

Agora a situação mudou dramaticamente. O conceito moderno de confiança zero procede do fato de que não é mais possível considerar os sistemas internos, isto é, os sistemas dentro do perímetro confiáveis, e o próprio conceito de perímetro ficou obscuro.
Além da conexão com a internet, também temos

• usuários VPN de acesso remoto
• vários gadgets pessoais trazidos por laptops conectados via WiFi do escritório
• outros escritórios (filiais)
• integração com infraestrutura em nuvem

Como é a abordagem da Zero Trust na prática?

Idealmente, apenas o tráfego necessário deve ser permitido e, se estamos falando do ideal, o controle deve estar não apenas no nível L3 / L4, mas no nível do aplicativo.

Se, por exemplo, você tiver a oportunidade de passar todo o tráfego pelo firewall, poderá tentar se aproximar do ideal. Mas essa abordagem pode reduzir significativamente a largura de banda total da sua rede e, além disso, a filtragem por aplicativo nem sempre funciona bem.

Ao monitorar o tráfego em um roteador ou switch L3 (usando ACLs padrão), você encontra outros problemas:

• isso é apenas filtragem L3 / L4. Nada impede que um invasor use portas permitidas (por exemplo, TCP 80) para seu aplicativo (não http)
• gerenciamento complexo de ACL (ACLs difíceis de analisar)
• esse não é um firewall completo, ou seja, você precisa permitir explicitamente o tráfego reverso
• no caso de comutadores, você geralmente é bastante limitado pelo tamanho do TCAM, que se você usar a abordagem "permitir apenas o que você precisa" pode rapidamente se tornar um problema

Observação

Falando em tráfego reverso, devemos lembrar que temos a próxima oportunidade (Cisco)

permitir tcp qualquer qualquer estabelecido

Mas você deve entender que essa linha é equivalente a duas linhas:
permitir tcp qualquer ack
permitir tcp qualquer qualquer primeiro

O que significa que, mesmo que não houvesse um segmento TCP original com um sinalizador SYN (ou seja, a sessão TCP nem começou a ser estabelecida), essa ACL ignorará o pacote com o sinalizador ACK, que o invasor poderá usar para transmitir dados.

Ou seja, essa linha não transforma seu roteador ou switch L3 em um firewall completo do estado.

Alto nível de proteção

No artigo da seção dedicada aos data centers, consideramos os seguintes métodos de proteção.

• firewall com estado (padrão)
• proteção ddos ​​/ dos
• firewall de aplicativos
• prevenção de ameaças (antivírus, anti-spyware e vulnerabilidade)
• Filtragem de URL
• filtragem de dados (filtragem de conteúdo)
• bloqueio de arquivo (bloqueio de tipos de arquivo)

No caso do escritório, a situação é semelhante, mas as prioridades são ligeiramente diferentes. A acessibilidade do escritório (disponibilidade) geralmente não é tão crítica quanto no caso de um datacenter, enquanto a probabilidade de tráfego malicioso "interno" é uma ordem de magnitude maior.
Portanto, os seguintes métodos de proteção para esse segmento se tornam críticos:

• firewall de aplicativos
• prevenção de ameaças (antivírus, anti-spyware e vulnerabilidade)
• Filtragem de URL
• filtragem de dados (filtragem de conteúdo)
• bloqueio de arquivo (bloqueio de tipos de arquivo)

Embora todos esses métodos de proteção, com exceção do firewall do aplicativo, tenham sido tradicionalmente resolvidos e continuem sendo resolvidos nos hosts finais (por exemplo, instalando programas antivírus) e usando proxies, os NGFWs modernos também fornecem esses serviços.

Os fornecedores de equipamentos de segurança se esforçam para criar proteção abrangente; portanto, juntamente com a proteção na caixa local, são oferecidas várias tecnologias em nuvem e software cliente para hosts (proteção de ponto final / EPP). Por exemplo, no Quadrante Mágico da Gartner para 2018, vemos que Palo Alto e Cisco têm seus próprios EPPs (PA: Traps, Cisco: AMP), mas estão longe dos líderes.

A inclusão dessas proteções (geralmente através da compra de licenças) no firewall, é claro, não é obrigatória (você pode seguir o caminho tradicional), mas oferece algumas vantagens:

• nesse caso, um único ponto de aplicação dos métodos de proteção é exibido, o que melhora a visibilidade (consulte o próximo tópico).
• se a sua rede tiver um dispositivo desprotegido, ele ainda estará no "guarda-chuva" da proteção por firewall
• Usando a proteção no firewall e a proteção nos hosts finais, aumentamos a probabilidade de detectar tráfego malicioso. Por exemplo, o uso de prevenção de ameaças em hosts locais e em um firewall aumenta a probabilidade de detecção (desde que essas soluções sejam baseadas em diferentes produtos de software)

Informações

Se, por exemplo, você usar o Kaspersky como um antivírus nos hosts firewall e final, é claro que isso não aumentará muito suas chances de impedir um ataque de vírus na sua rede.

Visibilidade da rede

A idéia básica é simples - "ver" o que está acontecendo na sua rede, tanto em tempo real quanto em dados históricos.

Eu dividiria essa “visão” em dois grupos:

Grupo Um: o que o seu sistema de monitoramento normalmente fornece.

• carregamento de equipamentos
• canais de carregamento
• uso de memória
• uso de disco
• alterando a tabela de roteamento
• estado do link
• disponibilidade de equipamentos (ou hosts)
• ...

Grupo Dois: Informações Relacionadas à Segurança.

• vários tipos de estatísticas (por exemplo, por aplicativo, por URL de tráfego, que tipos de dados foram baixados, dados por usuários)
• o que foi bloqueado pelas políticas de segurança e por que motivo, ou seja,
  
  • aplicação proibida
  • proibido com base em ip / protocolo / porta / sinalizadores / zonas
  • prevenção de ameaças
  • filtragem de URL
  • filtragem de dados
  • bloqueio de arquivo
  • ...
• estatísticas sobre ataques DOS / DDOS
• falha na tentativa de autenticação e autorização
• estatísticas sobre todas as violações da política de segurança acima
• ...

Neste capítulo sobre segurança, estamos interessados ​​precisamente na segunda parte.

Alguns firewalls modernos (da minha prática em Palo Alto) fornecem um bom nível de visibilidade. Mas, é claro, o tráfego que lhe interessa deve passar por esse firewall (nesse caso, você pode bloquear o tráfego) ou ser espelhado para o firewall (usado apenas para monitoramento e análise), e você deve ter licenças para habilitar todos esses serviços .

Há, é claro, um caminho alternativo, mas tradicional, por exemplo,

• as estatísticas das sessões podem ser coletadas através do netflow e, em seguida, usar utilitários especiais para analisar informações e visualizar dados
• prevenção de ameaças - programas especiais (antivírus, anti-spyware, firewall) nos hosts finais
• Filtragem de URL, filtragem de dados, bloqueio de arquivos - no proxy
• você também pode analisar o tcpdump com, por exemplo, o snort

Você pode combinar essas duas abordagens, complementando os recursos ausentes ou duplicando-os para aumentar a probabilidade de detecção de ataques.

Qual abordagem escolher?
Depende das qualificações e preferências da sua equipe.
Lá e há prós e contras.

Sistema unificado de autenticação e autorização central

Com um bom design, a mobilidade que discutimos neste artigo pressupõe que você tenha o mesmo acesso ao trabalhar no escritório ou em casa, no aeroporto, em um café ou em qualquer outro ponto (com as limitações que discutimos acima). Parece, qual é o problema?
Para entender melhor a complexidade dessa tarefa, vejamos um design típico.

Exemplo

• Você dividiu todos os funcionários em grupos. Você decidiu fornecer acesso ao grupo
• Dentro do escritório, você controla o acesso ao firewall do escritório
• Você controla o tráfego do escritório para o datacenter no firewall do datacenter
• Como um gateway VPN, você usa o Cisco ASA e, para controlar o tráfego que entra na sua rede a partir dos clientes alocados, usa ACLs locais (no ASA)

, , . .

,

• ASA IP
• ACL ASA
• security policy -

, . , , , 1 -2 , . , - .

.

, , LDAP. , .

, , ,

• guest ( )
• common access ( : , , …)
• accounting
• project 1
• project 2
• data base administrator
• linux administrator
• ...

- , 1, 2, , :

• guest
• common access
• project 1
• project 2

?

Cisco ASA Dynamic Access Policy (DAP) (. www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html ) .

, / ASA LDAP , «» ACL ( ) ACL , .

VPN . , VPN, .

, 802.1x ( ), ( ). , (, -) VPN.

ASA. , ( , , , , dns, ...) ASA, . , ASA , .

, .

• , ,
• , ASA

?
. , .
, , LDAP, .

(host checking)

Se uma conexão remota for possível, corremos o risco de permitir não apenas um funcionário da empresa, mas também todo software malicioso que provavelmente esteja presente em seu computador (por exemplo, em casa) à rede e, além disso, por meio desse software, podemos abrir acesso a nossa rede para um invasor que usa esse host como proxy.

Faz sentido que um host remoto aplique os mesmos requisitos de segurança que aplica a um host de escritório.

Isso também inclui a versão “correta” do software e atualizações de SO, antivírus, anti-spyware e firewall. Geralmente, este recurso existe no gateway VPN (para o ASA, veja, por exemplo, aqui ).

Também é razoável aplicar os mesmos métodos de análise e bloqueio de tráfego (consulte "Alto nível de proteção") que, de acordo com sua política de segurança, se aplicam ao tráfego do escritório.

É razoável supor que sua rede de escritórios agora não se limita ao edifício de escritórios e aos hosts localizados nela.

Exemplo

Uma boa recepção é equipar todos os funcionários que precisam de acesso remoto com um laptop bom e conveniente, e exigem trabalhar no escritório e em casa apenas com ele.

Isso não apenas aumenta o nível de segurança da sua rede, mas também é realmente conveniente e geralmente percebido positivamente pelos funcionários (se for um laptop realmente bom e conveniente).

Sobre um senso de proporção e equilíbrio

Em princípio, esta é uma conversa sobre o terceiro pico do nosso triângulo - sobre preço.
Vejamos um exemplo hipotético.

200 . .

. security , (anti-virus, anti-spyware, and firewall software), .

( ) 10- , — NGFW , , Palo Alto 7K (c 40 ), , , High Availability .

, , security .

, .

, 10 , ( ) .

, 200 …
? , .

…
, - , . — , , , .

Este exemplo é exagerado? O próximo capítulo responderá a essa pergunta.

Se na sua rede, você não vê algo do considerado neste artigo, então esta é a norma.
Para cada caso específico, você precisa encontrar um compromisso razoável entre conveniência, preço e segurança. Muitas vezes, você nem precisa do NGFW em seu escritório, a proteção L7 em um firewall não é necessária. Basta fornecer um bom nível de visibilidade e alertas, e isso pode ser feito usando produtos de código aberto, por exemplo. Sim, sua reação ao ataque não será instantânea, mas o principal é que você o verá e, se você tiver os processos corretos em seu departamento, poderá neutralizá-lo rapidamente.

E lembro que, de acordo com o plano da série desses artigos, você não está envolvido no design de redes, está apenas tentando melhorar o que obteve.

Análise segura da arquitetura do Office

Preste atenção a esse quadrado vermelho com o qual alocei um lugar no diagrama do Guia de arquitetura do campus seguro da SAFE , que eu gostaria de discutir aqui.



Este é um dos principais locais da arquitetura e uma das incertezas mais importantes.

Nota:

Eu nunca configurei e não trabalhei com o FirePower (da linha de firewall da Cisco - apenas com o ASA), por isso vou considerá-lo como qualquer outro firewall, por exemplo, como o Juniper SRX ou o Palo Alto, assumindo que ele possui os mesmos recursos .

Nas construções usuais, vejo apenas 4 opções possíveis para usar o firewall com esta conexão:

• , transparent ( , L3 )
• - ( SVI ), L2
• VRF, VRF , VRF ACL
• ,

1

, .

2

PBR ( service chain), , , , .

A partir da descrição dos fluxos no documento, vemos que todo o mesmo tráfego passa pelo firewall, ou seja, de acordo com o design da Cisco, a quarta opção desaparece.

Vejamos as duas primeiras opções primeiro.
Com essas opções, todo o tráfego passa pelo firewall.

Agora, observamos a folha de dados , observamos a Cisco GPL e vemos que, se queremos que a largura de banda total de nosso escritório esteja pelo menos na região de 10 a 20 gigabits, devemos comprar a versão 4K.

Nota

Quando falo sobre a largura de banda total, quero dizer tráfego entre sub-redes (e não dentro do mesmo vilan).

Pela GPL, vemos que, para o Pacote HA com defesa contra ameaças, o preço dependendo do modelo (4110 - 4150) varia de ~ 0,5 a 2,5 milhões de dólares.

Ou seja, nosso design começa a se parecer com o exemplo anterior.

Isso significa que esse design está errado?
Não, não é. A Cisco fornece a melhor proteção possível com base na linha de produtos que possui. Mas isso não significa que é um "mast-do" para você.

Em princípio, essa é uma pergunta comum que surge no design de um escritório ou data center, e isso significa apenas que um compromisso deve ser buscado.

Por exemplo, eu não permito que todo o tráfego passe pelo firewall e, neste caso, a terceira opção me parece muito agradável ou (consulte a seção anterior), talvez você não precise da Defesa contra ameaças ou não precise de nenhum firewall neste segmento de rede, e tudo o que você precisa fazer é monitorar passivamente usando soluções pagas (não caras) ou de código aberto, ou você precisa de um firewall, mas de outro fornecedor.

Geralmente, há sempre essa incerteza e não há uma resposta única sobre qual solução é melhor para você.
Essa é a complexidade e a beleza dessa tarefa.