下文文章涵盖了Cato Socket用于WAN连接性和防火墙服务时的情况。 在这种情况下,安全是部署的主要目标。 这篇文章对于Cato Networks主要用于WAN/全球连接性的情况不太相关。
直到最近,拥有内部L3交换机管理所有内部VLAN的拓扑相当普遍。 主干交换机会为每个VLAN配置L3接口,作为默认网关。 路由在交换机内部完成,即VLAN之间的流量会保持在交换机内。 只有到互联网或WAN的流量会传输到防火墙。 请参见下例:
在上述拓扑中,内部VLAN之间的路由在L3主干交换机上实现。 只有互联网流量会传输到防火墙进行L4检查。 由于以下原因,在内部VLAN之间很少使用ACL(访问控制列表):
-
难于管理—ACL必须使用CLI创建,非常繁琐。
-
查看被阻止的流量—流量日志主要可以通过CLI命令查看,而不是如今的防火墙那样有清晰的GUI。
-
启用L3 ACL会消耗交换机的中央处理器使用率。
-
建立一个没有企业访问权限的隔离VLAN非常复杂。
最终,大多数网络在内部VLAN之间有无限制的路由和访问。 在其中一个VLAN中爆发的病毒很难(几乎不可能)被控制。
随着网络攻击的不断增加和恶意软件的泛滥,网络设计开始转向使用安全设备防火墙进行L3路由。 与上述拓扑类似,但有一个主要区别—所有交换机充当L2设备,而防火墙设备将在内部VLAN之间执行L3路由。 请参见下例:
在上述拓扑中,Firewall充当Router-on-a-stick。 VLAN 10 PC和VLAN 20 PC之间的流量会通过Firewall。
这种方法自然提供了更多的控制和安全性。 非常容易将受感染的VLAN从网络中隔离出来。 仅具有互联网访问权限的VLAN(例如访客网络)设置也很简单。
Cato Socket主要支持两种配置:
-
VLAN - 类似于防火墙上的L3路由,Socket为每个VLAN提供L3接口,并充当默认网关。
-
路由范围 - 静态路由。 用于第一种拓扑,其中Socket通过L3交换机路由到内部VLAN。
虽然Cato支持这两种网络设计,但新的设计中最佳实践是VLAN。 只要没有限制或特殊要求,配置Socket的最佳方式是类似于防火墙拓扑的L3。 请参见下例:
-
管理 - Socket可以充当每个VLAN的默认网关+为每个VLAN提供DHCP范围。 所有的管理都通过Cato管理应用程序。
-
控制 - 如果某个VLAN爆发病毒,该VLAN可以立即和轻松地通过WAN防火墙规则或甚至删除该VLAN的默认网关进行隔离。
-
安全性 - 当需要创建完全隔离的VLAN(如访客的Wifi)时,Socket可以轻松阻止该网络的WAN/企业访问,仅允许互联网访问。
-
请注意,设计上所有的WAN流量都要发送到PoP。 这包括站点到站点流量和VLAN之间的流量。 这意味着,同一办公室的VLAN之间的流量默认情况下不会在Socket中路由。 这一点将在下一部分中讨论。
-
在内部VLAN之间创建和管理安全规则 - 实际上,拥有数百条允许VLAN之间流量的独特规则不是最重要的。 更重要的是拥有立即隔离受感染VLAN的能力。 有效的安全防御将由Cato的高级安全服务如反恶意软件和IPS提供。 反恶意软件和IPS将为内部和外部流量提供真实的L7检测。
-
性能 - 在将VLAN间路由转移到安全设备时,最先冒出来的担忧是带宽能力。 传统的L3交换机缺乏安全性,但显然具有高性能。 为了解决这一点,我们想提供一些事实:
-
除数据中心外,普通办公室只有少量VLAN,如用户、打印机和访客的Wifi。 事实上,没有理由允许这些VLAN之间的流量。 它们主要需要访问数据中心的企业资源,甚至只需访问诸如Office 365、Skype和销售云的云服务。
-
小流量如用户到打印机,可通过PoP传输再返回Socket,效果良好。 用户不会注意到打印任务有额外20毫秒的延迟,但IT管理员将获得更好的安全性和控制。
-
如果仍然需要1Gbps的高速路由,Cato Socket支持本地路由功能。 本地路由允许在Socket中进行路由,即VLAN对之间的流量将留在Socket中。 不过,这种配置会绕过Cato的L7安全服务(反恶意软件和IPS)。 然而,如果有任何受感染工作站,一旦与外部C&C或恶意代理通信,将会被检测到并发出警报。
-
0 条评论
请登录写评论。