freakms
Goto Top

Routing über Firewall oder Core-Switche?

Liebe Netzwerker,

ich habe mal eine Allgemeine Frage. Und zwar, was macht mehr Sinn, das Rounting über die Firewall abzudecken oder über die Core-switche laufen zu lassen?

Was davon hat welche Vorteile und welche Nachteile?

Als Anhaltspunkt: Firewall Hochverfügbar ASG525


Core-Switche: Brocade FastIron SX 1600

Aktuell bilden wir das Routing über die Firewall ab, früher war es der "Backbone". Jetzt sind sich gewisse Leute unschlüssig und ich suche nach vorteilen und Nachteilen.

Vielen Dank!

Content-ID: 221283

Url: https://administrator.de/contentid/221283

Ausgedruckt am: 05.11.2024 um 06:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 06.11.2013 aktualisiert um 15:34:23 Uhr
Goto Top
Moin,

Ist doch recht einfach:

Muß der traffic gefiltert werden?

wenn ja -> Firewall
wenn nein -> core-switch

Grund: Der cCore-switch ist i.d.R. beim Routen schneller, die Firewall beim Filtern besser.

lks
MrNetman
Lösung MrNetman 06.11.2013, aktualisiert am 16.03.2015 um 10:05:16 Uhr
Goto Top
Wenn du nur Regeln fürs Routing einsetzt, kann der Core das Locker machen. Also wer von wo nach wohin darf. Die Firewall kann sich dann auch Internetzugung und DMZ kümmern und ensprechend restriktiver arbeiten.

GRuß
Netman
Lochkartenstanzer
Lochkartenstanzer 06.11.2013 aktualisiert um 16:09:52 Uhr
Goto Top
Zitat von @MrNetman:
Wenn du nur Regeln fürs Routing einsetzt, kann der Core das Locker machen. Also wer von wo nach wohin darf.

Kommt natürlich auf die Komplexität der regeln an. Wenn die nur auf layer 3 oder 4 greifen, kann der Coreswitch das i.d.R. schneller als eine FW, aber ich bin mal davon ausgegangen, daß auch auf Applikationsebene gefiltert wird.

lks
freakms
freakms 07.11.2013 um 10:48:24 Uhr
Goto Top
Also wir haben mehrere Netze im Einsatz und Regeln aktuell über die Firewall den Zugriff auch auf Client Ebene. Meint, dass man auch mal einzelne Rechner berechtigen muss bestimmte Ausnahmen zu nutzen. Ich könnte mir vorstellen das das über den Core ein µ unübersichtlich und hardcore administration werden könnte.

Wäre ne alternative eine Zweistufige Firewall einzuführen, wenn diese das Routing behalten soll?

Wir sprechen hier btw. von ca. 40 VLAN's, 700 Pc's, 300 Thin Clients und nochmal etwa 300 Netzwerkdruckern.