在设计校园网络时,你将如何分布防火墙
我设计了一个有 2 个校区的大学网络。他们使用专线连接两个校区。互联网边缘和每个 WAN 边缘都各有一个防火墙。每个网络边缘都有冗余交换机,因此也有冗余防火墙。有几座防火墙保护着我们的敏感数据。最令人怀疑的是,每栋建筑都有防火墙。
我觉得这可能有点过分。每栋建筑都安装防火墙是否重要,因为有人可能会从建筑内部访问网络?
据我了解,每栋楼的防火墙不会阻止某人干扰同一栋楼内的另一台计算机。但它却可以阻止他们向我们的网络核心发送虚假流量。
我认为在互联网边缘或敏感数据上安装防火墙的必要性没有任何争议,但是否需要在每栋建筑物和广域网边缘安装防火墙?
答案1
防火墙的放置与网络拓扑关系不大,而与可保护资产的位置和风险载体关系更大。正如你所说,你的问题中没有足够的内容来推荐放置方式。
无论如何,我们需要了解并规划的风险因素包括:
- 互联网连接
- WLAN;您确实说过大学,所以这将是 J. Random Student 在您的网络上使用他们自己的设备的地方。
- 可公开访问的有线网络插孔(计算机实验室、图书馆、也可能是教室)
- 宿舍网络
您需要为互联网、宿舍和 WLAN 连接设置强大的防御措施。WLAN 将会存在问题,因为学生可能需要增强对大学资源的访问,而这些资源原本不会暴露在互联网上。宿舍连接实际上可能与大学的正常互联网连接完全分开,但可能会有一个交叉连接(或基于子网的直通),以便学生获取类似于 WLAN 网络的大学资源。可以通过基于端口的访问控制锁定对特定 MAC 地址的访问来防御网络插孔的重复使用,无需防火墙。
此外,您还需要了解哪些可保护资产需要隔离,以防止日常访问。这些您已经知道了,但是...
- 中央 ERP 系统
- 涉及支付基础设施的一切(PCI-DSS 内容)
- 核心行政服务
它们足够大,很可能位于自己的安全区内。
在哪里需要防火墙?这取决于很多因素。使用简单的路由器配置就可以做很多事情(如果建筑物之间无法互相访问,则无需将它们彼此隔离)。根据整体风险状况(而不仅仅是网络拓扑图)明智地进行操作。