答案1
我这里是企业系统管理员/架构师。我绝不会设计这种规模的网络,只使用专用设备来完成每项核心任务:路由、交换、防火墙、负载平衡。不这样做只是不好的做法。现在,有像 VMware 的 NSX 这样的新兴产品试图将这种基础设施虚拟化为商品硬件(通常更少),这很好。甚至很有趣。但即便如此,每个虚拟设备都有其工作。
我将谈谈将它们分开的主要原因:
- 正如@Massimo 所说,您根本无法从组合设备中获得功能;它们将失去正确优化您的设计所需的功能。
- 这样就为每个单元提供了更小的攻击面:如果边缘路由器中存在某些严重漏洞,您是否希望该漏洞成为攻击者用来访问防火墙的漏洞?
- 它简化了管理。人们很容易认为组合会使管理更容易,但这通常不是真的。如果我有一个 NetSec 团队管理防火墙策略,一个基础设施团队处理路由怎么办?现在我必须在组合设备上正确设置细粒度的 ACL,以确保它们各自都能获得所需的东西,而不会得到其他东西。此外,组合设备的接口往往规划得不太完善,尤其是对于大型部署(我正在关注你,SonicWALL)。
- 基础设施布局需要灵活。对于组合设备,我几乎只能使用静态布局:对于我部署的每一个设备,我都有一个路由器和一个防火墙,但也许我真正想要的只是防火墙。当然,我可以关闭路由功能,但这会引出上面关于简单管理的观点。此外,我看到很多设计都试图对所有设备进行负载平衡,但实际上,最好在区域中单独进行负载平衡,因为有些东西应该通过,有时在不需要它们的连接点引入一些组件会损害冗余或弹性。还有其他例子,但负载平衡器很容易被挑出来。
- 组合设备更容易超载。考虑网络设备时,您必须考虑背板:组合路由器/防火墙/负载平衡器能否处理其承受的吞吐量?专用设备通常会表现更好。
希望这能有所帮助。祝你的网络好运。如果你还有其他问题,请发帖(与此帖分开),我会尽力解答。当然,有很多聪明的人可以回答得一样好,甚至更好。再见!
答案2
虽然路由器和防火墙有很多重叠,但它们的用途完全不同;因此,路由器通常不擅长防火墙,而防火墙通常不能做比将数据包从一个接口移动到另一个接口更多的路由;这是为这两个角色使用不同设备的主要原因。
另一个原因是防火墙通常只有以太网接口,依靠适当的路由器连接到不同的介质,如光纤或 DSL;您的 ISP 的连接很可能在这样的介质上提供,因此无论如何都需要路由器来终止它们。
您说路由和防火墙都需要故障转移。高端路由器可以在多个设备和多个 ISP 连接之间提供负载平衡和故障转移;而防火墙虽然具有基本的路由功能,但它们通常不执行这种高端路由功能。对于充当防火墙的路由器来说,情况正好相反:与真正的高端防火墙相比,它们通常非常有限。