我刚刚看到一个技术提案,在纽约设立一个控制室和服务器,在新加坡设立另一个控制室和服务器机房。网络中(新加坡服务器机房)将有 2 个 Cisco ASA 5500-X 系列防火墙,并设有 DMZ。我不是网络专家,我无法理解在同一个网络中安装 2 个防火墙的想法。对此有什么想法吗?
另外,我看到过一个提议,其中网络有 1x Cisco 5500-X 系列防火墙,并且在同一网络中还有软件订阅防火墙。这是如何工作的?
而我遇到的大多数网络只有 1x Cisco 防火墙。
如果我能更多地了解上面提到的设置我将非常感激。
答案1
高可用性(最有可能的)
通常建议成对使用 Cisco ASA 来实现主动/备用模式的 HA(高可用性)。这是因为它们在网络中通常至关重要。
选择单一防火墙通常是基于财务、设计和风险方面的考虑。
我同意@BrandonXavier 的观点,这在升级期间增加了一层额外的保护。如果 ASA 本身发生故障或上游或下游设备发生故障,它还可以增加一层保护。
主动/主动配置不太常见,因为有额外的设计和配置要求来缓解不对称流量。
除非报价中包含集群许可证,否则 ASA 不太可能聚合成集群。集群需要满足很高的先决条件,难以操作且效率不高。
这两个防火墙也可能有不同的用途,比如一个用于终止 Internet,而另一个用于终止 VPN 连接,但如果不了解更多设计细节,就不可能知道。