আমি আমাদের নেটওয়ার্ককে ওভার-হোলিংয়ের প্রক্রিয়াতে চলেছি, আমি যে বিষয়টি আবার ফিরে আসছি তা হ'ল: কেন্দ্রীভূত ফায়ারওয়াল থাকা অবস্থায় 3 স্তরটিকে মূল দিকে আনার চেষ্টা করা হচ্ছে।

আমার এখানে যে প্রধান সমস্যাটি রয়েছে তা হ'ল আমি যে "মিনি কোর" স্যুইচ করে যাচ্ছি সবসময় কম ইন-হার্ডওয়্যার এসিএল সীমাবদ্ধতা থাকে যা আমাদের বর্তমান আকারেও আমরা দ্রুত আঘাত করতে পারি। আমি বর্তমানে (আশাবাদী) মূলটির জন্য একজোড়া EX4300-32Fs ক্রয় করতে চলেছি, তবে আমি অন্যান্য মডেলগুলি এবং জুনিপার এবং ব্রোকেডের আইসিএক্স রেঞ্জের অন্যান্য বিকল্পগুলি দেখেছি। তাদের সকলের সমান কম এসিএল সীমা রয়েছে বলে মনে হয়।

এটি সঠিক ধারণা দেয় কারণ মূল স্যুইচগুলি তারের গতির রাউটিং বজায় রাখতে সক্ষম হওয়া প্রয়োজন, সুতরাং এসিএল প্রসেসিংয়ের মাধ্যমে খুব বেশি ত্যাগ করতে চাই না। সুতরাং আমি আমার সমস্ত ফায়ারওয়ালিং কোর সুইচগুলিতে করতে পারি না।

তবে, আমরা বেশিরভাগ সম্পূর্ণরূপে পরিচালিত সার্ভারগুলি করি এবং একটি কেন্দ্রীভূত (রাষ্ট্রীয়) ফায়ারওয়াল সেই ব্যবস্থাপনায় অনেক সহায়তা করে - কারণ আমাদের গ্রাহকরা একে অপরের সাথে সরাসরি কথা বলতে পারেন না। আমরা পারলে এটি সেভাবেই রাখতে চাই তবে আমি মনে করি যদিও বেশিরভাগ আইএসপি নেটওয়ার্কগুলি এই ধরণের কাজটি করে না, তাই বেশিরভাগ ক্ষেত্রে কেন মূলদিকে রাউটিংটি করা সোজা-এগিয়ে হবে।

রেফারেন্সের জন্য, এখানে টপোলজিটি আমি আদর্শভাবে করতে চাই (তবে এফডাব্লু স্পষ্টভাবে কোথায় ফিট করতে হবে তা নিশ্চিত নয়)।

কুরেন্ট সলিউশন

এখনই, আমাদের কাছে একটি রাউটার-অন-স্টিক কনফিগারেশন রয়েছে। এটি আমাদের একসাথে NAT, স্টেটফুল ফায়ারওয়ালিং এবং ভিএলএএন রাউটিং করতে সক্ষম করে। খুব সহজ.

আমি আমাদের নেটওয়ার্কের "শীর্ষ" - সীমান্ত রাউটারগুলির সমস্ত উপায়ে L2 প্রসারিত করে প্রায় একই সমাধানটি চালিয়ে যেতে পারতাম। তবে তারপরে কোরটি আমাকে যে প্রস্তাব করতে পারে তারের গতির রাউটিংয়ের সমস্ত সুবিধা আমি হারিয়ে ফেলছি।

আইআইআরসি কোর স্যুইচগুলি 464 জিবিপিএস রাউটিং করতে পারে যখন আমার সীমান্ত রাউটারগুলি ভাগ্যবান হলে সম্ভবত 10 বা 20 জিবিপিএস সরবরাহ করতে সক্ষম হবে। এটি প্রযুক্তিগতভাবে এখনই কোনও সমস্যা নয়, তবে আরও বৃদ্ধিের বিষয়। আমি মনে করি যেন এখন আমরা মূল রাউটিং সক্ষমতা অর্জনের জন্য আর্কিটেকচারটি ডিজাইন করি না, যখন আমরা বড় হয়ে থাকি এবং সেই ক্ষমতাটি লাভ করার প্রয়োজন হয় তখন সবকিছু আবার করা কষ্টকর হয়ে উঠবে। আমি বরং ঠিক প্রথমবার এটি পেয়েছিলাম।

সম্ভাব্য সমাধান

স্তর 3 অ্যাক্সেস

আমি ভেবেছিলাম যে সম্ভবত আমি অ্যাক্সেস সুইচগুলিতে L3 প্রসারিত করতে পারি এবং ফায়ারওয়াল নিয়মগুলি ছোট ছোট ভাগে বিভক্ত করতে পারি যা অ্যাক্সেস স্যুইচ এসিএলগুলির হার্ডওয়্যার সীমাতে ফিট করে। কিন্তু:

আমি যতদূর জানি, এগুলি রাষ্ট্রীয় এসিএল হবে না
অ্যাক্সেসের জন্য এল 3, আমার কাছে অনেক বেশি জটিল বলে মনে হচ্ছে। অন্যান্য ক্যাবিনেটে সার্ভার মুভ বা ভিএম স্থানান্তর আরও বেদনাদায়ক হবে।
আমি যদি প্রতিটি রকের শীর্ষে ফায়ারওয়াল পরিচালনা করতে যাচ্ছি (এর মধ্যে কেবল ছয়), আমি সম্ভবত অটোমেশন চাই। সুতরাং সেই মুহুর্তে এটি হোস্ট স্তরে ফায়ারওয়ালগুলির পরিচালনা স্বয়ংক্রিয় করতে খুব একটা লাফিয়ে উঠবে না। এভাবে পুরো বিষয়টি এড়ানো হচ্ছে।

অ্যাক্সেস / কোরের মধ্যে প্রতিটি আপলিংকে ব্রিজযুক্ত / স্বচ্ছ ফায়ারওয়াল

এটিতে একাধিক ফায়ারওয়াল বাক্স জড়িত থাকতে হবে এবং প্রয়োজনীয় হার্ডওয়্যারটি উল্লেখযোগ্যভাবে বাড়াতে হবে। এবং বড় কোর রাউটারগুলি কেনার চেয়ে আরও ব্যয়বহুল হয়ে উঠতে পারে এমনকি প্লেইন পুরাতন লিনাক্স বাক্সগুলিকে ফায়ারওয়াল হিসাবে ব্যবহার করে।

জায়ান্ট কোর রাউটারগুলি

আমার প্রয়োজন মতো ফায়ারওয়ালিং করতে পারে এমন একটি বৃহত ডিভাইস কিনতে পারে এবং তার সাথে আরও অনেক বড় রাউটিং ক্ষমতা রয়েছে। তবে সত্যিকার অর্থে এর জন্য বাজেট নেই, এবং আমি যদি কোনও ডিভাইস এমন কিছু করার চেষ্টা করি যা এর জন্য ডিজাইন করা হয় না, তবে আমাকে সম্ভবত আরও অনেক উচ্চতর নকশায় যেতে হবে। আমি অন্যথায় চাই না।

সেন্ট্রালাইজড ফায়ারওয়াল নেই

যেহেতু আমি হুপসের মধ্য দিয়ে ঝাঁপিয়ে পড়েছি, সম্ভবত এটি চেষ্টা করার উপযুক্ত নয়। এটি সর্বদা একটি দুর্দান্ত জিনিস ছিল এবং কখনও কখনও "হার্ডওয়্যার" ফায়ারওয়াল চান এমন গ্রাহকদের জন্য বিক্রয় কেন্দ্র।

তবে দেখে মনে হচ্ছে আপনার "সম্পূর্ণ" নেটওয়ার্কের জন্য একটি কেন্দ্রীয় ফায়ারওয়াল থাকা অসম্ভব। আমি ভাবছি, তারপরে, উত্সর্গীকৃত সার্ভারগুলির সাথে গ্রাহকদের যখন কয়েকশো বা এমনকি হাজার হাজার হোস্ট রয়েছে তখন বৃহত্তর আইএসপিগুলি কীভাবে হার্ডওয়্যার ফায়ারওয়াল সমাধান সরবরাহ করতে পারে?

কেউ কি এই সমস্যা সমাধানের উপায় সম্পর্কে ভাবতে পারেন? হয় কিছু আমি পুরোপুরি মিস করেছি, বা উপরের ধারণাগুলির একটিতে কোনও তারতম্য?

আপডেট 2014-06-16:

@ রনের পরামর্শের ভিত্তিতে, আমি এই নিবন্ধটিতে হোঁচট খেয়েছি যা আমি যে সমস্যার মুখোমুখি হয়েছি তা বেশ ভালভাবে ব্যাখ্যা করে এবং সমস্যা সমাধানের একটি ভাল উপায় explains

অন্য পরামর্শ না থাকলে আমি বলব এটি এখন পণ্য প্রস্তাবের ধরণের সমস্যা, সুতরাং আমি মনে করি এটি এর শেষ।

http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/

routing firewall design

— Geekman
সূত্র

আপনি কি নেটওয়ার্কটিতে ভিআরএফ-লাইট বা এমপিএলএস ব্যবহার করছেন? কোর স্যুইচগুলি কী ব্র্যান্ড?

— ড্যানিয়েল ডিব

@ ড্যানিয়েলডিব এখনও ভিআরএফ বা এমপিএলএস ব্যবহার করছে না, তবে আমি এটি এই সাইট এবং অন্য একটি সাইটের মধ্যে স্থাপন করার পরিকল্পনা করছি। ব্র্যান্ডটি এখনও সুনির্দিষ্ট নয় (এখনও ক্রয়ের তালিকার সন্ধান করছেন) ... তবে এই মুহূর্তে বেশিরভাগ জুনিপার EX4300-32F বা ব্রোকেড আইসিএক্স 6610-48-PE

— গীকম্যান

আমি বন্ধ করে ভোট দিয়েছি; কারণটি হ'ল যে প্রশ্নটি আপনি জিজ্ঞাসা করছেন সেগুলি আপনার সমাধানের জন্য খুব নির্দিষ্ট বিশদ যেমন: কোন বিক্রেতা বা মডেলটি বেছে নেবেন এবং বাজেটের সীমাবদ্ধতা ইত্যাদির মধ্যে পড়ে তা কীভাবে আপনার গ্রাহকদের জন্য আপনার পণ্য সরবরাহের ক্ষেত্রে পরিবর্তন আনবে ... সমস্ত কিছুই এখানে উপযুক্ত নয় , সেগুলি ব্যবসায়ের সিদ্ধান্ত। আপনি প্রতিটি টপোলজির প্রো এবং কনসের কী জিজ্ঞাসা করতে পারেন, তবে আপনার পক্ষে ভাল কি তা কেউ আপনাকে বলতে পারে না।

— jwbensley

আপনার অবস্থা সম্পর্কে আমার দুই পেন্স হয়; আপনি কি ফায়ারওয়ালগুলি বিবেচনা করেছেন যা সিসকো এএসএ-এর মতো প্রসঙ্গকে সমর্থন করে, বা কেবল ভার্চুয়াল ফায়ারওয়াল এমনকি রয়েছে? কিছু ভিএম হোস্ট রয়েছে যা আপনি প্রতিটি গ্রাহকের জন্য দুটি ইন্টারফেসের সাথে ফায়ারওয়াল স্পিন করতে পারবেন, একটি যা আপনি গ্রাহক ভিএলএএনকে ডিফল্ট গেটওয়ে হিসাবে ফেলে রাখেন এবং একটি যা আপনি আপনার প্রান্তের রাউটারগুলির দিকে জনসাধারণের মুখোমুখি ভিএলএএন-তে ডুবে গেছেন। শুধু একটি চিন্তা (আমি ভার্চুয়াল ফায়ারওয়াল পছন্দ করি)।

— jwbensley

আমি ভার্চুয়ালাইজড ফায়ারওয়ালগুলি যেমন সিসকো এএসএ 1000 ভি বা ক্যাটবার্ড (ক্যাটবার্ড.কম) এর মতো গুরুত্ব সহকারে দেখব। এইভাবে, আপনি প্রতিটি ভিজারটিতে একটি ফায়ারওয়াল রাখতে পারেন। আপনার অ্যাক্সেসের তালিকাগুলি আপনার মূল রাউটার থেকে দূরে রাখুন।

— রন ট্রাঙ্ক

আমি দুটি পছন্দের মধ্যে একটি বেছে নেব:

পৃথক প্রতি ভাড়াটে ভার্চুয়াল ফায়ারওয়ালস

পেশাদাররা:

অনুভূমিকভাবে স্কেলেবল
স্পিন-আপ এবং স্পিন-ডাউন
তুলনামূলকভাবে ভবিষ্যতের টপোলজি / ডিজাইনের পরিবর্তনের প্রতিরোধক
সম্পূর্ণ গ্রাহক বিচ্ছেদ / বিচ্ছিন্নতা

কনস:

আপনি যদি কোনও মানক টেম্পলেট প্রয়োগ না করেন তবে আপনার এখন পরিচালনা করার জন্য স্বতন্ত্র ফায়ারওয়াল রয়েছে
আপনার কাছে এখন নিরীক্ষণের জন্য পৃথক পৃথক ফায়ারওয়াল রয়েছে
প্যাচ করার জন্য আপনার কাছে এখন পৃথক ফায়ারওয়াল রয়েছে have

ভাড়াটে প্রতি রাউটিং-ইনস্ট্যান্স / প্রসঙ্গ সহ বৃহত ফায়ারওয়াল চ্যাসিস / ক্লাস্টার

আপনার কোরের পাশের দিকে ঝুলন্ত একটি বৃহত কেন্দ্রীয় ফায়ারওয়াল (ক্লাস্টার) স্থাপন করুন এবং ট্র্যাফিকটিকে তার ওপরে ফিরে যাওয়ার জন্য একটি অভ্যন্তরীণ এবং বাহ্যিক রাউটিং-উদাহরণ ব্যবহার করুন (উদাহরণস্বরূপ: অভ্যন্তরীণ উদাহরণস্বরূপ ডিফল্ট গেটওয়েটি ফায়ারওয়াল, ডিফল্ট গেটওয়ে অন ফায়ারওয়াল মূলটি আপনার বাহ্যিক উদাহরণ এবং বাহ্যিক উদাহরণের জন্য ডিফল্ট হ'ল আপনার সীমানা (গুলি))

পেশাদাররা:

পরিচালনা এবং কনফিগার করতে একক বাক্স
মনিটরিং করার জন্য একক বাক্স
প্যাচ করার জন্য একক বাক্স
গ্রাহক পৃথকীকরণ

কনস:

একদিন ব্যয় বেশি হবে
কোন স্কেলিং ডাউন
আন্তঃ-গ্রাহক ট্র্যাফিক কনফিগারেশনের উপর নির্ভর করে আপনার সীমান্ত রাউটারগুলি জুড়ে রাউটিং শুরু হতে পারে

— বেঞ্জামিন ডালে
সূত্র

আপনি কোন কোর স্যুইচগুলি চালাচ্ছেন? নীতিগুলি সাধারণত বিতরণ স্তরে করা হয়, যদি আপনি একটি ধসে পড়া কোর নকশা নিয়ে যান, তবে কোরটি আপনার প্রয়োজনীয়তাগুলি পরিচালনা করতে সক্ষম হবে। এছাড়াও, আপনি কি রাষ্ট্রীয় পরিদর্শন বা কেবল অ্যাকসিলের জন্য পছন্দ করছেন? আপনার যদি কোনও মেনে চলতে হয় তবে অ্যাক্সেলগুলি পর্যাপ্ত পরিমাণে নাও থাকতে পারে।

ব্যক্তিগতভাবে, আমি ফায়ারওয়ালটি নিয়ে যাব, সম্ভবত এমন একটি সন্ধান করুন যা ক্লাস্টার করা যায় যাতে আপনি প্রতিটি একসাথে ক্লাস্টার করতে পারেন এবং কেন্দ্রীয়ভাবে পরিচালিত নিয়ম বেস যেমন সোর্সফায়ার ফায়ারওয়াল বজায় রাখতে পারেন।

— ড্যানিয়েল 'দ্য টেকমিস্টার' মেসানা
সূত্র

নেটওয়ার্ক টপোলজিতে সেন্ট্রালাইজড ফায়ারওয়াল ফিট করার চেষ্টা করছেন