從事網絡管理工作第6個年頭了,今天想討論關於中小型企業1000節點以下在防火牆前有沒有必要增加路由器,其實這涉及的只是網關的安全問題,有時會覺得這是個簡單的問題,有時又覺得是個複雜的問題,所以,想根據我的工作經驗和大家一起說說。
首先,不同的行業,對企業信息安全的重視度、安全認知度、數據敏感度有很大差異,針對我個人所從事過的行業來講,先後在:計算機網絡公司-生產型製造加工業-醫療行業做過,那麼以下是簡單的主幹接入方式描述,另外一些專線 ***、雙線接入等設備及網絡架構就不展現。
一、
二、
三、
四、
其次,通過以上圖那麼我們要針對問題進行討論:防火牆前要不要接路由器?那麼我認爲,應當認清路由器與防火牆本身的功能及作用。現在的路由器基本都帶簡單的安全檢測功能,但防火牆除路由外,檢測、報警、***防禦、病毒分析方面更強大,此外,我認爲網絡流量的開銷+網絡應用+網絡規模3方也是很大的因素。
那麼接下來根據各種因素分析利弊:
(1) 如圖1:100節點規模如爲節約成本,可進行多條ADSL做負載均衡,讓上下行帶寬提上去,這種模式可選擇俠諾4WAN路由器,在安全方面每個路由器啓用檢測及自帶防火牆功能,然後彙集到單獨一臺4WAN路由器上,安全操作同上,記住LAN口設靜態IP 關閉DHCP功能,這樣對外起到兩次隱藏IP的效果,對內可以很好連三層交換(當下一條最好選擇3層交換,有可控性、劃網段等功能還能做ACL等),根據本人使用1年多的時間裏,優點是不會中斷網絡,安全方面比較可靠,缺點,不好優化,不能集中擴充網絡應用,但這正好適合小網絡,小成本架構選擇。
(2) 如圖2:200節點左右規模,針對對數據安全不敏感並且那種申請買個設備很難的,幾個月批不下來的,特別是上W的設備時,第二種網絡模式可選擇。
當網絡流量的開銷+網絡規模 增加但不對安全不做高要求時,防火牆的存在似乎顯得並不那麼重要。當然,圖1結構已無法滿足帶寬需求,所以爲方便管理與後期網絡節點增加時應先擇h3c的路由設備,性價比在思科與TP-LINK、華爲等都是最好的。如需在安全方便做得更好些,應當架設內部防病毒服務器,可統一管理工作站的PC機的安全情況,勿只用免費的360等版本,不然天天讓你忙着打補訂。
所以,我認爲如以上需求時也可只開起路由器自帶防火牆功能即可(排除有條件購買的情況下,如有條件最好購買)。
(3) 如圖3:500節點左右規模,隨着有400-600以上時,企業規模已中型了,因爲行政人員都至少350-450之間。從此,應用也逐漸多了起來,如*** AD EMAIL DNS WEB ERP CRM OA 等等,那麼網絡管理員的工作也繁忙了許多,IT部的顯得重要了起來,卻不變的是待遇,但那個地方是個能讓自己成長的地方,羅索話不多講。圖3的架構中沒有路由存在,同時大部分企業的網絡架構中也不用路由器,原因有以下幾點,1、防火牆具備路由做數據轉發與解析的能力。2、沒必要在幹路上多增加一層設備來轉發,設計中,幹路層應當儘量簡單,並且保證上網速度轉發要快,不然容易出現網絡堵塞。 3、內網節點較集中、內部應用強但對外網絡應用不廣,所以此時路由可不與防火牆一起使用,既然不用則無位置前後。
(4)700-1000節點 :網絡流量的開銷+網絡應用+網絡規模3方同時存在。
請看圖4:其實網絡結構沒有畫好,在防火牆前面應當接路由器,防火牆應找應用透明模式下能用***功能的設備(例juniper520以上就能,但性能要找比這還強的,性能一定要OK)。因爲在700-1000的企業中,算是中大型企業,不管外部與內部的網絡中都具相當規模,會在各個城市有多個分點,會出同城多點之間的網絡應用,也會在其他分點風絡中一對一或一對多點之間的網絡應用,同時各點之間數據敏感度較高,這時老闆也相當重視數據,安全級別類似銀行。
此時,路由器與防火牆各分工不同,各承擔角色的不同,路由器提供的是路由功能,快速將各種數據在ISP與內網之間進行轉發與解析,同時與各分公司之間做數據交換,使雙方業務資源共享且不出現中斷。防火牆的作用是對外部各種數據包來源進行檢測,對各種***進行防禦、過濾與隔斷,對內網發出的響應與發起進行安全檢查。那麼,在這情況情下,我認爲路由器應放與防火牆前會較好。
綜上所述,個人觀點。