- Сетевой Коммутатор vs Сетевой Маршрутизатор vs Межсетевой Экран
- Коммутатор – переключение мостовых устройств в сети
- Как работает коммутатор?
- Маршрутизатор — подключите вас к интернету
- Как работает маршрутизатор?
- Межсетевой Экран- это оборудование, которое защищает вашу сеть
- Как работает межсетевой экран?
- Коммутатор, маршрутизатор и межсетевой экран: как они подключены?
- Маршрутизатор это сетевой экран
- Маршрутизатор это сетевой экран
Сетевой Коммутатор vs Сетевой Маршрутизатор vs Межсетевой Экран
Почти для каждой сети используются три основных устройства- коммутатор, маршрутизатор и Межсетевой экран. Они могут быть интегрированы в одно устройство для сетей малого размера, например, для домашних сетей, но это не относится к более крупным сетям. Далее в этой статье мы рассмотрим, как они работают и как они строят вашу сеть.
Коммутатор – переключение мостовых устройств в сети
Коммутатор — это один из видов сетевых устройств, с его помощью можно соединить другие сетевые устройства, такие как коммутаторы, маршрутизаторы, брандмауэры и точки беспроводного доступа (WAP), и подключают клиентские устройства, такие как компьютеры, серверы, Интернет Протокольные (IP) камеры и IP-принтеры. Он обеспечивает центральное место соединений для всех различных устройств в сети.
Как работает коммутатор?
Принцип работы коммутатора (или свитча) прост — устройство получает трафик, а затем, определив получателя по MAC-адресу, пересылает данные на нужный узел (компьютер, телефон). Коммутатор первое время в новом сегменте может отправлять пакеты данных нескольким адресатам внутренней сети, однако процесс обучения проходит быстро, а после этого информация поступает только к адресатам.
Рисунок 1: Коммутатор узнает MAC-адреса из фреймов данных.
Маршрутизатор — подключите вас к интернету
Маршрутизатор – это устройство, которое строит на основе таблицы маршрутизации локальную сеть, принимает внешние пакеты от интернет провайдера и передаёт из получателю по кабелю или беспроводной технологии Wi-Fi.
Как работает маршрутизатор?
Маршрутизатор имеет в своём корне слово (Маршрут) и не зря. Задача этого сетевого аппарата правильно распределить потоки данных внутри. Проще говоря, чтобы все устройства полноценной и быстро получали информацию. Принцип работы маршрутизатора строится на таблице маршрутизации. В ней хранится адреса и более детальная информация о всех устройствах, подключенных к сети.
Маршрутизатор проверяет источник и назначение IP-адреса каждого пакета, смотрит назначение пакета в таблице и маршрутизирует его на другой маршрутизатор или коммутатор. Процесс продолжается до того, как IP-адрес достигнет и ответит. Когда есть несколько способов перехода на место направления IP-адреса, маршрутизатор может выбрать наиболее экономичный вариант. Когда назначение пакета не указан в таблице, пакет будет отправлен на маршрутизатор по умолчанию (если он есть). Если для него нет назначения, пакет будет удален.
Рисунок 2: Как маршрутизаторы маршрутизируют пакеты из источника в пункт назначения.
Как правило, ваш маршрутизатор предоставляется вашим провайдером интернет-услуг (ISP). Ваш интернет-провайдер назначает вам один IP-адрес, который является общедоступным IP-адресом. Когда вы просматриваете Интернет, вы идентифицируетесь с внешним миром по общедоступному IP-адресу, а ваш частный IP-адрес защищен. Однако частные IP-адреса вашего рабочего стола, ноутбука, iPad, телевизионного медиа-бокса, сетевого копира совершенно разные. В противном случае маршрутизатор не может узнать, какое устройство запрашивает.
Межсетевой Экран- это оборудование, которое защищает вашу сеть
Межсетевой экран (МСЭ) — это устройство обеспечения безопасности сети, которое осуществляет мониторинг входящего и исходящего сетевого трафика и на основании установленного набора правил безопасности принимает решения, пропустить или блокировать конкретный трафик. Межсетевые экраны используются в качестве первой линии защиты сетей. Они ставят барьер между защищенными, контролируемыми внутренними сетями, которым можно доверять, и ненадежными внешними сетями, такими как Интернет.
Рисунок 3: Межсетевые экраны создают барьер между Интернет и интранет/локальной сетью.
Как работает межсетевой экран?
Межсетевой экран может запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их.
IP-адреса. Каждое устройство, использующее протокол IP, обладает уникальным адресом. Вы можете задать определенный адрес или диапазон, чтобы пресечь попытки получения пакетов. Или наоборот — дать доступ только определенному кругу IP-адресов. Порты. Это точки, которые дают приложениям доступ к инфраструктуре сети. К примеру, протокол ftp пользуется портом 21, а порт 80 предназначен для приложений, используемых для просмотра сайтов. Таким образом, мы получаем возможность воспрепятствовать доступу к определенным приложениям и сервисам. Доменное имя. Адрес ресурса в интернете также является параметром для фильтрации. Можно запретить пропускать трафик с одного или нескольких сайтов. Пользователь будет огражден от неприемлемого контента, а сеть от пагубного воздействия. Протокол. Файрвол настраивается так, чтобы пропускать трафик одного протокола или блокировать доступ к одному из них. Тип протокола указывает на набор параметров защиты и задачу, которую выполняет используемое им приложение.
Коммутатор, маршрутизатор и межсетевой экран: как они подключены?
Обычно маршрутизатор — это первое, что у вас будет в вашей локальной сети, Межсетевой экран между внутренней сетью и маршрутизатором, чтобы все потоки могли быть отфильтрованы. Затем следует коммутатор. Поскольку многие интернет-провайдеры теперь предоставляют Fiber Optic Service (FiOS), вам нужен модем перед сетевым экраном, чтобы превратить цифровой сигнал в электрические сигналы, которые могут передаваться через кабели Ethernet. Таким образом, типичной конфигурацией будет интернет-модем-Межсетевой экран-коммутатор. Затем коммутатор соединяет другие сетевые устройства.
Маршрутизатор это сетевой экран
Как было описано ранее, при возникновении более одного сетевого сегмента (к примеру: сегмент серверов, сегмент пользователей) требуется устройство третьего уровня модели OSI (L3), т.е. маршрутизирующее устройство.
Если в сети находится большое кол-во информационных ресурсов (файловый сервер, корпоративный портал, виртуальная инфраструктура) и требуется высокая скорость маршрутизации внутри сети, то необходимо применять коммутаторы третьего уровня модели OSI. Различие маршрутизатора и коммутатора третьего уровня было описано ранее.
Как только появляется необходимость маршрутизации трафика во внешнюю сеть (Internet) необходимо использовать маршрутизатор или межсетевой экран. Рассмотрим отличия этих устройств. В чем разница? Где использовать межсетевой экран, а где маршрутизатор?
Если посмотреть на функции и технологии, которые обычно используют организации, то они присутствуют как в межсетевых экранах так и в маршрутизаторах:
- Маршрутизация с использованием динамических протоколов маршрутизации (RIPv1,2, OSPF, EIGRP)
- NAT — Network Address Translation (трансляция сетевых адресов)
- Фильтрация трафика (Access list)
- Site-to-Site VPN
- Remote Access VPN
Что касается IPS, то в современных маршрутизаторах так же доступна данная функция, включаемая дополнительной лицензией.
В межсетевых экранах серии Cisco ASA 5500 возможно использовать функционал IPS, применив специальный модуль AIP-SSM.
Начиная с серии Cisco ASA 5500-X, функция IPS интегрирована и не требует установки дополнительных модулей. Для активации требуется соответствующая лицензия.
Главное предназначение Cisco ASA это безопасность. И такие функции безопасности как межсетевой экран, IPS, VPN, подключение удаленных пользователей, с технической точки зрения реализованы лучше чем на обычном маршрутизаторе. В межсетевых экранах по умолчанию включены многие функции безопасности, которые на маршрутизаторе необходимо настраивать в ручную, либо вообще отсутствуют.
- Deep packet inspectoin — глубокий анализ пакетов;
- Identity Firewall (IDFW) — предоставление доступа к сети и ее сегментам на основе учетных данных из LDAP (Acive Directory);
- TrustSec — похоже на IDFW, но более гибкая технология. Работает в связке с Cisco ISE;
- IPS — в новой серии Cisco ASA 5500-X функция активируется дополнительной лицензией, без приобретения модуля;
- Cisco ASA CX — безопасность с учетом контекста, контроль использования приложений для пользователей и групп, WEB фильтр с проверкой репутации;
- Два режима работы МЭ — маршрутизируемый (Routed) и прозрачный (Transparent Mode);
- NAT, Twice NAT;
- Remote Access VPN (Client, Clientless);
- Site-to-Site IPsec VPN;
- Кластеризация — возможность создания кластера из 8 устройств (МЭ);
Межсетевой экран это в первую очередь фильтр. Использование МЭ исключительно для маршрутизации будет неправильным, тем более что многие функции доступны только в традиционных маршрутизаторах:
Межсетевой экран стоит выбрать в том случае, когда в головном офисе требуется организовать безопасный доступ в Интернет, защищенный удаленный доступ пользователей и подключение удаленных филиалов.
Маршрутизатор же больше подходит для небольших филиалов, т.к. он обойдется дешевле, при этом сможет объединить большинство необходимых функций.
Для крупных организаций, имеющих большое количество филиалов, будет разумным применение обоих устройств, где маршрутизатор будет использоваться для динамической маршрутизации (OSPF, EIGRP, BGP). Тем самым разгружается МЭ, обеспечивающий функции безопасности (фильтрация, IPS, VPN и т.д.)
Маршрутизатор это сетевой экран
Межсетевой экран против маршрутизатора
И межсетевые экраны, и маршрутизаторы — это устройства, которые подключены к сетям и пропускают сетевой трафик в зависимости от некоторого набора правил. Устройство или набор устройств, предназначенных для разрешения приема / отклонения передачи на основе определенного набора правил, называется межсетевым экраном. Брандмауэр используется для защиты сетей от несанкционированного доступа, позволяя при этом проходить законные передачи. С другой стороны, маршрутизатор — это устройство, используемое для пересылки пакетов между двумя сетями и выступающего в качестве промежуточного узла, соединяющего две сети.
Что такое брандмауэр?
Брандмауэр — это объект (устройство или группа устройств), предназначенный для управления (разрешения или запрета) сетевого трафика с использованием набора правил. Брандмауэр предназначен для того, чтобы разрешить прохождение только авторизованного соединения. Брандмауэр может быть реализован как аппаратно, так и программно. Программные брандмауэры — обычное дело во многих операционных системах персональных компьютеров. Более того, компоненты межсетевого экрана содержатся во многих маршрутизаторах. И наоборот, многие межсетевые экраны также могут выполнять функции маршрутизаторов.
Есть несколько типов межсетевых экранов. Они классифицируются на основе местоположения связи, местоположения перехвата и отслеживаемого состояния. Фильтр пакетов (также известный как межсетевой экран сетевого уровня), как следует из названия, просматривает пакеты, входящие или покидающие сеть, и принимает или отклоняет в соответствии с правилами фильтрации. Брандмауэры, которые применяют механизмы безопасности к определенным приложениям, таким как серверы FTP и Telnet, называются прокси шлюза приложений. Теоретически этот брандмауэр уровня приложения способен предотвратить весь нежелательный трафик. Шлюз на уровне схемы применяет механизмы безопасности при использовании UDP / TCP. Сам прокси-сервер может использоваться как брандмауэр. Поскольку он может перехватывать все сообщения, входящие и исходящие из сети, он может эффективно скрывать истинный сетевой адрес.
Что такое роутер?
Маршрутизатор — это устройство, используемое для пересылки пакетов между двумя сетями (обычно между LAN и WAN или LAN и ISP). Это помогает создать перекрывающуюся межсетевую сеть. Маршрутизатор обычно содержит таблицу маршрутизации (или политику маршрутизации). Когда пакет прибывает из одной из сетей, к которой он подключен, он сначала проверяет адресную информацию внутри пакета, чтобы определить пункт назначения. Затем, в зависимости от таблицы маршрутизации (или политики), он либо перенаправит в другую сеть, либо просто сбросит пакет. Пакет пересылается от маршрутизатора к маршрутизатору, пока не достигнет места назначения.
В чем разница между межсетевым экраном и маршрутизатором?
Итак, очевидно, что и брандмауэры, и маршрутизаторы кажутся похожими, поскольку они оба пропускают сетевой трафик через них, но у них есть свои различия. Фактическая обязанность маршрутизатора — передача данных между сетями, в то время как межсетевой экран предназначен для отображения данных, передаваемых по сети. Обычно маршрутизаторы остаются между несколькими сетями, в то время как брандмауэр остается внутри назначенного компьютера и не позволяет неавторизованным запросам достигать непубличных ресурсов. Маршрутизатор можно определить как устройство, которое направляет трафик, в то время как брандмауэр устанавливается в основном для защиты или безопасности.