[MASOCH-L] Firewall de perímetro - distribuído

Douglas Fischer fischerdouglas at gmail.com
Thu Jan 9 12:13:18 BRST 2014


Isso tudo está numa mesma estrutura?
Ou em sites(ou POPs) diferentes?

Se estiver em estruturas diferentes, eu desconheço solução
open-source que faça a replicação merge das tabelas statefull*,
então acho que vai ter que cair em alguma solução fechada.
Me lembro que:
 - A cisco tem isso(mas não é com o ASA, e sim com o ZBF IOS).
 - A Juniper tem isso, inclusive sei de uma operadora que usa.
 - E imagino que a checkpoint tenha.

Se estiver na mesma estrutura(piece-of-cake), ou até em
estruturas diferentes mas interligados por fibra própria,
Colocaria 2 caixas, uma active e outra standby, e que
sejam tão Fortes a ponto de aguentar todo o tráfego.



Em 9 de janeiro de 2014 12:04, Contato - NBINFO <contato at nbinfo.inf.br>escreveu:

>
> Outra opção Recebimento planejado:
>      - Firewall 1 (se conecta ao roteador 1) -> segue para rede interna
>      - Firewall 2 (se conecta ao roteador 2) -> segue para rede interna
>      - Firewall 3 (se conecta ao roteador 3) -> segue para rede interna
>
>
>
>
> Em 09/01/2014 11:56, Contato - NBINFO escreveu:
>
>  Atualmente é como o Lucas descreveu, a única coisa que preciso fazer é
>> unificar os firewall para que fique dinâmico, como tinha explicado, hoje eu
>> forço o fluxo
>> de conexões para se manter sobre determinado roteador/firewall, fica
>> distribuído mas não dinâmico.
>>
>> Cenário:
>>
>> Entrada Links:
>>
>>     - BGP/Router - fornecedor 1  -
>>     - BGP/Router - fornecedor 2  -
>>     - BGP/Router - fornecedor 3  -
>>
>> Recebimento atual dos links:
>>
>>     - Firewall 1 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>>     - Firewall 2 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>>
>>             Hoje eu mantenho via roteamento o fluxo forçado manualmente
>> sobre cada roteador.
>>
>> Recebimento planejado:
>>      - Firewall 1 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>>      - Firewall 2 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>>      - Firewall 3 (se conecta ao roteador 1,2 e 3) -> segue para rede
>> interna
>>         Sem necessidade de forçar o fluxo de dados, qualquer firewall
>> atende a solicitação e todos trabalhando como se fosse um único firewall.
>>
>>
>>
>> Em 09/01/2014 11:28, Lucas Willian Bocchi escreveu:
>>
>>> Hum.
>>> A única coisa que vi parecida com isso no linux seria o projeto bastionX.
>>> De resto, dessa forma que está funcionando pra ele, desconheço !
>>> Aí realmente tem que apelar pro bom BSD (se for solução livre).
>>> Para algo tão complexo então vejo que teria que partir para uma caixa
>>> confiável como sugeriu o Douglas!
>>>
>>> Em 9 de janeiro de 2014 11:13, Bruno Cabral <bruno at openline.com.br>
>>> escreveu:
>>>
>>>> Os SYNs e ACKs deviam passar normalmente (usando BGP) pelos caminhos
>>>> alternativos, nao me parece ser o que ele esta tentando.
>>>>
>>>> So vejo necessidade dessa distribuicao de tabela conntrack se estiver
>>>> usando algum tipo de NAT
>>>>
>>>> !3runo
>>>>
>>>> --
>>>> Cursos e Consultoria BGP
>>>> http://f2link.f2b.com.br/impressora3d
>>>>
>>>>
>>>>  Acho que não Lucas...
>>>>>
>>>>> Pelo que eu entendi, ele tem a estrutura distribuída.
>>>>> Ex.: - Um link BGP e um firewall com uma operadora "A" em Cascavel,
>>>>>       - Um link BGP e um firewall com outra operadora "B" em Curitiba.
>>>>>       - Uma estrutura própria de interconexão dos diversos sites deles.
>>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação


More information about the masoch-l mailing list