[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Marzo 2002 ml@sikurezza.org Soggetto: R: R: Firewall e VLAN Mittente: mailing lists Data: 7 Mar 2002 18:47:57 -0000
>Penso che il nostro Bardolino voglia uscire dallo >schema, perfetto ma se vuoi classico che la tua mail esprime. Credo che ti sia risposto da solo. Vogliamo complicarci la vita? Facciamo pure, nel networking si può fare tutto ... >Supponiamo che io abbia un core swicth (livello 2-3), e che voglia >implementare una soluzione firewall che mi permetta di gestire il traffico >fra le reti dell'azienda... >l'amministratore, lasciando i border firewall a fare il classico lavoro con trusted, >untrusted e DMZ, desidera anche che i propri utenti non implementino soluzioni >client/server nella sua LAN :). Ma se il core switch ha 60 network, tu con >che macchina gestisci il traffico? Perché scomodare un firewall quando per applicare le policies che dici basta un semplice router e qualche semplicissima ACL? Filtri prima, poi spedisci, mi pare semplice. >Netscreen si e' inventata un ASIC firewall che puo' capire il VLAN tagging, e >ti permette, collassando le VLAN dal core switch 2/3 su un po' di link a >Gigabit, di gestire il traffico esprimendo fino a 100 interfacce di rete >virtuali, e implementando il concetto di "virtual router", in sostanza una >entita' che raggruppa le informazioni di routing, per permetterti di negare a >livello 3 il traffico senza nemmeno applicare policy. Lunedi' viene un >francese a spiegarmi tutto, magari allora saro' ancora piu' preciso. Dunque non solo il nostro Bardolino s'è voluto complicare la vita ... :-) Come dicevo prima, su una network puoi fare la stessa cosa in mille modi diversi, quella di Netscreen (che io non conosco, perdona l'ignoranza) è la mille e uno ... Non dico che Cisco (e le sue teorie) siano sempre le migliori ... Basti pensare alla possibilità di fare "sicurezza" a livello 2 porta per porta sugli switch (a mio parere una schifezza, ma ... Non farlo sapere a chi mi ha permesso di diventare suo istruttore ...). Io tendenzialmente cerco di semplificarmi la vita, e la mia esperienza, misera se vuoi, mi ha dimostrato che quella teoria (che ti ringrazio di aver apprezzato per la sua chiarezza ... Non è mia, ma lo prendo come un complimento) è più che valida; anzi, certe volte grazie ad essa puoi tranquillamente mettere in discussione anche soluzioni Cisco ... Io sono il primo. Senza presunzione, il mio consiglio è: non complichiamoci la vita in fase di realizzazione, altrimenti poi fare troubleshooting, che non è mai semplice, a quel punto diventa davvero un'impresa. Facci sapere cosa ne pensa il francese, però ... A me piace essere contraddetto :-) Ciao Andrea ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005