Új hozzászólás Aktív témák

• #15181 soma314 tag kenwood #15174

  Új Válasz 2019-10-05 18:23:00 #15181

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  soma314

  tag

  válasz kenwood #15174 üzenetére

  Ezen szerintem mindenki átesik. Lapos hálózatok. Az már jó, ha van sok VLAN. Én láttam olyat is, ahol reggel elinditottam a kábelcápát a gépemen és a portástól a vezérigazgatóig végignézhettem volna hogyan kapnak IP cimet a DHCP servertől.
  Azért nyomják a fejünkbe az oktató anyagok, hogy ma már az access switch is legyen L3-as ha lehet, mert a mai vasakkal azt lehet igazán jól kezelni routing technikákkal.
  De gondolj bele, hogy a könyvben mindig zöld mezős beruházás van, az életben meg sokszor több évtizedes fejlődés során kialakult valami ami tart ahol tart, de legalább te látod már mi lenne a jó irány.

  A "tűzfalazás" jó esetben külön ember/csoport dolga. Ez azért jó eset, mert ha egy ember/csoport csinálja, akkor a mindenhez is értő szituáció van.
  Az alapjai és űgy gondolom, hogy a RS világot megismerve leképződnek. Egy stateless zone base firewall-lá bármikor át lehet alakitani egy router-t. Sőt rádobsz egy NAT-olást és akár már statefull-nak is nevezhetjük.
  Persze egy mai tűzfal ennél sokkal többet tud, de a lényege, ahogy nekem mint RS-es laikusnak, lejött az az, hogy ezek az eszközök leginkább egy netről frissülő adatbázisra hagyatkozva szűrik a tartalmat, akár L7-en. Na ezt nem, vagy őrült nehezen lehet router-rel megcsinálni (NBAR-ral lehet kisérletezni, de minek).
  A harverekben is más céleszközök vannak. Kb azonos lóereje van egy versenyautónak autónak, meg egy jó traktornak, mégis egész másra valók.
  A tűzfalak jobban tundak NAT/PAT cimforditásokat végezni, binding táblákat kezelni, kevésbé terheli le őket. Viszont általában baromi rosszak a dinamikus routing protokol támogatásban. Pl a multkor lepődtem meg, hogy nextgen firewall nem tudott BFD-t.
  Egyébként a tűzfal mint egyedi eszköz, ha nem is kihalóban, de fogyóban van. Régen csak az internet felöl érkező forgalomtól féltek oda tettek egy tűzfalat, amin keresztülment az internet forgalom. Ma már egyszerű olcsó eszközökkel, akár véletlenül is lehet újabb és újabb kijárata a hálózatnak az internet felé (elég egy windows 10-es gép egy LTE modem, meg internet megosztás).
  Szóval ma már csak nagyon kis része a Security technológiáknak a peremtűzfalak esete. Divatos buzzword a microsegmentáció. Az NSX-T például olyan megoldást használ, ami a végpontok közötti kapcsolatot monitorozza, szűri. Persze nem ismer igazi dinamikus routing protokolt még (bár a gyártó szerint a BGP az)

  És még nem beszéltünk load balancerekről, a DC világban FiberChannel-t használó SAN switch-ekről.
  Nekem minden nap egy pofára esés, hogy minél többet tanulok, annál inkább látom, hogy egyre több dologhoz nem értek

Új hozzászólás Aktív témák