Quels sont les avantages d'un pare-feu dédié au lieu ou en plus de l'utilisation d'ACL et de l'inspection d'IP sur un routeur ?
Je sais que cela peut dépendre de la version du routeur, mais certaines versions du routeur sont-elles en fait un pare-feu et un routeur à la fois ?
Je dirais qu'ils ne sont pas conçus pour faire les mêmes choses. L'ASA dispose d'un processeur puissant qui lui permet de gérer un grand nombre de paquets avec des listes d'accès très larges/complexes. Les versions plus récentes d'IOS peuvent faire de l'inspection avec état, mais c'est très gourmand en ressources.
Les listes d'accès (utilisées pour le filtrage d'adresses IP) sur les routeurs ont été conçues à l'origine pour filtrer les flux de réseau à réseau en utilisant uniquement des listes d'accès courtes. Cela fonctionne sur l'ASIC et est très rapide. Aujourd'hui, il est possible d'effectuer un filtrage plus puissant, mais il doit être effectué sur le processeur, et le processeur d'un routeur est généralement moins puissant que celui d'un pare-feu.
J'utiliserais donc des ACL courtes sur les routeurs traitant de grandes quantités de trafic, qui s'exécuteront sur l'ASIC. J'utiliserais des ACL complexes (CBAC & cie) sur un routeur qui n'aura que de petites quantités de trafic à filtrer. Mais j'utiliserais un ASA pour filtrer le trafic d'un réseau à l'autre parce que vous aurez besoin d'ACLs larges et complexes qui ne fonctionneront pas sur un ASIC de routeur et qui passeront trop de paquets pour que le routeur puisse les gérer avec son CPU.
Ou, pour compléter la réponse de Cian, avec un dispositif de pare-feu adéquat, il est possible d'entrer et de jeter un coup d'œil sur les données transmises.
Votre routeur habituel peut restreindre l'IP source, l'IP destination et le port, ce qui peut vous aider à bloquer, par exemple, tout le trafic http sur le port 80 en provenance ou à destination de telle ou telle entreprise.
Mais un pare-feu complet vous permettra d'examiner le trafic qui passe par lui sur le port 80 et de bloquer des contenus spécifiques.
Je peux par exemple bloquer le trafic dont le type de contenu est "application/x-javascript" ou "audio/x-pn-realaudio". Tout le reste du trafic HTTP est accessible sans problème, mais mes utilisateurs ne pourront pas télécharger de contenu JavaScript ou Real Audio.
Ajoutez à cela un scanner de virus sur le pare-feu lui-même (la plupart des fabricants proposent aujourd'hui une sorte d'abonnement) et votre pare-feu peut offrir une protection bien plus grande que celle de votre routeur.
De nos jours, les pare-feu (même ceux de Cisco) sont bien plus qu'un simple filtre à paquets :
Si vous avez besoin d'un filtrage de paquets bruts pour le trafic à large bande passante entre vos VLAN, utilisez des ACL dans votre backbone. Mais s'il s'agit de connecter votre réseau à un autre, vous voudrez peut-être contrôler plus que la couche 4.
Maintenant que Cisco ajoute des protocoles de routage au pare-feu ASA et que de moins en moins de scénarios nécessitent des interfaces plus sophistiquées qu'Ethernet, l'intérêt d'utiliser un pare-feu au lieu d'un routeur est assez convaincant lorsqu'il fait ce dont vous avez besoin, du moins dans l'univers de Cisco.
Un débit nettement plus élevé par dollar.
En revanche, le gestionnaire d'événements intégré permettant de programmer des réponses personnalisées fait partie de la liste de plus en plus courte des fonctionnalités que vous n'obtenez pas... pour l'instant.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
