Projeto hierárquico de uma rede. Projeto Lógico da Rede. Projeto de Redes de Computadores. Projeto de Redes de Computadores

Documentos relacionados
Projeto Lógico da Rede

Projeto de Redes de Computadores. Projeto do Esquema de Endereçamento e de Nomes

LAN Design. LAN Switching and Wireless Capítulo 1. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

BACKBONE e LANS VIRTUAIS. Bruna Luyse Soares Joel Jacy Inácio

Segurança de Redes de Computadores

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

UNIVERSIDADE FEDERAL DO PIAUI UFPI Colégio Técnico de Teresina CTT. Professor: José Valdemir dos Reis Junior. Disciplina: Redes de Computadores II

Roteamento e Comutação

Tecnologias Atuais de Redes

5.2 MAN s (Metropolitan Area Network) Redes Metropolitanas

Interconexão de redes locais. Repetidores. Pontes (Bridges) Hubs. Pontes (Bridges) Pontes (Bridges) Existência de diferentes padrões de rede

Planejamento e Projeto de Redes de Computadores. Eduardo Barrére

Há dois tipos de configurações bidirecionais usados na comunicação em uma rede Ethernet:

ARP. Tabela ARP construída automaticamente. Contém endereço IP, endereço MAC e TTL

Redes locais comutadas, visão geral da camada de acesso

Objetivos: i) Verificar o impacto de loops em redes locais ii) Configurar o protocolo STP para remover loops da rede

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva

TOPOLOGIAS. Em redes de computadores modernos a transmissão de dados não ocorre através de bits contínuos.

Entendendo como funciona o NAT

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Aula Prática Roteador

switches LAN (rede de comunicação local)

REDE DE COMPUTADORES

SUMÁRIO 1. AULA 6 ENDEREÇAMENTO IP:... 2

PRIMEIRA LISTA DE EXERCÍCIOS CAR. 48 Hosts Link C 6 Hosts

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

Firewalls. Firewalls

Introdução Introduç ão Rede Rede TCP/IP Roteame Rotea nto nto CIDR

Roteamento e Comutação

Planejamento e Projeto de Redes de Computadores. Eduardo Barrére

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Redes de Computadores II. Professor Airton Ribeiro de Sousa

Tecnologia da Informação e Comunicação. Euber Chaia Cotta e Silva

Teleprocessamento e Redes (MAB-510) Gabarito da Segunda Lista de Exercícios 01/2010

Virtual Local Area Network VLAN

Nível de segurança de uma VPN

Redes Roteadas. Estudo rápido de como implantar uma rede roteada fácil

Redes de Computadores. Prof. Dr. Rogério Galante Negri

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

AS CONSULTORIA & TREINAMENTOS. White Paper pfsense

Alta disponibilidade utilizando Roteamento Virtual no RouterOS GUILHERME RAMIRES

Funcionalidade Escalabilidade Adaptabilidade Gerenciabilidade

Centro Tecnológico de Eletroeletrônica César Rodrigues. Atividade Avaliativa

REDE DE COMPUTADORES

APOSTILA DE REDES DE COMPUTADORES PARTE - I I

Fundamentos de Redes de Computadores. Elementos de Redes Locais

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft

Capítulo 5: Roteamento Inter-VLANS

SISGEP SISTEMA GERENCIADOR PEDAGÓGICO

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

GUIA DE CONFIGURAÇÃO CONEXÕES VPN SSL (CLIENT TO SERVER)

Prof. Edson Maia Graduado em Web Design e Programação Bacharel e Licenciado em Geografia Especialista em Gestão Ambiental Complementação para

Prof. Wilton O. Ferreira Universidade Federal Rural de Pernambuco UFRPE 1º Semestre / 2012

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

1. DHCP a. Reserva de IP

Universidade Federal do Acre. Centro de Ciências Exatas e Tecnológicas

Faculdade Anhanguera de São Caetano do Sul

Prof. Samuel Henrique Bucke Brito

REDES VIRTUAIS PRIVADAS

Componentes de um sistema de firewall - I

Aula Prática Wi-fi Professor Sérgio Teixeira

MINISTÉRIO PÚBLICO DO TRABALHO PROCURADORIA-GERAL DO TRABALHO DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO. Projeto Executivo

Redes de Computadores. Prof. Késsia Marchi

** Distance Vector - Trabalha com a métrica de Salto(HOP),. O protocolo que implementa o Distance Vector é o RIP.!

Aula 03 Regras de Segmentação e Switches

Segurança em Sistemas de Informação

REDE DE COMPUTADORES

Redes de Computadores II INF-3A

Redes de Computadores. Professor MSc Wylliams Barbosa Santos wylliams.wordpress.com

Uso de Virtual Lan (VLAN) para a disponibilidade em uma Rede de Campus

Segurança da Informação

Link Aggregation IEEE 802.3ad Uma Visão Geral

WebZine Manager. Documento de Projeto Lógico de Rede

Firewalls. O que é um firewall?

Redes de Computadores

Interconexão de Redes

PROJETO DE REDES

Equipamentos de Redes de Computadores

Redes de Computadores

Roteador Load-Balance / Mikrotik RB750

Rede de Computadores

Rede Corporativa. Tutorial 10 mar 2009 Fabio Montoro. Introdução

Objetivo: Criar redes locais virtuais (VLANs) usando switches e computadores

RC e a Internet: noções gerais. Prof. Eduardo

Redes de Computadores Aula 01

Redes de Computadores Visão Geral de Infraestrutura Física em Redes I. Prof. MSc. Hugo Souza

IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

Firewall. Alunos: Hélio Cândido Andersson Sales

SERVIÇO DE ANÁLISE DE REDES DE TELECOMUNICAÇÕES APLICABILIDADE PARA CALL-CENTERS VISÃO DA EMPRESA

REDES DE COMPUTADORES - I UNI-ANHANGUERA CENTRO UNIVERSITÁRIO DE GOIÁS CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS PROF.

UNINGÁ UNIDADE DE ENSINO SUPERIOR INGÁ FACULDADE INGÁ CIÊNCIA DA COMPUTAÇÃO TOPOLOGIAS. Profº Erinaldo Sanches Nascimento

UFF-Fundamentos de Sistemas Multimídia. Redes de Distribuição de Conteúdo (CDN)

Transcrição:

Projeto Lógico da Rede Projeto da Topologia da Rede Uma topologia é um mapa de uma rede que indica: segmentos de rede (redes de camada 2) pontos de interconexão comunidades de usuários Queremos projetar a rede logicamente e não fisicamente Identificam-se redes, pontos de interconexão, o tamanho e alcance das redes e o tipo de dispositivos de interconexão Não lidamos (ainda) com tecnologias específicas, dispositivos específicos, nem considerações de cabeamento Nosso objetivo é projetar uma rede segura, redundante e escalável Projeto hierárquico de uma rede Algum tempo no passado, usava-se muito uma rede com estrutura chamada Collapsed Backbone (em camada 2) Toda a fiação vai das pontas para um lugar central (conexão estrela) O número de fios não era problemático quando as pontas usavam banda compartilhada com cabo coaxial em vez de hubs ou switches Hoje, com redes maiores, só se usa estrutura hierárquica Um modelo hierárquico ajuda a desenvolver uma rede em pedaços, cada pedaço focado num objetivo diferente Um exemplo de uma rede hierárquica aparece abaixo As 3 camadas mostradas: Camada núcleo: roteadores e comutadores de alto desempenho e disponibilidade Camada de distribuição: roteadores e comutadores que implementam políticas Camada de acesso: conecta usuários aos pontos de acesso (hubs e comutadores) UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 1/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 2/31 Por que usar um modelo hierárquico? Uma rede não estruturada (espaguete) cria muitas adjacências entre equipamentos Ruim para propagação de rotas (R1 --- R2 ---... --- Rn) Uma rede achatada (camada 2) não é escalável devido ao broadcast Minimiza custos, já que os equipamentos de cada camada serão especializados para uma determinada função Exemplo: Usa comutadores rápidos no núcleo, sem recursos adicionais Mais simples de entender, testar e consertar Facilita mudanças, já que as interconexões são mais simples A replicação de elementos se torna mais simples Permite usar protocolos de roteamento com "sumarização de rotas" Comparação de estrutura hierárquica com achatada para a WAN OK para redes pequenas Para redes grandes, o tráfego cruza muitos nós (atraso mais alto) Qualquer quebra é fatal (embora possa-se usar um loop de roteadores para minimizar o problema) Fig. 3-1: Backbone com projeto hierárquico UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 3/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 4/31

Roteadores redundantes numa hierarquia dão: Mais escalabilidade Mais disponibilidade Atraso mais baixo Fig. 3-3: Roteadores redundantes Fig. 3-2: Anel de roteadores UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 5/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 6/31 Comparação de estrutura hierárquica com achatada para a LAN O problema básico é que um domínio de broadcast grande reduz significativamente o desempenho Com uma rede hierárquica, os equipamentos apropriados são usados em cada lugar Roteadores (ou VLANs e comutadores de camada 3) são usados para delimitar domínios de broadcast Comutadores de alto desempenho são usados para maximizar banda passante Switches simples são usados onde o acesso barato é necessário Topologias de full-mesh e mesh hierárquica A full-mesh oferece baixo atraso e alta disponibilidade, mas é muito cara Uma alternativa mais barata é uma mesh parcial Um tipo de mesh parcial é a mesh hierárquica, que tem escalabilidade mas limita as adjacências de roteadores Para pequenas e médias empresas, usa-se muito a topologia hub-and-spoke Fig. 3-4a: Full mesh Fig. 3-4b: Partial mesh Fig. 3-4c: Hub-and-spoke UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 7/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 8/31

O modelo hierárquico clássico em 3 camadas Permite a agregação (junção) de tráfego em três níveis diferentes É um modelo mais escalável para grandes redes corporativas Cada camada tem um papel específico Camada núcleo: provê transporte rápido entre sites Camada de distribuição: conecta as folhas ao núcleo e implementa políticas Segurança Roteamento Agregação de tráfego Camada de acesso Numa WAN, são os roteadores na borda das redes campus Numa LAN, provê acesso aos usuários finais A camada de núcleo Backbone de alta velocidade A camada deve ser projetada para minimizar o atraso Dispositivos de alta vazão devem ser escolhidos, sacrificando outros recursos (filtros de pacotes, etc.) Deve possuir componentes redundantes devido à sua criticalidade para a interconexão O diâmetro deve ser pequeno (para ter baixo atraso) LANs se conectam ao núcleo sem aumentar o diâmetro A conexão à Internet é feita na camada de núcleo UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 9/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 10/31 A camada de distribuição Tem muito papeis Controla o acesso aos recursos (segurança) Controla o tráfego que cruza o núcleo (desempenho) Delimita domínios de broadcast Isso pode ser feito na camada de acesso também Com VLANs, a camada de distribuição roteia entre VLANs Interfaceia entre protocolos de roteamento que consomem muita banda passante na camada de acesso e protocolos de roteamento otimizados na camada de núcleo (no caso de WAN) Exemplo: sumariza rotas da camada de acesso e as distribui para o núcleo Exemplo: Para o núcleo, a camada de distribuição é a rota default para a camada de acesso Pode fazer tradução de endereços, se a camada de acesso usar endereçamento privativo Embora o núcleo também possa usar endereçamento privativo A camada de acesso Provê acesso à rede para usuários nos segmentos locais Freqüentemente usa apenas comutadores Guia para o projeto hierárquico de uma rede Controle o diâmetro da topologia inteira, para ter atraso pequeno Mantenha controle rígido na camada de acesso É aqui que departamentos com alguma independência implementam suas próprias redes e dificultam a operação da rede inteira Em particular, deve-se evitar: Chains (adicionando uma quarta camada abaixo da camada de acesso) Causam atrasos maiores e dependências maiores de tráfego Chains podem fazer sentido para conectar mais um país numa rede corporativa Portas-dos-fundos (conexões entre dispositivos para mesma camada) Causam problemas inesperados de roteamento Projete a camada de acesso primeiro, depois a camada de distribuição, depois o core Facilita o planejamento de capacidade UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 11/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 12/31

Topologias redundantes no projeto de uma rede A disponibilidade é obtida com a redundância de enlaces e dispositivos de interconexão O objetivo é eliminar pontos únicos de falha, duplicando qualquer recurso cuja falha desabilitaria aplicações de missão crítica Pode duplicar enlaces, roteadores importantes, uma fonte de alimentação Em passos anteriores, você deve ter identificado aplicações, sistemas, dispositivos e enlaces críticos Para dispositivos muito importantes, pode-se considerar o uso de componentes "hotswappable" A redundância pode ser implementada tanto na WAN quanto na LAN Há obviamente um tradeoff com o custo da solução Fig. 3-5: Chain e Porta dos fundos UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 13/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 14/31 Caminhos alternativos Para prover alternativas aos enlaces primários Três aspectos são importantes Qual deve ser a capacidade do enlace redundante? É freqüentemente menor que o enlace primário, oferecendo menos desempenho Pode ser um acesso ADSL, por exemplo Em quanto tempo a rede passa a usar o caminho alternativo Se precisar de reconfiguração manual, os usuários vão sofrer uma interrupção de serviço Failover automático pode ser mais indicado Lembre que protocolos de roteamento descobrem rotas alternativas e comutadores também (através do protocolo de spanning tree) O caminho alternativo deve ser testado! Não espere que uma catástrofe ocorra para descobrir que o caminho alternativo nunca foi testado e não funciona! Faça testes (simulações) de falhas!! Considerações especiais para o projeto de uma topologia de rede de campus Os pontos principais a observar são: Manter domínios de broadcast pequenos (VLANs podem/devem ser usadas) Incluir segmentos redundantes na camada de distribuição Usar redundância para servidores importantes Incluir formas alternativas de uma estação achar um roteador para se comunicar fora da rede de camada 2 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 15/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 16/31

LANs virtuais Uma LAN virtual (VLAN) nada mais é do que um domínio de broadcast configurável VLANs são criadas em um ou mais comutadores Usuários de uma mesma comunidade são agrupados num domínio de broadcast independentemente do cabeamento físico Isto é, mesmo que estejam em segmentos físicos diferentes Esta flexibilidade é importante em empresas que crescem rapidamente e que não podem garantir que quem participa de um mesmo projeto esteja localizado junto Uma função de roteamento (normalmente localizada dentro dos comutadores) é usada para passar de uma VLAN para outra Lembre que cada VLAN é uma "rede de camada 2" e que precisamos passar para a camada 3 (rotear) para cruzar redes de camada 2 Há várias formas de agrupar os usuários em VLANs, dependendo dos switches usados Baseadas em portas do switches Baseadas em endereços MAC Baseadas em subnet IP Baseadas em protocolos (IP, NETBEUI, IPX,...) VLAN para multicast VLAN criada dinamicamente pela escuta de pacotes IGMP VLANs baseadas em políticas gerais (com base em qualquer informação que aparece num quadro) Baseadas no nome dos usuários Com ajuda de um servidor de autenticação Segmentos redundantes de LAN Enlaces redundantes entre comutadores são desejáveis para aumentar a disponibilidade Laços são evitados usando o protocolo Spanning Tree (IEEE 802.1d) Isso fornece redundância mas não balanceamento de carga O protocolo Spanning Tree corta enlaces redundantes (até que sejam necessários) Redundância de servidores Servidor DHCP Em redes pequenas, o servidor DHCP é colocado na camada de distribuição onde pode ser alcançado por todos Em redes grandes, vários servidores DHCP são colocados na camada de acesso, cada um servindo a uma fração da população Evita sobrecarga de um único servidor DHCP funciona com broadcast Somos obrigados a colocar um servidor DHCP para cada domínio de broadcast? Não, se utilizar uma função do roteador de encaminhar broadcast DHCP para o servidor de broadcast (DHCP relay) Servidor DNS O servidor DNS é crítico para mapear nomes de máquinas a endereços IP Por isso, é freqüentemente duplicado UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 17/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 18/31 Redundância estação-roteador Para obter comunicação fora da rede de camada 2 imediata, uma estação precisa conhecer um roteador (roteador default) Como implementar redundância aqui? O problema básico é que o IP do roteador que a estação conhece é freqüentemente configurado manualmente ("parafusado") em cada estação Há algumas alternativas: Alternativa 1: Proxy ARP A estação não precisa conhecer roteador nenhum Para se comunicar com qualquer máquina (mesmo remota), a estação usa ARP O roteador responde com seu próprio endereço MAC Proxy ARP é pouco usado porque nunca foi padronizado Alternativa 2: DHCP DHCP pode informar mais coisas do que apenas o endereço IP da estação Pode informar o roteador a usar (ou até mais de um roteador) Alternativa muito usada Alternativa 3: Hot Standby Router Protocol (HSRP) da Cisco É uma alternativa proprietária, mas a IETF está padronizando algo semelhante chamado Virtual Router Redundancy Protocol (VRRP) HSRP cria um roteador fantasma (que não existe de verdade) e vários roteadores reais, um dos quais está ativo, os outros em standby Os roteadores reais conversam entre si para saber qual é o roteador ativo O roteador fantasma tem um endereço MAC e os roteadores reais podem aceitar quadros de um bloco de endereços MAC, incluindo o endereço MAC do fantasma O roteador fantasma (que nunca quebra!) é o roteador default das estações Quando uma estação usa ARP para descobrir o MAC do fantasma, o roteador ativo, responde (com o MAC do fantasma) Mas quem realmente atende a este endereço MAC é o roteador ativo Se o roteador ativo mudar, nada muda para a estação (continua conversando com o roteador fantasma) UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 19/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 20/31

Considerações especiais para o projeto de uma topologia de rede corporativa Segmentos redundantes de WAN Uso de uma mesh parcial é normalmente suficiente Cuidados especiais para ter diversidade de circuito Se os enlaces redundantes usam a mesma tecnologia, são fornecidos pelo mesmo provedor, passam pelo mesmo lugar, qual a probabilidade da queda de um implicar na queda de outro? Discutir essa questão com o provedor é importante Conexões múltiplas à Internet Há 4 alternativas básicas para ter acesso múltiplo à Internet Fig. 3-6: Opções para conexão à Internet UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 21/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 22/31 Opção A Vantagens Backup na WAN Baixo custo Trabalhar com um ISP pode ser mais fácil do que trabalhar com ISPs múltiplos Desvantagens Não há redundância de ISPs Roteador é um ponto único de falha Supõe que o ISP tem dois pontos de acesso perto da empresa Opção B Vantagens Backup na WAN Baixo custo Redundância de ISPs Desvantagens Roteador é um ponto único de falha Pode ser difícil trabalhar com políticas e procedimentos de dois ISPs diferentes Opção C Vantagens Backup na WAN Bom para uma empresa geograficamente dispersa Custo médio Trabalhar com um ISP pode ser mais fácil do que trabalhar com ISPs múltiplos Desvantagens Não há redundância de ISPs Opção D Vantagens Backup na WAN Bom para uma empresa geograficamente dispersa Redundância de ISPs Desvantagens Alto custo Pode ser difícil trabalhar com políticas e procedimentos de dois ISPs diferentes UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 23/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 24/31

As opções C e D merecem mais atenção O desempenho pode freqüentemente ser melhor se o tráfego ficar na rede corporativa mais tempo antes de entrar na Internet Exemplo: pode-se querer que sites europeus da empresa acessem a Internet pelo roteador de Paris, mas acessem sites norte-americanos da empresa pelo roteador de New York A configuração de rotas default nas estações (para acessar a Internet) pode ser feita para implementar essa política Exemplo mais complexo: Queremos que sites europeus da empresa acessem sites norte-americanos da Internet pelo roteador de New York (idem para o roteador de Paris sendo usado para acessar a Internet européia pelos sites norte-americanos da empresa) Fazer isso é mais complexo, pois os roteadores da empresa deverão receber rotas do ISP Exemplo mais complexo ainda: tráfego que vem da Internet para sites norteamericanos da empresa devem entrar na empresa por New York (idem para Paris) Neste caso, a empresa deverá anunciar rotas para a Internet Observe que, para evitar que a empresa se torne um transit network, apenas rotas da própria empresa devem ser anunciadas! Redes privativas virtuais Redes privativas virtuais (VPN) permitem que um cliente utilize uma rede pública (a Internet, por exemplo) para acessar a rede corporativa de forma segura Toda a informação é criptografada Muito útil para montar uma extranet (abrir a intranet para parceiros, clientes, fornecedores, etc.) Muito útil para dar acesso a usuários móveis da empresa Solução muito usada quando a empresa é pequena e tem restrições de orçamento para montar a rede corporativa A técnica básica é o tunelamento Vários protocolos podem ser usados: Mais simples: Point to Point Tunelling Protocol (PPTP) Alternativa: Layer 2 Forwarding Protocol (L2F) Alternativa (IETF): Layer 2 Tunneling Protocol (L2TP) Mais recente e mais seguro: IP Security Protocol (IPsec) UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 25/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 26/31 Topologias de rede para a segurança Falaremos mais de segurança adiante Por enquanto, queremos ver os aspectos topológicos da questão Planejamento da segurança física Verificar onde os equipamentos serão instalados Prevenção contra acesso não autorizado, roubo físico, vandalismo, etc. Topologias de firewalls para alcançar requisitos de segurança Um firewall é um sistema que estabelece um limite entre duas ou mais redes Pode ser implementado de várias formas Simples: um roteador com filtro de pacote Mais complexo: software especializado executando em um hardware proprietário (muitas vezes uma caixa preta UNIX ou Windows) Serve para separar a rede corporativa da Internet A topologia mais básica usa um roteador com filtro de pacote Só é suficiente para uma empresa com política de segurança muito simples Fig. 3-7: Firewall básico A tabela de filtragem de pacotes poderia ser como segue A primeira regra que casa com cada pacote examinado é aplicada Host remoto Porta remota Host local Porta local Ação mau.ladrao.com * * * Nega * * mailserver 25 Permite * 25 * * Permite * * * * Nega Para melhorar as coisas, pode-se usar endereçamento privativo na rede corporativa Uso de Network Address Translation (NAT) implementada no roteador para acessar a Internet Uso de um proxy para certos serviços (web, ftp, etc.) UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 27/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 28/31

Para empresas que precisam publicar informação na Internet (Web, DNS, FTP, etc.), pode-se ter algumas máquinas na Internet, numa área chamada Demilitarized Zone (DMZ) Os hospedeiros têm que ser muito bem protegidos contra invasões (Bastion Hosts) Um firewall especializado pode ser incluído Fornece uma boa GUI e ações especiais para implementar a política de segurança Há duas topologias básicas Com um roteador Com dois roteadores Fig. 3-8a: Topologia com 1 roteador e firewall dedicado UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 29/31 UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 30/31 Fig. 3-8b: Topologia com 2 roteadores filtrando pacotes UFCG/DSC/JPS Parte 3.1: Projeto da Topologia da Rede 31/31

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback