Ótimo assunto como sempre! O ponto mais importante é: todo firewall É um roteador e nem todo roteador tem capacidade de firewall. A questão é o foco da aplicação. Como você cita no vídeo, o roteador da maioria das fabricantes tem um hardware especializado em roteamento (os famigerados ASICs) que vão dar uma capacidade de vazão muito grande para o tráfego (geralmente só encaminhando os pacotes e eventualmente fazendo alguma tratativa com informações nas camadas 3 e 4). Já os firewalls são planejado para "abrir" os pacotes e inspecionar até na camada 7. A partir daí tomar determinadas ações (ou até fazer proxy para controlar, eventualmente, vazamento de informações). São especializações distintas. É igual a mecânicos de carros. Temos mecânicos especializados em álcool e gasolina e mecânicos especializados em diesel...
Esse vídeo fez lembra do mikrotik. Ele que fazer de tudo: Roteador. Firewall ate layer 7 Nat. Proxy web com cache. Dns recursivo. Brige. O packet flow dele é gigante, alem disso é baseado cpu do uso geral e sem memórias associativa. A literatura diz: o roteador precisa fazer duas coisas bem: roteamento e encaminhamento. O mikrotik: eu faço de tudo e mais um pouco.😂
6:38 Seria um conteúdo interessante pra tu abordar. Quando e onde usar um switch L3 e quando usar um roteador. Principalmente em ambientes SoHo. É um tópico que é um pouco nebuloso para mim mesmo sabendo da topologia de 2/3 camadas que a Cisco recomenda.
Ja vi ambiente onde duas redes diferentes que estavam diretamente ligadas em um switch l3. E nesse switch payer 3 nao fazia roteamento inter vlan nessas dias redes, ele jogava pra cima em um firewall que fazia o roteamento entre elass. No firewall havia um bypass entre as duas. Um baite desperdício de recurso pois nessa rede havia dvr e cameras gerando alto consumo
Kalau faz um video com ambiente corporativo fw, core, distribuicao e acesso, cono colocar regras e liberar acessos e restringir ? Switch core com varias ACLs ?
Peguei cenários em que o firewall é usado pra restringir o roteamento intervlan. Ou seja, pra impedir que uma subrede de acesso à internet consiga acessar segmentos de redes internos, de gerência. É correto pensar que essa validação das regras de bloqueio do FW, independente da capacidade da caixa, pode significar um gargalo já que cada estado de conexão seria testado?
Para um bloqueio simples desse eu não utilizaria o Firewall, faria isso no CORE ou SW L3. Pode ser que não tenha problema se tudo foi dimensionado corretamente, mas pra mim é um desperdício de recurso (se for bloqueio simples e puro).
Nisso estamos falando de grandes empresas e provedores, que irão ter bgp, as... E em pequenas e médias empresas? Acredito que um ngfw já daria conta de tudo sem problemas não é?
Conforme eu disse no vídeo, depende! No final eu levantei algumas questões que podem ser úteis para responder essa dúvida, é uma questão de design dimensionamento e custo do projeto.
Kalau, ótimo debate! Mas ultimamente estão fazendo do roteador o desuso. E estão implantando tudo no FW. Assim como o switch, estão tirando esses elementos das redes, e entupindo os Firewalls com todas as funções !!!!!!!!!! Estão empurrando tudo no firewall, tudo por questão de redução de custo! Depois o analista de Segurança, vira de redes, infra... Tudo!
Ótimo assunto como sempre!
O ponto mais importante é: todo firewall É um roteador e nem todo roteador tem capacidade de firewall. A questão é o foco da aplicação. Como você cita no vídeo, o roteador da maioria das fabricantes tem um hardware especializado em roteamento (os famigerados ASICs) que vão dar uma capacidade de vazão muito grande para o tráfego (geralmente só encaminhando os pacotes e eventualmente fazendo alguma tratativa com informações nas camadas 3 e 4). Já os firewalls são planejado para "abrir" os pacotes e inspecionar até na camada 7. A partir daí tomar determinadas ações (ou até fazer proxy para controlar, eventualmente, vazamento de informações). São especializações distintas. É igual a mecânicos de carros. Temos mecânicos especializados em álcool e gasolina e mecânicos especializados em diesel...
Esse vídeo fez lembra do mikrotik.
Ele que fazer de tudo:
Roteador.
Firewall ate layer 7
Nat.
Proxy web com cache.
Dns recursivo.
Brige.
O packet flow dele é gigante, alem disso é baseado cpu do uso geral e sem memórias associativa.
A literatura diz: o roteador precisa fazer duas coisas bem: roteamento e encaminhamento.
O mikrotik: eu faço de tudo e mais um pouco.😂
Haha Mikrotik é bom demais (até travar)
6:38 Seria um conteúdo interessante pra tu abordar. Quando e onde usar um switch L3 e quando usar um roteador. Principalmente em ambientes SoHo. É um tópico que é um pouco nebuloso para mim mesmo sabendo da topologia de 2/3 camadas que a Cisco recomenda.
Pensando em fazer alguns desse tipo, começando por switches L2
@@GustavoKalau gostaria de ver também , usamos aqui um fortigate com 10 vlan, fazendo todo roteamento entre essas redes
Ja vi ambiente onde duas redes diferentes que estavam diretamente ligadas em um switch l3. E nesse switch payer 3 nao fazia roteamento inter vlan nessas dias redes, ele jogava pra cima em um firewall que fazia o roteamento entre elass. No firewall havia um bypass entre as duas. Um baite desperdício de recurso pois nessa rede havia dvr e cameras gerando alto consumo
hahaha pior que esse cenário que você descreveu é bem comum
Muito bem explicado! 👋
Grato!
Kalau faz um video com ambiente corporativo fw, core, distribuicao e acesso, cono colocar regras e liberar acessos e restringir ? Switch core com varias ACLs ?
Pensando em começar a postar sobre cada dispositivo e depois posso postar a rede como um todo
Obrigado Gustavo
Ótimo conteúdo.
Ótimo conteúdo!!
Obrigado 😃
👏👏👏
6:14 100 sacos de cimento de 50 quilos vai dar 5 toneladas "se eu não me engano...". 😂🤣😂🤣
Peguei cenários em que o firewall é usado pra restringir o roteamento intervlan. Ou seja, pra impedir que uma subrede de acesso à internet consiga acessar segmentos de redes internos, de gerência. É correto pensar que essa validação das regras de bloqueio do FW, independente da capacidade da caixa, pode significar um gargalo já que cada estado de conexão seria testado?
Para um bloqueio simples desse eu não utilizaria o Firewall, faria isso no CORE ou SW L3. Pode ser que não tenha problema se tudo foi dimensionado corretamente, mas pra mim é um desperdício de recurso (se for bloqueio simples e puro).
Nisso estamos falando de grandes empresas e provedores, que irão ter bgp, as... E em pequenas e médias empresas? Acredito que um ngfw já daria conta de tudo sem problemas não é?
Conforme eu disse no vídeo, depende! No final eu levantei algumas questões que podem ser úteis para responder essa dúvida, é uma questão de design dimensionamento e custo do projeto.
@@GustavoKalau sim, eu ainda não havia concluído o vídeo quando comentei kkkk
Kalau, ótimo debate! Mas ultimamente estão fazendo do roteador o desuso. E estão implantando tudo no FW. Assim como o switch, estão tirando esses elementos das redes, e entupindo os Firewalls com todas as funções !!!!!!!!!! Estão empurrando tudo no firewall, tudo por questão de redução de custo! Depois o analista de Segurança, vira de redes, infra... Tudo!
Conforme disse no vídeo, depende. Tem infra que isso pode até funcionar, mas não escala, esse é o ponto!
👏👏👏