LAN: va prima il firewall o il modem?

4gboy

idealmente, in una semplice LAN, subito dopo la connettività Internet ci deve stare il modem o il firewall? io credo il modem e poi collegato a quest'ultimo il FW e poi a quest'ultimo un router con tutto il resto ma vedendo diversi diagrammi in Rete noto che mettono il FW subito dopo la connettività e poi il modem.

matteoc

4gboy Ipotizzo stiamo parlando di situazioni residenziali. Lasciamo perdere il fatto che generalmente questi 3 dispositivi (e non solo) si trovano all'interno dello stesso dispositivo fisico ("hub").

Il primo dispositivo è il modem perché gli altri dispositivi di rete non utilizzano i protocolli DSL. Stesso discorso vale in caso di reti PON con l'ONT.
Il secondo è il router perché deve gestire l'instradamento dei pacchetti tra LAN e WAN.
Il terzo è il firewall (senza il quale funzionerebbe tutto comunque) che si occupa di bloccare eventuali pacchetti indesiderati rispetto ai dispositivi della LAN.

[cancellato]

4gboy noto che mettono il FW subito dopo la connettività e poi il modem.

Il "modem" dopo il firewall la vedo difficile, perché il compito del "modem" è in genere quello di convertire fra protocolli fisici diversi, tipicamente da quello della WAN (xDSL, xPON, ecc.) sul suo trasporto specifico (doppino, fibra, ecc.) a Ethernet (su rame o fibra), così che poi sia possibile collegarci qualsiasi dispositivo con interfacce Ethernet.

Poi essendoci "modem" in formato SFP è possibile anche inserirli direttamente in un router/firewall.

Un firewall "trasparente" è un firewall layer 2 che funziona in modalità "bridge" (non "routed") e si potrebbe anche installare fra un "modem" e un router, ma serve un dispositivo adatto. In genere però sono installati dopo.

4gboy Poi, subito PRIMA del FW, facciamo una eventuale DMZ, giusto?

Tecnicamente la DMZ va tra due firewall, quello di frontend e quello di backend - altrimenti qualsiasi macchina in DMZ si trova completamente esposta su Internet - protetta al massimo dai firewall locali. Si puà fare anche con un singolo firewall e una subnet separata per la DMZ (sempre gestita dal firewall), un po' meno sicuro ma possibile.

Se hai macchine in DMZ dovresti avere un IDS/IPS per verificare anche il traffico verso di loro.

4gboy

allora ci siamo più o meno: parlo cmq di scenari aziendali così abbiamo bene in mente ogni singolo pezzo (modem, router, firewall) e non un solo apparecchio che li contiene tutti come a casa nostra.
Poi, subito PRIMA del FW, facciamo una eventuale DMZ, giusto?
Poi, subito DOPO il FW, mettiamo un IPS, giusto?

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile