Ótimo assunto como sempre! O ponto mais importante é: todo firewall É um roteador e nem todo roteador tem capacidade de firewall. A questão é o foco da aplicação. Como você cita no vídeo, o roteador da maioria das fabricantes tem um hardware especializado em roteamento (os famigerados ASICs) que vão dar uma capacidade de vazão muito grande para o tráfego (geralmente só encaminhando os pacotes e eventualmente fazendo alguma tratativa com informações nas camadas 3 e 4). Já os firewalls são planejado para "abrir" os pacotes e inspecionar até na camada 7. A partir daí tomar determinadas ações (ou até fazer proxy para controlar, eventualmente, vazamento de informações). São especializações distintas. É igual a mecânicos de carros. Temos mecânicos especializados em álcool e gasolina e mecânicos especializados em diesel...
6:38 Seria um conteúdo interessante pra tu abordar. Quando e onde usar um switch L3 e quando usar um roteador. Principalmente em ambientes SoHo. É um tópico que é um pouco nebuloso para mim mesmo sabendo da topologia de 2/3 camadas que a Cisco recomenda.
Kalau faz um video com ambiente corporativo fw, core, distribuicao e acesso, cono colocar regras e liberar acessos e restringir ? Switch core com varias ACLs ?
Esse vídeo fez lembra do mikrotik. Ele que fazer de tudo: Roteador. Firewall ate layer 7 Nat. Proxy web com cache. Dns recursivo. Brige. O packet flow dele é gigante, alem disso é baseado cpu do uso geral e sem memórias associativa. A literatura diz: o roteador precisa fazer duas coisas bem: roteamento e encaminhamento. O mikrotik: eu faço de tudo e mais um pouco.😂
Ja vi ambiente onde duas redes diferentes que estavam diretamente ligadas em um switch l3. E nesse switch payer 3 nao fazia roteamento inter vlan nessas dias redes, ele jogava pra cima em um firewall que fazia o roteamento entre elass. No firewall havia um bypass entre as duas. Um baite desperdício de recurso pois nessa rede havia dvr e cameras gerando alto consumo
Peguei cenários em que o firewall é usado pra restringir o roteamento intervlan. Ou seja, pra impedir que uma subrede de acesso à internet consiga acessar segmentos de redes internos, de gerência. É correto pensar que essa validação das regras de bloqueio do FW, independente da capacidade da caixa, pode significar um gargalo já que cada estado de conexão seria testado?
Para um bloqueio simples desse eu não utilizaria o Firewall, faria isso no CORE ou SW L3. Pode ser que não tenha problema se tudo foi dimensionado corretamente, mas pra mim é um desperdício de recurso (se for bloqueio simples e puro).
Nisso estamos falando de grandes empresas e provedores, que irão ter bgp, as... E em pequenas e médias empresas? Acredito que um ngfw já daria conta de tudo sem problemas não é?
Conforme eu disse no vídeo, depende! No final eu levantei algumas questões que podem ser úteis para responder essa dúvida, é uma questão de design dimensionamento e custo do projeto.
Kalau, ótimo debate! Mas ultimamente estão fazendo do roteador o desuso. E estão implantando tudo no FW. Assim como o switch, estão tirando esses elementos das redes, e entupindo os Firewalls com todas as funções !!!!!!!!!! Estão empurrando tudo no firewall, tudo por questão de redução de custo! Depois o analista de Segurança, vira de redes, infra... Tudo!