- Los principales objetivos del diseño de una red en cuanto seguridad, deberían ser:
- Seguridad y mitigación de ataques basados en políticas.
- Implementación de la seguridad a través de la infraestructura (No sólo en dispositivos especializados).
- Admnistración y reportes asegurados.
- Autenticación y autorización de usuarios y administradores hacia los recursos críticos de la red.
- Detección de intrusos para recursos críticos y subnets.
- Soporte para aplicaciones en red emergentes.
La arquitectura de red debe impedir que la mayoría de los ataques afecten exitosamente recursos de red valiosos. Los ataques logren penetrar la primera línea de defensa, o que son originados desde dentro de de la red, deben ser detectados de manera precisa y rápidamente contenidos para evitar su efecto en el resto de la red. EL buen funcionamiento de la red y la apropiada seguridad pueden y deben ser entregados al mismo tiempo.
La seguridad debe ser escalable y confiable, entendiendo que debería existir una redundancia física para protegernos contra la falla de un dispositivo, así como un error de configuración, fallas físicas, o un ataque a la red. Aunque podríamos pensar que un diseño simple podría ser mejor, los ambientes de seguridad son complejos, aunque hay algunas maneras de simplificarlos.
A veces se debe escoger entre la funcionalidad integrada en un elemento de red o un dispositivo especializado. La primera opción es atractiva porque puedes implementarla sobre equipo existente, o porque algunas características no pueden operar con el resto del dispositivo para dar un mejor rendimiento. Se usan dispositivos especializados cuando requerimos un performance muy avanzado (o un gran throughput por ejemplo) o características muy especializadas; y se debe decidir basdo en la capacidad y funcionalidad de los dispositivos contra la ventaja que presenta la integración en un elemento existente. Por ejemplo escoger entre un router de gran capacidad con características de firewall en el IOS, o un router de menor capacidad en combinación con el uso de un firewall separado. En un ambiente corporativo altamente demandante se usan dispositivos especializados por la gran carga de trabajo sobre los elementos de red.