የአውታረ መረብ መሠረተ ልማትዎን እንዴት እንደሚቆጣጠሩ። ምዕራፍ ሶስት. የአውታረ መረብ ደህንነት. ክፍል ሶስት

ይህ መጣጥፍ “የአውታረ መረብ መሠረተ ልማትዎን እንዴት እንደሚቆጣጠሩ” በሚለው ተከታታይ አምስተኛው ነው። በተከታታይ እና አገናኞች ውስጥ የሁሉም መጣጥፎች ይዘቶች ሊገኙ ይችላሉ። እዚህ.

ይህ ክፍል ለ ካምፓስ (ኦፊስ) እና የርቀት መዳረሻ ቪፒኤን ክፍሎች ይሰጣል።

የቢሮ አውታር ንድፍ ቀላል ሊመስል ይችላል.

በእርግጥ, የ L2 / L3 መቀየሪያዎችን እንወስዳለን እና እርስ በርስ እናገናኛቸዋለን. በመቀጠልም መሰረታዊ የቪላኖች እና ነባሪ መግቢያ መንገዶችን እናከናውናለን ፣ ቀላል ማዞሪያን እናዘጋጃለን ፣ የ WiFi መቆጣጠሪያዎችን ፣ የመዳረሻ ነጥቦችን ፣ ኤስኤ ን ለርቀት ተደራሽነት ጫን እና እናዋቅራለን ፣ ሁሉም ነገር በመስራቱ ደስተኞች ነን። በመሠረቱ, ቀደም ሲል በአንዱ ላይ እንደጻፍኩት ጽሑፎች በዚህ ዑደት ውስጥ የቴሌኮም ኮርስ ሁለት ሴሚስተር የተማረ (የተማረ) ተማሪ ሁሉ ማለት ይቻላል የቢሮ ኔትወርክን በመንደፍና በማዋቀር “በሆነ መንገድ ይሰራል”።

ነገር ግን ብዙ በተማርክ ቁጥር ይህ ተግባር ቀላል ሆኖ መታየት ይጀምራል። ለእኔ በግል, ይህ ርዕስ, የቢሮ አውታር ንድፍ ርዕስ, ቀላል አይመስልም, እና በዚህ ጽሑፍ ውስጥ ለምን እንደሆነ ለማብራራት እሞክራለሁ.

በአጭሩ፣ ከግምት ውስጥ መግባት ያለባቸው ጥቂት ምክንያቶች አሉ። ብዙውን ጊዜ እነዚህ ምክንያቶች እርስ በርስ ይጋጫሉ እና ምክንያታዊ ስምምነት መፈለግ አለባቸው.
ይህ እርግጠኛ አለመሆን ዋነኛው ችግር ነው። ስለዚህ, ስለ ደህንነት ስንናገር, ሶስት እርከኖች ያሉት ሶስት ማእዘን አለን: ደህንነት, ለሰራተኞች ምቾት, የመፍትሄው ዋጋ.
እና በእያንዳንዱ ጊዜ በእነዚህ ሶስት መካከል ስምምነትን መፈለግ አለብዎት.

ሥነ ሕንፃ

ለእነዚህ ሁለት ክፍሎች እንደ ስነ-ህንፃ ምሳሌ, እንደ ቀደምት ጽሁፎች, እመክራለሁ Cisco SAFE ሞዴል ፦ የድርጅት ካምፓስ, የኢንተርፕራይዝ ኢንተርኔት ጠርዝ.

እነዚህ በመጠኑ ያረጁ ሰነዶች ናቸው። እዚህ አቀርባቸዋለሁ ምክንያቱም መሰረታዊ መርሃግብሮች እና አቀራረቦች አልተቀየሩም, ግን በተመሳሳይ ጊዜ አቀራረቡን ከውስጡ የበለጠ እወዳለሁ አዲስ ሰነድ.

የሲስኮ መፍትሄዎችን እንድትጠቀም ሳላበረታታ, አሁንም ይህንን ንድፍ በጥንቃቄ ማጥናት ጠቃሚ ነው ብዬ አስባለሁ.

ይህ ጽሑፍ፣ እንደተለመደው፣ በምንም መልኩ የተሟላ መስሎ አይታይም፣ ይልቁንም የዚህ መረጃ ተጨማሪ ነው።

በአንቀጹ መጨረሻ ላይ የ Cisco SAFE የቢሮ ዲዛይን እዚህ ከተገለጹት ጽንሰ-ሐሳቦች አንጻር እንመረምራለን.

አጠቃላይ መመሪያዎች

የቢሮው አውታር ንድፍ, የተብራራውን አጠቃላይ መስፈርቶች ማሟላት አለበት እዚህ በምዕራፍ ውስጥ "የንድፍ ጥራትን ለመገምገም መስፈርቶች". በዚህ ጽሑፍ ውስጥ ልንወያይባቸው ከምንፈልገው ዋጋ እና ደህንነት በተጨማሪ፣ ስንቀርጽ (ወይም ለውጦችን ስናደርግ ልናጤናቸው የሚገቡ ሦስት መመዘኛዎች) አሁንም አሉ፡-

• መስፋፋት
• የአስተዳደር ቀላልነት
• መገኘት

ውይይት የተደረገበት አብዛኛው የውሂብ ማዕከሎች ይህ ደግሞ ለቢሮው እውነት ነው.

ግን አሁንም, የቢሮው ክፍል የራሱ የሆነ ዝርዝር አለው, ይህም ከደህንነት እይታ አንጻር ወሳኝ ነው. የዚህ ልዩነት ይዘት ይህ ክፍል የተፈጠረው ለኩባንያው ሰራተኞች (እንዲሁም አጋሮች እና እንግዶች) የኔትወርክ አገልግሎቶችን ለመስጠት ነው ፣ እናም በዚህ ምክንያት ለችግሩ ከፍተኛ ግምት ውስጥ ሁለት ተግባራት አሉን ።

• የኩባንያውን ሀብት ከሰራተኞች (ከእንግዶች፣ ከአጋሮች) እና ከሚጠቀሙት ሶፍትዌር ሊመጡ ከሚችሉ ተንኮል አዘል ድርጊቶች ይጠብቁ። ይህ ደግሞ ከአውታረ መረቡ ጋር ካልተፈቀደ ግንኙነት ጥበቃን ያካትታል።
• ስርዓቶችን እና የተጠቃሚ ውሂብን ይከላከሉ

እና ይህ የችግሩ አንድ ጎን ብቻ ነው (ወይም ይልቁንስ የሶስት ማዕዘን አንድ ጫፍ)። በሌላ በኩል የተጠቃሚዎች ምቾት እና ጥቅም ላይ የዋሉ መፍትሄዎች ዋጋ ነው.

አንድ ተጠቃሚ ከዘመናዊ የቢሮ ኔትወርክ ምን እንደሚጠብቀው በመመልከት እንጀምር።

መገልገያዎች

በእኔ አስተያየት ለቢሮ ተጠቃሚ “የአውታረ መረብ መገልገያዎች” ምን እንደሚመስሉ እነሆ፡-

• ተንቀሳቃሽነት
• የታወቁ መሳሪያዎችን እና ስርዓተ ክወናዎችን ሙሉ በሙሉ የመጠቀም ችሎታ
• ለሁሉም አስፈላጊ የኩባንያ ሀብቶች በቀላሉ መድረስ
• የተለያዩ የደመና አገልግሎቶችን ጨምሮ የበይነመረብ ሀብቶች መገኘት
• የአውታረ መረብ "ፈጣን አሠራር".

ይህ ሁሉ ለሁለቱም ሰራተኞች እና እንግዶች (ወይም አጋሮች) ተፈጻሚ ይሆናል, እና የኩባንያው መሐንዲሶች ተግባር በተፈቀደው መሰረት ለተለያዩ የተጠቃሚ ቡድኖች መዳረሻን መለየት ነው.

እያንዳንዳቸውን እነዚህን ገጽታዎች በጥቂቱ በዝርዝር እንመልከታቸው።

ተንቀሳቃሽነት

በዓለም ላይ ከየትኛውም ቦታ ሆነው (በእርግጥ በይነመረብ የሚገኝበት) ሁሉንም አስፈላጊ የኩባንያ ሀብቶችን ለመስራት እና ለመጠቀም እድሉ እየተነጋገርን ነው።

ይህ ለቢሮው ሙሉ በሙሉ ይሠራል። በቢሮው ውስጥ ከየትኛውም ቦታ ሆነው መስራት ለመቀጠል እድሉ ሲኖርዎት ይህ ምቹ ነው ፣ ለምሳሌ ፣ ደብዳቤ መቀበል ፣ በድርጅት መልእክተኛ ውስጥ መገናኘት ፣ ለቪዲዮ ጥሪ መገኘት ፣ ... ስለዚህ ይህ በአንድ በኩል ያስችልዎታል ። አንዳንድ ጉዳዮችን "በቀጥታ" ግንኙነት ለመፍታት (ለምሳሌ በሰልፎች ላይ መሳተፍ) እና በሌላ በኩል ሁል ጊዜ በመስመር ላይ ይሁኑ ፣ ጣትዎን በ pulse ላይ ያድርጉት እና አንዳንድ አስቸኳይ ከፍተኛ ቅድሚያ የሚሰጣቸውን ተግባራት በፍጥነት ይፍቱ። ይህ በጣም ምቹ እና በእውነቱ የግንኙነት ጥራትን ያሻሽላል።

ይህ በተገቢው የ WiFi አውታረ መረብ ንድፍ የተገኘ ነው.

ማስታወሻ

እዚህ ብዙውን ጊዜ ጥያቄው ይነሳል-WiFi ብቻ መጠቀም በቂ ነው? ይህ ማለት በቢሮ ውስጥ የኤተርኔት ወደቦችን መጠቀም ማቆም ይችላሉ ማለት ነው? እየተነጋገርን ያለነው ስለ ተጠቃሚዎች ብቻ ነው ፣ እና ስለ አገልጋዮች አይደለም ፣ አሁንም ከመደበኛ የኢተርኔት ወደብ ጋር ለመገናኘት ምክንያታዊ ናቸው ፣ በአጠቃላይ መልሱ ነው-አዎ ፣ እራስዎን በ WiFi ብቻ መወሰን ይችላሉ። ግን ልዩነቶች አሉ.

የተለየ አቀራረብ የሚያስፈልጋቸው ጠቃሚ የተጠቃሚ ቡድኖች አሉ። እነዚህ በእርግጥ አስተዳዳሪዎች ናቸው። በመርህ ደረጃ፣ የዋይፋይ ግንኙነት አስተማማኝ አይደለም (ከትራፊክ ኪሳራ አንፃር) እና ከመደበኛ የኤተርኔት ወደብ ቀርፋፋ ነው። ይህ ለአስተዳዳሪዎች ጠቃሚ ሊሆን ይችላል. በተጨማሪም የአውታረ መረብ አስተዳዳሪዎች ለምሳሌ በመርህ ደረጃ የራሳቸው የሆነ የኤተርኔት አውታረመረብ ከባንዱ ውጪ ለሆኑ ግንኙነቶች ሊኖራቸው ይችላል።

በድርጅትዎ ውስጥ እነዚህ ነገሮች አስፈላጊ የሆኑባቸው ሌሎች ቡድኖች/ ክፍሎች ሊኖሩ ይችላሉ።

ሌላ አስፈላጊ ነጥብ አለ - ቴሌፎን. ምናልባት በሆነ ምክንያት ገመድ አልባ ቪኦአይፒን መጠቀም አይፈልጉም እና የአይፒ ስልኮችን ከመደበኛ የኢተርኔት ግንኙነት ጋር መጠቀም ይፈልጋሉ።

በአጠቃላይ እኔ የሰራሁባቸው ኩባንያዎች አብዛኛውን ጊዜ ሁለቱም የዋይፋይ ግንኙነት እና የኤተርኔት ወደብ ነበራቸው።

ተንቀሳቃሽነት በቢሮ ብቻ ብቻ እንዳይወሰን እመኛለሁ።

ከቤት (ወይም በማንኛውም ሌላ ተደራሽ በይነመረብ ያለው ቦታ) የመስራት ችሎታን ለማረጋገጥ የቪፒኤን ግንኙነት ጥቅም ላይ ይውላል። በተመሳሳይ ጊዜ ሰራተኞቹ ከቤት እና ከርቀት ስራ መካከል ያለውን ልዩነት እንዳይሰማቸው የሚፈለግ ነው, ይህም ተመሳሳይ መዳረሻን ይወስዳል. ይህንን እንዴት ማደራጀት እንደሚቻል ትንሽ ቆይቶ “የተዋሃደ የተማከለ የማረጋገጫ እና የፈቃድ ስርዓት” በሚለው ምዕራፍ እንነጋገራለን።

ማስታወሻ

ምናልባትም በቢሮ ውስጥ ላሉት የርቀት ስራዎች ተመሳሳይ ጥራት ያላቸውን አገልግሎቶች ሙሉ በሙሉ ማቅረብ አይችሉም። እስቲ Cisco ASA 5520 እንደ ቪፒኤን መግቢያ በር እየተጠቀምክ እንደሆነ እናስብ ዳታ ገጽ ይህ መሳሪያ 225 Mbit የቪፒኤን ትራፊክን ብቻ "መፍጨት" ይችላል። ማለትም፣በመተላለፊያ ይዘት፣በቪፒኤን መገናኘት ከቢሮው በጣም የተለየ ነው። እንዲሁም፣ በሆነ ምክንያት መዘግየት፣ኪሳራ፣ጅተር (ለምሳሌ የቢሮ አይፒ ቴሌፎን መጠቀም ከፈለጉ) ለኔትዎርክ አገልግሎቶ ጠቃሚ ከሆነ በቢሮ ውስጥ እንዳሉት አይነት ጥራት አያገኙም። ስለዚህ, ስለ ተንቀሳቃሽነት ስንነጋገር, ሊሆኑ የሚችሉ ገደቦችን ማወቅ አለብን.

ለሁሉም የኩባንያ ሀብቶች በቀላሉ መድረስ

ይህ ተግባር ከሌሎች የቴክኒክ ክፍሎች ጋር በጋራ መፈታት አለበት.
ተስማሚው ሁኔታ ተጠቃሚው አንድ ጊዜ ብቻ ማረጋገጥ ሲፈልግ እና ከዚያ በኋላ ሁሉንም አስፈላጊ ሀብቶች ማግኘት ሲችል ነው.
ደህንነትን ሳይከፍሉ ቀላል መዳረሻን መስጠት ምርታማነትን በእጅጉ ያሻሽላል እና በባልደረባዎችዎ መካከል ያለውን ጭንቀት ይቀንሳል።

አስተያየት 1

የመዳረሻ ቀላልነት የይለፍ ቃል ለማስገባት ስንት ጊዜ ያህል ብቻ አይደለም። ለምሳሌ በደህንነት ፖሊሲዎ መሰረት ከቢሮው ወደ ዳታ ማእከሉ ለመገናኘት በመጀመሪያ ከቪፒኤን መግቢያ በር ጋር መገናኘት ካለቦት እና በተመሳሳይ ጊዜ የቢሮ ሀብቶችን ማግኘት ከጠፋብዎ ይህ ደግሞ በጣም ነው. , በጣም የማይመች.

አስተያየት 2

ብዙውን ጊዜ የራሳችን የወሰኑ AAA አገልጋዮች ያሉን አገልግሎቶች (ለምሳሌ የአውታረ መረብ መሣሪያዎች መዳረሻ) አሉ እና በዚህ ሁኔታ ውስጥ ብዙ ጊዜ ማረጋገጥ ያለብን ይህ መደበኛ ነው።

የበይነመረብ ሀብቶች መገኘት

በይነመረብ መዝናኛ ብቻ ሳይሆን ለስራ በጣም ጠቃሚ የሆኑ የአገልግሎቶች ስብስብ ነው. ስነ ልቦናዊ ምክንያቶችም አሉ። አንድ ዘመናዊ ሰው ከብዙ ምናባዊ ክሮች ጋር በኢንተርኔት አማካኝነት ከሌሎች ሰዎች ጋር ይገናኛል, እና በእኔ አስተያየት, በሚሰራበት ጊዜ እንኳን ይህን ግንኙነት ቢሰማው ምንም ስህተት የለውም.

ጊዜን ከማባከን አንፃር አንድ ሰራተኛ ለምሳሌ ስካይፕ ቢሮጥ እና አስፈላጊ ከሆነ ከሚወዱት ሰው ጋር ለመግባባት 5 ደቂቃዎችን ቢያጠፋ ምንም ስህተት የለውም።

ይህ ማለት በይነመረብ ሁል ጊዜ መገኘት አለበት ማለት ነው ፣ ይህ ማለት ሰራተኞች ሁሉንም ሀብቶች ማግኘት ይችላሉ እና በምንም መንገድ አይቆጣጠሩም ማለት ነው?

አይደለም እንደዚያ ማለት አይደለም። ለተለያዩ ኩባንያዎች የበይነመረብ ክፍትነት ደረጃ ሊለያይ ይችላል - ከሙሉ መዘጋት እስከ ሙሉ ክፍትነት። በደህንነት እርምጃዎች ላይ ባሉት ክፍሎች ውስጥ የትራፊክ መቆጣጠሪያ መንገዶችን እንነጋገራለን ።

የታወቁ መሳሪያዎችን ሙሉ ክልል የመጠቀም ችሎታ

ለምሳሌ በስራ ላይ የሚውሉትን ሁሉንም የመገናኛ ዘዴዎች መጠቀም ለመቀጠል እድሉ ሲኖርዎት ምቹ ነው. ይህንን በቴክኒክ ተግባራዊ ለማድረግ ምንም ችግር የለም. ለዚህ ዋይፋይ እና እንግዳ ዊላን ያስፈልግዎታል።

እንዲሁም የለመዱትን ስርዓተ ክወና ለመጠቀም እድሉ ካሎት ጥሩ ነው. ነገር ግን፣ በእኔ ምልከታ፣ ይህ አብዛኛውን ጊዜ የሚፈቀደው ለአስተዳዳሪዎች፣ አስተዳዳሪዎች እና ገንቢዎች ብቻ ነው።

ለምሳሌ:

እርግጥ ነው, የተከለከሉበትን መንገድ መከተል, የርቀት መዳረሻን መከልከል, ከሞባይል መሳሪያዎች መገናኘትን መከልከል, ሁሉንም ነገር ወደ የማይለዋወጥ የኤተርኔት ግንኙነቶች መገደብ, የበይነመረብ መዳረሻን መገደብ, የሞባይል ስልኮችን እና መግብሮችን በፍተሻ ቦታ ላይ ማስገደድ ይችላሉ ... እና ይህ መንገድ በእርግጥ አንዳንድ ድርጅቶች የደህንነት መስፈርቶችን ይጨምራሉ እና ምናልባትም በአንዳንድ ሁኔታዎች ይህ ትክክል ሊሆን ይችላል ፣ ግን ... ይህ በአንድ ድርጅት ውስጥ እድገትን ለማስቆም የሚደረግ ሙከራ ይመስላል ብለው መስማማት አለብዎት። እርግጥ ነው, ዘመናዊ ቴክኖሎጂዎች የሚሰጡትን እድሎች በበቂ ደረጃ ከደህንነት ጋር ማዋሃድ እፈልጋለሁ.

የአውታረ መረብ "ፈጣን አሠራር".

የውሂብ ማስተላለፍ ፍጥነት በቴክኒካል ብዙ ነገሮችን ያካትታል። እና የግንኙነት ወደብዎ ፍጥነት አብዛኛውን ጊዜ በጣም አስፈላጊ አይደለም. የመተግበሪያው አዝጋሚ አሠራር ሁልጊዜ ከአውታረ መረብ ችግሮች ጋር የተገናኘ አይደለም, ነገር ግን ለአሁኑ የኔትወርክን ክፍል ብቻ ነው የምንፈልገው. በአካባቢያዊ አውታረመረብ "ቀስ በቀስ" በጣም የተለመደው ችግር ከፓኬት መጥፋት ጋር የተያያዘ ነው. ይህ በአብዛኛው የሚከሰተው የጠርሙስ አንገት ወይም L1 (OSI) ችግሮች ሲኖሩ ነው። በጣም አልፎ አልፎ፣ በአንዳንድ ዲዛይኖች (ለምሳሌ፣ የእርስዎ ንዑስ አውታረ መረቦች እንደ ነባሪው መግቢያ በር ፋየርዎል ሲኖራቸው እና ሁሉም ትራፊክ በእሱ ውስጥ ሲያልፍ) የሃርድዌር አፈፃፀም ሊጎድል ይችላል።

ስለዚህ, መሳሪያዎችን እና ስነ-ህንፃዎችን በሚመርጡበት ጊዜ, የጫፍ ወደቦችን, የግንዶችን እና የመሳሪያዎችን አፈፃፀም ፍጥነት ማዛመድ ያስፈልግዎታል.

ለምሳሌ:

እንደ የመዳረሻ ንብርብር መቀየሪያዎች ከ1 ጊጋቢት ወደቦች ጋር መቀየሪያዎችን እየተጠቀሙ ነው እናስብ። በ Etherchannel 2 x 10 gigabits በኩል እርስ በርስ የተያያዙ ናቸው. እንደ ነባሪ መግቢያ በር ፋየርዎል ከጂጋቢት ወደቦች ጋር ትጠቀማለህ፣ የትኛውን ከ L2 የቢሮ አውታረመረብ ጋር ለማገናኘት 2 ጊጋቢት ወደቦች ወደ ኢተርቻናል ተቀላቅለዋል።

ይህ አርክቴክቸር ከተግባራዊነት አንፃር በጣም ምቹ ነው፣ ምክንያቱም... ሁሉም ትራፊክ በፋየርዎል በኩል ያልፋል፣ እና የመዳረሻ ፖሊሲዎችን በምቾት ማስተዳደር እና ትራፊክን ለመቆጣጠር እና ሊከሰቱ የሚችሉ ጥቃቶችን ለመከላከል ውስብስብ ስልተ ቀመሮችን መተግበር ይችላሉ (ከዚህ በታች ይመልከቱ) ፣ ግን ከሂደቱ እና ከአፈፃፀም እይታ ይህ ንድፍ በእርግጥ ችግሮች ሊኖሩት ይችላል። ስለዚህ ፣ ለምሳሌ ፣ 2 አስተናጋጆች መረጃን ማውረድ (በ 1 ጊጋባይት የወደብ ፍጥነት) የ 2 ጊጋቢት ግንኙነትን ወደ ፋየርዎል ሙሉ በሙሉ ሊጭኑት ይችላሉ ፣ እና ስለዚህ ለጠቅላላው የቢሮ ክፍል የአገልግሎት ውድቀት ያስከትላል።

የሶስት ማዕዘኑን አንድ ጫፍ ተመልክተናል፣ አሁን ደህንነትን እንዴት ማረጋገጥ እንደምንችል እንይ።

መድኃኒቶች

ስለዚህ ፣በእርግጥ ፣ ብዙውን ጊዜ የእኛ ፍላጎት (ወይም ይልቁንም ፣ የአመራር ፍላጎታችን) የማይቻለውን ፣ ማለትም ፣ ከፍተኛውን ደህንነት እና ዝቅተኛ ወጪን በመጠቀም ከፍተኛውን ምቾት መስጠት ነው።

ጥበቃ ለመስጠት ምን ዘዴዎች እንዳሉን እንመልከት.

ለቢሮው, የሚከተሉትን አጉልቼ እሰጣለሁ.

• ዜሮ እምነት ወደ ንድፍ አቀራረብ
• ከፍተኛ የመከላከያ ደረጃ
• የአውታረ መረብ ታይነት
• የተዋሃደ የተማከለ የማረጋገጫ እና የፈቃድ ስርዓት
• አስተናጋጅ ማረጋገጥ

በመቀጠል በእያንዳንዱ በእነዚህ ገጽታዎች ላይ ትንሽ በዝርዝር እንኖራለን.

ዜሮ ትረስት

የአይቲ ዓለም በጣም በፍጥነት እየተቀየረ ነው። ልክ ባለፉት 10 ዓመታት ውስጥ፣ አዳዲስ ቴክኖሎጂዎች እና ምርቶች መፈጠር የደህንነት ጽንሰ-ሀሳቦችን በከፍተኛ ደረጃ ማሻሻል አስችሏል። ከአስር አመት በፊት ከደህንነት አንፃር ኔትወርኩን ወደ እምነት ፣ዲኤምዝ እና እምነት አልባ ዞኖች ከፋፍለን “ፔሪሜትር ጥበቃ” እየተባለ የሚጠራውን ተጠቅመን 2 የመከላከያ መስመሮች ነበሩ፡- አለመተማመን -> dmz እና dmz -> እምነት. እንዲሁም፣ ጥበቃ አብዛኛውን ጊዜ በL3/L4 (OSI) ራስጌዎች (IP፣ TCP/UDP ወደቦች፣ TCP ባንዲራዎች) ላይ በተመሠረቱ የመዳረሻ ዝርዝሮች ላይ ብቻ የተገደበ ነበር። L7 ን ጨምሮ ከከፍተኛ ደረጃዎች ጋር የተያያዙ ሁሉም ነገሮች በመጨረሻው አስተናጋጆች ላይ ለተጫኑ የስርዓተ ክወና እና የደህንነት ምርቶች ተትተዋል።

አሁን ሁኔታው ​​በጣም ተለውጧል. ዘመናዊ ጽንሰ-ሐሳብ ዜሮ እምነት የመጣው ከአሁን በኋላ የውስጥ ስርዓቶችን ማለትም በፔሪሜትር ውስጥ የሚገኙትን እንደ ታማኝነት መቁጠር ስለማይቻል እና የፔሪሜትር ጽንሰ-ሐሳብ እራሱ ደብዝዟል.
ከኢንተርኔት ግንኙነት በተጨማሪ አለን።

• የርቀት መዳረሻ VPN ተጠቃሚዎች
• የተለያዩ የግል መግብሮች፣ ያመጡ ላፕቶፖች፣ በቢሮ ዋይፋይ የተገናኙ
• ሌሎች (ቅርንጫፍ) ቢሮዎች
• ከደመና መሠረተ ልማት ጋር ውህደት

የዜሮ ትረስት አካሄድ በተግባር ምን ይመስላል?

በሐሳብ ደረጃ፣ የሚፈለገው ትራፊክ ብቻ መፈቀድ አለበት፣ እና ስለ ሃሳቡ እየተነጋገርን ከሆነ፣ ቁጥጥር በ L3/L4 ደረጃ ብቻ ሳይሆን በመተግበሪያ ደረጃ መሆን አለበት።

ለምሳሌ ሁሉንም ትራፊክ በፋየርዎል ውስጥ የማለፍ ችሎታ ካለህ ወደ ሃሳቡ ለመቅረብ መሞከር ትችላለህ። ነገር ግን ይህ አካሄድ የኔትወርክዎን አጠቃላይ የመተላለፊያ ይዘት በእጅጉ ሊቀንሰው ይችላል፣ እና በተጨማሪ፣ በመተግበሪያ ማጣራት ሁልጊዜ ጥሩ አይሰራም።

በራውተር ወይም በኤል 3 ማብሪያ / ማጥፊያ (መደበኛ ኤሲኤሎችን በመጠቀም) ትራፊክን ሲቆጣጠሩ ሌሎች ችግሮች ያጋጥሙዎታል፡-

• ይህ L3/L4 ማጣሪያ ብቻ ነው። አንድ አጥቂ የተፈቀዱ ወደቦችን (ለምሳሌ TCP 80) ለመተግበሪያቸው ከመጠቀም የሚያግደው ምንም ነገር የለም (http አይደለም)
• ውስብስብ የACL አስተዳደር (ኤሲኤሎችን ለመተንተን አስቸጋሪ)
• ይህ ሙሉ በሙሉ ፋየርዎል አይደለም፣ ይህ ማለት በግልባጭ ትራፊክ መፍቀድ ያስፈልግዎታል ማለት ነው።
• በመቀየሪያዎች ብዙውን ጊዜ በ TCAM መጠን በጣም የተገደበ ነው፣ ይህም "የሚፈልጉትን ብቻ ፍቀድ" የሚለውን አካሄድ ከወሰዱ በፍጥነት ችግር ሊሆን ይችላል።

ማስታወሻ

ስለ ተገላቢጦሽ ትራፊክ ስንናገር፣ የሚከተለው እድል እንዳለን ማስታወስ አለብን (Cisco)

ፈቃድ tcp ማንኛውም የተቋቋመ

ግን ይህ መስመር ከሁለት መስመሮች ጋር እኩል መሆኑን መረዳት ያስፈልግዎታል:
ፈቃድ tcp ማንኛውንም ack
ፈቃድ tcp በማንኛውም መጀመሪያ

ይህም ማለት ምንም እንኳን የ SYN ባንዲራ ያለው የመጀመሪያ የTCP ክፍል ባይኖርም (ይህም የTCP ክፍለ ጊዜ መመስረት እንኳን ባይጀምርም) ይህ ACL የ ACK ባንዲራ ያለው ፓኬት ይፈቅዳል፣ ይህም አጥቂ መረጃን ለማስተላለፍ ሊጠቀምበት ይችላል።

ማለትም ይህ መስመር የእርስዎን ራውተር ወይም L3 ማብሪያ በምንም መንገድ ወደ ሙሉ ፋየርዎል አይለውጠውም።

ከፍተኛ የመከላከያ ደረጃ

В ጽሑፍ በመረጃ ማእከሎች ክፍል ውስጥ, የሚከተሉትን የጥበቃ ዘዴዎች ተመልክተናል.

• ሁኔታዊ ፋየርዎልንግ (ነባሪ)
• ddos/dos ጥበቃ
• የመተግበሪያ ፋየርዎልንግ
• ስጋትን መከላከል (ፀረ-ቫይረስ፣ ፀረ ስፓይዌር እና ተጋላጭነት)
• URL ማጣራት።
• የውሂብ ማጣሪያ (የይዘት ማጣሪያ)
• የፋይል ማገድ (የፋይል ዓይነቶችን ማገድ)

በቢሮ ውስጥ, ሁኔታው ​​ተመሳሳይ ነው, ነገር ግን ቅድሚያ የሚሰጣቸው ጉዳዮች ትንሽ ለየት ያሉ ናቸው. የቢሮ መገኘት (ተገኝነት) እንደ ዳታ ማእከል ያን ያህል ወሳኝ አይደለም ነገር ግን "የውስጥ" አደገኛ ትራፊክ የመከሰት እድሉ ከፍተኛ ነው.
ስለዚህ ለዚህ ክፍል የሚከተሉት የመከላከያ ዘዴዎች ወሳኝ ይሆናሉ.

• የመተግበሪያ ፋየርዎልንግ
• ስጋትን መከላከል (ፀረ-ቫይረስ፣ ፀረ ስፓይዌር እና ተጋላጭነት)
• URL ማጣራት።
• የውሂብ ማጣሪያ (የይዘት ማጣሪያ)
• የፋይል ማገድ (የፋይል ዓይነቶችን ማገድ)

ምንም እንኳን እነዚህ ሁሉ የመከላከያ ዘዴዎች ከአፕሊኬሽን ፋየርዎልንግ በስተቀር እንደ ተለመደው በመጨረሻው አስተናጋጆች ላይ (ለምሳሌ የፀረ-ቫይረስ ፕሮግራሞችን በመጫን) እና ፕሮክሲዎችን በመጠቀም ተፈትተዋል እና አሁንም እየሰሩ ናቸው ፣ ዘመናዊ NGFWsም እነዚህን አገልግሎቶች ይሰጣሉ ።

የደህንነት መሳሪያዎች አቅራቢዎች ሁሉን አቀፍ ጥበቃን ለመፍጠር ይጥራሉ, ስለዚህ ከአካባቢ ጥበቃ ጋር, የተለያዩ የደመና ቴክኖሎጂዎችን እና የደንበኛ ሶፍትዌሮችን ለአስተናጋጆች (የመጨረሻ ነጥብ ጥበቃ / ኢፒፒ) ይሰጣሉ. ስለዚህ, ለምሳሌ, ከ 2018 ጋርትነር አስማት Quadrant Palo Alto እና Cisco የራሳቸው EPPs (PA: Traps, Cisco: AMP) እንዳላቸው እናያለን, ነገር ግን ከመሪዎቹ በጣም የራቁ ናቸው.

እነዚህን ጥበቃዎች (በተለምዶ ፍቃዶችን በመግዛት) በፋየርዎል ላይ ማንቃት ግዴታ አይደለም (በባህላዊ መንገድ መሄድ ትችላለህ)፣ ነገር ግን አንዳንድ ጥቅሞችን ይሰጣል፡-

• በዚህ ሁኔታ የመከላከያ ዘዴዎችን አንድ ነጠላ ነጥብ አለ, ይህም ታይነትን ያሻሽላል (የሚቀጥለውን ርዕስ ይመልከቱ).
• በአውታረ መረብዎ ላይ ያልተጠበቀ መሳሪያ ካለ አሁንም በፋየርዎል ጥበቃ "ጃንጥላ" ስር ይወድቃል
• የፋየርዎል ጥበቃን ከመጨረሻ አስተናጋጅ ጥበቃ ጋር በማጣመር ተንኮል አዘል ትራፊክን የመለየት እድላችንን ከፍ እናደርጋለን። ለምሳሌ በአገር ውስጥ አስተናጋጆች እና በፋየርዎል ላይ የዛቻ መከላከልን መጠቀም የማወቅ እድልን ይጨምራል (በእርግጥ እነዚህ መፍትሄዎች በተለያዩ የሶፍትዌር ምርቶች ላይ የተመሰረቱ ከሆኑ)

ማስታወሻ

ለምሳሌ Kaspersky ን በፋየርዎል እና በመጨረሻው አስተናጋጆች ላይ እንደ ጸረ-ቫይረስ ከተጠቀሙ ይህ በእርግጥ በአውታረ መረብዎ ላይ የቫይረስ ጥቃትን ለመከላከል እድሉን በእጅጉ አይጨምርም።

የአውታረ መረብ ታይነት

ዋናዉ ሀሣብ ቀላል ነው - በእውነተኛ ጊዜ እና በታሪካዊ መረጃ በአውታረ መረብዎ ላይ ምን እየሆነ እንዳለ ይመልከቱ።

ይህንን "ራዕይ" በሁለት ቡድን እከፍላለሁ.

ቡድን አንድ፡ የክትትል ስርዓትዎ ብዙውን ጊዜ ምን ይሰጥዎታል።

• የመሳሪያዎች ጭነት
• የመጫኛ ቻናሎች
• የማስታወስ አጠቃቀም
• የዲስክ አጠቃቀም
• የማዞሪያ ጠረጴዛውን መለወጥ
• የአገናኝ ሁኔታ
• የመሳሪያዎች (ወይም አስተናጋጆች) መኖር
• ...

ቡድን ሁለት፡- ከደህንነት ጋር የተያያዘ መረጃ.

• የተለያዩ የስታቲስቲክስ አይነቶች (ለምሳሌ በመተግበሪያ፣ በዩአርኤል ትራፊክ፣ ምን አይነት የውሂብ አይነት እንደወረደ፣ የተጠቃሚ ውሂብ)
• በደህንነት ፖሊሲዎች የታገደው እና በምን ምክንያት ፣ ማለትም
  • የተከለከለ መተግበሪያ
  • በአይፒ/ፕሮቶኮል/ወደብ/ባንዲራ/ዞኖች ላይ በመመስረት የተከለከለ
  • ስጋት መከላከል
  • ዩአርኤል ማጣራት
  • የውሂብ ማጣሪያ
  • ፋይል ማገድ
  • ...
• በ DOS/DDOS ጥቃቶች ላይ ስታቲስቲክስ
• ያልተሳካ የመለየት እና የፍቃድ ሙከራዎች
• ከላይ ለተጠቀሱት የደህንነት ፖሊሲ ጥሰት ክስተቶች ሁሉ ስታቲስቲክስ
• ...

በዚህ የጸጥታ ክፍል ውስጥ, በሁለተኛው ክፍል ላይ ፍላጎት አለን.

አንዳንድ ዘመናዊ ፋየርዎሎች (ከእኔ የፓሎ አልቶ ተሞክሮ) ጥሩ የታይነት ደረጃን ይሰጣሉ። ነገር ግን፣ በእርግጥ፣ የሚስቡት ትራፊክ በዚህ ፋየርዎል (በዚህ ሁኔታ ትራፊክን የመዝጋት ችሎታ ያለዎት) ወይም ወደ ፋየርዎል መስታወት (ለክትትልና ለመተንተን ብቻ የሚውል) ማለፍ አለበት እና ሁሉንም ለማንቃት ፈቃድ ሊኖርዎት ይገባል። እነዚህ አገልግሎቶች .

እርግጥ ነው፣ አማራጭ መንገድ አለ፣ ይልቁንም ባህላዊው መንገድ፣ ለምሳሌ፣

• የክፍለ-ጊዜ ስታቲስቲክስ በኔትፍሰት በኩል መሰብሰብ እና ከዚያ ለመረጃ ትንተና እና ለመረጃ እይታ ልዩ መገልገያዎችን መጠቀም ይቻላል
• ስጋትን መከላከል - ልዩ ፕሮግራሞች (ፀረ-ቫይረስ, ጸረ-ስፓይዌር, ፋየርዎል) በመጨረሻ አስተናጋጆች ላይ
• የዩአርኤል ማጣሪያ፣ የውሂብ ማጣሪያ፣ የፋይል እገዳ - በፕሮክሲ ላይ
• ለምሳሌ በመጠቀም tcpdump መተንተን ይቻላል. አነጣጥሮ

እነዚህን ሁለት አቀራረቦች በማጣመር የጎደሉ ባህሪያትን በማሟላት ወይም በማባዛት ጥቃትን የማወቅ እድልን ይጨምራል።

የትኛውን አካሄድ መምረጥ አለቦት?
በአብዛኛው የተመካው በቡድንዎ ብቃቶች እና ምርጫዎች ላይ ነው።
ሁለቱም እዚያም ጥቅሞቹም ጉዳቶቹም አሉ።

የተዋሃደ የተማከለ የማረጋገጫ እና የፈቃድ ስርዓት

በጥሩ ሁኔታ ከተነደፈ, በዚህ ጽሑፍ ውስጥ የተነጋገርነው የመንቀሳቀስ ችሎታ ከቢሮ ወይም ከቤት, ከአውሮፕላን ማረፊያ, ከቡና ቤት ወይም ከማንኛውም ቦታ (ከላይ ከተነጋገርነው ውስንነት ጋር) እርስዎ ተመሳሳይ መዳረሻ እንዳለዎት ያስባል. ይመስላል ችግሩ ምንድን ነው?
የዚህን ተግባር ውስብስብነት የበለጠ ለመረዳት, የተለመደውን ንድፍ እንይ.

ለምሳሌ:

• ሁሉንም ሰራተኞች በቡድን ከፋፍሏቸዋል. መዳረሻ በቡድን ለማቅረብ ወስነዋል
• በቢሮው ውስጥ፣ በቢሮ ፋየርዎል ላይ መዳረሻን ይቆጣጠራሉ።
• በመረጃ ማእከል ፋየርዎል ላይ ከቢሮ ወደ የመረጃ ማእከል ትራፊክ ይቆጣጠራሉ።
• ሲስኮ አሳን እንደ ቪፒኤን ጌትዌይ ይጠቀማሉ እና ከርቀት ደንበኞች ወደ አውታረ መረብዎ የሚገባውን ትራፊክ ለመቆጣጠር የአካባቢ (በኤኤስኤ) ኤሲኤሎች ይጠቀማሉ።

አሁን፣ ለተወሰነ ሰራተኛ ተጨማሪ መዳረሻ እንዲያክሉ ተጠይቀዋል እንበል። በዚህ አጋጣሚ ወደ እሱ ብቻ መዳረሻ እንዲጨምሩ ይጠየቃሉ እና ከቡድኑ ውስጥ ሌላ ማንም የለም።

ለዚህም ለዚህ ሰራተኛ የተለየ ቡድን መፍጠር አለብን, ማለትም

• ለዚህ ሰራተኛ የተለየ IP ገንዳ በ ASA ላይ ይፍጠሩ
• በ ASA ላይ አዲስ ACL ይጨምሩ እና ከዚያ የርቀት ደንበኛ ጋር ያስሩ
• በቢሮ እና በመረጃ ማእከል ፋየርዎል ላይ አዲስ የደህንነት ፖሊሲዎችን መፍጠር

ይህ ክስተት ብርቅ ከሆነ ጥሩ ነው. ነገር ግን በእኔ ልምምድ ውስጥ ሰራተኞች በተለያዩ ፕሮጀክቶች ውስጥ ሲሳተፉ አንድ ሁኔታ ነበር, እና ለአንዳንዶቹ ይህ የፕሮጀክቶች ስብስብ ብዙ ጊዜ ተለውጧል, እና 1-2 ሰዎች አልነበሩም, ግን በደርዘን የሚቆጠሩ. በእርግጥ አንድ ነገር እዚህ መለወጥ ነበረበት።

ይህ በሚከተለው መንገድ ተፈትቷል.

ሁሉንም ሊሆኑ የሚችሉ የሰራተኞች መዳረሻ የሚወስን LDAP ብቸኛው የእውነት ምንጭ እንዲሆን ወስነናል። የመዳረሻ ስብስቦችን የሚገልጹ ሁሉንም አይነት ቡድኖች ፈጠርን እና እያንዳንዱን ተጠቃሚ ለአንድ ወይም ከዚያ በላይ ቡድኖች መደብን።

ስለዚህ, ለምሳሌ, ቡድኖች ነበሩ እንበል

• እንግዳ (የበይነመረብ መዳረሻ)
• የጋራ መዳረሻ (የጋራ ሀብቶች መዳረሻ፡ ደብዳቤ፣ የእውቀት መሰረት፣...)
• የሂሳብ
• ፕሮጀክት 1
• ፕሮጀክት 2
• የውሂብ መሠረት አስተዳዳሪ
• linux አስተዳዳሪ
• ...

እና ከሰራተኞቹ አንዱ በፕሮጀክት 1 እና በፕሮጀክት 2 ውስጥ ከተሳተፈ እና በእነዚህ ፕሮጀክቶች ውስጥ ለመስራት አስፈላጊ የሆነውን ተደራሽነት ካስፈለገው ይህ ሰራተኛ ለሚከተሉት ቡድኖች ተመድቧል ።

• እንግዳ
• የጋራ መዳረሻ
• ፕሮጀክት 1
• ፕሮጀክት 2

አሁን ይህንን መረጃ ወደ የአውታረ መረብ መሳሪያዎች መዳረሻ እንዴት መለወጥ እንችላለን?

Cisco ASA ተለዋዋጭ የመዳረሻ ፖሊሲ (ዲኤፒ) (ይመልከቱ www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) ለዚህ ተግባር መፍትሔው ትክክለኛ ነው.

ስለ አፈጻጸማችን በአጭሩ፣ በመለየት/በፈቃድ ሂደት ወቅት፣ኤኤስኤ ከኤልዲኤፒ ከተሰጠው ተጠቃሚ ጋር የሚዛመዱ የቡድን ስብስቦችን ይቀበላል እና ከበርካታ የአካባቢ ኤሲኤሎች “ይሰበስባል” (እያንዳንዱ ከቡድን ጋር የሚስማማ) ተለዋዋጭ ACL ከሁሉም አስፈላጊ መዳረሻዎች ጋር። , ይህም ከምኞታችን ጋር ሙሉ በሙሉ ይዛመዳል.

ግን ይህ ለቪፒኤን ግንኙነቶች ብቻ ነው። በቪፒኤን እና በቢሮ ውስጥ ላሉት ሁለቱም ሰራተኞች ሁኔታውን ተመሳሳይ ለማድረግ, የሚከተለው እርምጃ ተወስዷል.

ከቢሮው ሲገናኙ ተጠቃሚዎች 802.1x ፕሮቶኮልን የሚጠቀሙት በእንግዳ LAN (ለእንግዶች) ወይም በጋራ LAN (ለኩባንያው ሰራተኞች) ነው። በተጨማሪም፣ የተለየ መዳረሻ ለማግኘት (ለምሳሌ፣ በመረጃ ማዕከል ውስጥ ያሉ ፕሮጀክቶች) ሰራተኞች በቪፒኤን መገናኘት ነበረባቸው።

ከቢሮ እና ከቤት ለመገናኘት, የተለያዩ የዋሻ ቡድኖች በ ASA ላይ ጥቅም ላይ ውለዋል. ይህ አስፈላጊ ነው ከቢሮው ለሚገናኙት, ትራፊክ ወደ የጋራ መገልገያዎች (ሁሉም ሰራተኞች ጥቅም ላይ ይውላሉ, እንደ ደብዳቤ, የፋይል ሰርቨር, የቲኬት ስርዓት, ዲኤንኤስ, ...) በኤኤስኤ ውስጥ እንዳይገቡ, ነገር ግን በአካባቢው አውታረመረብ በኩል. . ስለዚህ፣ ከፍተኛ መጠን ያለው ትራፊክን ጨምሮ፣ ASAን አላስፈላጊ በሆነ ትራፊክ አልጫንነውም።

በመሆኑም ችግሩ ተፈትቷል.
አግኝተናል

• ከቢሮ እና የርቀት ግንኙነቶች ለሁለቱም ግንኙነቶች ተመሳሳይ የመዳረሻዎች ስብስብ
• በኤኤስኤ በኩል ከፍተኛ መጠን ያለው የትራፊክ ፍሰትን ከማስተላለፍ ጋር ተያይዞ ከቢሮው ሲሰራ የአገልግሎት ውድቀቶች አለመኖር

የዚህ ዘዴ ሌሎች ጥቅሞች ምንድ ናቸው?
በመዳረሻ አስተዳደር ውስጥ. መዳረሻዎች በቀላሉ በአንድ ቦታ ሊለወጡ ይችላሉ።
ለምሳሌ, አንድ ሰራተኛ ኩባንያውን ከለቀቀ, በቀላሉ ከኤልዲኤፒ ያስወግደዋል, እና እሱ ወዲያውኑ ሁሉንም መዳረሻ ያጣል።

የአስተናጋጅ ማጣራት።

የርቀት ግንኙነት በሚፈጠርበት ጊዜ የኩባንያው ሰራተኛ ወደ አውታረ መረቡ ውስጥ እንዲገባ ብቻ ሳይሆን በኮምፒዩተሩ ላይ (ለምሳሌ ፣ ቤት) ላይ የሚገኙትን ሁሉንም ተንኮል-አዘል ሶፍትዌሮችን የመፍቀድ አደጋን እንፈጥራለን ፣ እና በተጨማሪ ፣ በዚህ ሶፍትዌር በኩል ይህንን አስተናጋጅ እንደ ፕሮክሲ በመጠቀም ለአጥቂው የእኛን አውታረ መረብ መዳረሻ እየሰጠ ሊሆን ይችላል።

ከርቀት የተገናኘ አስተናጋጅ እንደ ቢሮ ውስጥ አስተናጋጅ ተመሳሳይ የደህንነት መስፈርቶችን መተግበሩ ምክንያታዊ ነው።

ይህ እንዲሁም የስርዓተ ክወናውን “ትክክለኛ” ስሪት፣ ጸረ-ቫይረስ፣ ጸረ-ስፓይዌር እና የፋየርዎል ሶፍትዌሮችን እና ዝመናዎችን ይወስዳል። በተለምዶ ይህ ችሎታ በቪፒኤን መግቢያ ላይ አለ (ለ ASA ይመልከቱ፣ ለምሳሌ፣ እዚህ).

እንዲሁም የደህንነት ፖሊሲዎ በቢሮ ትራፊክ ላይ የሚመለከተውን የትራፊክ ትንተና እና የማገድ ቴክኒኮችን ("ከፍተኛ ደረጃ ጥበቃን" ይመልከቱ) መጠቀሙ ብልህነት ነው።

የቢሮዎ ኔትወርክ ለቢሮ ህንፃ እና በውስጡ ባሉ አስተናጋጆች ላይ ብቻ የተገደበ አይደለም ብሎ ማሰብ ምክንያታዊ ነው።

ለምሳሌ:

ጥሩ ቴክኒክ የርቀት መዳረሻ ለሚፈልግ እያንዳንዱ ሰራተኛ ጥሩ ምቹ የሆነ ላፕቶፕ በማቅረብ እና በቢሮ ውስጥም ሆነ ከቤት ሆነው እንዲሰሩ የሚጠይቁትን ከእሱ ብቻ መስጠት ነው።

የአውታረ መረብዎን ደህንነት ማሻሻል ብቻ ሳይሆን በጣም ምቹ እና ብዙውን ጊዜ በሠራተኞች (በጣም ጥሩ እና ለተጠቃሚ ምቹ የሆነ ላፕቶፕ ከሆነ) በጥሩ ሁኔታ ይታያል።

ስለ ተመጣጣኝ እና ሚዛናዊነት ስሜት

በመሠረቱ, ይህ ስለ ትሪያንግል ሦስተኛው ጫፍ - ስለ ዋጋ ውይይት ነው.
አንድ መላምታዊ ምሳሌ እንመልከት።

ለምሳሌ:

ለ 200 ሰዎች ቢሮ አለዎት. በተቻለ መጠን ምቹ እና አስተማማኝ እንዲሆን ለማድረግ ወስነዋል.

ስለዚህ, ሁሉንም ትራፊክ በፋየርዎል ውስጥ ለማለፍ ወስነዋል እናም ለሁሉም የቢሮ ንዑስ መረቦች ፋየርዎል ነባሪ መግቢያ ነው. በእያንዳንዱ የመጨረሻ አስተናጋጅ (ፀረ-ቫይረስ፣ ጸረ-ስፓይዌር እና ፋየርዎል ሶፍትዌር) ላይ ከተጫኑት የደህንነት ሶፍትዌሮች በተጨማሪ ሁሉንም ሊሆኑ የሚችሉ የጥበቃ ዘዴዎችን በፋየርዎል ላይ ለመተግበር ወስነዋል።

ከፍተኛ የግንኙነት ፍጥነትን ለማረጋገጥ (ለምቾት ሲባል) 10 ጊጋቢት የመዳረሻ ወደቦችን እንደ የመዳረሻ መቀየሪያዎች እና ከፍተኛ አፈጻጸም ያላቸውን NGFW ፋየርዎል እንደ ፋየርዎል ለምሳሌ ፓሎ አልቶ 7 ኪ ተከታታይ (ከ 40 ጊጋቢት ወደቦች ጋር) ፣ በተፈጥሮ ከሁሉም ፍቃዶች ጋር መርጠዋል። የተካተተ እና፣ በተፈጥሮ፣ ከፍተኛ ተገኝነት ጥንድ።

እንዲሁም፣ በእርግጥ፣ ከዚህ የመሳሪያ መስመር ጋር ለመስራት ቢያንስ ሁለት ከፍተኛ ብቃት ያላቸው የደህንነት መሐንዲሶች ያስፈልጉናል።

በመቀጠል ለእያንዳንዱ ሰራተኛ ጥሩ ላፕቶፕ ለመስጠት ወስነዋል.

በአጠቃላይ፣ ለትግበራ 10 ሚሊዮን ዶላር፣ በመቶ ሺዎች የሚቆጠር ዶላር (ወደ አንድ ሚሊዮን የሚጠጋ ይመስለኛል) ለዓመታዊ ድጋፍ እና ለኢንጅነሮች ደመወዝ።

ቢሮ፣ 200 ሰዎች...
ምቹ? አዎ ነው ብዬ እገምታለሁ።

ይህንን ሀሳብ ወደ እርስዎ አስተዳደር መጥተዋል…
ምናልባትም በአለም ውስጥ ይህ ተቀባይነት ያለው እና ትክክለኛ መፍትሄ የሚሆንባቸው በርካታ ኩባንያዎች አሉ. የዚህ ኩባንያ ሰራተኛ ከሆንክ እንኳን ደስ ያለህ ነገር ግን በአብዛኛዎቹ ጉዳዮች እውቀትህ በአስተዳደሩ አድናቆት እንደማይኖረው እርግጠኛ ነኝ።

ይህ ምሳሌ የተጋነነ ነው? የሚቀጥለው ምዕራፍ ለዚህ ጥያቄ መልስ ይሰጣል።

በአውታረ መረብዎ ላይ ከላይ ከተዘረዘሩት ውስጥ አንዱንም ካላዩ ይህ የተለመደ ነው.
ለእያንዳንዱ የተለየ ጉዳይ, በምቾት, ዋጋ እና ደህንነት መካከል የራስዎን ምክንያታዊ ስምምነት ማግኘት አለብዎት. ብዙውን ጊዜ በቢሮዎ ውስጥ NGFW እንኳን አያስፈልግዎትም ፣ እና በፋየርዎል ላይ የ L7 ጥበቃ አያስፈልግም። ጥሩ የታይነት ደረጃን እና ማንቂያዎችን ማቅረብ በቂ ነው, እና ይህ ለምሳሌ ክፍት ምንጭ ምርቶችን በመጠቀም ሊከናወን ይችላል. አዎን, ለጥቃቱ ምላሽዎ ወዲያውኑ አይሆንም, ነገር ግን ዋናው ነገር እርስዎ ይመለከታሉ, እና በክፍልዎ ውስጥ ባሉ ትክክለኛ ሂደቶች, በፍጥነት ገለልተኛ ማድረግ ይችላሉ.

እና በዚህ ተከታታይ መጣጥፎች ፅንሰ-ሀሳብ መሰረት ኔትወርክን እየነደፍክ ሳይሆን ያገኘኸውን ነገር ለማሻሻል እየሞከርክ መሆኑን ላስታውስህ።

የቢሮ አርክቴክቸር አስተማማኝ ትንተና

በሥዕላዊ መግለጫው ላይ ቦታ የመደብኩበት ለዚህ ቀይ ካሬ ትኩረት ይስጡ ደህንነቱ የተጠበቀ የካምፓስ አርክቴክቸር መመሪያእዚህ ልወያይበት የምፈልገው።

ይህ የስነ-ህንፃ ቁልፍ ቦታዎች አንዱ እና በጣም አስፈላጊ ከሆኑ እርግጠኛ ያልሆኑ ነገሮች አንዱ ነው።

ማስታወሻ

ፋየር ፓወርን (ከሲሲስኮ ፋየርዎል መስመር -ኤኤስኤ ብቻ) አዋቅር ወይም ሰርቼ አላውቅም፣ ስለዚህ ተመሳሳይ አቅም እንዳለው በማሰብ እንደ ማንኛውም ፋየርዎል፣ እንደ Juniper SRX ወይም Palo Alto እይዘዋለሁ።

ከተለመዱት ንድፎች ውስጥ ከዚህ ግንኙነት ጋር ፋየርዎልን ለመጠቀም 4 አማራጮችን ብቻ አያለሁ

• ለእያንዳንዱ ንዑስ አውታረ መረብ ነባሪ መግቢያ በር ማብሪያ / ማጥፊያ ነው ፣ ፋየርዎል ግልፅ በሆነ ሁኔታ ላይ እያለ (ማለትም ፣ ሁሉም ትራፊክ በእሱ ውስጥ ያልፋል ፣ ግን L3 ሆፕ አይፈጥርም)
• ለእያንዳንዱ ንዑስ አውታረ መረብ ነባሪ መግቢያ በር የፋየርዎል ንዑስ በይነገጾች (ወይም SVI በይነገጽ) ነው ፣ ማብሪያው የ L2 ሚና ይጫወታል።
• በመቀየሪያው ላይ የተለያዩ ቪአርኤፍዎች ጥቅም ላይ ይውላሉ፣ እና በቪአርኤፍ መካከል ያለው ትራፊክ በፋየርዎል በኩል ያልፋል፣ በአንድ VRF ውስጥ ያለው የትራፊክ ፍሰት በኤሲኤል የሚቆጣጠረው በማብሪያው ላይ ነው።
• ለመተንተን እና ለክትትል ሁሉም ትራፊክ ወደ ፋየርዎል ይንፀባርቃል ፣ ትራፊክ በእሱ ውስጥ አያልፍም።

አስተያየት 1

የእነዚህ አማራጮች ጥምረት ይቻላል, ነገር ግን ለቀላልነት እኛ አንመለከታቸውም.

ማስታወሻ2

በተጨማሪም PBR (የአገልግሎት ሰንሰለት አርክቴክቸር) የመጠቀም እድል አለ, ግን ለአሁን ይህ ምንም እንኳን በእኔ አስተያየት ቆንጆ መፍትሄ ቢሆንም, ይልቁንም ለየት ያለ ነው, ስለዚህ እዚህ አላስብም.

በሰነዱ ውስጥ ካለው ፍሰቶች መግለጫ, ትራፊክ አሁንም በፋየርዎል ውስጥ እንደሚያልፍ እናያለን, ማለትም በሲስኮ ዲዛይን መሰረት, አራተኛው አማራጭ ይወገዳል.

አስቀድመን የመጀመሪያዎቹን ሁለት አማራጮች እንይ።
በእነዚህ አማራጮች ሁሉም ትራፊክ በፋየርዎል ውስጥ ያልፋል።

አሁን እንይ ዳታ ገጽ, ተመልከት Cisco GPL እና ለቢሮአችን አጠቃላይ የመተላለፊያ ይዘት ቢያንስ ከ10 - 20 ጊጋቢት አካባቢ እንዲሆን ከፈለግን የ 4K ስሪት መግዛት አለብን።

ማስታወሻ

ስለ አጠቃላይ የመተላለፊያ ይዘት ስናገር በንዑስ መረቦች (እና በአንድ ቪላና ውስጥ ሳይሆን) መካከል ያለውን ትራፊክ ማለቴ ነው።

ከጂ.ፒ.ኤል. እንደምናየው ለ HA Bundle ከስጋት መከላከያ ጋር, በአምሳያው (4110 - 4150) ዋጋው ከ ~ 0,5 - 2,5 ሚሊዮን ዶላር ይለያያል.

ማለትም የእኛ ንድፍ ከቀዳሚው ምሳሌ ጋር መምሰል ይጀምራል።

ይህ ማለት ይህ ንድፍ የተሳሳተ ነው ማለት ነው?
አይደለም ያ ማለት አይደለም። Cisco ባለው የምርት መስመር ላይ በመመስረት ምርጡን ጥበቃ ይሰጥዎታል። ይህ ማለት ግን ለእርስዎ መደረግ ያለበት ነገር ነው ማለት አይደለም።

በመርህ ደረጃ, ይህ ቢሮ ወይም የመረጃ ማእከል ሲነደፍ የሚነሳ የተለመደ ጥያቄ ነው, እና ስምምነትን መፈለግ ብቻ ነው.

ለምሳሌ ፣ ሁሉም ትራፊክ በፋየርዎል ውስጥ እንዲያልፍ አይፍቀዱ ፣ በዚህ አጋጣሚ 3 አማራጭ ለእኔ በጣም ጥሩ ይመስላል ፣ ወይም (የቀድሞውን ክፍል ይመልከቱ) ምናልባት የዛቻ መከላከያ አያስፈልግዎትም ወይም ፋየርዎል አያስፈልጎትም የአውታረ መረብ ክፍል፣ እና የሚከፈል (ውድ ያልሆነ) ወይም ክፍት ምንጭ መፍትሄዎችን በመጠቀም እራስዎን በድብቅ ክትትል ብቻ መወሰን ያስፈልግዎታል፣ ወይም ፋየርዎል ያስፈልገዎታል፣ ግን ከሌላ አቅራቢ።

ብዙውን ጊዜ ይህ እርግጠኛ አለመሆን ሁል ጊዜ አለ እና የትኛው ውሳኔ ለእርስዎ እንደሚሻል ግልፅ መልስ የለም።
ይህ የዚህ ተግባር ውስብስብነት እና ውበት ነው.

ምንጭ: hab.com