Πολλοί οργανισμοί χρησιμοποιούν υπηρεσίες cloud ή μεταφέρουν εξοπλισμό σε
Κέντρο δεδομένων. Τι έχει νόημα να αφήσετε στο δωμάτιο του διακομιστή και ποιος είναι ο καλύτερος τρόπος για να οργανώσετε την προστασία της περιμέτρου του δικτύου γραφείου σε μια τέτοια κατάσταση;
Μια φορά κι έναν καιρό όλα ήταν στον διακομιστή
Στην αρχή της ανάπτυξης του Runet, οι περισσότερες εταιρείες επέλυσαν το ζήτημα της υποδομής πληροφορικής σύμφωνα με περίπου το ίδιο σχέδιο: διέθεσαν ένα δωμάτιο όπου εγκατέστησαν κλιματισμό και όπου ήταν συγκεντρωμένος σχεδόν όλος ο εξοπλισμός δικτύου και διακομιστής.
Ο διαχειριστής του συστήματος δημιούργησε έναν ή περισσότερους διακομιστές σε FreeBSD, Linux ή OpenSolaris, κ.λπ. Και στη συνέχεια σε αυτόν τον «οικοδεσπότη» ξεκίνησε τις απαραίτητες υπηρεσίες: από έναν διακομιστή web, εταιρική αλληλογραφία, μέχρι μια υπηρεσία φιλοξενίας αρχείων.
Όταν μια εταιρεία αναπτύσσεται και αναπτύσσεται, αναπόφευκτα αντιμετωπίζει μια κατάσταση όπου το δωμάτιο διακομιστή δεν πληροί πλέον τις απαιτήσεις. Εάν έχετε χρήματα, μπορείτε να φτιάξετε το δικό σας κέντρο δεδομένων. Ίσως είναι πιο κερδοφόρο να νοικιάσετε rack από εμπορικά κέντρα δεδομένων. Τροφοδοτικό υψηλής ποιότητας με βάση το DRUPS, ένα βιομηχανικό σύστημα κλιματισμού, ένα πλήρες προσωπικό άκρως εξειδικευμένων ειδικών - αυτά τα πράγματα είναι ελάχιστα διαθέσιμα στην περίπτωση ενός δωματίου διακομιστή γραφείου.
Ακολουθώντας τις μεγάλες επιχειρήσεις, στο μυαλό της διοίκησης των μεσαίων και μικρών εταιρειών γίνεται σταδιακά μια μετάβαση από την ψυχολογία του «κουβαλάω ό,τι έχω μαζί μου» και «το σπίτι μου είναι το φρούριο μου» στο «να το δώσω σε κάποιον άλλον και όχι. υποφέρω."
Για τις μικρές επιχειρήσεις, οι πάροχοι cloud έχουν γίνει μια τέτοια «εξωτερική» επιλογή. Αν προηγουμένως για μια εταιρεία 40 ατόμων το να έχει δικό της διακομιστή αλληλογραφίας ήταν κάτι δεδομένο, σήμερα η υπηρεσία της ίδιας Google κερδίζει στο πλευρό της όλους εκείνους που προηγουμένως δεν μπορούσαν να φανταστούν ότι εργάζονται χωρίς το δικό τους Sendmail ή Postfix.
Τα εικονικά συστήματα παρείχαν μεγάλη βοήθεια σε μια τέτοια «μετακίνηση». Αν πριν από την εμφάνισή τους ήταν απαραίτητο να μεταφερθεί ολόκληρος ο φυσικός διακομιστής ή να ρυθμιστούν τα πάντα σε νέο υλικό, τώρα αρκεί να μεταφέρουμε την εικόνα της εικονικής μηχανής.
Τι θα μείνει σε αυτό το μικρό δωμάτιο με κλιματισμό;
Πρώτα απ 'όλα, πρόκειται για εξοπλισμό δικτύου. Και ενεργητικό και παθητικό. Συχνά, πίσω από το δυνατό όνομα «διακομιστής» κατανοούν μια διασύνδεση με τα υπολείμματα του εξοπλισμού δικτύου. Και για τέτοιες περιπτώσεις, δεν απαιτείται ειδικό δωμάτιο με ισχυρό σύστημα κλιματισμού, παροχή ρεύματος και ούτω καθεξής.
Η δεύτερη ομάδα εξοπλισμού που εξακολουθεί να είναι δύσκολο να αφαιρεθεί από την αίθουσα διακομιστή είναι οι πύλες
ασφάλεια.
Τι είναι όμως αυτές οι πύλες; Όπως αναφέρθηκε παραπάνω, αν στο πρόσφατο παρελθόν ο διαχειριστής του συστήματος είχε στη διάθεσή του έναν ή περισσότερους διακομιστές όπου μπορούσε να αναπτύξει ό,τι ήθελε η καρδιά του, τώρα τέτοια πολυτέλεια μπορεί να μην υπάρχει.
Αλλά η ανάγκη προστασίας από εξωτερικές απειλές δεν έχει εξαφανιστεί. Μπορείτε, φυσικά, να μεταφέρετε όλες τις υπηρεσίες και τον απαραίτητο εξοπλισμό εξ ολοκλήρου στο κέντρο δεδομένων και να οδηγείτε την κυκλοφορία από μια τέτοια πύλη στο γραφείο διασύνδεσης μέσω ενός ασφαλούς καναλιού, για παράδειγμα, μέσω VPN.
Αυτό το σχήμα φαίνεται ελκυστικό με την πρώτη ματιά, αν όχι για τον αυξημένο φορτίο στα υπάρχοντα κανάλια. Εάν δεν θέλετε να πληρώσετε για ένα πιο χοντρό κανάλι, αυτό δεν είναι ακριβώς αυτό που χρειάζεστε.
Μια άλλη επιλογή είναι να αγοράσετε μια εξειδικευμένη συσκευή για την προστασία της κυκλοφορίας, η αρχιτεκτονική της οποίας, λόγω της στενής εστίασής της, σας επιτρέπει να κάνετε χωρίς ισχυρά εξαρτήματα έντασης ενέργειας και παραγωγής θερμότητας.
Δεν χρειάζεται ζωολογικός κήπος
Ελλείψει ενός κλασικού δωματίου διακομιστών, είναι πολύ καλύτερο να λαμβάνετε πολλές υπηρεσίες "σε ένα κουτί" ταυτόχρονα παρά να δημιουργήσετε έναν "ζωολογικό κήπο" σε ένα μικρό δωμάτιο ή ακόμα και σε ένα μικρό διασταυρούμενο ντουλάπι. Ταυτόχρονα, η λύση θα πρέπει να είναι φθηνή, αποδεδειγμένη και να έχει κανονική υποστήριξη στα ρωσικά.
Σημείωση. Μιλάμε πλέον για πολύ μικρά, μεσαία και μεγαλύτερα γραφεία. Δεν εξετάζουμε ακόμη μεγάλες εταιρείες που χτίζουν τα δικά τους κέντρα δεδομένων - σε ένα άρθρο «είναι αδύνατο να κατανοήσουμε την απεραντοσύνη».
Και για κάθε περίπτωση, η Zyxel έχει ήδη μια λύση, στην ίδια σειρά προϊόντων. Εν ολίγοις, δεν θα χρειαστείτε έναν "ζωολογικό κήπο".
ZyWALL ATP Security Gateways
Έχουμε μιλήσει προηγουμένως για τις αρχές λειτουργίας τέτοιων συσκευών χρησιμοποιώντας το παράδειγμα Το κύριο χαρακτηριστικό τους είναι ο συνδυασμός τείχους προστασίας με την υπηρεσία ασφαλείας Zyxel Cloud. Χάρη σε αυτήν την κατανομή ευθυνών, το ZyWALL ATP επιλύει ένα αρκετά ευρύ φάσμα ζητημάτων περιμετρικής προστασίας χωρίς να απαιτεί πρόσθετους πόρους υλικού.
Ο κατάλογος των λειτουργιών προστασίας είναι αρκετά πλούσιος (βλ. Πίνακας 1), συμπεριλαμβανομένων των εργαλείων ανάλυσης SecuReporter και του Sandboxing - ένα "sandbox" για προκαταρκτική ανάλυση του ληφθέντος περιεχομένου.
Αξίζει να τονίσουμε για άλλη μια φορά ότι σε αυτήν την περίπτωση απλώς μεταφέρουμε υπηρεσίες από το τοπικό γραφείο στο cloud. Το Zyxel Cloud κάνει όλα τα άλλα για εμάς σε ανώνυμη λειτουργία. Εκτός από την ευκολία, αυτή η προσέγγιση παρέχει αποτελεσματική προστασία από απειλές μηδενικής ημέρας μέσω μηχανικής μάθησης και ανταλλαγής πληροφοριών μεταξύ πυλών ATP σε όλο τον κόσμο. Ένα ολόκληρο νευρωνικό δίκτυο έχει κατασκευαστεί για προστασία.
: «Όταν εντοπίζεται ένα άγνωστο αρχείο, το Cloud Query ελέγχει γρήγορα (μέσα σε λίγα δευτερόλεπτα) τον κατακερματισμό του σε σχέση με τη βάση δεδομένων cloud και προσδιορίζει αν είναι επικίνδυνο ή όχι. Αυτή η υπηρεσία απαιτεί ελάχιστους πόρους δικτύου για να λειτουργήσει και επομένως δεν μειώνει την απόδοση της συσκευής. Η αποτελεσματικότητα της προστασίας από απειλές διασφαλίζεται με τη χρήση μιας συνεχώς ενημερωμένης βάσης δεδομένων cloud που περιέχει δεδομένα για δισεκατομμύρια απειλές. Το Cloud Query επιταχύνει επίσης την ευφυΐα των αναδυόμενων δυνατοτήτων ανίχνευσης απειλών του Zyxel Security Cloud, ενισχύοντας την προστασία από κακόβουλο λογισμικό κάθε τείχους προστασίας ATP."
Πίνακας 1. Τεχνικά χαρακτηριστικά της γραμμής ZyWALL ATP.
Σημειώσεις:
(1) Η πραγματική απόδοση εξαρτάται σε μεγάλο βαθμό από τις συνθήκες δικτύου και τις ενεργές εφαρμογές.
(2) Η μέγιστη απόδοση βασίζεται στο RFC 2544 (πακέτα UDP 1,518 byte).
(3) Η μετρημένη απόδοση VPN βασίζεται στο RFC 2544 (πακέτα UDP 1,424 byte).
(4) Οι μετρήσεις απόδοσης AV και IDP χρησιμοποιούν τη δοκιμή απόδοσης HTTP τυπικού κλάδου (πακέτα HTTP 1,460 byte). Η δοκιμή πραγματοποιήθηκε σε λειτουργία πολλαπλών νημάτων.
(5) Κατά τη μέτρηση του μέγιστου δυνατού αριθμού συνεδριών, χρησιμοποιήθηκαν βιομηχανικά πρότυπα εργαλεία - Εργαλείο δοκιμής IXIA IxLoad.
(6) Τα αποτελέσματα των δοκιμών ταχύτητας WAN 1 Gbps πραγματοποιήθηκαν υπό πραγματικές συνθήκες και ενδέχεται να διαφέρουν ελαφρώς ανάλογα με την ποιότητα της σύνδεσης.
(7): Μετά τη λήξη του Gold Pack, θα υποστηρίζονται μόνο 2 AP.
(8): Μπορείτε να ενεργοποιήσετε ή να επεκτείνετε τη λειτουργικότητα αγοράζοντας πρόσθετες άδειες χρήσης για υπηρεσίες Zyxel.
Δώστε προσοχή στο υποστηριζόμενο σύνολο υπηρεσιών VPN. Σχεδόν όλα τα απαραίτητα για την επικοινωνία με τα κεντρικά γραφεία ή το γραφείο στο σπίτι βρίσκονται ήδη "σε ένα μπουκάλι", επομένως μπορούμε να προτείνουμε με ασφάλεια αυτήν τη συσκευή τόσο ως τελικό κόμβο επικοινωνίας για ένα υποκατάστημα όσο και για υποστήριξη της απομακρυσμένης εργασίας των εργαζομένων.
Λύσεις για μικρά γραφεία
Τα μικρά γραφεία μπορούν να χωριστούν σε δύο ομάδες: ανεξάρτητες επιχειρήσεις και υποκαταστήματα μεγάλων εταιρειών.
Οι ανεξάρτητες είναι νεοσύστατες επιχειρήσεις και εκείνες που προορίζονται να παραμείνουν μικρές. Για παράδειγμα, σχεδιαστικά γραφεία, αρχιτεκτονικά στούντιο, γραφεία σύνταξης μικρών μέσων, κ.λπ. Τέτοιες επιχειρηματικές μονάδες χρησιμοποιούν συχνά υπηρεσίες cloud, τουλάχιστον αλληλογραφία και κοινή χρήση αρχείων.
Υποκαταστήματα μεγαλύτερων οργανισμών - το κύριο πράγμα για αυτούς είναι να έχουν σταθερή σύνδεση με το κεντρικό γραφείο. Όλα τα άλλα είναι στο «Κέντρο».
Συχνά τέτοια «μωρά» χρειάζονται μια απλή διεπαφή για έλεγχο. Ένας διαχειριστής δικτύου από τα κεντρικά γραφεία συχνά δεν έχει την ευκαιρία να βιαστεί γρήγορα σε μακρινές χώρες για να λύσει ένα πρόβλημα σε ένα νέο υποκατάστημα. Οι τοπικές μικρές εταιρείες δεν έχουν καθόλου αυτή τη δυνατότητα. Πρέπει να καταφύγουμε στις υπηρεσίες ενός «coming
διαχειριστής." Για τέτοιες περιπτώσεις, είναι απαραίτητος ο έλεγχος σύμφωνα με την αρχή "όσο πιο απλό, τόσο πιο αξιόπιστο".
Για μικρά γραφεία, είναι λογικό να χρησιμοποιείτε τα μοντέλα ZyWALL ATP100 και ZyWALL ATP200.
Πύλη δικτύου εμφανίστηκε σχετικά πρόσφατα, αλλά έχει ήδη μπει .
Η κύρια διαφορά από τον μεγαλύτερο αδερφό του () - ότι έχει σχεδιαστεί για μικρότερο φορτίο και δεν διαθέτει βάσεις για ράφι 19 ιντσών. Συνιστάται για οικιακά γραφεία, μικρές εταιρείες, υποκαταστήματα και ούτω καθεξής.
Εικόνα 1. ZyWALL ATP100.
Χαρακτηριστικά σχεδιασμού: Τα ATP100 και ATP200 είναι μοντέλα χωρίς ανεμιστήρα. Γιατί είναι καλό: πρώτον, δεν υπάρχει θόρυβος και, δεύτερον, δεν χρειάζεται να αλλάξετε τον ανεμιστήρα. Σε μια κατάσταση με έναν "εισερχόμενο διαχειριστή", αυτός είναι ένας αρκετά σημαντικός δείκτης.
Εικόνα 2. ZyWALL ATP200.
Το μοντέλο ATP200 υποστηρίζει δύο θύρες WAN και μπορεί να συνδεθεί σε δύο ανεξάρτητες γραμμές, για παράδειγμα, από διαφορετικούς παρόχους.
Όπως αναφέρθηκε παραπάνω, για ένα μικρό γραφείο, το πιο σημαντικό πράγμα μετά από μια σταθερή παροχή ρεύματος είναι μια σταθερή σύνδεση. Δυστυχώς, οι τοπικοί πάροχοι δεν μπορούν πάντα να εγγυηθούν ότι δεν θα υπάρξουν ατυχήματα. Πρέπει να αναζητήσουμε εφεδρικές επιλογές.
ΣΗΜΑΝΤΙΚΟ! Εκτός από τις αποκλειστικές θύρες WAN, τα μοντέλα ATP διαθέτουν θύρες USB στις οποίες μπορείτε να συνδέσετε μόντεμ USB και να τα χρησιμοποιήσετε ως WAN. Αυτή η δυνατότητα είναι διαθέσιμη σε όλα τα ATP.
Εάν η συσκευή διαθέτει θύρα SFP, αυτή μπορεί να χρησιμοποιηθεί και ως WAN. Αυτή η δυνατότητα είναι διαθέσιμη για όλα τα ATP.
Εδώ είναι ένα life hack από το Zyxel.
Μεσαίες εταιρείες
Για τις μεσαίου μεγέθους εταιρείες, η Zyxel έχει το δικό της καλό υλικό -
Είναι μια πύλη επόμενης γενιάς με προηγμένη προστασία έναντι των εξελισσόμενων απειλών.
Ανάμεσα στα ενδιαφέροντα χαρακτηριστικά:
Οι 7 διαμορφώσιμες θύρες επιτρέπουν ευέλικτη διαμόρφωση, για παράδειγμα, 2 θύρες WAN, 2 DMZ και 3 θύρες LAN ενώ συνδέουν 3 ξεχωριστά VLAN για εσωτερική χρήση. Υπάρχει επίσης 1 θύρα SFP.
Εικόνα 3. ZyWALL ATP500.
Είναι δυνατή η λειτουργία σε λειτουργία συμπλέγματος υψηλής διαθεσιμότητας Device HA Pro από δύο ZyWALL ATP500. Εάν το ένα δεν λειτουργεί, το δεύτερο θα εξακολουθεί να παρέχει επικοινωνία.
Χρησιμοποιώντας πλήρως τις λειτουργίες ATP500, μπορείτε να γίνετε ευέλικτοι,
εξαιρετικά αξιόπιστη, ασφαλή επικοινωνία με τον έξω κόσμο ή έναν ξεχωριστό κόμβο, για παράδειγμα,
αρχηγείο.
Μεγαλύτερα γραφεία
Για αυτούς, συνιστάται η πιο ισχυρή έκδοση αυτής της γραμμής - ATP800.
Αυτό το μοντέλο έχει έναν αξιοπρεπή αριθμό θυρών: 12 RJ-45 και 2 SFP, όλες μπορούν να ρυθμιστούν σε λειτουργία WAN, LAN ή DNZ, η οποία σας επιτρέπει να χρησιμοποιείτε πολλά WLAN, να οργανώνετε πολλά DMZ και να έχετε ακόμα την ευκαιρία να συνδεθείτε σε ένα εξωτερικό δίκτυο για πολύπλοκες εσωτερικές υποδομές. Κατάλληλο για αρκετά μεγάλα γραφεία με ανεπτυγμένο δίκτυο και υψηλές απαιτήσεις ασφάλειας και ελέγχου πρόσβασης.
Εικόνα 4. ZyWALL ATP800.
Αξίζει επίσης να σημειωθεί ότι αυτό το μοντέλο συνιστάται για αγορά με την τάση να "μεγαλώνει". Εάν σκοπεύετε να αναπτύξετε την εταιρεία σας, για παράδειγμα, να αναπτύξετε μια τοπική αλυσίδα καταστημάτων, τότε είναι λογικό να αγοράσετε αμέσως ένα πιο ισχυρό μοντέλο για να μην ξοδέψετε χρήματα δύο φορές.
Όπως μπορείτε να δείτε, ακόμη και κάτω από τις πιο σπαρταριστές συνθήκες είναι δυνατό να παρέχετε ένα καλό επίπεδο προστασίας, ανοχής σε σφάλματα και ευελιξία στη λειτουργία.
Τεχνική υποστήριξη, συμβουλές, συζητήσεις, νέα, προωθήσεις και ανακοινώσεις - επικοινωνήστε μαζί μας στο Telegram!
χρήσιμοι σύνδεσμοι
Πηγή: www.habr.com