ProHoster > Blog > Rianachd > Mar a ghabhas thu smachd air bun-structar an lìonraidh agad. Caibideil a trì. Tèarainteachd lìonra. Pàirt a trì

Mar a ghabhas thu smachd air bun-structar an lìonraidh agad. Caibideil a trì. Tèarainteachd lìonra. Pàirt a trì

Is e an artaigil seo an còigeamh cuid san t-sreath “Mar a ghabhas thu smachd air a’ bhun-structar lìonra agad. ” Gheibhear susbaint a h-uile artaigil san t-sreath agus ceanglaichean an seo.

Bidh am pàirt seo coisrigte do na roinnean VPN Campus (Oifis) & ruigsinneachd iomallach.

Mar a ghabhas thu smachd air bun-structar an lìonraidh agad. Caibideil a trì. Tèarainteachd lìonra. Pàirt a trì

Is dòcha gu bheil dealbhadh lìonra oifis a ’coimhead furasta.

Gu dearbh, bidh sinn a’ gabhail suidsichean L2 / L3 agus gan ceangal ri chèile. An uairsin, bidh sinn a’ dèanamh suidheachadh bunaiteach de bhreugan agus geataichean àbhaisteach, a’ stèidheachadh slighe sìmplidh, a’ ceangal riaghladairean WiFi, puingean inntrigidh, a’ stàladh agus a’ rèiteachadh ASA airson ruigsinneachd iomallach, tha sinn toilichte gun do dh’ obraich a h-uile càil. Gu bunaiteach, mar a sgrìobh mi mu thràth ann an aon den fheadhainn roimhe artaigilean den chearcall seo, faodaidh cha mhòr a h-uile oileanach a tha air a bhith an làthair (agus ag ionnsachadh) dà shemeastar de chùrsa cian-conaltraidh lìonra oifis a dhealbhadh agus a rèiteachadh gus am bi e “ag obair ann an dòigh air choreigin.”

Ach mar as motha a dh’ ionnsaicheas tu, is ann as sìmplidh a thòisicheas an obair seo. Dhòmhsa gu pearsanta, chan eil an cuspair seo, cuspair dealbhadh lìonra oifis, a ’coimhead sìmplidh idir, agus san artaigil seo feuchaidh mi ri mìneachadh carson.

Ann an ùine ghoirid, tha grunn nithean ann airson beachdachadh. Gu math tric tha na factaran sin an aghaidh a chèile agus feumar co-rèiteachadh reusanta a shireadh.
Is e an mì-chinnt seo am prìomh dhuilgheadas. Mar sin, a 'bruidhinn mu dheidhinn tèarainteachd, tha triantan againn le trì vertices: tèarainteachd, goireasachd do luchd-obrach, prìs an fhuasglaidh.
Agus a h-uile uair feumaidh tu coimhead airson co-rèiteachadh eadar na trì sin.

ailtireachd

Mar eisimpleir de dh'ailtireachd airson an dà earrann seo, mar ann an artaigilean roimhe, tha mi a 'moladh Cisco SAFE modail: Campas Iomairt, Iomall eadar-lìn iomairt.

Is e sgrìobhainnean caran seann-fhasanta a tha seo. Bidh mi gan taisbeanadh an seo leis nach eil na sgeamaichean agus an dòigh-obrach bunaiteach air atharrachadh, ach aig an aon àm is toil leam an taisbeanadh nas motha na tha e sgrìobhainnean ùra.

Gun a bhith gad bhrosnachadh gus fuasglaidhean Cisco a chleachdadh, tha mi fhathast den bheachd gu bheil e feumail an dealbhadh seo a sgrùdadh gu faiceallach.

Chan eil an artaigil seo, mar as àbhaist, ann an dòigh sam bith a 'leigeil a-mach gu bheil e coileanta, ach tha e na chur ris an fhiosrachadh seo.

Aig deireadh an artaigil, nì sinn sgrùdadh air dealbhadh oifis Cisco SAFE a thaobh nam bun-bheachdan a tha air am mìneachadh an seo.

Prionnsapalan coitcheann

Feumaidh dealbhadh lìonra oifis, gu dearbh, na riatanasan coitcheann a chaidh a dheasbad a choileanadh an seo anns a’ chaibideil “Slatan-tomhais airson càileachd dealbhaidh a mheasadh”. A bharrachd air prìs is sàbhailteachd, a tha sinn an dùil a dheasbad san artaigil seo, tha trì slatan-tomhais ann fhathast air am feum sinn beachdachadh nuair a thathar a’ dealbhadh (no a’ dèanamh atharrachaidhean):

  • scalability
  • furasta a chleachdadh (smachdachadh)
  • ri fhaotainn

Mòran de na chaidh a dheasbad airson ionadan dàta Tha seo fìor cuideachd airson na h-oifis.

Ach fhathast, tha na mion-fhiosrachadh fhèin aig roinn na h-oifis, a tha deatamach a thaobh tèarainteachd. Is e brìgh an t-sònrachadh seo gu bheil an roinn seo air a chruthachadh gus seirbheisean lìonra a thoirt do luchd-obrach (a bharrachd air com-pàirtichean agus aoighean) a ’chompanaidh, agus, mar thoradh air an sin, aig an ìre as àirde de bheachdachadh air an duilgheadas tha dà ghnìomh againn:

  • dìon goireasan companaidh bho ghnìomhan droch-rùnach a dh’ fhaodadh tighinn bho luchd-obrach (aoighean, com-pàirtichean) agus bhon bhathar-bog a bhios iad a’ cleachdadh. Tha seo cuideachd a’ toirt a-steach dìon an aghaidh ceangal gun chead ris an lìonra.
  • dìon siostaman agus dàta luchd-cleachdaidh

Agus chan eil seo ach aon taobh den duilgheadas (no an àite, aon vertex den triantan). Air an taobh eile tha goireasachd luchd-cleachdaidh agus prìs nam fuasglaidhean a thathar a’ cleachdadh.

Feuch an tòisich sinn le bhith a 'coimhead air na tha neach-cleachdaidh a' sùileachadh bho lìonra oifis ùr-nodha.

Goireasan

Seo cò ris a tha “goireasan lìonra” coltach airson neach-cleachdaidh oifis nam bheachd-sa:

  • Gluasad
  • Comas an làn raon de dh’ innealan eòlach agus siostaman obrachaidh a chleachdadh
  • Cothrom furasta air a h-uile goireas companaidh riatanach
  • Goireasan eadar-lìn rim faighinn, a’ toirt a-steach diofar sheirbheisean sgòthan
  • "Obrachadh luath" den lìonra

Tha seo uile a’ buntainn an dà chuid ri luchd-obrach agus aoighean (no com-pàirtichean), agus tha e mar dhleastanas air innleadairean a’ chompanaidh eadar-dhealachadh a dhèanamh air ruigsinneachd airson diofar bhuidhnean luchd-cleachdaidh stèidhichte air cead.

Bheir sinn sùil nas mionaidiche air gach aon de na taobhan sin.

Gluasad

Tha sinn a 'bruidhinn mun chothrom a bhith ag obair agus a' cleachdadh na goireasan companaidh riatanach bho àite sam bith san t-saoghal (gu dearbh, far a bheil an eadar-lìon ri fhaighinn).

Tha seo gu tur a’ buntainn ris an oifis. Tha seo goireasach nuair a tha cothrom agad leantainn air adhart ag obair bho àite sam bith san oifis, mar eisimpleir, post fhaighinn, conaltradh ann an teachdaire corporra, a bhith ri fhaighinn airson gairm bhidio, ... Mar sin, leigidh seo dhut, air an aon làimh, gus fuasgladh fhaighinn air cuid de chùisean conaltradh “beò” (mar eisimpleir, pàirt a ghabhail ann an ralaidhean), agus air an làimh eile, bi an-còmhnaidh air-loidhne, cùm do mheur air a ’chuisle agus gu sgiobalta fuasgladh fhaighinn air cuid de ghnìomhan èiginneach le prìomhachas àrd. Tha seo gu math goireasach agus dha-rìribh a’ leasachadh càileachd conaltraidh.

Tha seo air a choileanadh le dealbhadh lìonra WiFi ceart.

Nota

An seo mar as trice bidh a ’cheist ag èirigh: a bheil e gu leòr dìreach WiFi a chleachdadh? A bheil seo a’ ciallachadh gun urrainn dhut stad a chleachdadh puirt Ethernet san oifis? Ma tha sinn a 'bruidhinn mu dheidhinn luchd-cleachdaidh a-mhàin, agus chan ann mu luchd-frithealaidh, a tha fhathast reusanta ceangal a dhèanamh ri port Ethernet cunbhalach, is e am freagairt san fharsaingeachd: tha, faodaidh tu thu fhèin a chuingealachadh gu WiFi a-mhàin. Ach tha nuances ann.

Tha buidhnean luchd-cleachdaidh cudromach ann a dh’ fheumas dòigh-obrach air leth. Tha iad sin, gu dearbh, nan luchd-rianachd. Ann am prionnsapal, chan eil ceangal WiFi cho earbsach (a thaobh call trafaic) agus nas slaodaiche na port Ethernet àbhaisteach. Faodaidh seo a bhith cudromach dha luchd-rianachd. A bharrachd air an sin, faodaidh luchd-rianachd lìonra, mar eisimpleir,, ann am prionnsapal, an lìonra Ethernet sònraichte aca fhèin a bhith aca airson ceanglaichean taobh a-muigh a’ chòmhlain.

Is dòcha gu bheil buidhnean/roinnean eile sa chompanaidh agad airson a bheil na factaran sin cudromach cuideachd.

Tha puing cudromach eile ann - fònadh. Is dòcha airson adhbhar air choireigin nach eil thu airson Wireless VoIP a chleachdadh agus gu bheil thu airson fònaichean IP a chleachdadh le ceangal Ethernet cunbhalach.

San fharsaingeachd, bha an dà chuid ceangal WiFi agus port Ethernet aig na companaidhean dhan robh mi ag obair.

Bu mhath leam nach biodh gluasad air a chuingealachadh ri dìreach an oifis.

Gus dèanamh cinnteach à comas a bhith ag obair bhon taigh (no àite sam bith eile le eadar-lìn ruigsinneach), thèid ceangal VPN a chleachdadh. Aig an aon àm, tha e ion-mhiannaichte nach bi luchd-obrach a 'faireachdainn an eadar-dhealachadh eadar a bhith ag obair bhon taigh agus obair iomallach, a tha a' gabhail ris an aon chothrom. Bruidhnidh sinn mu mar a chuireas tu seo air dòigh beagan nas fhaide air adhart sa chaibideil “Siostam dearbhaidh is ùghdarrais aonaichte.”

Nota

As dualtaiche, cha bhith e comasach dhut an aon chàileachd de sheirbheisean a thoirt seachad airson obair iomallach agus a tha agad san oifis. Gabhaidh sinn ris gu bheil thu a’ cleachdadh Cisco ASA 5520 mar do gheata VPN duilleag dàta chan urrainn don inneal seo “cladhach” ach 225 Mbit de thrafaig VPN. Is e sin, gu dearbh, a thaobh leud-bann, tha ceangal tro VPN gu math eadar-dhealaichte bho bhith ag obair bhon oifis. Cuideachd, ma tha, airson adhbhar air choireigin, latency, call, jitter (mar eisimpleir, tha thu airson cleachdadh fòn IP oifis) airson na seirbheisean lìonraidh agad cudromach, chan fhaigh thu cuideachd an aon chàileachd ’s a bhiodh tu san oifis. Mar sin, nuair a bhios sinn a’ bruidhinn mu ghluasad, feumaidh sinn a bhith mothachail air cuingeachaidhean a dh’ fhaodadh a bhith ann.

Cothrom furasta air a h-uile goireas companaidh

Bu chòir an obair seo a rèiteachadh ann an co-bhonn le roinnean teignigeach eile.
Is e an suidheachadh fìor mhath nuair nach fheum an neach-cleachdaidh ach dearbhadh aon uair, agus às deidh sin tha cothrom aige air na goireasan riatanach uile.
Le bhith a’ toirt seachad ruigsinneachd furasta gun a bhith ag ìobairt tèarainteachd faodaidh sin cinneasachd àrdachadh gu mòr agus cuideam a lughdachadh am measg do cho-obraichean.

Comharran 1

Chan eil ruigsinneachd furasta dìreach mu dheidhinn cia mheud uair a dh’ fheumas tu facal-faire a chuir a-steach. Ma tha, mar eisimpleir, a rèir do phoileasaidh tèarainteachd, gus ceangal a dhèanamh bhon oifis chun ionad dàta, feumaidh tu an toiseach ceangal a dhèanamh ri geata VPN, agus aig an aon àm chailleas tu cothrom air goireasan oifis, tha seo cuideachd glè fheumail. , glè ghoireasach.

Comharran 2

Tha seirbheisean ann (mar eisimpleir, ruigsinneachd air uidheamachd lìonraidh) far a bheil na frithealaichean AAA sònraichte againn fhèin mar as trice agus tha seo àbhaisteach nuair a dh’ fheumas sinn dearbhadh grunn thursan sa chùis seo.

Cothrom air goireasan eadar-lìn

Tha an eadar-lìon chan e a-mhàin dibhearsain, ach cuideachd seata de sheirbheisean a dh'fhaodas a bhith glè fheumail airson obair. Tha factaran dìreach saidhgeòlach ann cuideachd. Tha neach ùr-nodha ceangailte ri daoine eile tron ​​​​eadar-lìn tro iomadh snàithlean brìgheil, agus, nam bheachd-sa, chan eil dad ceàrr ma chumas e a ’faireachdainn a’ cheangal seo eadhon fhad ‘s a tha e ag obair.

A thaobh a bhith a’ caitheamh ùine, chan eil dad ceàrr air ma tha neach-obrach, mar eisimpleir, air Skype a ruith agus a’ cur seachad 5 mionaidean a’ conaltradh ri fear gaoil ma tha sin riatanach.

A bheil seo a’ ciallachadh gum bu chòir gum biodh an eadar-lìn an-còmhnaidh ri fhaighinn, a bheil seo a’ ciallachadh gum faod cothrom a bhith aig luchd-obrach air a h-uile goireas agus gun smachd a chumail orra ann an dòigh sam bith?

Chan eil sin a’ ciallachadh sin, gu dearbh. Faodaidh ìre fosgarrachd an eadar-lìn atharrachadh airson diofar chompanaidhean - bho dhùnadh iomlan gu fosgarrachd iomlan. Bruidhnidh sinn mu dhòighean air smachd a chumail air trafaic nas fhaide air adhart anns na h-earrannan air ceumannan tèarainteachd.

Comas an làn raon de dh’ innealan eòlach a chleachdadh

Tha e goireasach nuair a bhios, mar eisimpleir, cothrom agad cumail a’ cleachdadh a h-uile dòigh conaltraidh ris a bheil thu cleachdte aig an obair. Chan eil duilgheadas sam bith ann seo a chuir an gnìomh gu teicnigeach. Airson seo feumaidh tu WiFi agus wilan aoigh.

Tha e math cuideachd ma tha cothrom agad an siostam obrachaidh air a bheil thu eòlach a chleachdadh. Ach, nam bheachd-sa, mar as trice chan eil seo ceadaichte ach do mhanaidsearan, luchd-rianachd agus luchd-leasachaidh.

Eisimpleir:

Faodaidh tu, gu dearbh, slighe toirmeasg a leantainn, casg a chuir air ruigsinneachd iomallach, casg a chuir air ceangal bho innealan gluasadach, casg a chuir air a h-uile càil gu ceanglaichean Ethernet statach, ruigsinneachd air an eadar-lìn a chuingealachadh, fònaichean cealla agus innealan a thoirt air falbh gu h-èigneachail aig an àite-seic... agus an t-slighe seo air a leantainn le cuid de bhuidhnean le barrachd riatanasan tèarainteachd, agus is dòcha ann an cuid de chùisean dh’ fhaodadh seo a bhith air fhìreanachadh, ach... feumaidh tu aontachadh gu bheil seo a’ coimhead coltach ri oidhirp stad a chuir air adhartas ann an aon bhuidheann. Gu dearbh, bu mhath leam na cothroman a tha teicneòlasan an latha an-diugh a 'toirt seachad a chur còmhla le ìre gu leòr de thèarainteachd.

"Obrachadh luath" den lìonra

Tha astar gluasad dàta gu teicnigeach a’ toirt a-steach mòran fhactaran. Agus mar as trice chan e astar do phort ceangail am fear as cudromaiche. Chan eil gnìomhachd slaodach tagradh an-còmhnaidh co-cheangailte ri duilgheadasan lìonra, ach airson a-nis chan eil ùidh againn ach ann am pàirt an lìonraidh. Tha an duilgheadas as cumanta le “slaodadh sìos” lìonra ionadail co-cheangailte ri call pacaid. Mar as trice bidh seo a’ tachairt nuair a tha cnap-starra no duilgheadasan L1 (OSI). Nas trice, le cuid de dhealbhaidhean (mar eisimpleir, nuair a tha balla-teine ​​​​aig na subnets agad mar an geata àbhaisteach agus mar sin bidh a h-uile trafaic a’ dol troimhe), is dòcha gu bheil dìth air coileanadh bathar-cruaidh.

Mar sin, nuair a thaghas tu uidheamachd agus ailtireachd, feumaidh tu astar puirt crìochnachaidh, stocan agus coileanadh uidheamachd a cho-cheangal.

Eisimpleir:

Gabhaidh sinn ris gu bheil thu a’ cleachdadh suidsichean le puirt 1 gigabit mar suidsichean còmhdach ruigsinneachd. Tha iad ceangailte ri chèile tro Etherchannel 2 x 10 gigabits. Mar gheata àbhaisteach, bidh thu a’ cleachdadh balla-teine ​​​​le puirt gigabit, gus ceangal a dhèanamh ris an lìonra oifis L2 a chleachdas tu puirt 2 gigabit còmhla ann an Etherchannel.

Tha an ailtireachd seo gu math goireasach bho shealladh gnìomh, oir tha ... Bidh a h-uile trafaic a’ dol tron ​​​​bhalla-teine, agus faodaidh tu poileasaidhean ruigsinneachd a riaghladh gu comhfhurtail, agus algoirmean iom-fhillte a chuir an sàs gus smachd a chumail air trafaic agus casg a chuir air ionnsaighean a dh’ fhaodadh a bhith ann (faic gu h-ìosal), ach bho shealladh toraidh agus coileanaidh, gu dearbh, tha duilgheadasan aig an dealbhadh seo. Mar sin, mar eisimpleir, faodaidh luchd-aoigheachd 2 a bhith a’ luchdachadh sìos dàta (le astar port 1 gigabit) ceangal 2 gigabit gu tur ris a ’bhalla-teine, agus mar sin leantainn gu crìonadh seirbheis airson roinn na h-oifis gu lèir.

Tha sinn air sùil a thoirt air aon vertex den triantan, a-nis leig dhuinn coimhead air mar as urrainn dhuinn dèanamh cinnteach à tèarainteachd.

Leigheasan

Mar sin, gu dearbh, mar as trice is e ar miann (no an àite, miann ar riaghladh) an rud do-dhèanta a choileanadh, is e sin, an goireas as motha a thoirt seachad leis an tèarainteachd as àirde agus a ’chosgais as ìsle.

Bheir sinn sùil air dè na dòighean a th’ againn gus dìon a thoirt seachad.

Airson na h-oifis, bheir mi cuideam air na leanas:

  • dòigh-obrach earbsa neoni a thaobh dealbhadh
  • ìre àrd de dhìon
  • faicsinneachd lìonra
  • siostam dearbhaidh agus ceadachaidh aonaichte aonaichte
  • sgrùdadh aoigheachd

An ath rud, bidh sinn a 'fuireach ann am beagan nas mionaidiche air gach aon de na taobhan sin.

Urras Zero

Tha saoghal IT ag atharrachadh gu math luath. Dìreach thairis air na 10 bliadhna a dh’ fhalbh, tha teachd a-steach theicneòlasan agus thoraidhean ùra air leantainn gu ath-sgrùdadh mòr air bun-bheachdan tèarainteachd. Deich bliadhna air ais, bho shealladh tèarainteachd, roinn sinn an lìonra gu sònaichean earbsa, dmz agus mì-earbsa, agus chleachd sinn an “dìon iomaill”, far an robh 2 loidhne dìon: neo-earbsa -> dmz agus dmz -> earbsa. Cuideachd, mar as trice bha dìon air a chuingealachadh ri liostaichean ruigsinneachd stèidhichte air cinn-cinn L3 / L4 (OSI) (IP, puirt TCP / UDP, brataichean TCP). Chaidh a h-uile càil co-cheangailte ri ìrean nas àirde, L7 nam measg, fhàgail aig an OS agus bathar tèarainteachd air a chuir a-steach air na h-aoighean deireannach.

A-nis tha an suidheachadh air atharrachadh gu mòr. Bun-bheachd ùr-nodha earbsa neoni a 'tighinn bhon fhìrinn nach eil e comasach tuilleadh beachdachadh air siostaman a-staigh, is e sin, an fheadhainn a tha suidhichte taobh a-staigh an iomall, mar a tha earbsa, agus tha bun-bheachd an iomaill fhèin air fàs neo-shoilleir.
A bharrachd air ceangal eadar-lìn tha againn cuideachd

  • luchd-cleachdaidh VPN ruigsinneachd iomallach
  • diofar innealan pearsanta, coimpiutairean-glùine air an toirt a-steach, ceangailte tro WiFi oifis
  • oifisean (meur) eile
  • amalachadh le bun-structar sgòthan

Cò ris a tha dòigh-obrach Urras Zero coltach ann an cleachdadh?

Mas fheàrr, cha bu chòir ach an trafaic a tha a dhìth a cheadachadh agus, ma tha sinn a’ bruidhinn mu dheidhinn air leth freagarrach, bu chòir smachd a bhith chan ann a-mhàin aig ìre L3 / L4, ach aig ìre an tagraidh.

Ma tha, mar eisimpleir, gu bheil comas agad a dhol seachad air a h-uile trafaic tro bhalla-teine, faodaidh tu feuchainn ri faighinn nas fhaisge air an ìre as fheàrr. Ach faodaidh an dòigh-obrach seo leud-bann iomlan an lìonra agad a lughdachadh gu mòr, agus a bharrachd air an sin, chan eil sìoladh le tagradh an-còmhnaidh ag obair gu math.

Nuair a bhios tu a’ cumail smachd air trafaic air router no suidse L3 (a’ cleachdadh ACLS àbhaisteach), thig thu tarsainn air duilgheadasan eile:

  • Is e seo sìoltachan L3 / L4 a-mhàin. Chan eil dad a’ cur stad air neach-ionnsaigh bho bhith a’ cleachdadh puirt ceadaichte (me TCP 80) airson an tagradh (chan e http)
  • riaghladh ACL iom-fhillte (duilich ACL a pharsadh)
  • Chan e balla-teine ​​​​stàite a tha seo, a’ ciallachadh gum feum thu trafaic air ais a cheadachadh gu soilleir
  • le suidsichean tha thu mar as trice air a chuingealachadh gu math teann le meud an TCAM, a dh’ fhaodadh a bhith na dhuilgheadas gu luath ma ghabhas tu ris an dòigh-obrach “na leig leat ach na tha a dhìth ort”

Nota

A’ bruidhinn mu thrafaig air ais, feumaidh sinn cuimhneachadh gu bheil an cothrom a leanas againn (Cisco)

ceadaich tcp sam bith stèidhichte

Ach feumaidh tu tuigsinn gu bheil an loidhne seo co-ionann ri dà loidhne:
ceadaich tcp ack sam bith
ceadaich tcp sam bith air thoiseach

A tha a’ ciallachadh, eadhon ged nach robh earrann TCP tùsail ann le bratach SYN (is e sin, cha do thòisich an seisean TCP eadhon a ’stèidheachadh), leigidh an ACL seo pasgan le bratach ACK, a dh’ fhaodas neach-ionnsaigh a chleachdadh gus dàta a ghluasad.

Is e sin, chan eil an loidhne seo ann an dòigh sam bith a’ tionndadh an router agad no an tionndadh L3 gu bhith na bhalla-teine ​​​​stàite.

Ìre àrd de dhìon

В artaigil Anns an earrann air ionadan dàta, bheachdaich sinn air na dòighean dìon a leanas.

  • balla-teine ​​​​stàite (bunaiteach)
  • dìon dos/dos
  • tagradh balla-teine
  • casg bagairtean (antivirus, anti-spyware, agus so-leòntachd)
  • Criathradh URL
  • sìoladh dàta (sìoladh susbaint)
  • bacadh fhaidhlichean (bacadh seòrsaichean faidhle)

A thaobh oifis, tha an suidheachadh coltach, ach tha na prìomhachasan beagan eadar-dhealaichte. Mar as trice chan eil cothrom oifis (ri fhaotainn) cho deatamach ‘s a tha e ann an cùis ionad dàta, agus tha an coltas gum bi trafaic droch-rùnach“ a-staigh ”òrdughan meud nas àirde.
Mar sin, tha na dòighean dìon a leanas airson na roinne seo air leth cudromach:

  • tagradh balla-teine
  • casg bagairtean (anti-bhìoras, anti-spyware, agus so-leòntachd)
  • Criathradh URL
  • sìoladh dàta (sìoladh susbaint)
  • bacadh fhaidhlichean (bacadh seòrsaichean faidhle)

Ged a tha na dòighean dìon sin uile, ach a-mhàin balla-teine ​​​​tagradh, gu traidiseanta air a bhith air am fuasgladh air na h-aoighean deireannach (mar eisimpleir, le bhith a ’stàladh prògraman antivirus) agus a’ cleachdadh proxies, bidh NGFWn an latha an-diugh a ’toirt seachad na seirbheisean sin cuideachd.

Bidh luchd-reic uidheamachd tèarainteachd a’ strì ri dìon coileanta a chruthachadh, agus mar sin còmhla ri dìon ionadail, bidh iad a’ tabhann grunn theicneòlasan sgòthan agus bathar-bog teachdaiche airson luchd-aoigheachd (dìon puing crìochnachaidh / EPP). Mar sin, mar eisimpleir, bho 2018 Gartner Magic Quadrant Chì sinn gu bheil na EPPan aca fhèin aig Palo Alto agus Cisco (PA: Traps, Cisco: AMP), ach tha iad fada bho na stiùirichean.

Gu dearbh chan eil e riatanach na dìonan sin a chomasachadh (mar as trice le bhith a’ ceannach ceadan) air a’ bhalla-teine ​​agad (faodaidh tu a dhol air an t-slighe thraidiseanta), ach tha e a’ toirt seachad cuid de bhuannachdan:

  • anns a 'chùis seo, tha aon phuing de dhòighean dìon ann, a tha a' leasachadh faicsinneachd (faic an ath chuspair).
  • Ma tha inneal gun dìon air an lìonra agad, tha e fhathast fo "sgàilean" dìon balla-teine
  • Le bhith a’ cleachdadh dìon balla-teine ​​an co-bhonn ri dìon luchd-aoigheachd deireannach, bidh sinn a’ meudachadh an coltas gun lorg sinn trafaic droch-rùnach. Mar eisimpleir, bidh cleachdadh casg bagairt air luchd-aoigheachd ionadail agus air balla-teine ​​​​a ’meudachadh an coltas gun lorgar iad (fhad‘ s, gu dearbh, gu bheil na fuasglaidhean sin stèidhichte air diofar thoraidhean bathar-bog)

Nota

Ma chleachdas tu, mar eisimpleir, Kaspersky mar anti-bhìoras an dà chuid air a’ bhalla-teine ​​​​agus air na h-aoighean deireannach, an uairsin cha toir seo, gu dearbh, àrdachadh mòr air na cothroman agad casg a chuir air ionnsaigh bhìoras air an lìonra agad.

Faicsinneachd lìonra

Prìomh bheachd tha e sìmplidh - “faic” na tha a’ tachairt air an lìonra agad, an dà chuid ann an àm fìor agus dàta eachdraidheil.

Roinninn an “lèirsinn” seo ann an dà bhuidheann:

Buidheann a h-aon: na tha an siostam sgrùdaidh agad mar as trice a’ toirt dhut.

  • luchdachadh uidheamachd
  • a’ luchdachadh sianalan
  • cleachdadh cuimhne
  • cleachdadh diosc
  • ag atharrachadh a 'chlàr seòlaidh
  • inbhe ceangail
  • cothrom air uidheamachd (no luchd-aoigheachd)
  • ...

Buidheann a dhà: fiosrachadh co-cheangailte ri sàbhailteachd.

  • diofar sheòrsaichean staitistig (mar eisimpleir, le tagradh, a rèir trafaic URL, dè an seòrsa dàta a chaidh a luchdachadh sìos, dàta luchd-cleachdaidh)
  • dè a chaidh a bhacadh le poileasaidhean tèarainteachd agus carson, is e sin
    • tagradh toirmisgte
    • toirmisgte stèidhichte air ip / protocol / port / brataichean / sònaichean
    • casg bagairt
    • sìoladh url
    • sìoladh dàta
    • bacadh fhaidhlichean
    • ...
  • staitistig mu ionnsaighean DOS / DDOS
  • dh'fhàillig oidhirpean aithneachaidh agus ceadachaidh
  • staitistig airson a h-uile tachartas brisidh poileasaidh tèarainteachd gu h-àrd
  • ...

Anns a 'chaibideil seo air tèarainteachd, tha ùidh againn anns an dàrna pàirt.

Tha cuid de bhallachan-teine ​​​​an latha an-diugh (bhon eòlas Palo Alto agam) a 'toirt seachad ìre mhath de fhaicsinneachd. Ach, gu dearbh, feumaidh an trafaic anns a bheil ùidh agad a dhol tron ​​​​bhalla-teine ​​​​seo (anns a ’chùis sin tha comas agad trafaic a bhacadh) no a bhith mar sgàthan air a’ bhalla-teine ​​(air a chleachdadh a-mhàin airson sgrùdadh agus mion-sgrùdadh), agus feumaidh ceadan a bhith agad gus na h-uile a chomasachadh. na seirbheisean seo.

Tha, gu dearbh, dòigh eile, no an àite an dòigh thraidiseanta, mar eisimpleir,

  • Faodar staitistig seisean a chruinneachadh tro netflow agus an uairsin goireasan sònraichte a chleachdadh airson mion-sgrùdadh fiosrachaidh agus sealladh dàta
  • casg bagairtean - prògraman sònraichte (anti-bhìoras, anti-spyware, balla-teine) air luchd-aoigheachd deireannach
  • Criathradh URL, sìoladh dàta, bacadh fhaidhlichean - air neach-ionaid
  • tha e comasach cuideachd tcpdump a sgrùdadh a’ cleachdadh m.e. srann

Faodaidh tu an dà dhòigh-obrach seo a chur còmhla, a 'cur ri feartan a tha a dhìth no gan dùblachadh gus am bi iad nas coltaiche gun tèid ionnsaigh a lorg.

Dè an dòigh-obrach a bu chòir dhut a thaghadh?
Tha e gu mòr an urra ri teisteanasan agus roghainnean na sgioba agad.
Tha an dà chuid an sin agus an sin buannachdan agus eas-bhuannachdan.

Siostam dearbhaidh agus ceadachaidh aonaichte aonaichte

Nuair a tha e air a dheagh dhealbhadh, tha an gluasad air an do bhruidhinn sinn san artaigil seo a’ gabhail ris gu bheil an aon chothrom agad ge bith a bheil thu ag obair bhon oifis no bhon dachaigh, bhon phort-adhair, bho bhùth cofaidh no àite sam bith eile (leis na cuingeadan air an do bhruidhinn sinn gu h-àrd). Bhiodh e coltach, dè an duilgheadas a th’ ann?
Gus tuigse nas fheàrr fhaighinn air iom-fhillteachd na h-obrach seo, leig dhuinn sùil a thoirt air dealbhadh àbhaisteach.

Eisimpleir:

  • Tha thu air a h-uile neach-obrach a roinn ann am buidhnean. Tha thu air co-dhùnadh ruigsinneachd a thoirt seachad le buidhnean
  • Taobh a-staigh na h-oifis, bidh smachd agad air ruigsinneachd air balla-teine ​​​​na h-oifis
  • Bidh smachd agad air trafaic bhon oifis chun ionad dàta air balla-teine ​​​​an ionad dàta
  • Bidh thu a’ cleachdadh Cisco ASA mar gheata VPN agus gus smachd a chumail air trafaic a thig a-steach don lìonra agad bho luchd-dèiligidh iomallach, bidh thu a’ cleachdadh ACLan ionadail (air an ASA).

A-nis, canaidh sinn gun tèid iarraidh ort ruigsinneachd a bharrachd a chuir ri neach-obrach sònraichte. Anns a 'chùis seo, thathar ag iarraidh ort ruigsinneachd a chuir ris a-mhàin agus gun duine eile bhon bhuidheann aige.

Airson seo feumaidh sinn buidheann fa leth a chruthachadh airson an neach-obrach seo, is e sin

  • cruthaich amar IP air leth air an ASA airson an neach-obrach seo
  • cuir ACL ùr ris an ASA agus ceangail e ris a’ chleachdaiche iomallach sin
  • cruthaich poileasaidhean tèarainteachd ùra air ballachan teine ​​​​oifisean is ionadan dàta

Tha e math ma tha an tachartas seo tearc. Ach nam chleachdadh bha suidheachadh ann nuair a ghabh luchd-obrach pàirt ann am pròiseactan eadar-dhealaichte, agus dh'atharraich an seata seo de phròiseactan airson cuid dhiubh gu math tric, agus cha b 'e 1-2 neach a bh' ann, ach dusanan. Gu dearbh, bha feum air rudeigin atharrachadh an seo.

Chaidh seo fhuasgladh anns an dòigh a leanas.

Cho-dhùin sinn gur e LDAP an aon thùs fìrinn a cho-dhùineas a h-uile ruigsinneachd a dh’ fhaodadh a bhith aig luchd-obrach. Chruthaich sinn a h-uile seòrsa de bhuidhnean a mhìnicheas seataichean ruigsinneachd, agus shònraich sinn gach neach-cleachdaidh do aon bhuidheann no barrachd.

Mar sin, mar eisimpleir, is dòcha gu robh buidhnean ann

  • aoigh (ruigsinneachd eadar-lìn)
  • ruigsinneachd cumanta (ruigsinneachd air goireasan co-roinnte: post, bunait eòlais, ...)
  • cunntasachd
  • pròiseact 1
  • pròiseact 2
  • rianadair stòr-dàta
  • rianaire linux
  • ...

Agus ma bha aon den luchd-obrach an sàs ann am pròiseact 1 agus pròiseact 2, agus gu robh feum aige air an ruigsinneachd a dh’ fheumar gus obrachadh anns na pròiseactan sin, chaidh an neach-obrach seo a shònrachadh do na buidhnean a leanas:

  • aoigheachd
  • ruigsinneachd coitcheann
  • pròiseact 1
  • pròiseact 2

Ciamar as urrainn dhuinn a-nis am fiosrachadh seo a thionndadh gu ruigsinneachd air uidheamachd lìonra?

Poileasaidh Ruigsinneachd Dynamic Cisco ASA (DAP) (faic www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) tha fuasgladh dìreach ceart airson na h-obrach seo.

Gu h-aithghearr mu ar buileachadh, rè a’ phròiseas aithneachaidh / ùghdarrachaidh, bidh ASA a’ faighinn bho LDAP seata de bhuidhnean a tha co-chosmhail ri neach-cleachdaidh sònraichte agus “a’ cruinneachadh ”bho ghrunn ACLan ionadail (gach fear dhiubh a’ freagairt ri buidheann) ACL fiùghantach leis a h-uile ruigsinneachd riatanach. , a tha gu tur a rèir ar miannan.

Ach chan eil seo ach airson ceanglaichean VPN. Gus an suidheachadh a dhèanamh mar an ceudna airson an dà chuid luchd-obrach ceangailte tro VPN agus an fheadhainn san oifis, chaidh an ceum a leanas a ghabhail.

Nuair a bha iad a’ ceangal bhon oifis, thàinig luchd-cleachdaidh a bha a’ cleachdadh a’ phròtacal 802.1x gu crìch ann an LAN aoigh (airson aoighean) no LAN co-roinnte (airson luchd-obrach companaidh). Nas fhaide, gus ruigsinneachd sònraichte fhaighinn (mar eisimpleir, gu pròiseactan ann an ionad dàta), bha aig luchd-obrach ri ceangal tro VPN.

Gus ceangal bhon oifis agus bhon dachaigh, chaidh diofar bhuidhnean tunail a chleachdadh air an ASA. Tha seo riatanach gus nach bi trafaic gu goireasan co-roinnte (air an cleachdadh leis a h-uile neach-obrach, leithid post, frithealaichean faidhle, siostam tiogaidean, dns, ...) a’ dol tron ​​​​ASA, ach tron ​​​​lìonra ionadail. . Mar sin, cha do luchdaich sinn an ASA le trafaic neo-riatanach, a’ toirt a-steach trafaic àrd dian.

Mar sin, chaidh an duilgheadas fhuasgladh.
Fhuair sinn

  • an aon sheata de ruigsinneachd airson gach ceangal bhon oifis agus ceanglaichean iomallach
  • às aonais crìonadh seirbheis nuair a bhios tu ag obair bhon oifis co-cheangailte ri sgaoileadh trafaic àrd-dian tro ASA

Dè na buannachdan eile a tha aig an dòigh-obrach seo?
Ann an rianachd ruigsinneachd. Faodar ruigsinneachd atharrachadh gu furasta ann an aon àite.
Mar eisimpleir, ma dh'fhàgas neach-obrach a 'chompanaidh, bidh thu dìreach ga thoirt air falbh bho LDAP, agus bidh e gu fèin-obrachail a' call a h-uile cothrom.

A' cumail sùil air aoigheachd

Le comas air ceangal iomallach, tha sinn ann an cunnart cead a thoirt chan ann a-mhàin do neach-obrach companaidh a dhol a-steach don lìonra, ach cuideachd a h-uile bathar-bog droch-rùnach a tha dualtach a bhith an làthair air a’ choimpiutair aige (mar eisimpleir, dachaigh), agus a bharrachd air an sin, tron ​​​​bhathar-bog seo bidh sinn is dòcha gu bheil iad a’ toirt cothrom air an lìonra againn do neach-ionnsaigh a’ cleachdadh an aoigh seo mar neach-ionaid.

Tha e ciallach gum bi aoigh le ceangal air astar a’ cur an sàs na h-aon riatanasan tèarainteachd ri aoigh in-oifis.

Tha seo cuideachd a’ gabhail ris an dreach “ceart” den OS, bathar-bog anti-bhìoras, anti-spyware, agus balla-teine ​​​​agus ùrachaidhean. Mar as trice, tha an comas seo ann air geata VPN (airson ASA faic, mar eisimpleir, an seo).

Tha e cuideachd glic na h-aon dòighean sgrùdaidh trafaic agus bacadh a chuir an sàs (faic “Ìre àrd de dhìon”) a tha am poileasaidh tèarainteachd agad a’ buntainn ri trafaic oifis.

Tha e reusanta gabhail ris nach eil an lìonra oifis agad a-nis cuingealaichte ri togalach na h-oifis agus na h-aoighean a tha na bhroinn.

Eisimpleir:

Is e deagh dhòigh-obrach coimpiutair-uchd math, goireasach a thoirt do gach neach-obrach a dh’ fheumas ruigsinneachd iomallach agus iarraidh orra a bhith ag obair, an dà chuid san oifis agus bhon dachaigh, dìreach bhuaithe.

Chan e a-mhàin gu bheil e a’ leasachadh tèarainteachd an lìonra agad, ach tha e cuideachd gu math goireasach agus mar as trice bidh e air fhaicinn gu fàbharach le luchd-obrach (mas e laptop fìor mhath a th’ ann a tha furasta a chleachdadh).

Mu mhothachadh air co-roinn agus cothromachadh

Gu bunaiteach, is e còmhradh a tha seo mun treas vertex den triantan againn - mu phrìs.
Bheir sinn sùil air eisimpleir beachd-bharail.

Eisimpleir:

Tha oifis agad airson 200 neach. Cho-dhùin thu a dhèanamh cho goireasach agus cho sàbhailte sa ghabhas.

Mar sin, chuir thu romhpa an trafaic gu lèir a thoirt tron ​​​​bhalla-teine ​​​​agus mar sin airson a h-uile subnets oifis is e am balla-teine ​​​​an geata àbhaisteach. A bharrachd air a’ bhathar-bog tèarainteachd a chaidh a chuir a-steach air gach aoigh deireannach (bathar-bog anti-bhìoras, anti-spyware, agus balla-teine), chuir thu romhpa cuideachd a h-uile dòigh dìon a chuir an sàs air a’ bhalla-teine.

Gus dèanamh cinnteach à astar ceangail àrd (uile airson goireasachd), thagh thu suidsichean le 10 puirt ruigsinneachd Gigabit mar suidsichean ruigsinneachd, agus ballachan teine ​​​​NGFW àrd-choileanadh mar bhallachan teine, mar eisimpleir, sreath Palo Alto 7K (le puirt 40 Gigabit), gu nàdarra leis a h-uile cead air a ghabhail a-steach agus, gu nàdarra, paidhir Cothrom Àrd.

Cuideachd, gu dearbh, gus obrachadh leis an loidhne uidheamachd seo feumaidh sinn co-dhiù innleadair tèarainteachd le teisteanas no dhà.

An uairsin, chuir thu romhpa laptop math a thoirt do gach neach-obrach.

Iomlan, mu 10 millean dolair airson buileachadh, na ceudan de mhìltean de dholair (tha mi a 'smaoineachadh nas fhaisge air millean) airson taic bhliadhnail agus tuarastalan airson innleadairean.

Oifis, 200 neach...
Comhfhurtail? Tha mi creidsinn gur e tha.

Thig thu leis a’ mholadh seo chun luchd-stiùiridh agad...
Is dòcha gu bheil grunn chompanaidhean san t-saoghal far a bheil seo na fhuasgladh iomchaidh agus ceart. Ma tha thu nad neach-obrach aig a’ chompanaidh seo, tha mi a’ cur meal-a-naidheachd ort, ach anns a’ mhòr-chuid de chùisean, tha mi cinnteach nach bi an luchd-stiùiridh a’ cur luach air an eòlas agad.

A bheil an eisimpleir seo ro mhòr? Freagraidh an ath chaibideil a’ cheist seo.

Mura faic thu gin de na tha gu h-àrd air an lìonra agad, is e seo an àbhaist.
Airson gach cùis shònraichte, feumaidh tu do cho-rèiteachadh reusanta fhèin a lorg eadar goireasachd, prìs agus sàbhailteachd. Gu tric chan fheum thu eadhon NGFW san oifis agad, agus chan eil feum air dìon L7 air a ’bhalla-teine. Tha e gu leòr airson ìre mhath de fhaicsinneachd agus rabhaidhean a thoirt seachad, agus faodar seo a dhèanamh le bhith a’ cleachdadh stuthan stòr fosgailte, mar eisimpleir. Tha, cha bhith do fhreagairt air ionnsaigh sa bhad, ach is e am prìomh rud gum faic thu e, agus leis na pròiseasan ceart nan àite san roinn agad, bidh e comasach dhut a neodachadh gu sgiobalta.

Agus leig dhomh do chuimhneachadh, a rèir bun-bheachd an t-sreath artaigilean seo, nach eil thu a’ dealbhadh lìonra, chan eil thu ach a’ feuchainn ris na fhuair thu a leasachadh.

SAFE mion-sgrùdadh air ailtireachd oifis

Thoir aire don cheàrnag dhearg seo leis an do chuir mi àite air an diagram SAFE Stiùireadh Ailtireachd Àrainn Thèaraintea bu mhath leam bruidhinn an seo.

Mar a ghabhas thu smachd air bun-structar an lìonraidh agad. Caibideil a trì. Tèarainteachd lìonra. Pàirt a trì

Is e seo aon de na prìomh àiteachan ailtireachd agus aon de na mì-chinnt as cudromaiche.

Nota

Cha robh mi a-riamh air stèidheachadh no obrachadh le FirePower (bho loidhne balla-teine ​​​​Cisco - dìreach ASA), agus mar sin dèiligidh mi ris mar bhalla-teine ​​​​sam bith eile, leithid Juniper SRX no Palo Alto, a’ gabhail ris gu bheil na h-aon chomasan aige.

De na dealbhaidhean àbhaisteach, chan eil mi a’ faicinn ach 4 roghainnean comasach airson balla-teine ​​​​a chleachdadh leis a’ cheangal seo:

  • is e tionndadh a th’ anns a’ gheata àbhaisteach airson gach subnet, fhad ‘s a tha am balla-teine ​​​​ann am modh follaiseach (is e sin, bidh a h-uile trafaic a’ dol troimhe, ach chan eil e na hop L3)
  • is e an geata bunaiteach airson gach subnet na fo-aghaidhean balla-teine ​​(no eadar-aghaidh SVI), tha an suidse a’ cluich pàirt L2
  • bithear a’ cleachdadh diofar VRF air an suidse, agus bidh trafaic eadar VRF a’ dol tron ​​bhalla-teine, tha trafaic taobh a-staigh aon VRF fo smachd an ACL air an suidse
  • tha a h-uile trafaic mar sgàthan air a’ bhalla-teine ​​​​airson mion-sgrùdadh agus sgrùdadh; chan eil trafaic a’ dol troimhe

Comharran 1

Tha measgachadh de na roghainnean sin comasach, ach airson sìmplidh cha bheachdaich sinn orra.

Nota2

Tha comas ann cuideachd PBR (ailtireachd slabhraidh seirbheis) a chleachdadh, ach airson a-nis tha seo, ged a tha fuasgladh brèagha nam bheachd-sa, caran annasach, agus mar sin chan eil mi a’ beachdachadh air an seo.

Bhon tuairisgeul air na sruthan anns an sgrìobhainn, chì sinn gu bheil an trafaic fhathast a ’dol tron ​​​​bhalla-teine, is e sin, a rèir dealbhadh Cisco, tha an ceathramh roghainn air a chuir às.

Bheir sinn sùil air a’ chiad dà roghainn an-toiseach.
Leis na roghainnean sin, bidh a h-uile trafaig a 'dol tron ​​​​bhalla-teine.

A-nis leig dhuinn coimhead duilleag dàta, seall Cisco GPL agus chì sinn ma tha sinn ag iarraidh gum bi an leud-bann iomlan airson na h-oifis againn co-dhiù timcheall air 10 - 20 gigabits, feumaidh sinn an dreach 4K a cheannach.

Nota

Nuair a bhios mi a 'bruidhinn mun leud-bann iomlan, tha mi a' ciallachadh trafaig eadar subnets (agus chan ann taobh a-staigh aon vilana).

Bhon GPL chì sinn sin airson a’ Bhundle HA le Dìon Cunnart, gu bheil a’ phrìs a rèir a’ mhodail (4110 - 4150) ag atharrachadh bho ~0,5 - 2,5 millean dolar.

Is e sin, tha an dealbhadh againn a’ tòiseachadh a bhith coltach ris an eisimpleir roimhe.

A bheil seo a’ ciallachadh gu bheil an dealbhadh seo ceàrr?
Chan e, chan eil sin a’ ciallachadh. Bheir Cisco an dìon as fheàrr dhut stèidhichte air an loidhne toraidh a tha aige. Ach chan eil sin a 'ciallachadh gu bheil e riatanach dhut.

Ann am prionnsabal, is e ceist chumanta a tha seo a dh'èireas nuair a thathar a 'dealbhadh oifis no ionad dàta, agus chan eil e a' ciallachadh ach gum feumar co-rèiteachadh a shireadh.

Mar eisimpleir, na leig leis a h-uile trafaic a dhol tro bhalla-teine, agus mar sin tha roghainn 3 a’ coimhead gu math math dhomh, no (faic an earrann roimhe) is dòcha nach eil feum agad air Cunnart Dìon no nach eil feum agad air balla-teine ​​​​air an sin. lìonra, agus cha leig thu leas ach thu fhèin a chuingealachadh gu sgrùdadh fulangach a’ cleachdadh fuasglaidhean pàighte (nach eil daor) no stòr fosgailte, no feumaidh tu balla-teine, ach bho neach-reic eile.

Mar as trice tha an-còmhnaidh mì-chinnt ann agus chan eil freagairt soilleir ann a thaobh dè an co-dhùnadh as fheàrr dhutsa.
Is e seo iom-fhillteachd agus bòidhchead na h-obrach seo.

Source: www.habr.com

Cuir beachd ann