ProHoster > Pūnaewele > Nā Administration > Pehea e lawe ai i ka mana o kāu ʻoihana pūnaewele. Mokuna ekolu. Palekana pūnaewele. Mahele ʻekolu

Pehea e lawe ai i ka mana o kāu ʻoihana pūnaewele. Mokuna ekolu. Palekana pūnaewele. Mahele ʻekolu

ʻO kēia ʻatikala ka lima o ka pūʻulu "Pehea e lawe ai i ka mana o kāu ʻoihana Pūnaewele." Hiki ke loaʻa nā ʻatikala a pau o ka moʻo a me nā loulou maanei.

E hoʻolaʻa ʻia kēia ʻāpana i ka Campus (Keʻena) & ʻāpana mamao VPN.

Pehea e lawe ai i ka mana o kāu ʻoihana pūnaewele. Mokuna ekolu. Palekana pūnaewele. Mahele ʻekolu

He mea maʻalahi paha ka hoʻolālā ʻana o ka ʻoihana.

ʻOiaʻiʻo, lawe mākou i nā hoʻololi L2 / L3 a hoʻohui iā lākou i kekahi i kekahi. A laila, hoʻokō mākou i kahi hoʻonohonoho kumu o nā vilans a me nā ʻīpuka paʻamau, hoʻonohonoho i ke ala maʻalahi, hoʻopili i nā mea hoʻokele WiFi, nā wahi komo, hoʻokomo a hoʻonohonoho i ka ASA no ke komo mamao, hauʻoli mākou i ka hana ʻana o nā mea āpau. Basically, e like me kaʻu i kākau ai ma kekahi o nā mea ma mua nāʻatikala ʻO kēia pōʻaiapuni, kokoke i kēlā me kēia haumāna i hele (a aʻo) ʻelua kau o ka papa telecom hiki ke hoʻolālā a hoʻonohonoho i kahi ʻoihana keʻena i hiki ke "hana."

Akā ʻoi aku ka nui o kāu aʻo ʻana, ʻoi aku ka maʻalahi o kēia hana. Noʻu iho, ʻaʻole maʻalahi kēia kumuhana, ke kumuhana o ka hoʻolālā ʻoihana keʻena, a ma kēia ʻatikala e hoʻāʻo wau e wehewehe i ke kumu.

I ka pōkole, nui nā kumu e noʻonoʻo ai. ʻO ka pinepine o kēia mau kumu i kū'ē kekahi i kekahi a pono e ʻimi ʻia kahi kuʻikahi kūpono.
ʻO kēia kānalua ka pilikia nui. No laila, e kamaʻilio e pili ana i ka palekana, loaʻa iā mākou kahi triangle me ʻekolu vertices: palekana, ʻoluʻolu no nā limahana, kumukūʻai o ka hopena.
A i kēlā me kēia manawa pono ʻoe e ʻimi i kahi kuʻikahi ma waena o kēia mau mea ʻekolu.

kuhikuhipuʻuone

Ma keʻano he laʻana o kahi hoʻolālā no kēia mau ʻāpana ʻelua, e like me nā ʻatikala mua, paipai wau ʻO Cisco palekana k modelkohu: Pāpū ʻoihana, Hui Pūnaewele Pūnaewele.

He mau palapala kahiko kēia. Ke hōʻike nei au iā lākou ma ʻaneʻi no ka mea ʻaʻole i loli nā kumumanaʻo kumu a me ke ala, akā i ka manawa like makemake wau i ka hōʻike ma mua o ka palapala hou.

Me ka ʻole o ka paipai ʻana iā ʻoe e hoʻohana i nā hoʻonā Cisco, ke manaʻo nei au he mea pono ke aʻo pono i kēia hoʻolālā.

ʻO kēia ʻatikala, e like me ka mea maʻamau, ʻaʻole ia e hoʻohālike i ka piha, akā he mea hoʻohui i kēia ʻike.

I ka pau ʻana o ka ʻatikala, e loiloi mākou i ka hoʻolālā keʻena ʻo Cisco SAFE e pili ana i nā manaʻo i hōʻike ʻia ma aneʻi.

Nā kulekele nui

Pono ka hoʻolālā o ka pūnaewele keʻena, ʻoiaʻiʻo, e hoʻokō i nā koi maʻamau i kūkākūkā ʻia maanei ma ka mokuna "Nā Kūlana no ka loiloi ʻana i ka maikaʻi o ka hoʻolālā". Ma waho aʻe o ke kumukūʻai a me ka palekana, a mākou i manaʻo ai e kūkākūkā i kēia ʻatikala, aia nō ʻekolu mau pae hoʻohālike e pono ai mākou e noʻonoʻo i ka wā e hoʻolālā ai (a i ʻole e hoʻololi ai):

  • scalability
  • maʻalahi o ka hoʻohana (managability)
  • loaʻa

ʻO ka nui o nā mea i kūkākūkāʻia no nā kikowaena ʻikepili He ʻoiaʻiʻo nō hoʻi kēia no ke keʻena.

Akā naʻe, aia ka māhele o ke keʻena i kāna mau kikoʻī ponoʻī, he mea koʻikoʻi mai kahi ʻike palekana. ʻO ke kumu o kēia kikoʻī, ua hana ʻia kēia ʻāpana e hoʻolako i nā lawelawe pūnaewele i nā limahana (a me nā hoa a me nā malihini) o ka ʻoihana, a ma muli o ka hopena, ma ka pae kiʻekiʻe o ka noʻonoʻo ʻana i ka pilikia he ʻelua mau hana:

  • pale i nā kumuwaiwai ʻoihana mai nā hana ʻino e hiki mai ana mai nā limahana (nā malihini, nā hoa hana) a mai ka polokalamu a lākou e hoʻohana ai. Hoʻopili pū ʻia kēia me ka pale ʻana i ka pili ʻole i ka pūnaewele.
  • pale i nā ʻōnaehana a me nā ʻikepili hoʻohana

A hoʻokahi wale nō ʻaoʻao o ka pilikia (a i ʻole, hoʻokahi piko o ka huinakolu). Ma ka ʻaoʻao ʻē aʻe ka maʻalahi o ka mea hoʻohana a me ke kumukūʻai o nā hoʻonā i hoʻohana ʻia.

E hoʻomaka kākou ma ka nānā ʻana i ka mea e manaʻo ai ka mea hoʻohana mai kahi pūnaewele keʻena hou.

Hoʻolaha

Eia ke ʻano o "nā mea hoʻohana pūnaewele" no ka mea hoʻohana keʻena i koʻu manaʻo:

  • Ka Mobility
  • Hiki ke hoʻohana i ka laulā piha o nā mea maʻamau a me nā ʻōnaehana hana
  • Loaʻa maʻalahi i nā kumuwaiwai ʻoihana āpau e pono ai
  • Loaʻa nā kumuwaiwai pūnaewele, me nā lawelawe kapuaʻi like ʻole
  • "Ka hana wikiwiki" o ka pūnaewele

Pili kēia mau mea a pau i nā limahana a me nā malihini (a i ʻole nā ​​hoa hana), a ʻo ia ka hana a nā ʻenekinia o ka hui e hoʻokaʻawale i ke komo ʻana no nā hui mea hoʻohana like ʻole ma muli o ka ʻae.

E nānā kākou i kēlā me kēia ʻaoʻao ma kahi kikoʻī iki.

Ka Mobility

Ke kamaʻilio nei mākou e pili ana i ka manawa kūpono e hana a hoʻohana i nā kumuwaiwai āpau e pono ai mai nā wahi āpau o ka honua (ʻoiaʻiʻo, kahi i loaʻa ai ka Pūnaewele).

Pili loa kēia i ke keʻena. He mea maʻalahi kēia inā loaʻa iā ʻoe ka manawa e hoʻomau i ka hana mai nā wahi āpau o ke keʻena, no ka laʻana, loaʻa ka leka uila, kamaʻilio ma kahi ʻelele hui, e loaʻa no ke kelepona wikiō, ... e hoʻoholo i kekahi mau pilikia "ola" kamaʻilio (e like me ke komo ʻana i nā hui), a ma kekahi ʻaoʻao, e hoʻopaʻa mau i ka pūnaewele, e hoʻopaʻa i kou manamana lima ma ka pulse a hoʻoponopono koke i kekahi mau hana koʻikoʻi. He mea maʻalahi kēia a hoʻomaikaʻi maoli i ka maikaʻi o nā kamaʻilio.

Loaʻa kēia i ka hoʻolālā pūnaewele WiFi kūpono.

Kākau

Eia ka nīnau maʻamau: lawa anei ka hoʻohana ʻana iā WiFi wale nō? ʻO kēia ke ʻano hiki iā ʻoe ke hoʻōki i ka hoʻohana ʻana i nā awa Ethernet ma ke keʻena? Inā mākou e kamaʻilio e pili ana i nā mea hoʻohana wale nō, ʻaʻole e pili ana i nā kikowaena, i kūpono mau ke hoʻopili ʻana me kahi awa Ethernet maʻamau, a laila ma ka laulā ka pane: ʻae, hiki iā ʻoe ke kaupalena iā ʻoe iho i WiFi wale nō. Akā aia nā nuances.

Aia nā pūʻulu hoʻohana koʻikoʻi e koi i kahi ala kaʻawale. ʻO kēia, he mau luna hoʻoponopono. Ma ke kumu, ʻoi aku ka hilinaʻi o kahi pilina WiFi (ma ke ʻano o ka nalowale o ke kaʻa) a ʻoi aku ka lohi ma mua o kahi awa Ethernet maʻamau. He mea nui kēia no nā luna hoʻomalu. Eia kekahi, hiki i nā luna hoʻomalu pūnaewele, no ka laʻana, ke loaʻa i kā lākou pūnaewele Ethernet i hoʻolaʻa ʻia no nā pilina o waho.

Aia paha kekahi mau pūʻulu/ʻoihana ʻē aʻe i loko o kāu hui i mea nui ai kēia mau mea.

Aia kekahi mea nui - kelepona. Malia paha no kekahi kumu ʻaʻole ʻoe makemake e hoʻohana i ka VoIP Wireless a makemake e hoʻohana i nā kelepona IP me kahi pilina Ethernet maʻamau.

Ma keʻano laulā, ʻo nā ʻoihana aʻu i hana ai i loaʻa ka pilina WiFi a me kahi awa Ethernet.

Makemake au ʻaʻole e kaupalena ʻia ka neʻe ʻana i ke keʻena wale nō.

No ka hōʻoia i ka hiki ke hana mai ka home (a i ʻole nā ​​wahi ʻē aʻe me ka Pūnaewele hiki ke loaʻa), hoʻohana ʻia kahi pilina VPN. I ka manawa like, makemake ʻia ʻaʻole manaʻo nā limahana i ka ʻokoʻa ma waena o ka hana ʻana mai ka home a me ka hana mamao, ka mea i manaʻo i ke komo like. E kūkākūkā mākou pehea e hoʻonohonoho ai i kēia ma hope o ka mokuna "Unified centralized authentication and authorization system."

Kākau

ʻO ka mea nui, ʻaʻole hiki iā ʻoe ke hāʻawi piha i ka maikaʻi o nā lawelawe no ka hana mamao āu i loaʻa ai ma ke keʻena. E noʻonoʻo kākou e hoʻohana ana ʻoe i Cisco ASA 5520 ma kāu ʻīpuka VPN. Wahi a palapala helu hiki i kēia hāmeʻa ke "ʻeli" wale i ka 225 Mbit o ke kaʻa VPN. ʻO ia, ʻoiaʻiʻo, ma ke ʻano o ka bandwidth, ʻokoʻa loa ka pilina ma o VPN mai ka hana ʻana mai ke keʻena. Eia kekahi, inā he mea nui ka latency, loss, jitter (no ka laʻana, makemake ʻoe e hoʻohana i ke kelepona IP keʻena) no kāu lawelawe pūnaewele, ʻaʻole e loaʻa iā ʻoe ka maikaʻi like me ʻoe i ke keʻena. No laila, ke kamaʻilio e pili ana i ka neʻe ʻana, pono mākou e ʻike i nā palena hiki ke hiki.

Loaʻa maʻalahi i nā kumuwaiwai ʻoihana āpau

Pono e hoʻoponopono ʻia kēia hana me nā keʻena ʻenehana ʻē aʻe.
ʻO ke kūlana kūpono i ka manawa e pono ai ka mea hoʻohana e hōʻoia i hoʻokahi manawa, a ma hope o ka loaʻa iā ia i nā kumuwaiwai āpau e pono ai.
ʻO ka hāʻawi ʻana i kahi ala maʻalahi me ka ʻole o ka kaumaha ʻana i ka palekana hiki ke hoʻomaikaʻi nui i ka huahana a hōʻemi i ke kaumaha ma waena o kāu mau hoa.

ʻŌlelo 1

ʻAʻole pili wale ka maʻalahi o ke komo ʻana i ka nui o nā manawa āu e hoʻokomo ai i kahi ʻōlelo huna. Inā, no ka laʻana, e like me kāu kulekele palekana, i mea e hoʻopili ai mai ke keʻena i ke kikowaena data, pono ʻoe e hoʻopili mua i ka ʻīpuka VPN, a ma ka manawa like e nalowale ʻoe i ke komo ʻana i nā kumuwaiwai o ke keʻena, a laila ʻoi loa kēia. , pilikia loa.

ʻŌlelo 2

Aia nā lawelawe (no ka laʻana, ke komo ʻana i nā lako pūnaewele) kahi i loaʻa ai kā mākou mau kikowaena AAA i hoʻolaʻa ʻia a ʻo ia ka mea maʻamau i kēia hihia e hōʻoia mākou i nā manawa he nui.

Loaʻa nā kumuwaiwai pūnaewele

ʻAʻole ʻoliʻoli wale ka Pūnaewele, akā he pūʻulu o nā lawelawe i hiki ke lilo i mea pono no ka hana. Aia kekahi mau kumu noʻonoʻo maʻemaʻe. Hoʻopili ʻia kekahi kanaka hou me nā poʻe ʻē aʻe ma o ka Pūnaewele ma o nā pae virtual he nui, a, i koʻu manaʻo, ʻaʻohe hewa inā hoʻomau ʻo ia i kēia pili ʻoiai e hana ana.

Mai ka manaʻo o ka hoʻopau manawa, ʻaʻohe hewa inā he limahana, no ka laʻana, e holo ana ʻo Skype a hoʻolilo i 5 mau minuke e kamaʻilio me kahi mea aloha inā pono.

ʻO kēia ke ʻano he pono e loaʻa mau ka Pūnaewele, ʻo ia ke ʻano e hiki i nā limahana ke loaʻa i nā kumuwaiwai āpau a ʻaʻole hoʻokele iā lākou ma kekahi ʻano?

ʻAʻole ʻo ia ka manaʻo, ʻoiaʻiʻo. Hiki ke ʻokoʻa ke kiʻekiʻe o ka wehe ʻana o ka Pūnaewele no nā ʻoihana like ʻole - mai ka pani piha ʻana i ka wehe piha. E kūkākūkā mākou i nā ala e hoʻomalu ai i ke kaʻa ma hope ma nā pauku e pili ana i nā hana palekana.

Hiki ke hoʻohana i ka laulā piha o nā mea maʻa

He mea maʻalahi inā, no ka laʻana, loaʻa iā ʻoe ka manawa e hoʻomau i ka hoʻohana ʻana i nā ala āpau o ke kamaʻilio āu i maʻa ai ma ka hana. ʻAʻohe pilikia i ka hoʻokō ʻenehana i kēia. No kēia mea pono ʻoe iā WiFi a me kahi wilan malihini.

He maikaʻi nō hoʻi inā loaʻa iā ʻoe ka manawa e hoʻohana ai i ka ʻōnaehana hana āu i maʻa ai. Akā, i koʻu nānā ʻana, ʻae wale ʻia kēia i nā mana, nā luna a me nā mea hoʻomohala.

Pākuhi:

Hiki iā ʻoe, ʻoiaʻiʻo, ke hahai i ke ala o ka pāpā ʻana, pāpā i ke komo mamao, pāpā i ka hoʻopili ʻana mai nā polokalamu kelepona, e kaupalena i nā mea āpau i nā pili Ethernet static, kaupalena i ke komo ʻana i ka Pūnaewele, koi ʻia i nā kelepona kelepona a me nā hāmeʻa ma ka wahi nānā ... a me kēia ala. ua hahai maoli ʻia e kekahi mau hui me ka hoʻonui ʻana i nā koi palekana, a ma kekahi mau hihia paha e ʻāpono ʻia kēia, akā ... pono ʻoe e ʻae e like me ka hoʻāʻo ʻana e hoʻōki i ka holomua ma kahi hui hoʻokahi. ʻOiaʻiʻo, makemake wau e hoʻohui i nā manawa kūpono e hāʻawi ʻia e nā ʻenehana hou me kahi pae palekana.

"Ka hana wikiwiki" o ka pūnaewele

ʻO ka wikiwiki o ka hoʻoili ʻana i ka ʻikepili he nui nā kumu. A ʻo ka wikiwiki o kāu awa pili ʻaʻole ia ka mea nui loa. ʻAʻole pili mau ka hana lohi o kahi noi me nā pilikia pūnaewele, akā i kēia manawa makemake wale mākou i ka ʻāpana pūnaewele. ʻO ka pilikia maʻamau me ka "slowdown" pūnaewele kūloko e pili ana i ka poho packet. Hana pinepine kēia i ka wā e loaʻa ai nā pilikia bottleneck a i ʻole L1 (OSI). ʻOi aku ka kakaikahi, me kekahi mau hoʻolālā (no ka laʻana, inā loaʻa i kāu subnets kahi pā ahi ma ke ʻano he ʻīpuka paʻamau a no laila ke hele nei nā kaʻa a pau ma laila), nele paha ka hana ʻenehana.

No laila, i ke koho ʻana i nā mea hana a me ka hoʻolālā, pono ʻoe e hoʻoponopono i ka wikiwiki o nā awa hopena, nā ʻōpala a me nā hana hana.

Pākuhi:

E manaʻo mākou e hoʻohana ana ʻoe i nā hoʻololi me nā awa gigabit 1 e like me nā hoʻololi papa komo. Hoʻopili ʻia lākou i kekahi i kekahi ma o Etherchannel 2 x 10 gigabits. Ma ke ʻano he ʻīpuka paʻamau, hoʻohana ʻoe i kahi pā ahi me nā awa gigabit, e hoʻopili ai i ka pūnaewele keʻena L2 āu e hoʻohana ai i nā awa gigabit 2 i hui ʻia i kahi Etherchannel.

He mea maʻalahi kēia hoʻolālā mai kahi hiʻohiʻona hana, no ka mea ... Ke hele nei nā kaʻa a pau ma ka pā ahi, a hiki iā ʻoe ke hoʻokele pono i nā kulekele komo, a hoʻopili i nā algorithm paʻakikī e hoʻomalu i ke kaʻa a pale aku i nā hoʻouka kaua (e ʻike i lalo), akā mai kahi throughput a me ka manaʻo hana o kēia hoʻolālā, ʻoiaʻiʻo, loaʻa nā pilikia. No laila, no ka laʻana, hiki i nā pūʻali 2 ke hoʻoiho i ka ʻikepili (me ka wikiwiki o ke awa o 1 gigabit) hiki ke hoʻouka piha i kahi pilina 2 gigabit i ka pā ahi, a pēlā e alakaʻi ai i ka degradation lawelawe no ka māhele keʻena holoʻokoʻa.

Ua nānā mākou i hoʻokahi piko o ka huinakolu, i kēia manawa e nānā mākou pehea e hōʻoia ai i ka palekana.

Nā Lapaʻau

No laila, ʻoiaʻiʻo, ʻo ka mea maʻamau ko mākou makemake (a i ʻole, ka makemake o kā mākou hoʻokele) e hoʻokō i ka mea hiki ʻole, ʻo ia hoʻi, e hāʻawi i ka ʻoluʻolu kiʻekiʻe me ka palekana kiʻekiʻe a me ka uku liʻiliʻi.

E nānā kākou i ke ʻano o ka mālama ʻana.

No ke keʻena, e hōʻike wau i kēia mau mea:

  • zero trust approach to design
  • kiʻekiʻe o ka pale
  • ʻike ʻike pūnaewele
  • unified centralized authentication and authorization system
  • hoʻokipa hoʻokipa

Ma hope aʻe, e noʻonoʻo mākou i kahi kikoʻī hou aku i kēlā me kēia ʻaoʻao.

Hilinaʻi hilinaʻi

Ke loli wikiwiki nei ka honua IT. I nā makahiki he 10 i hala iho nei, ʻo ka puka ʻana mai o nā ʻenehana hou a me nā huahana ua alakaʻi i kahi loiloi nui o nā manaʻo palekana. He ʻumi mau makahiki i hala aku nei, mai kahi ʻike palekana, ua hoʻokaʻawale mākou i ka pūnaewele i loko o ka hilinaʻi, dmz a me ka untrust zones, a hoʻohana i ka mea i kapa ʻia "palekana perimeter", kahi i loaʻa ai nā laina 2 o ka pale: untrust -> dmz a me dmz -> hilinaʻi. Eia kekahi, ua kaupalena ʻia ka pale ʻana i nā papa inoa e pili ana i nā poʻomanaʻo L3/L4 (OSI) (IP, nā awa TCP/UDP, nā hae TCP). ʻO nā mea a pau e pili ana i nā pae kiʻekiʻe, me ka L7, ua waiho ʻia i ka OS a me nā huahana palekana i hoʻokomo ʻia ma nā pūʻali hope.

I kēia manawa ua loli nui ke kūlana. Manaʻo o kēia wā hilinaʻi ʻole mai ka mea hiki ole ke noonoo i loko o nenoaiu, 'o ia hoʻi, nā mea i loko o ka perimeter, e like me ka hilinaʻi, a me ka manaʻo o ka perimeter iho ua lilo blurred.
Ma waho aʻe o ka pili pūnaewele ua loaʻa iā mākou

  • hiki i nā mea hoʻohana VPN mamao
  • nā hāmeʻa pilikino like ʻole, lawe ʻia i nā laptops, hoʻopili ʻia ma ke keʻena WiFi
  • nā keʻena ʻē aʻe (lālā).
  • ka hoʻohui ʻana me ka ʻōnaehana ao

He aha ke ʻano o ka Zero Trust i ka hoʻomaʻamaʻa?

ʻO ke kūpono, pono e ʻae ʻia ke kaʻa i koi ʻia a, inā mākou e kamaʻilio e pili ana i kahi kūpono, a laila ʻaʻole pono ka mana ma ka pae L3/L4 wale nō, akā ma ka pae noi.

Inā, no ka laʻana, hiki iā ʻoe ke hele i nā kaʻa āpau ma o kahi pā ahi, a laila hiki iā ʻoe ke hoʻāʻo e hoʻokokoke i ka mea kūpono. Akā hiki i kēia ala ke hōʻemi nui i ka bandwidth o kāu pūnaewele, a ʻo ka kānana ʻana ma o ka noi ʻana ʻaʻole maikaʻi mau.

Ke hoʻomalu nei i nā kaʻa ma kahi alalai a i ʻole L3 hoʻololi (e hoʻohana ana i nā ACL maʻamau), loaʻa ʻoe i nā pilikia ʻē aʻe:

  • ʻO kēia kānana L3/L4 wale nō. ʻAʻohe mea e kāohi i ka mea hoʻouka mai ka hoʻohana ʻana i nā awa i ʻae ʻia (e laʻa me TCP 80) no kā lākou noi (ʻaʻole http)
  • ka hoʻokele ACL paʻakikī (paʻakikī ke hoʻokaʻawale i nā ACL)
  • ʻAʻole kēia he statefull firewall, ʻo ia hoʻi, pono ʻoe e ʻae pololei i ka hoʻohuli ʻana i nā kaʻa
  • me nā hoʻololi, ua kaupalena ʻia ʻoe e ka nui o ka TCAM, hiki ke lilo koke i pilikia inā ʻoe e lawe i ke ala "ʻae wale i kāu mea e pono ai"

Kākau

Ke kamaʻilio nei e pili ana i ka hoʻohuli ʻana, pono mākou e hoʻomanaʻo e loaʻa iā mākou kēia manawa (Cisco)

'ae tcp kekahi i hookumuia

Akā, pono ʻoe e hoʻomaopopo he like kēia laina me nā laina ʻelua:
'ae tcp kekahi ack
'ae tcp i kekahi mua

ʻO ia hoʻi inā ʻaʻohe māhele TCP mua me ka hae SYN (ʻo ia hoʻi, ʻaʻole i hoʻomaka ke kau TCP e hoʻokumu), e ʻae kēia ACL i kahi ʻeke me ka hae ACK, hiki i ka mea hoʻouka ke hoʻohana e hoʻololi i ka ʻikepili.

ʻO ia hoʻi, ʻaʻole kēia laina e hoʻohuli i kāu kelepona a i ʻole L3 hoʻololi i kahi pā ahi piha.

Kiʻekiʻe o ka pale

В 'ōlelo Ma ka ʻāpana o nā kikowaena data, ua noʻonoʻo mākou i nā ʻano hana palekana.

  • pale ahi mokuʻāina (paʻamau)
  • palekana ddos/dos
  • hoʻopaʻa paʻa ahi
  • pale hoʻoweliweli (antivirus, anti-spyware, a me ka vulnerability)
  • Kānana URL
  • kānana ʻikepili (kāna maʻiʻo)
  • ka pale ʻana i nā faila

I ka hihia o kahi keʻena, ua like ke kūlana, akā ʻokoʻa iki nā mea mua. ʻAʻole maʻamau ka loaʻa ʻana o ke keʻena (loaʻa) i mea koʻikoʻi e like me ka hihia o kahi kikowaena data, ʻoiai ʻo ke ʻano o ka "loko" ʻino ʻino nā kauoha o ka nui.
No laila, lilo nā ʻano hana palekana no kēia māhele i mea koʻikoʻi:

  • hoʻopaʻa paʻa ahi
  • pale hoʻoweliweli (anti-virus, anti-spyware, and vulnerability)
  • Kānana URL
  • kānana ʻikepili (kāna maʻiʻo)
  • ka pale ʻana i nā faila

ʻOiai ʻo kēia mau ʻano pale a pau, koe wale nō ka hoʻohana ʻana i ke ahi ahi, ua hana maʻamau a hoʻomau ʻia ka hoʻoponopono ʻia ma nā host hope (e laʻa, ma ke kau ʻana i nā polokalamu antivirus) a me ka hoʻohana ʻana i nā proxies, hāʻawi pū nā NGFW hou i kēia mau lawelawe.

Hoʻoikaika nā mea kūʻai lako palekana e hana i ka pale ākea, no laila me ka pale kūloko, hāʻawi lākou i nā ʻenehana kapuaʻi like ʻole a me nā polokalamu mea kūʻai aku no nā mea hoʻokipa (palena helu hope / EPP). No laila, no ka laʻana, mai 2018 Gartner Magic Quadrant ʻIke mākou aia ʻo Palo Alto a me Cisco i kā lākou mau EPP ponoʻī (PA: Traps, Cisco: AMP), akā mamao loa mai nā alakaʻi.

ʻO ka ʻae ʻana i kēia mau pale (ma ke kūʻai ʻana i nā laikini) ma kāu pā ahi ʻaʻole pono ia (hiki iā ʻoe ke hele i ke ala kuʻuna), akā hāʻawi ia i kekahi mau pono:

  • i kēia hihia, aia hoʻokahi wahi o ka hoʻohana ʻana i nā ʻano pale, e hoʻomaikaʻi ai i ka ʻike (e ʻike i ke kumuhana aʻe).
  • Inā loaʻa kahi mea i pale ʻole ʻia ma kāu pūnaewele, a laila hāʻule mau ia ma lalo o ka "umbrella" o ka pale ahi.
  • Ma ka hoʻohana ʻana i ka pale ahi i hui pū ʻia me ka pale hoʻokipa hope, hoʻonui mākou i ka hiki ke ʻike i nā kaʻa ʻino. No ka laʻana, ʻo ka hoʻohana ʻana i ka pale hoʻoweliweli ma luna o nā mea hoʻokipa kūloko a ma kahi pā ahi e hoʻonui ai i ka hiki ke ʻike (ʻoiai, ʻoiaʻiʻo, ua hoʻokumu ʻia kēia mau hoʻonā i nā huahana polokalamu like ʻole)

Kākau

Inā, no ka laʻana, hoʻohana ʻoe iā Kaspersky ma ke ʻano he antivirus ma ka pā ahi a ma ka hopena hope, a laila, ʻoiaʻiʻo, ʻaʻole ia e hoʻonui nui i kou manawa e pale ai i ka hoʻouka kaua ʻana i kāu pūnaewele.

ʻIke pūnaewele

Manaʻo manaʻo He maʻalahi - "ʻike" i nā mea e hana nei ma kāu pūnaewele, i ka manawa maoli a me ka ʻikepili mōʻaukala.

E hoʻokaʻawale au i kēia "ʻike" i ʻelua pūʻulu:

Pūʻulu ʻekahi: ʻo ka mea maʻamau i hāʻawi ʻia e kāu ʻōnaehana nānā.

  • hoouka lako
  • nā ala hoʻouka
  • hoʻohana hoʻomanaʻo
  • hoʻohana diski
  • hoʻololi i ka papa kuhikuhi
  • kūlana loulou
  • ka loaʻa ʻana o nā mea hana (a i ʻole nā ​​​​host)
  • ...

Pūʻulu ʻelua: ʻike pili palekana.

  • nā ʻano helu helu like ʻole (no ka laʻana, ma ka noi, ma ka URL traffic, he aha nā ʻano ʻikepili i hoʻoiho ʻia, ʻikepili mea hoʻohana)
  • he aha ka mea i ālai ʻia e nā kulekele palekana a no ke aha ke kumu, ʻo ia hoʻi
    • hoʻohana pāpā ʻia
    • pāpā ʻia ma muli o ka ip/protocol/port/flags/zones
    • pale hoʻoweliweli
    • kānana url
    • kānana ʻikepili
    • pale waihona
    • ...
  • nā ʻikepili ma nā hoʻouka kaua DOS/DDOS
  • hāʻule nā ​​hoʻāʻo ʻike a me ka ʻae
  • ʻikepili no nā hanana kuʻi ʻana i nā kulekele palekana ma luna
  • ...

Ma kēia mokuna e pili ana i ka palekana, makemake mākou i ka ʻāpana ʻelua.

ʻO kekahi mau pā ahi hou (mai kaʻu ʻike Palo Alto) hāʻawi i kahi pae ʻike maikaʻi. Akā, ʻoiaʻiʻo, ʻo ka huakaʻi āu e makemake ai e hele i kēia pā ahi (i ia manawa hiki iā ʻoe ke kāohi i ke kaʻa) a i ʻole i hoʻohālikelike ʻia i ka pā ahi (hoʻohana wale ʻia no ka nānā ʻana a me ka nānā ʻana), a pono ʻoe e loaʻa nā laikini e hiki ai i nā mea āpau. keia mau lawelawe .

Aia nō he ala ʻē aʻe, a i ʻole ke ala kuʻuna, no ka laʻana,

  • Hiki ke hōʻiliʻili ʻia nā helu helu ma o ka netflow a laila hoʻohana i nā pono kūikawā no ka nānā ʻana i ka ʻike a me ka ʻike ʻike ʻike
  • pale hoʻoweliweli - nā polokalamu kūikawā (anti-virus, anti-spyware, firewall) ma nā pūʻali hope
  • ʻO kāna kānana URL, kānana ʻikepili, ka hoʻopaʻa ʻana i nā faila - ma ke koho
  • hiki no hoi ke kālailai tcpdump me ka lae. ʻūhū

Hiki iā ʻoe ke hoʻohui i kēia mau ala ʻelua, hoʻopiha i nā hiʻohiʻona i nalowale a i ʻole ke kope ʻana iā lākou e hoʻonui i ka hiki ke ʻike i kahi hoʻouka.

He aha kāu e koho ai?
Pili loa i nā kūlana a me nā makemake o kāu hui.
Loaʻa nā pono a me nā pōʻino.

Unified centralized authentication and authorization system

Ke hoʻolālā maikaʻi ʻia, manaʻo ka neʻe ʻana a mākou i kūkākūkā ai ma kēia ʻatikala e loaʻa iā ʻoe ke komo like inā ʻoe e hana mai ke keʻena a i ʻole mai ka home, mai ke kahua mokulele, mai kahi hale kūʻai kope a i ʻole nā ​​​​wahi ʻē aʻe (me nā palena a mākou i kūkākūkā ai ma luna). Me he mea lā, he aha ka pilikia?
No ka hoʻomaopopo pono ʻana i ka paʻakikī o kēia hana, e nānā kākou i kahi hoʻolālā maʻamau.

Pākuhi:

  • Ua puunaue oe i na limahana a pau. Ua hoʻoholo ʻoe e hāʻawi i ke ala e nā hui
  • I loko o ke keʻena, hoʻomalu ʻoe i ke komo ʻana ma ka pā ahi o ke keʻena
  • Hoʻomalu ʻoe i ke kaʻa mai ke keʻena a i ke kikowaena ʻikepili ma ka pā ahi kikowaena data
  • Hoʻohana ʻoe i kahi Cisco ASA ma kahi ʻīpuka VPN a no ka hoʻokele ʻana i ke komo ʻana i kāu pūnaewele mai nā mea kūʻai aku mamao, hoʻohana ʻoe i nā ACL kūloko (ma ka ASA).

I kēia manawa, e ʻōlelo mākou ua noi ʻia ʻoe e hoʻohui i kahi komo hou i kekahi limahana. I kēia hihia, noi ʻia ʻoe e hoʻohui iā ia wale nō a ʻaʻohe mea ʻē aʻe mai kāna hui.

No kēia pono mākou e hana i kahi hui kaʻawale no kēia limahana, ʻo ia hoʻi

  • hana i kahi wai IP kaawale ma ka ASA no keia limahana
  • hoʻohui i kahi ACL hou ma ka ASA a hoʻopaʻa iā ia i kēlā mea kūʻai mamao
  • hana i nā kulekele palekana hou ma ke keʻena a me ka ʻikepili kikowaena pā ahi

Maikaʻi inā kakaʻikahi kēia hanana. Akā i kaʻu hana, aia kahi kūlana i komo ai nā limahana i nā papahana like ʻole, a ua loli pinepine kēia mau papahana no kekahi o lākou, ʻaʻole ia he 1-2 mau kānaka, akā he mau haneli. ʻOiaʻiʻo, pono e hoʻololi ʻia kekahi mea ma ʻaneʻi.

Ua hoʻoholo ʻia kēia ma ke ʻano.

Ua hoʻoholo mākou ʻo LDAP wale nō ke kumu o ka ʻoiaʻiʻo e hoʻoholo ai i ke komo ʻana o nā limahana āpau. Ua hana mākou i nā ʻano hui like ʻole e wehewehe i nā pūʻulu o ke komo ʻana, a ua hāʻawi mākou i kēlā me kēia mea hoʻohana i hoʻokahi hui a ʻoi aku paha.

No laila, no ka laʻana, inā he mau hui

  • malihini (kahi pūnaewele)
  • komo maʻamau (loaʻa i nā kumuwaiwai kaʻana like: leka uila, kumu ʻike, ...)
  • helu mahina
  • kumuhana 1
  • kumuhana 2
  • luna waihona waihona
  • luna hoʻomalu linux
  • ...

A inā i komo kekahi o nā limahana i ka papahana 1 a me ka papahana 2, a pono ʻo ia i ke komo e pono ai e hana i kēia mau papahana, a laila ua hāʻawi ʻia kēia limahana i kēia mau pūʻulu:

  • malihini
  • komo maʻamau
  • kumuhana 1
  • kumuhana 2

Pehea e hiki ai iā mākou ke hoʻololi i kēia ʻike i ke komo ʻana i nā lako pūnaewele?

Cisco ASA Dynamic Access Policy (DAP) (ʻike www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) kūpono ka hoʻonā no kēia hana.

ʻO ka pōkole e pili ana i kā mākou hoʻokō ʻana, i ka wā o ke kaʻina ʻike/ʻae ʻia, loaʻa iā ASA mai LDAP kahi pūʻulu e pili ana i kahi mea hoʻohana i hāʻawi ʻia a "ʻohi" mai kekahi mau ACL kūloko (e pili ana kēlā me kēia me kahi hui) i kahi ACL ikaika me nā pono āpau. , i kulike loa me ko makou makemake.

Akā no nā pili VPN wale nō kēia. No ka hoʻohālikelike ʻana i ke kūlana no nā limahana ʻelua i hoʻopili ʻia ma VPN a me ka poʻe i loko o ke keʻena, ua lawe ʻia ka hana aʻe.

I ka hoʻohui ʻana mai ke keʻena, ua hoʻopau nā mea hoʻohana i ka protocol 802.1x i kahi LAN malihini (no nā malihini) a i ʻole kahi LAN kaʻana (no nā limahana ʻoihana). Eia kekahi, no ka loaʻa ʻana o ke ala kikoʻī (no ka laʻana, i nā papahana ma kahi kikowaena data), pono nā limahana e hoʻopili ma o VPN.

No ka hoʻohui ʻana mai ke keʻena a mai ka home, ua hoʻohana ʻia nā hui tunnel like ʻole ma ka ASA. Pono kēia no ka poʻe e pili ana mai ke keʻena, ke kaʻa ʻana i nā kumuwaiwai kaʻana like (hoʻohana ʻia e nā limahana āpau, e like me ka leka uila, nā faila faila, ka ʻōnaehana tiketi, dns, ...) ʻaʻole hele i ka ASA, akā ma o ka pūnaewele kūloko. . No laila, ʻaʻole mākou i hoʻouka i ka ASA me nā kaʻa pono ʻole, e komo pū ana me nā kaʻa kiʻekiʻe.

No laila, ua hoʻoholo ʻia ka pilikia.
Ua loaʻa iā mākou

  • ka hoʻonohonoho like o nā mea komo no nā pilina ʻelua mai ke keʻena a me nā pili mamao
  • ka nele o ka hoʻohaʻahaʻa lawelawe i ka wā e hana ai mai ke keʻena e pili ana i ka hoʻouna ʻana i nā kaʻa kiʻekiʻe ma o ASA

He aha nā pōmaikaʻi ʻē aʻe o kēia ala?
Ma ka hooponopono komo. Hiki ke hoʻololi maʻalahi i nā komo ma kahi hoʻokahi.
No ka laʻana, inā haʻalele kekahi limahana i ka hui, a laila wehe wale ʻoe iā ia mai LDAP, a nalowale ʻokoʻa iā ia ke komo.

Hoʻokipa hoʻokipa

Me ka hiki o ka pilina mamao, holo mākou i ka pilikia o ka ʻae ʻana ʻaʻole wale i kahi limahana ʻoihana i loko o ka pūnaewele, akā ʻo nā polokalamu ʻino a pau loa i loaʻa ma kāna kamepiula (no ka laʻana, home), a ʻoi aku, ma o kēia polokalamu mākou. ke hāʻawi nei paha i ke komo i kā mākou pūnaewele i kahi mea hoʻouka e hoʻohana ana i kēia pūʻali ma ke ʻano he koho.

He mea maʻalahi ka hoʻohana ʻana i kahi mea hoʻokipa mamao e hoʻopili i nā koi palekana e like me ka mea hoʻokipa ma ke keʻena.

Ke manaʻo nei kēia i ka mana "pololei" o ka OS, anti-virus, anti-spyware, a me nā polokalamu pale ahi a me nā mea hou. ʻO ka maʻamau, aia kēia mana ma ka ʻīpuka VPN (no ka ASA ʻike, no ka laʻana, maanei).

He mea naʻauao nō hoʻi ka hoʻohana ʻana i ka loiloi kaʻa like ʻole a me nā ʻenehana hoʻopaʻa ʻana (e ʻike i ka "Kiʻekiʻe kiʻekiʻe o ka pale") e pili ana kāu kulekele palekana i ka hele ʻana o ke keʻena.

Maikaʻi ka manaʻo ʻaʻole i kaupalena ʻia kāu pūnaewele keʻena i ka hale keʻena a me nā mea hoʻokipa i loko.

Pākuhi:

ʻO kahi ʻenehana maikaʻi ʻo ka hāʻawi ʻana i kēlā me kēia limahana e koi ana i kahi mamao me kahi pona maikaʻi a maʻalahi a koi iā lākou e hana, ma ke keʻena a ma ka home, mai ia mea wale nō.

ʻAʻole wale ia e hoʻomaikaʻi i ka palekana o kāu pūnaewele, akā maʻalahi nō hoʻi a ʻike ʻia e nā limahana (inā he pona maikaʻi loa ia, hoʻohana ʻia).

E pili ana i ka manaʻo o ke kaulike a me ke kaulike

ʻO ke kumu, he kamaʻilio kēia e pili ana i ke kolu o ka vertex o kā mākou triangle - e pili ana i ke kumukūʻai.
E nānā kākou i kekahi laʻana hypothetical.

Pākuhi:

He keʻena kāu no 200 poʻe. Ua hoʻoholo ʻoe e hana maʻalahi a palekana i ka hiki.

No laila, ua hoʻoholo ʻoe e hele i nā kaʻa a pau ma ka pā ahi a no laila no nā subnets keʻena āpau ʻo ka pā ahi ka ʻīpuka paʻamau. Ma waho aʻe o ka polokalamu palekana i hoʻokomo ʻia ma kēlā me kēia hoʻokipa hope (anti-virus, anti-spyware, a me nā polokalamu pale ahi), ua hoʻoholo pū ʻoe e hoʻohana i nā ʻano hana palekana āpau ma ka pā ahi.

No ka hōʻoia ʻana i ka wikiwiki pili kiʻekiʻe (nā mea āpau no ka ʻoluʻolu), ua koho ʻoe i nā hoʻololi me 10 Gigabit komo awa e like me nā hoʻololi komo, a me nā pā ahi NGFW kiʻekiʻe e like me nā pā ahi, no ka laʻana, Palo Alto 7K moʻo (me nā awa 40 Gigabit), maoli me nā laikini āpau. i hoʻokomo ʻia a, ʻoiaʻiʻo, he hui Loaʻa Kiʻekiʻe.

Eia kekahi, ʻoiaʻiʻo, e hana pū me kēia laina o nā lako pono mākou ma ka liʻiliʻi o ʻelua mau ʻenekini palekana koʻikoʻi.

A laila, ua hoʻoholo ʻoe e hāʻawi i kēlā me kēia limahana i kahi kamepiula maikaʻi.

ʻO ka huina, ma kahi o 10 miliona mau kālā no ka hoʻokō ʻana, nā haneli haneli mau kālā (manaʻo wau kokoke i ka miliona) no ke kākoʻo makahiki a me nā uku no nā ʻenekinia.

Keena, 200 kanaka...
ʻoluʻolu? Manaʻo wau he ʻae.

Hele mai ʻoe me kēia manaʻo i kāu hoʻokele...
Malia paha he nui nā ʻoihana ma ka honua kahi i ʻae ʻia a kūpono hoʻi kēia. Inā he limahana ʻoe o kēia hui, mahalo wau, akā i ka hapa nui o nā hihia, maopopo iaʻu ʻaʻole e mahalo ʻia kāu ʻike e ka hoʻokele.

Ua hoonui anei keia laana? E pane ana ka mokuna aʻe i kēia nīnau.

Inā ma kāu pūnaewele ʻaʻole ʻoe e ʻike i kekahi o nā mea i luna, a laila ʻo ia ka mea maʻamau.
No kēlā me kēia hihia kikoʻī, pono ʻoe e ʻimi i kāu hoʻohālikelike kūpono ma waena o ka maʻalahi, ke kumukūʻai a me ka palekana. ʻAʻole pono ʻoe i ka NGFW i kāu keʻena, a ʻaʻole koi ʻia ka pale L7 ma ka pā ahi. Ua lawa ka hāʻawi ʻana i kahi pae maikaʻi o ka ʻike a me nā makaʻala, a hiki ke hana i kēia me ka hoʻohana ʻana i nā huahana open source, no ka laʻana. ʻAe, ʻaʻole e wikiwiki koke kāu pane ʻana i kahi hoʻouka ʻana, akā ʻo ka mea nui e ʻike ʻoe iā ia, a me nā kaʻina hana kūpono i kau ʻia ma kāu keʻena, hiki iā ʻoe ke hoʻopau koke iā ia.

A e hoʻomanaʻo wau iā ʻoe, e like me ka manaʻo o kēia pūʻulu ʻatikala, ʻaʻole ʻoe e hoʻolālā i kahi pūnaewele, ke hoʻāʻo wale nei ʻoe e hoʻomaikaʻi i kāu mea i loaʻa.

Ka nānā 'ana SAFE o ka ho'olālā ke'ena

E noʻonoʻo i kēia ʻāpana ʻulaʻula aʻu i hoʻokaʻawale ai i kahi ma ke kiʻi mai Alakaʻi hoʻolālā hale kula palekana SAFEa'u e makemake ai e kamailio maanei.

Pehea e lawe ai i ka mana o kāu ʻoihana pūnaewele. Mokuna ekolu. Palekana pūnaewele. Mahele ʻekolu

ʻO kēia kekahi o nā wahi koʻikoʻi o ka hoʻolālā a me kekahi o nā mea kānalua nui loa.

Kākau

ʻAʻole au i hoʻonohonoho a hana pū me FirePower (mai ka laina ahi ahi o Cisco - ʻo ASA wale nō), no laila e hana wau e like me nā pā ahi ʻē aʻe, e like me Juniper SRX a i ʻole Palo Alto, me ka manaʻo he like kona mana.

ʻO nā hoʻolālā maʻamau, ʻike wau i nā koho 4 wale nō no ka hoʻohana ʻana i kahi pā ahi me kēia pili:

  • ʻO ka ʻīpuka paʻamau no kēlā me kēia subnet he hoʻololi, ʻoiai ʻo ka pā ahi ma ke ʻano alohilohi (ʻo ia hoʻi, ke hele nei nā kaʻa a pau, akā ʻaʻole ia he L3 hop)
  • ʻO ka ʻīpuka paʻamau no kēlā me kēia subnet ʻo ia nā sub-interfaces firewall (a i ʻole SVI interfaces), ʻo ka hoʻololi ke kuleana o L2
  • Hoʻohana ʻia nā VRF like ʻole ma ke kuapo, a ʻo ke kaʻa ʻana ma waena o nā VRF e hele i loko o ka pā ahi, ʻo ke kaʻa i loko o hoʻokahi VRF e hoʻomalu ʻia e ka ACL ma ka hoʻololi.
  • Hoʻohālikelike ʻia nā kaʻa a pau i ka pā ahi no ka nānā ʻana a me ka nānā ʻana; ʻaʻole hele ka huakaʻi

ʻŌlelo 1

Hiki ke hui pū ʻia kēia mau koho, akā no ka maʻalahi ʻaʻole mākou e noʻonoʻo iā lākou.

Nānā2

Aia nō ka hiki ke hoʻohana i ka PBR (service chain architecture), akā i kēia manawa, ʻoiai he hopena maikaʻi i koʻu manaʻo, ʻoi aku ka exotic, no laila ʻaʻole wau e noʻonoʻo iā ia ma aneʻi.

Mai ka wehewehe ʻana i nā kahe i loko o ka palapala, ʻike mākou e hele mau ana ke kaʻa ma ka pā ahi, ʻo ia hoʻi, e like me ka hoʻolālā Cisco, ua hoʻopau ʻia ka koho ʻehā.

E nānā mua i nā koho mua ʻelua.
Me kēia mau koho, hele nā ​​kaʻa a pau ma ka pā ahi.

I kēia manawa e nānā kāua palapala helu, nana Cisco GPL a ʻike mākou inā makemake mākou i ka nui o ka bandwidth no kā mākou keʻena ma kahi o 10 - 20 gigabits, a laila pono mākou e kūʻai i ka mana 4K.

Kākau

Ke kamaʻilio wau e pili ana i ka nui o ka bandwidth, ʻōlelo wau i ke kaʻa ma waena o nā subnets (a ʻaʻole i loko o hoʻokahi vilana).

Mai ka GPL ʻike mākou no ka HA Bundle me ka Threat Defense, ke kumukūʻai ma muli o ke kumu hoʻohālike (4110 - 4150) ʻokoʻa mai ~0,5 - 2,5 miliona kālā.

ʻO ia hoʻi, hoʻomaka kā mākou hoʻolālā e like me ka laʻana mua.

He hewa paha kēia hoʻolālā?
ʻAʻole, ʻaʻole kēlā. Hāʻawi ʻo Cisco iā ʻoe i ka palekana maikaʻi loa e pili ana i ka laina huahana i loaʻa iā ia. Akā, ʻaʻole ia he manaʻo he mea pono ia no ʻoe.

Ma ke kumu, he nīnau maʻamau kēia i ka wā e hoʻolālā ai i kahi keʻena a i ʻole ke kikowaena data, a ʻo ia wale nō ka mea e pono ai ke ʻimi ʻia.

No ka laʻana, mai hoʻokuʻu i nā kaʻa a pau e hele i loko o kahi pā ahi, inā he mea maikaʻi loa ke koho 3 iaʻu, a i ʻole (e ʻike i ka pauku mua) ʻaʻole pono ʻoe i ka Threat Defense a ʻaʻole pono ʻoe i kahi pā ahi ma kēlā. ʻāpana pūnaewele, a pono ʻoe e kaupalena iā ʻoe iho i ka nānā ʻana i ka passive me ka hoʻohana ʻana i ka uku (ʻaʻole ke kumukūʻai) a i ʻole nā ​​​​ʻoluʻolu kumu wehe, a i ʻole pono ʻoe i kahi pā ahi, akā mai kahi mea kūʻai aku.

ʻO ka maʻamau, aia mau kēia kānalua a ʻaʻohe pane maopopo e pili ana i ka hoʻoholo ʻoi aku ka maikaʻi loa iā ʻoe.
ʻO kēia ka paʻakikī a me ka nani o kēia hana.

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka