Ինչպես վերահսկել ձեր ցանցային ենթակառուցվածքը: Գլուխ երրորդ. Ցանցի անվտանգություն. Մաս երրորդ

Այս հոդվածը հինգերորդն է «Ինչպես վերահսկել ձեր ցանցային ենթակառուցվածքը» շարքից: Շարքի բոլոր հոդվածների բովանդակությունը և հղումները կարելի է գտնել այստեղ.

Այս մասը նվիրված կլինի Campus (Office) & Remote Access VPN հատվածներին:

Գրասենյակային ցանցի ձևավորումը կարող է հեշտ թվալ:

Իսկապես, մենք վերցնում ենք L2/L3 անջատիչները և միացնում դրանք միմյանց: Այնուհետև մենք իրականացնում ենք վիլանների և լռելյայն դարպասների հիմնական կարգավորում, տեղադրում ենք պարզ երթուղիներ, միացնում ենք WiFi կարգավորիչները, մուտքի կետերը, տեղադրում և կարգավորում ենք ASA-ն հեռավոր մուտքի համար, ուրախ ենք, որ ամեն ինչ աշխատեց: Հիմնականում, ինչպես ես արդեն գրել եմ նախորդներից մեկում Հոդվածներ Այս շրջանի գրեթե յուրաքանչյուր ուսանող, ով մասնակցել է (և սովորել է) հեռահաղորդակցության դասընթացի երկու կիսամյակ, կարող է ձևավորել և կարգավորել գրասենյակային ցանցն այնպես, որ այն «ինչ-որ կերպ աշխատի»:

Բայց որքան շատ եք սովորում, այնքան ավելի քիչ պարզ է դառնում այս առաջադրանքը: Անձամբ ինձ համար այս թեման՝ գրասենյակային ցանցերի դիզայնի թեման, ամենևին էլ պարզ չի թվում, և այս հոդվածում ես կփորձեմ բացատրել, թե ինչու։

Մի խոսքով, պետք է հաշվի առնել բավականին մի քանի գործոններ: Հաճախ այդ գործոնները հակասում են միմյանց, և պետք է ողջամիտ փոխզիջում փնտրել:
Այս անորոշությունն է հիմնական դժվարությունը։ Այսպիսով, խոսելով անվտանգության մասին, մենք ունենք եռանկյունի երեք գագաթներով՝ անվտանգություն, հարմարավետություն աշխատակիցների համար, լուծման գին։
Եվ ամեն անգամ պետք է փոխզիջում փնտրել այս երեքի միջև։

ճարտարապետություն

Որպես ճարտարապետության օրինակ այս երկու հատվածների համար, ինչպես նախորդ հոդվածներում, ես խորհուրդ եմ տալիս Cisco SAFE մոդել: Ձեռնարկությունների կամպուս, Enterprise Internet Edge.

Սրանք որոշ չափով հնացած փաստաթղթեր են։ Ես դրանք ներկայացնում եմ այստեղ, քանի որ հիմնարար սխեմաներն ու մոտեցումը չեն փոխվել, բայց միևնույն ժամանակ ներկայացումն ինձ ավելի շատ է դուր գալիս, քան նոր փաստաթղթեր.

Առանց խրախուսելու ձեզ օգտագործել Cisco լուծումները, ես դեռ կարծում եմ, որ օգտակար է ուշադիր ուսումնասիրել այս դիզայնը:

Այս հոդվածը, ինչպես միշտ, ոչ մի կերպ չի հավակնում ամբողջական լինելուն, այլ ավելի շուտ լրացում է այս տեղեկատվությանը:

Հոդվածի վերջում մենք կվերլուծենք Cisco SAFE գրասենյակի դիզայնը այստեղ ներկայացված հասկացությունների տեսանկյունից:

Ընդհանուր սկզբունքներ

Գրասենյակային ցանցի նախագծումը, իհարկե, պետք է բավարարի քննարկված ընդհանուր պահանջներին այստեղ «Դիզայնի որակի գնահատման չափանիշներ» գլխում: Բացի գնից և անվտանգությունից, որոնք մենք մտադիր ենք քննարկել այս հոդվածում, դեռևս կան երեք չափանիշներ, որոնք մենք պետք է հաշվի առնենք նախագծելիս (կամ փոփոխություններ կատարելիս).

• մասշտաբայնություն
• օգտագործման հեշտություն (կառավարելիություն)
• հասանելիություն

Շատ բան, ինչի համար քննարկվել է տվյալների կենտրոններ Սա ճիշտ է նաև գրասենյակի համար:

Այնուամենայնիվ, գրասենյակային հատվածն ունի իր առանձնահատկությունները, որոնք կարևոր են անվտանգության տեսանկյունից: Այս յուրահատկության էությունն այն է, որ այս հատվածը ստեղծվել է ընկերության աշխատակիցներին (ինչպես նաև գործընկերներին և հյուրերին) ցանցային ծառայություններ մատուցելու համար, և արդյունքում՝ խնդրի քննարկման ամենաբարձր մակարդակում մենք ունենք երկու խնդիր.

• պաշտպանել ընկերության ռեսուրսները վնասակար գործողություններից, որոնք կարող են առաջանալ աշխատակիցներից (հյուրեր, գործընկերներ) և նրանց կողմից օգտագործվող ծրագրաշարից: Սա ներառում է նաև պաշտպանություն ցանցին չարտոնված միացումից:
• պաշտպանել համակարգերը և օգտագործողների տվյալները

Եվ սա խնդրի միայն մի կողմն է (ավելի ճիշտ՝ եռանկյունու մեկ գագաթը): Մյուս կողմում օգտագործողի հարմարավետությունն է և օգտագործվող լուծումների գինը:

Եկեք սկսենք նայելով, թե ինչ է ակնկալում օգտվողը ժամանակակից գրասենյակային ցանցից:

Հարմարություններ

Ահա թե ինչ տեսք ունեն «ցանցային հարմարությունները» գրասենյակի օգտագործողի համար, իմ կարծիքով.

• Շարժունակություն
• Ծանոթ սարքերի և օպերացիոն համակարգերի ողջ տեսականին օգտագործելու ունակություն
• Հեշտ մուտք դեպի ընկերության բոլոր անհրաժեշտ ռեսուրսները
• Ինտերնետային ռեսուրսների առկայությունը, ներառյալ տարբեր ամպային ծառայություններ
• Ցանցի «արագ շահագործում».

Այս ամենը վերաբերում է ինչպես աշխատակիցներին, այնպես էլ հյուրերին (կամ գործընկերներին), և ընկերության ինժեներների խնդիրն է տարբերակել հասանելիությունը տարբեր օգտվողների խմբերի համար՝ հիմնվելով թույլտվության վրա:

Եկեք նայենք այս ասպեկտներից յուրաքանչյուրին մի փոքր ավելի մանրամասն:

Շարժունակություն

Խոսքը աշխարհի ցանկացած կետից (իհարկե, որտեղ ինտերնետը հասանելի է) աշխատելու և ընկերության բոլոր անհրաժեշտ ռեսուրսներն օգտագործելու հնարավորության մասին է։

Սա լիովին վերաբերում է գրասենյակին: Սա հարմար է, երբ հնարավորություն ունես շարունակել աշխատել գրասենյակի ցանկացած կետից, օրինակ՝ նամակներ ստանալ, շփվել կորպորատիվ մեսենջերում, հասանելի լինել տեսազանգերի համար,... Այսպիսով, սա թույլ է տալիս քեզ, մի կողմից. լուծել որոշ հարցեր «կենդանի» հաղորդակցության համար (օրինակ՝ մասնակցել հանրահավաքներին), իսկ մյուս կողմից՝ միշտ լինել առցանց, մատդ պահել զարկերակի վրա և արագ լուծել որոշ հրատապ առաջնահերթ խնդիրներ։ Սա շատ հարմար է և իսկապես բարելավում է հաղորդակցության որակը:

Սա ձեռք է բերվում WiFi ցանցի պատշաճ ձևավորմամբ:

Նշում.

Այստեղ սովորաբար հարց է առաջանում՝ բավարա՞ր է միայն WiFi-ից օգտվելը։ Արդյո՞ք սա նշանակում է, որ դուք կարող եք դադարեցնել Ethernet պորտերի օգտագործումը գրասենյակում: Եթե ​​մենք խոսում ենք միայն օգտատերերի, և ոչ սերվերների մասին, որոնք դեռ ողջամիտ են սովորական Ethernet պորտով միանալու համար, ապա ընդհանուր առմամբ պատասխանը հետևյալն է. այո, դուք կարող եք սահմանափակվել միայն WiFi-ով: Բայց կան նրբերանգներ.

Կան օգտվողների կարևոր խմբեր, որոնք պահանջում են առանձին մոտեցում: Սրանք, իհարկե, ադմիններ են։ Սկզբունքորեն, WiFi կապը պակաս հուսալի է (երթևեկության կորստի առումով) և ավելի դանդաղ, քան սովորական Ethernet պորտը: Սա կարող է նշանակալից լինել ադմինիստրատորների համար: Բացի այդ, ցանցի ադմինիստրատորները, օրինակ, կարող են սկզբունքորեն ունենալ իրենց հատուկ Ethernet ցանցը ցանցից դուրս միացումների համար:

Ձեր ընկերությունում կարող են լինել այլ խմբեր/ստորաբաժանումներ, որոնց համար այս գործոնները նույնպես կարևոր են:

Կա ևս մեկ կարևոր կետ՝ հեռախոսակապի։ Միգուցե ինչ-ինչ պատճառներով դուք չեք ցանկանում օգտագործել անլար VoIP և ցանկանում եք օգտագործել սովորական Ethernet կապով IP հեռախոսներ:

Ընդհանուր առմամբ, այն ընկերությունները, որտեղ ես աշխատել եմ, սովորաբար ունեին և՛ WiFi կապ, և՛ Ethernet պորտ:

Ես կցանկանայի, որ շարժունակությունը չսահմանափակվեր միայն գրասենյակով:

Տնից (կամ հասանելի ինտերնետով ցանկացած այլ վայրում) աշխատելու հնարավորությունն ապահովելու համար օգտագործվում է VPN կապ: Միևնույն ժամանակ, ցանկալի է, որ աշխատակիցները տարբերություն չզգան տնից աշխատելու և հեռահար աշխատանքի միջև, որը ենթադրում է նույն մուտքը։ Թե ինչպես կարելի է դա կազմակերպել, մենք կքննարկենք մի փոքր ուշ «Միասնական կենտրոնացված նույնականացման և թույլտվության համակարգ» գլխում:

Նշում.

Ամենայն հավանականությամբ, դուք չեք կարողանա լիովին մատուցել նույն որակի ծառայությունները հեռահար աշխատանքի համար, որը դուք ունեք գրասենյակում: Ենթադրենք, որ դուք օգտագործում եք Cisco ASA 5520 որպես ձեր VPN դարպաս: Համաձայն տվյալների թերթիկ այս սարքը կարող է «մարսել» ընդամենը 225 Մբիթ VPN տրաֆիկ: Դա, իհարկե, թողունակության առումով VPN-ով միանալը շատ տարբերվում է գրասենյակից աշխատելուց: Բացի այդ, եթե ինչ-ինչ պատճառներով հետաձգումը, կորուստը, ցնցումները (օրինակ՝ ցանկանում եք օգտագործել գրասենյակային IP հեռախոսակապ) ձեր ցանցային ծառայությունների համար նշանակալի են, դուք նույնպես չեք ստանա նույն որակը, ինչ եթե գրասենյակում լինեիք: Ուստի շարժունակության մասին խոսելիս պետք է տեղյակ լինենք հնարավոր սահմանափակումների մասին։

Հեշտ մուտք դեպի ընկերության բոլոր ռեսուրսները

Այս խնդիրը պետք է լուծվի այլ տեխնիկական գերատեսչությունների հետ համատեղ։
Իդեալական իրավիճակն այն է, երբ օգտագործողին անհրաժեշտ է միայն մեկ անգամ վավերացնել, իսկ դրանից հետո նրան հասանելի են բոլոր անհրաժեշտ ռեսուրսները։
Հեշտ մուտքի ապահովումը՝ առանց անվտանգության զոհաբերելու, կարող է զգալիորեն բարելավել արտադրողականությունը և նվազեցնել սթրեսը ձեր գործընկերների շրջանում:

Դիտողություն 1

Մուտքի հեշտությունը միայն այն չէ, թե քանի անգամ պետք է մուտքագրեք գաղտնաբառը: Եթե, օրինակ, ձեր անվտանգության քաղաքականության համաձայն, գրասենյակից տվյալների կենտրոնին միանալու համար նախ պետք է միանաք VPN դարպասին, և միևնույն ժամանակ կորցնեք մուտքը գրասենյակային ռեսուրսներ, ապա սա նույնպես շատ է. , շատ անհարմար.

Դիտողություն 2

Կան ծառայություններ (օրինակ՝ մուտք դեպի ցանցային սարքավորումներ), որտեղ մենք սովորաբար ունենք մեր հատուկ AAA սերվերները, և սա նորմ է, երբ այս դեպքում մենք պետք է մի քանի անգամ վավերացնենք:

Ինտերնետային ռեսուրսների առկայություն

Ինտերնետը ոչ միայն ժամանց է, այլ նաև ծառայությունների մի շարք, որոնք կարող են շատ օգտակար լինել աշխատանքի համար: Կան նաեւ զուտ հոգեբանական գործոններ։ Ժամանակակից մարդը ինտերնետի միջոցով կապվում է այլ մարդկանց հետ բազմաթիվ վիրտուալ թելերով, և, իմ կարծիքով, վատ բան չկա, եթե նա շարունակի զգալ այդ կապը նույնիսկ աշխատելիս։

Ժամանակ կորցնելու տեսակետից վատ բան չկա, եթե աշխատակցին, օրինակ, Skype-ն աշխատում է և անհրաժեշտության դեպքում 5 րոպե տրամադրում է սիրելիի հետ շփվելու։

Արդյո՞ք սա նշանակում է, որ ինտերնետը միշտ պետք է հասանելի լինի, արդյոք սա նշանակում է, որ աշխատակիցները կարող են մուտք ունենալ բոլոր ռեսուրսներին և ոչ մի կերպ չվերահսկել դրանք:

Ոչ, դա չի նշանակում, իհարկե: Ինտերնետի բացության մակարդակը կարող է տարբեր լինել տարբեր ընկերությունների համար՝ ամբողջական փակումից մինչև ամբողջական բացություն: Երթևեկության վերահսկման ուղիները մենք կքննարկենք ավելի ուշ՝ անվտանգության միջոցառումներին վերաբերող բաժիններում:

Ծանոթ սարքերի ողջ տեսականին օգտագործելու ունակություն

Հարմար է, երբ, օրինակ, հնարավորություն ունես շարունակել օգտագործել հաղորդակցման բոլոր միջոցները, որոնց սովոր ես աշխատանքում։ Սա տեխնիկապես իրականացնելու դժվարություն չկա: Դրա համար անհրաժեշտ է WiFi և հյուրի վիլան:

Լավ է նաև, եթե հնարավորություն ունեք օգտագործելու այն օպերացիոն համակարգը, որին սովոր եք: Բայց, իմ դիտարկմամբ, դա սովորաբար թույլատրվում է միայն մենեջերներին, ադմինիստրատորներին և մշակողներին:

Օրինակ

Դուք, իհարկե, կարող եք գնալ արգելքների ճանապարհով, արգելել հեռահար մուտքը, արգելել բջջային սարքերից միանալը, ամեն ինչ սահմանափակել ստատիկ Ethernet կապերով, սահմանափակել մուտքը ինտերնետ, հարկադիր բռնագրավել բջջային հեռախոսներն ու գաջեթները անցակետում... և այս ճանապարհը: իրականում նրան հետևում են անվտանգության բարձր պահանջներ ունեցող որոշ կազմակերպություններ, և գուցե որոշ դեպքերում դա կարող է արդարացված լինել, բայց... պետք է համաձայնեք, որ սա կարծես մեկ կազմակերպությունում առաջընթացը դադարեցնելու փորձ է: Իհարկե, ես կցանկանայի համատեղել այն հնարավորությունները, որոնք տալիս են ժամանակակից տեխնոլոգիաները անվտանգության բավարար մակարդակի հետ։

Ցանցի «արագ շահագործում».

Տվյալների փոխանցման արագությունը տեխնիկապես բաղկացած է բազմաթիվ գործոններից: Եվ ձեր կապի պորտի արագությունը սովորաբար ամենակարևորը չէ: Հավելվածի դանդաղ աշխատանքը միշտ չէ, որ կապված է ցանցային խնդիրների հետ, սակայն առայժմ մեզ հետաքրքրում է միայն ցանցային մասը։ Տեղական ցանցի «դանդաղեցման» ամենատարածված խնդիրը կապված է փաթեթների կորստի հետ: Սա սովորաբար տեղի է ունենում, երբ առկա են խցանման կամ L1 (OSI) խնդիրներ: Ավելի հազվադեպ, որոշ ձևավորումների դեպքում (օրինակ, երբ ձեր ենթացանցերն ունեն firewall որպես լռելյայն դարպաս և այդպիսով ամբողջ երթևեկությունը անցնում է դրա միջով), սարքավորումը կարող է անբավարար կատարողականություն ունենալ:

Հետևաբար, սարքավորումների և ճարտարապետության ընտրության ժամանակ դուք պետք է փոխկապակցեք վերջնական նավահանգիստների, բեռնախցիկների և սարքավորումների կատարողականի արագությունները:

Օրինակ

Ենթադրենք, որ որպես մուտքի շերտի անջատիչներ օգտագործում եք 1 գիգաբիթ պորտով անջատիչներ: Նրանք միացված են միմյանց Etherchannel-ի միջոցով 2 x 10 գիգաբիթ: Որպես լռելյայն դարպաս՝ դուք օգտագործում եք գիգաբիթ պորտերով firewall, որը L2 գրասենյակային ցանցին միացնելու համար օգտագործում եք 2 գիգաբիթ պորտ՝ միավորված Etherchannel-ում:

Այս ճարտարապետությունը ֆունկցիոնալ տեսանկյունից բավականին հարմար է, քանի որ... Ամբողջ տրաֆիկը անցնում է firewall-ով, և դուք կարող եք հարմարավետորեն կառավարել մուտքի քաղաքականությունը և կիրառել բարդ ալգորիթմներ՝ վերահսկելու երթևեկությունը և կանխելու հնարավոր հարձակումները (տես ստորև), բայց թողունակության և կատարողականի տեսանկյունից այս դիզայնը, իհարկե, ունի պոտենցիալ խնդիրներ: Այսպիսով, օրինակ, տվյալներ ներբեռնող 2 հոսթ (1 գիգաբիթ պորտ արագությամբ) կարող է ամբողջությամբ բեռնել 2 գիգաբիթանոց կապը firewall-ին և այդպիսով հանգեցնել ծառայության դեգրադացիայի ամբողջ գրասենյակի հատվածի համար:

Մենք նայեցինք եռանկյան մեկ գագաթին, հիմա եկեք տեսնենք, թե ինչպես կարող ենք ապահովել անվտանգությունը:

Միջոցները

Այսպիսով, իհարկե, սովորաբար մեր ցանկությունը (ավելի ճիշտ՝ մեր ղեկավարության ցանկությունը) անհնարինին հասնելն է, այն է՝ ապահովել առավելագույն հարմարավետություն՝ առավելագույն անվտանգությամբ և նվազագույն ծախսերով։

Եկեք նայենք, թե ինչ մեթոդներ ունենք պաշտպանություն ապահովելու համար։

Գրասենյակի համար ես կառանձնացնեմ հետևյալը.

• զրոյական վստահության մոտեցում դիզայնին
• պաշտպանության բարձր մակարդակ
• ցանցի տեսանելիությունը
• նույնականացման և թույլտվության միասնական կենտրոնացված համակարգ
• հյուրընկալող ստուգում

Հաջորդը, մենք մի փոքր ավելի մանրամասն կանդրադառնանք այս ասպեկտներից յուրաքանչյուրին:

Eroրո վստահություն

ՏՏ աշխարհը շատ արագ փոխվում է. Անցած 10 տարիների ընթացքում նոր տեխնոլոգիաների և արտադրանքի ի հայտ գալը հանգեցրել է անվտանգության հայեցակարգերի լուրջ վերանայման: Տասը տարի առաջ, անվտանգության տեսանկյունից, մենք ցանցը բաժանեցինք վստահության, dmz և անվստահելի գոտիների և օգտագործեցինք այսպես կոչված «պարագծային պաշտպանություն», որտեղ կար պաշտպանության 2 գիծ՝ untrust -> dmz և dmz ->: վստահություն. Նաև պաշտպանությունը սովորաբար սահմանափակվում էր մուտքի ցուցակներով՝ հիմնված L3/L4 (OSI) վերնագրերի վրա (IP, TCP/UDP պորտեր, TCP դրոշներ): Ավելի բարձր մակարդակների հետ կապված ամեն ինչ, ներառյալ L7-ը, մնաց ՕՀ-ին և վերջնական հոսթինգների վրա տեղադրված անվտանգության արտադրանքներին:

Այժմ իրավիճակը կտրուկ փոխվել է. Ժամանակակից հայեցակարգ զրոյական վստահություն գալիս է նրանից, որ այլևս հնարավոր չէ վստահելի համարել ներքին համակարգերը, այսինքն՝ պարագծի ներսում գտնվողները, և ինքնին պարագծի հասկացությունը մշուշվել է։
Բացի ինտերնետ կապից, ունենք նաև

• հեռավոր մուտք VPN օգտվողներ
• տարբեր անհատական ​​գաջեթներ, բերված նոթբուքեր, միացված գրասենյակային WiFi-ով
• այլ (մասնաճյուղեր):
• ինտեգրում ամպային ենթակառուցվածքի հետ

Ինչպիսի՞ն է զրոյական վստահության մոտեցումը գործնականում:

Իդեալում, պետք է թույլատրվի միայն այն երթևեկությունը, որը պահանջվում է, և, եթե մենք խոսում ենք իդեալականի մասին, ապա վերահսկումը պետք է լինի ոչ միայն L3/L4 մակարդակում, այլև կիրառական մակարդակում:

Եթե, օրինակ, դուք հնարավորություն ունեք անցնելու ամբողջ տրաֆիկը firewall-ով, ապա կարող եք փորձել մոտենալ իդեալին: Բայց այս մոտեցումը կարող է զգալիորեն նվազեցնել ձեր ցանցի ընդհանուր թողունակությունը, և բացի այդ, հավելվածով զտումը միշտ չէ, որ լավ է աշխատում:

Երթուղիչի կամ L3 անջատիչի վրա երթևեկությունը վերահսկելիս (օգտագործելով ստանդարտ ACL-ներ), դուք բախվում եք այլ խնդիրների.

• Սա միայն L3/L4 զտիչ է: Ոչինչ չի խանգարում հարձակվողին օգտագործել թույլատրված նավահանգիստները (օրինակ՝ TCP 80) իրենց հավելվածի համար (ոչ http)
• բարդ ACL կառավարում (դժվար է վերլուծել ACL-ները)
• Սա պետական ​​firewall չէ, ինչը նշանակում է, որ դուք պետք է հստակորեն թույլատրեք հակադարձ երթևեկությունը
• Անջատիչներով դուք սովորաբար խիստ սահմանափակված եք TCAM-ի չափսերով, ինչը կարող է արագ խնդիր դառնալ, եթե ընդունեք «միայն թույլ տվեք այն, ինչ ձեզ հարկավոր է» մոտեցումը:

Նշում.

Խոսելով հակադարձ տրաֆիկի մասին՝ պետք է հիշել, որ մենք ունենք հետևյալ հնարավորությունը (Cisco)

թույլտվություն tcp ցանկացած հաստատված

Բայց դուք պետք է հասկանաք, որ այս տողը համարժեք է երկու տողի.
թույլտվություն tcp ցանկացած ack
թույլտվություն tcp ցանկացած rst

Սա նշանակում է, որ նույնիսկ եթե չկար նախնական TCP հատված SYN դրոշով (այսինքն, TCP նիստը նույնիսկ չի սկսվել), այս ACL-ը թույլ կտա ACK դրոշով փաթեթ, որը հարձակվողը կարող է օգտագործել տվյալներ փոխանցելու համար:

Այսինքն, այս գիծը ոչ մի կերպ չի վերածում ձեր երթուղիչը կամ L3 անջատիչը պետական ​​ամբողջական firewall-ի:

Պաշտպանության բարձր մակարդակ

В Հոդված Տվյալների կենտրոններին վերաբերող բաժնում մենք դիտարկել ենք պաշտպանության հետևյալ մեթոդները.

• պետական ​​firewalling (կանխադրված)
• ddos/dos պաշտպանություն
• հավելվածի firewalling
• սպառնալիքների կանխարգելում (հակավիրուսներ, հակալրտեսող ծրագրեր և խոցելիություն)
• URL զտիչ
• տվյալների զտում (բովանդակության զտում)
• ֆայլերի արգելափակում (ֆայլերի տեսակների արգելափակում)

Գրասենյակի դեպքում իրավիճակը նման է, բայց առաջնահերթությունները մի փոքր տարբեր են։ Գրասենյակի հասանելիությունը (առկայությունը) սովորաբար այնքան կարևոր չէ, որքան տվյալների կենտրոնի դեպքում, մինչդեռ «ներքին» վնասակար թրաֆիկի հավանականությունը մի քանի կարգով ավելի մեծ է:
Հետևաբար, այս հատվածի պաշտպանության հետևյալ մեթոդները դառնում են կարևոր.

• հավելվածի firewalling
• սպառնալիքների կանխարգելում (հակավիրուսներ, հակալրտեսող ծրագրեր և խոցելիություն)
• URL զտիչ
• տվյալների զտում (բովանդակության զտում)
• ֆայլերի արգելափակում (ֆայլերի տեսակների արգելափակում)

Թեև պաշտպանության այս բոլոր մեթոդները, բացառությամբ հավելվածի firewall-ի, ավանդաբար լուծվել և շարունակում են լուծվել վերջնական հոսթների վրա (օրինակ՝ հակավիրուսային ծրագրերի տեղադրմամբ) և պրոքսիների միջոցով, ժամանակակից NGFW-ները նույնպես տրամադրում են այդ ծառայությունները:

Անվտանգության սարքավորումների վաճառողները ձգտում են ստեղծել համապարփակ պաշտպանություն, ուստի տեղական պաշտպանության հետ մեկտեղ նրանք առաջարկում են տարբեր ամպային տեխնոլոգիաներ և հաճախորդի ծրագրային ապահովում հյուրընկալողների համար (վերջնական կետի պաշտպանություն/EPP): Այսպիսով, օրինակ, սկսած 2018 Gartner Magic Quadrant Մենք տեսնում ենք, որ Palo Alto-ն և Cisco-ն ունեն իրենց EPP-ները (PA: Traps, Cisco: AMP), բայց հեռու են առաջատարներից:

Այս պաշտպանությունները (սովորաբար լիցենզիաներ գնելով) ձեր firewall-ում, իհարկե, պարտադիր չէ (դուք կարող եք գնալ ավանդական ճանապարհով), բայց այն տալիս է որոշ առավելություններ.

• այս դեպքում կա պաշտպանության մեթոդների կիրառման մեկ կետ, որը բարելավում է տեսանելիությունը (տե՛ս հաջորդ թեման):
• Եթե ​​ձեր ցանցում կա անպաշտպան սարք, ապա այն դեռ ընկնում է firewall-ի պաշտպանության «հովանոցի» տակ։
• Օգտագործելով firewall-ի պաշտպանությունը վերջնական հաղորդավարի պաշտպանության հետ համատեղ, մենք մեծացնում ենք վնասակար թրաֆիկի հայտնաբերման հավանականությունը: Օրինակ, տեղական հոսթերների և firewall-ի վրա սպառնալիքների կանխարգելման օգտագործումը մեծացնում է հայտնաբերման հավանականությունը (իհարկե, պայմանով, որ այս լուծումները հիմնված են տարբեր ծրագրային արտադրանքների վրա)

Նշում.

Եթե, օրինակ, դուք օգտագործում եք Kaspersky-ն որպես հակավիրուսային ինչպես firewall-ի, այնպես էլ վերջնական հոսթների վրա, ապա դա, իհարկե, մեծապես չի մեծացնի ձեր ցանցի վրա վիրուսի հարձակումը կանխելու ձեր հնարավորությունները:

Ցանցի տեսանելիություն

Գլխավոր միտք պարզ է. «տեսեք», թե ինչ է կատարվում ձեր ցանցում, ինչպես իրական ժամանակում, այնպես էլ պատմական տվյալների մեջ:

Ես այս «տեսլականը» կբաժանեի երկու խմբի.

Առաջին խումբ. ինչով սովորաբար ապահովում է ձեր մոնիտորինգի համակարգը:

• սարքավորումների բեռնում
• ալիքների բեռնում
• հիշողության օգտագործումը
• սկավառակի օգտագործումը
• փոխելով երթուղային աղյուսակը
• հղման կարգավիճակը
• սարքավորումների (կամ տանտերերի) առկայությունը
• ...

Խումբ երկու. անվտանգության հետ կապված տեղեկատվություն:

• տարբեր տեսակի վիճակագրություն (օրինակ՝ ըստ հավելվածի, ըստ URL-ի տրաֆիկի, ինչ տեսակի տվյալներ են ներբեռնվել, օգտատիրոջ տվյալները)
• ինչն է արգելափակվել անվտանգության քաղաքականության կողմից և ինչ պատճառով, մասնավորապես
  • արգելված դիմում
  • արգելված է IP/protocol/port/flags/zones-ի հիման վրա
  • սպառնալիքների կանխարգելում
  • url զտում
  • տվյալների զտում
  • ֆայլերի արգելափակում
  • ...
• DOS/DDOS հարձակումների վիճակագրություն
• նույնականացման և թույլտվության անհաջող փորձեր
• վիճակագրություն՝ անվտանգության քաղաքականության խախտման վերը նշված բոլոր իրադարձությունների համար
• ...

Անվտանգության այս գլխում մեզ հետաքրքրում է երկրորդ մասը:

Որոշ ժամանակակից firewalls (իմ Palo Alto փորձից) ապահովում են տեսանելիության լավ մակարդակ: Բայց, իհարկե, ձեզ հետաքրքրող երթևեկը պետք է անցնի այս firewall-ով (որ դեպքում դուք հնարավորություն ունեք արգելափակել երթևեկությունը) կամ արտացոլված լինի firewall-ին (օգտագործվում է միայն մոնիտորինգի և վերլուծության համար), և դուք պետք է ունենաք լիցենզիաներ՝ բոլորը միացնելու համար: այս ծառայությունները:

Կա, իհարկե, այլընտրանքային ճանապարհ, ավելի ճիշտ՝ ավանդական, օրինակ.

• Նիստի վիճակագրությունը կարելի է հավաքել ցանցային հոսքի միջոցով, այնուհետև օգտագործել հատուկ կոմունալ ծառայություններ՝ տեղեկատվության վերլուծության և տվյալների արտացոլման համար
• սպառնալիքների կանխարգելում – հատուկ ծրագրեր (հակավիրուսներ, հակալրտեսող ծրագրեր, firewall) վերջնական հոսթների վրա
• URL-ի զտում, տվյալների զտում, ֆայլերի արգելափակում – վստահված անձի վրա
• հնարավոր է նաև վերլուծել tcpdump-ը՝ օգտագործելով օրինակ. խռխռացնել

Դուք կարող եք համատեղել այս երկու մոտեցումները՝ լրացնելով բացակայող հատկանիշները կամ կրկնօրինակելով դրանք՝ մեծացնելով հարձակումը հայտնաբերելու հավանականությունը:

Ո՞ր մոտեցումը պետք է ընտրեք:
Մեծապես կախված է ձեր թիմի որակավորումներից և նախասիրություններից:
Ե՛վ այնտեղ, և՛ կան դրական և բացասական կողմեր:

Նույնականացման և թույլտվության միասնական կենտրոնացված համակարգ

Երբ լավ նախագծված է, շարժունակությունը, որը մենք քննարկեցինք այս հոդվածում, ենթադրում է, որ դուք ունեք նույն հասանելիությունը՝ անկախ նրանից՝ աշխատում եք գրասենյակից, թե տնից, օդանավակայանից, սրճարանից կամ որևէ այլ վայրից (վերևում քննարկված սահմանափակումներով): Թվում է՝ ո՞րն է խնդիրը։
Այս առաջադրանքի բարդությունը ավելի լավ հասկանալու համար եկեք նայենք տիպիկ դիզայնին:

Օրինակ

• Դուք բոլոր աշխատակիցներին բաժանել եք խմբերի։ Դուք որոշել եք մուտք գործել ըստ խմբերի
• Գրասենյակի ներսում դուք վերահսկում եք մուտքը գրասենյակի firewall-ի վրա
• Դուք վերահսկում եք տրաֆիկը գրասենյակից դեպի տվյալների կենտրոն տվյալների կենտրոնի firewall-ով
• Դուք օգտագործում եք Cisco ASA-ն որպես VPN դարպաս և վերահսկելու ձեր ցանց մուտք գործող երթևեկությունը հեռավոր հաճախորդներից, դուք օգտագործում եք տեղական (ASA-ի վրա) ACL-ներ:

Հիմա, ենթադրենք, ձեզնից պահանջվում է լրացուցիչ մուտք ավելացնել որոշակի աշխատակցի: Այս դեպքում ձեզնից խնդրվում է մուտք գործել միայն նրան և ոչ մեկին իր խմբից:

Սրա համար մենք պետք է առանձին խումբ ստեղծենք այս աշխատակցի համար, այսինքն

• ստեղծել առանձին IP լողավազան ASA-ում այս աշխատակցի համար
• ավելացնել նոր ACL ASA-ում և կապել այն հեռավոր հաճախորդի հետ
• ստեղծել անվտանգության նոր քաղաքականություն գրասենյակի և տվյալների կենտրոնների firewalls-ի վրա

Լավ է, եթե այս իրադարձությունը հազվադեպ է լինում: Բայց իմ պրակտիկայում կար մի իրավիճակ, երբ աշխատակիցները մասնակցում էին տարբեր նախագծերի, և նրանցից ոմանց համար նախագծերի այս փաթեթը բավականին հաճախ փոխվում էր, և դա ոչ թե 1-2 հոգի էր, այլ տասնյակ: Իհարկե, այստեղ ինչ-որ բան պետք էր փոխել։

Սա լուծվեց հետևյալ կերպ.

Մենք որոշեցինք, որ LDAP-ը կլինի ճշմարտության միակ աղբյուրը, որը որոշում է աշխատակիցների բոլոր հնարավոր մուտքերը: Մենք ստեղծել ենք բոլոր տեսակի խմբեր, որոնք սահմանում են մուտքերի հավաքածուներ, և յուրաքանչյուր օգտվողին հատկացրել ենք մեկ կամ մի քանի խմբեր:

Այսպիսով, օրինակ, ենթադրենք, որ կային խմբեր

• հյուր (ինտերնետ մուտք)
• ընդհանուր հասանելիություն (հասանելիություն ընդհանուր ռեսուրսներին. փոստ, գիտելիքների բազա, ...)
• հաշվառում
• նախագիծ 1
• նախագիծ 2
• տվյալների բազայի ադմինիստրատոր
• Linux ադմինիստրատոր
• ...

Եվ եթե աշխատողներից մեկը ներգրավված է եղել և՛ 1-ին, և՛ 2-րդ նախագծում, և նրան անհրաժեշտ է մուտք գործել այս նախագծերում աշխատելու համար, ապա այս աշխատողին նշանակել են հետևյալ խմբերը.

• հյուր
• ընդհանուր մուտք
• նախագիծ 1
• նախագիծ 2

Ինչպե՞ս կարող ենք այժմ այս տեղեկատվությունը վերածել ցանցային սարքավորումների հասանելիության:

Cisco ASA Dynamic Access Policy (DAP) (տես www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) լուծումը ճիշտ է այս առաջադրանքի համար:

Համառոտ մեր ներդրման մասին, նույնականացման/թույլատրման գործընթացի ընթացքում ASA-ն LDAP-ից ստանում է տվյալ օգտատիրոջը համապատասխանող խմբերի շարք և «հավաքում» է մի քանի տեղական ACL-ներից (որոնցից յուրաքանչյուրը համապատասխանում է խմբի) դինամիկ ACL՝ բոլոր անհրաժեշտ մուտքերով: , որը լիովին համապատասխանում է մեր ցանկություններին։

Բայց սա միայն VPN կապերի համար է: Իրավիճակը նույնը դարձնելու համար և՛ VPN-ի միջոցով միացած աշխատողների, և՛ գրասենյակում գտնվողների համար, կատարվել է հետևյալ քայլը.

Գրասենյակից միանալիս 802.1x արձանագրությունն օգտագործող օգտվողները հայտնվում էին կա՛մ հյուրի LAN-ում (հյուրերի համար), կա՛մ ընդհանուր LAN-ում (ընկերության աշխատակիցների համար): Ավելին, հատուկ մուտք ստանալու համար (օրինակ՝ տվյալների կենտրոնի նախագծերին), աշխատակիցները ստիպված էին միանալ VPN-ի միջոցով:

Գրասենյակից և տնից միանալու համար ASA-ում օգտագործվել են տարբեր թունելային խմբեր: Սա անհրաժեշտ է, որպեսզի գրասենյակից միացողների համար տրաֆիկը դեպի ընդհանուր ռեսուրսներ (օգտագործվում է բոլոր աշխատակիցների կողմից, ինչպիսիք են փոստը, ֆայլերի սերվերները, տոմսերի համակարգը, dns, ...) ոչ թե ASA-ի, այլ տեղական ցանցի միջոցով: . Այսպիսով, մենք չենք բեռնել ASA-ն ավելորդ երթևեկով, ներառյալ բարձր ինտենսիվության երթևեկությունը:

Այսպիսով, խնդիրը լուծվեց։
Մենք ստացանք

• մուտքերի նույն շարքը ինչպես գրասենյակից, այնպես էլ հեռավոր միացումների համար
• ծառայության դեգրադացիայի բացակայություն գրասենյակից աշխատելիս՝ կապված ASA-ի միջոցով բարձր ինտենսիվության երթևեկության փոխանցման հետ

Այս մոտեցման ի՞նչ այլ առավելություններ ունի:
Մուտքի կառավարման մեջ: Մուտքերը կարելի է հեշտությամբ փոխել մեկ վայրում:
Օրինակ, եթե աշխատողը հեռանում է ընկերությունից, դուք պարզապես հեռացնում եք նրան LDAP-ից, և նա ինքնաբերաբար կորցնում է բոլոր մուտքերը:

Հոսթի ստուգում

Հեռակա կապի հնարավորության դեպքում մենք վտանգում ենք ցանց մուտք գործել ոչ միայն ընկերության աշխատակցին, այլև բոլոր վնասակար ծրագրերին, որոնք, ամենայն հավանականությամբ, առկա են նրա համակարգչում (օրինակ՝ տանը), և ավելին, այս ծրագրաշարի միջոցով մենք կարող է մեր ցանց մուտք գործել հարձակվողին, որն օգտագործում է այս հոսթը՝ որպես վստահված անձ:

Հեռակա միացված հոսթի համար իմաստալից է կիրառել նույն անվտանգության պահանջները, ինչ ներքին գրասենյակում:

Սա նաև ենթադրում է ՕՀ-ի, հակավիրուսային, հակալրտեսող ծրագրերի և firewall-ի «ճիշտ» տարբերակը և թարմացումները: Սովորաբար, այս հնարավորությունը գոյություն ունի VPN դարպասում (ASA-ի համար տե՛ս, օրինակ. այստեղ).

Խելամիտ կլինի նաև կիրառել երթևեկության վերլուծության և արգելափակման նույն մեթոդները (տես «Պաշտպանության բարձր մակարդակ»), որոնք ձեր անվտանգության քաղաքականությունը կիրառվում է գրասենյակային երթևեկության համար:

Խելամիտ է ենթադրել, որ ձեր գրասենյակային ցանցն այլևս չի սահմանափակվում գրասենյակային շենքով և դրա ներսում գտնվող հյուրընկալողներով:

Օրինակ

Լավ տեխնիկան այն է, որ յուրաքանչյուր աշխատակցի, ով պահանջում է հեռակառավարման հասանելիություն, լավ, հարմար նոութբուք տրամադրել և պահանջել, որ նրանք աշխատեն ինչպես գրասենյակում, այնպես էլ տնից, միայն դրանից:

Այն ոչ միայն բարելավում է ձեր ցանցի անվտանգությունը, այլև իսկապես հարմար է և սովորաբար օգտատերերի կողմից դիտվում է աշխատակիցների կողմից (եթե դա իսկապես լավ, օգտագործողի համար հարմար նոութբուք է):

Համաչափության և հավասարակշռության զգացման մասին

Հիմնականում սա խոսակցություն է մեր եռանկյունու երրորդ գագաթի մասին՝ գնի մասին։
Դիտարկենք հիպոթետիկ օրինակ.

Օրինակ

Դուք ունեք գրասենյակ 200 հոգու համար։ Դուք որոշել եք այն դարձնել հնարավորինս հարմար և անվտանգ:

Հետևաբար, դուք որոշեցիք ամբողջ երթևեկությունը փոխանցել firewall-ով և, հետևաբար, գրասենյակի բոլոր ենթացանցերի համար firewall-ը լռելյայն դարպասն է: Ի լրումն անվտանգության ծրագրային ապահովման, որը տեղադրված է յուրաքանչյուր վերջնական հոսթում (հակավիրուսային, հակալրտեսող ծրագրերից և firewall ծրագրերից), դուք նաև որոշել եք կիրառել պաշտպանական բոլոր հնարավոր մեթոդները firewall-ում:

Միացման բարձր արագություն ապահովելու համար (բոլորը հարմարության համար), դուք ընտրել եք 10 Գիգաբիթ մուտքի պորտերով անջատիչներ՝ որպես մուտքի անջատիչներ, և բարձր արդյունավետությամբ NGFW firewalls որպես firewalls, օրինակ՝ Palo Alto 7K շարքը (40 Գիգաբիթ պորտերով), բնականաբար բոլոր արտոնագրերով։ ներառված և, բնականաբար, բարձր հասանելիության զույգ:

Նաև, իհարկե, այս սարքավորումների հետ աշխատելու համար մեզ անհրաժեշտ են առնվազն մի քանի բարձր որակավորում ունեցող անվտանգության ինժեներ:

Հաջորդը, դուք որոշեցիք յուրաքանչյուր աշխատակցի լավ նոութբուք տալ:

Ընդհանուր՝ մոտ 10 միլիոն դոլար իրականացման համար, հարյուր հազարավոր դոլարներ (կարծում եմ՝ միլիոնին մոտ) տարեկան աջակցության և ինժեներների աշխատավարձերի համար։

Գրասենյակ, 200 հոգի...
Հարմարավետ? Կարծում եմ՝ այո է։

Դուք այս առաջարկով գալիս եք ձեր ղեկավարությանը...
Միգուցե աշխարհում կան մի շարք ընկերություններ, որոնց համար սա ընդունելի և ճիշտ լուծում է։ Եթե ​​դուք այս ընկերության աշխատակից եք, շնորհավորում եմ, բայց դեպքերի ճնշող մեծամասնության դեպքում վստահ եմ, որ ձեր գիտելիքները չեն գնահատվի ղեկավարության կողմից։

Այս օրինակը ուռճացվա՞ծ է։ Հաջորդ գլուխը կպատասխանի այս հարցին:

Եթե ​​ձեր ցանցում չեք տեսնում վերը նշվածներից որևէ մեկը, ապա սա նորմ է:
Յուրաքանչյուր կոնկրետ դեպքի համար դուք պետք է գտնեք ձեր սեփական ողջամիտ փոխզիջումը հարմարության, գնի և անվտանգության միջև: Հաճախ դուք նույնիսկ ձեր գրասենյակում NGFW կարիք չունեք, և L7 պաշտպանությունը firewall-ի վրա չի պահանջվում: Բավական է ապահովել տեսանելիության և ազդանշանների լավ մակարդակ, և դա կարելի է անել, օրինակ, բաց կոդով արտադրանքների միջոցով: Այո, հարձակմանը ձեր արձագանքը անմիջապես չի լինի, բայց գլխավորն այն է, որ դուք դա կտեսնեք, և ձեր բաժնում ճիշտ գործընթացների դեպքում դուք կկարողանաք արագ չեզոքացնել այն:

Եվ հիշեցնեմ, որ այս հոդվածաշարի հայեցակարգի համաձայն, դուք ցանց չեք նախագծում, այլ միայն փորձում եք բարելավել այն, ինչ ստացել եք։

Գրասենյակային ճարտարապետության ԱՆՎՏԱՆԳ վերլուծություն

Ուշադրություն դարձրեք այս կարմիր քառակուսուն, որից ես տեղ հատկացրեցի գծապատկերի վրա SAFE Secure Campus Architecture Guideորը ես կցանկանայի քննարկել այստեղ:

Սա ճարտարապետության առանցքային վայրերից է և ամենակարևոր անորոշություններից մեկը։

Նշում.

Ես երբեք չեմ ստեղծել կամ աշխատել FirePower-ի հետ (Cisco-ի firewall-ի գծից՝ միայն ASA), այնպես որ ես կվերաբերվեմ նրան այնպես, ինչպես ցանկացած այլ firewall-ի, ինչպես Juniper SRX-ը կամ Palo Alto-ն, ենթադրելով, որ այն ունի նույն հնարավորությունները:

Սովորական ձևավորումներից ես տեսնում եմ այս կապով firewall օգտագործելու միայն 4 հնարավոր տարբերակ.

• Յուրաքանչյուր ենթացանկի լռելյայն դարպասը անջատիչ է, մինչդեռ firewall-ը թափանցիկ ռեժիմում է (այսինքն, ամբողջ տրաֆիկը անցնում է դրա միջով, բայց այն չի ձևավորում L3 հոպ)
• Յուրաքանչյուր ենթացանկի լռելյայն դարպասը firewall ենթաինտերֆեյսներն են (կամ SVI միջերեսները), անջատիչը խաղում է L2-ի դերը:
• Անջատիչի վրա օգտագործվում են տարբեր VRF-ներ, և VRF-ների միջև երթևեկությունը անցնում է firewall-ով, մեկ VRF-ի ներսում երթևեկությունը վերահսկվում է անջատիչի ACL-ի կողմից:
• ամբողջ երթևեկությունը արտացոլվում է firewall-ին՝ վերլուծության և մոնիտորինգի համար, երթևեկությունը չի անցնում դրա միջով

Դիտողություն 1

Այս տարբերակների համակցությունները հնարավոր են, բայց պարզության համար մենք դրանք չենք դիտարկի:

Ծանոթագրություն2

Կա նաև PBR (ծառայության շղթայի ճարտարապետություն) օգտագործելու հնարավորություն, բայց առայժմ սա, թեև իմ կարծիքով գեղեցիկ լուծում է, բայց բավականին էկզոտիկ է, ուստի ես այն այստեղ չեմ համարում:

Փաստաթղթում առկա հոսքերի նկարագրությունից մենք տեսնում ենք, որ երթևեկությունը դեռ անցնում է firewall-ով, այսինքն, Cisco-ի դիզայնի համաձայն, չորրորդ տարբերակը վերացված է:

Եկեք նախ նայենք առաջին երկու տարբերակներին:
Այս տարբերակներով ամբողջ երթևեկությունը անցնում է firewall-ով:

Հիմա եկեք նայենք տվյալների թերթիկ, նայել Cisco GPL և մենք տեսնում ենք, որ եթե ցանկանում ենք, որ մեր գրասենյակի ընդհանուր թողունակությունը լինի առնվազն 10-20 գիգաբիթ, ապա մենք պետք է գնենք 4K տարբերակը:

Նշում.

Երբ ես խոսում եմ ընդհանուր թողունակության մասին, ես նկատի ունեմ տրաֆիկը ենթացանցերի միջև (և ոչ մեկ վիլանայի սահմաններում):

GPL-ից տեսնում ենք, որ Threat Defense-ով HA փաթեթի համար գինը կախված մոդելից (4110 - 4150) տատանվում է ~0,5 - 2,5 միլիոն դոլարի սահմաններում:

Այսինքն՝ մեր դիզայնը սկսում է նմանվել նախորդ օրինակին։

Արդյո՞ք սա նշանակում է, որ այս դիզայնը սխալ է:
Ոչ, դա չի նշանակում: Cisco-ն ձեզ տալիս է հնարավոր լավագույն պաշտպանությունը՝ հիմնվելով իր արտադրանքի գծի վրա: Բայց դա չի նշանակում, որ դա պարտադիր է ձեզ համար:

Սկզբունքորեն, սա սովորական հարց է, որն առաջանում է գրասենյակ կամ տվյալների կենտրոն նախագծելիս, և դա միայն նշանակում է, որ փոխզիջում է պետք փնտրել:

Օրինակ, թույլ մի տվեք, որ ամբողջ երթևեկությունը անցնի firewall-ի միջով, որի դեպքում 3-րդ տարբերակն ինձ բավականին լավ է թվում, կամ (տե՛ս նախորդ բաժինը) գուցե ձեզ պետք չէ Threat Defense կամ ընդհանրապես դրա վրա firewall-ի կարիք չունեք: ցանցի հատվածը, և դուք պարզապես պետք է սահմանափակվեք պասիվ մոնիտորինգով, օգտագործելով վճարովի (ոչ թանկ) կամ բաց կոդով լուծումներ, կամ ձեզ անհրաժեշտ է firewall, բայց այլ մատակարարից:

Սովորաբար միշտ կա այս անորոշությունը, և չկա հստակ պատասխան, թե որ որոշումն է լավագույնը ձեզ համար:
Սա է այս առաջադրանքի բարդությունն ու գեղեցկությունը:

Source: www.habr.com