Edemede a bụ nke atọ n'usoro isiokwu “Otu esi ejikwa akụrụngwa netwọkụ gị.” Enwere ike ịchọta ọdịnaya nke akụkọ niile dị na usoro na njikọ .
Enweghị uru ikwu maka ikpochapụ ihe egwu nchekwa kpamkpam. Na ụkpụrụ, anyị enweghị ike ibelata ha na efu. Anyị kwesịkwara ịghọta na ka anyị na-agbalịsi ike ime ka netwọk ahụ dịkwuo nchebe, ngwọta anyị na-aghọwanye ọnụ. Ịkwesịrị ịchọta mgbanwe n'etiti ọnụ ahịa, mgbagwoju anya, na nchekwa nke bara uru maka netwọk gị.
N'ezie, nchekwa nchekwa na-ejikọta ya na usoro ihe owuwu n'ozuzu ya na ngwọta nchebe ejiri mee ihe na-emetụta scalability, ntụkwasị obi, njikwa, ... nke akụrụngwa netwọkụ, nke kwesịkwara iburu n'uche.
Ma ka m chetara gị na ugbu a, anyị anaghị ekwu maka ịmepụta netwọkụ. Dị ka anyị si kwuo anyị ahọrọlarị nhazi ahụ, họrọ ngwá ọrụ, ma mepụta akụrụngwa, na n'oge a, ọ bụrụ na ọ ga-ekwe omume, anyị kwesịrị "ibi ndụ" ma chọta ngwọta n'ọnọdụ nke ụzọ a họọrọ na mbụ.
Ọrụ anyị ugbu a bụ ịchọpụta ihe ize ndụ ndị metụtara nchekwa na ọkwa netwọk ma belata ha na ọkwa dị mma.
Nyocha nchekwa netwọkụ
Ọ bụrụ na nzukọ gị emejuputala usoro ISO 27k, mgbe ahụ nyocha nchekwa na mgbanwe netwọkụ kwesịrị dabara nke ọma na usoro niile n'ime usoro a. Ma ụkpụrụ ndị a ka abụghị maka ngwọta kpọmkwem, ọ bụghị maka nhazi, ọ bụghị maka imewe ... Enweghị ndụmọdụ doro anya, ọ dịghị ụkpụrụ na-akọwa n'ụzọ zuru ezu ihe netwọk gị kwesịrị ịdị ka, nke a bụ mgbagwoju anya na ịma mma nke ọrụ a.
M ga-akọwapụta ọtụtụ nyocha nchekwa netwọk nwere ike ime:
- Nyocha nhazi akụrụngwa (hardening)
- nche imewe nyocha
- nweta nyocha
- usoro nyocha
Nyocha nhazi akụrụngwa (ịkwa ike)
Ọ dị ka n'ọtụtụ ọnọdụ nke a bụ mmalite kachasị mma maka nyocha na imeziwanye nchekwa nke netwọkụ gị. IMHO, nke a bụ ihe ngosi dị mma nke iwu Pareto (20% nke mgbalị na-emepụta 80% nke nsonaazụ, na 80% fọdụrụnụ na-arụpụta nanị 20% nke nsonaazụ).
Isi ala bụ na anyị na-enwekarị ndụmọdụ sitere n'aka ndị na-ere ahịa gbasara "omume kachasị mma" maka nchekwa mgbe ị na-ahazi akụrụngwa. A na-akpọ nke a "ịkwa ike".
Ị nwekwara ike ịchọta ajụjụ (ma ọ bụ mepụta onwe gị) na-adabere na ndụmọdụ ndị a, nke ga-enyere gị aka ikpebi otú nhazi nke ngwá ọrụ gị si agbaso "omume kachasị mma" ndị a na, dịka nsonaazụ ya si dị, mee mgbanwe na netwọk gị. . Nke a ga-enye gị ohere ibelata ihe egwu nchekwa nke ukwuu n'ụzọ dị mfe, na-enweghị ọnụ ahịa ọ bụla.
Ọtụtụ ihe atụ maka ụfọdụ Sistemu arụ ọrụ.
Dabere na akwụkwọ ndị a, enwere ike ịmepụta ndepụta nhazi chọrọ maka ụdị ngwá ọrụ ọ bụla. Dịka ọmụmaatụ, maka Cisco N7K VDC ihe ndị a chọrọ nwere ike ịdị ka .
N'ụzọ dị otú a, enwere ike ịmepụta faịlụ nhazi maka ụdị ngwa ọrụ dị iche iche na akụrụngwa netwọk gị. Na-esote, iji aka ma ọ bụ iji akpaaka, ị nwere ike "bulite" faịlụ nhazi ndị a. A ga-atụle otu esi emegharị usoro a n'ụzọ zuru ezu n'usoro isiokwu ọzọ gbasara nhazi na akpaaka.
Nyocha imewe nchekwa
Dịka, netwọk ụlọ ọrụ nwere akụkụ ndị a n'otu ụdị ma ọ bụ ọzọ:
- DC (ọrụ ọha DMZ na etiti data intranet)
- internet ohere
- VPN ohere ime ime
- WAN onu
- alaka
- Ụlọ akwụkwọ (Office)
- Core
Aha ewepụtara na ihe nlereanya, ma ọ dịghị mkpa, n'ezie, ka etinye ya kpọmkwem na aha ndị a na ihe nlereanya a. N'agbanyeghị nke ahụ, achọrọ m ikwu banyere ihe bụ isi ma ghara ịbanye n'ime usoro.
Maka nke ọ bụla n'ime akụkụ ndị a, ihe nchekwa chọrọ, ihe ize ndụ na, ya mere, ngwọta ga-adị iche.
Ka anyị leba anya na nke ọ bụla n'ime ha iche maka nsogbu ndị ị nwere ike izute site n'echiche imewe nchekwa. N'ezie, m na-ekwughachi ọzọ na ọ dịghị ụzọ ọ bụla isiokwu a na-eme ka hà zuru ezu, nke na-adịghị mfe (ma ọ bụrụ na ọ gaghị ekwe omume) iji nweta na nke a n'ezie miri emi na multifaceted isiokwu, ma ọ na-egosipụta onwe m ahụmahụ.
Enweghị ngwọta zuru oke (ma ọ dịkarịa ala ma). Ọ bụ nkwekọrịta mgbe niile. Mana ọ dị mkpa na a na-eme mkpebi nke iji otu ụzọ ma ọ bụ ọzọ nke ọma, na-aghọta ma uru na ọghọm ya.
data Center
Akụkụ kachasị dị egwu site na echiche nchekwa.
Na, dị ka ọ dị na mbụ, ọ dịghị ngwọta zuru ụwa ọnụ ebe a ma. Ihe niile dabere na ihe netwọk chọrọ.
Firewall ọ dị mkpa ka ọ bụ na ọ dịghị?
Ọ ga-adị ka azịza ya doro anya, mana ihe niile edochaghị anya dịka ọ nwere ike iyi. Na nhọrọ gị nwere ike imetụta ọ bụghị naanị price.
Ihe Nlereanya 1. Egbula oge.
Ọ bụrụ na nkwụsịtụ dị ala bụ ihe dị mkpa dị mkpa n'etiti ụfọdụ akụkụ netwọk, nke bụ, dịka ọmụmaatụ, eziokwu na mgbanwe mgbanwe, mgbe ahụ, anyị agaghị enwe ike iji firewalls n'etiti akụkụ ndị a. O siri ike ịchọta ọmụmụ banyere latency na firewalls, ma ụdị mgbanwe ole na ole nwere ike inye nkwụsị nke na-erughị ma ọ bụ na usoro 1 mksec, ya mere echere m na ọ bụrụ na microseconds dị gị mkpa, mgbe ahụ, firewalls abụghị maka gị.
Ihe Nlereanya 2. Ọrụ.
Ntinye nke ngbanwe nke elu L3 na-abụkarị usoro dị elu karịa ntinye nke firewalls kachasị ike. Ya mere, n'ihe gbasara okporo ụzọ dị elu, ị ga-enwekwa ike ikwe ka okporo ụzọ a gafere firewalls.
Ihe Nlereanya 3. Ịdabere.
Firewalls, karịsịa NGFW ọgbara ọhụrụ (FW na-esote ọgbọ) bụ ngwaọrụ dị mgbagwoju anya. Ha dị mgbagwoju anya karịa mgba ọkụ L3/L2. Ha na-enye ọnụ ọgụgụ buru ibu nke ọrụ na nhọrọ nhazi, ya mere ọ bụghị ihe mgbagwoju anya na ntụkwasị obi ha dị ntakịrị. Ọ bụrụ na ịga n'ihu ọrụ dị mkpa na netwọkụ ahụ, mgbe ahụ ị nwere ike ịhọrọ ihe ga-eduga na nnweta ka mma - nchekwa na firewall ma ọ bụ ịdị mfe nke netwọk wuru na switches (ma ọ bụ ụdị akwa dị iche iche) site na iji ACL oge niile.
N'ihe banyere ihe atụ ndị a dị n'elu, ọ ga-abụ na (dị ka ọ dị na mbụ) ga-achọta nkwekọrịta. Leba anya na ngwọta ndị a:
- ma ọ bụrụ na ị kpebie ịghara iji firewalls n'ime data center, mgbe ahụ, ị ga-eche echiche banyere otú e si amachi ohere gburugburu perimeta dị ka o kwere mee. Dịka ọmụmaatụ, ị nwere ike imeghe naanị ọdụ ụgbọ mmiri dị mkpa site na Ịntanetị (maka okporo ụzọ ndị ahịa) na ịnweta nchịkwa na ebe data naanị site na ndị na-agba ọsọ. Na ndị ọbịa na-awụlikwa elu, mee nyocha niile dị mkpa (nnwale / ikike, antivirus, ịde osisi, ...)
- Ị nwere ike iji nkebi ezi uche dị na ya nke netwọk data center n'ime akụkụ, yiri atụmatụ akọwara na PSEFABRIC . N'okwu a, a ga-ahazi usoro ụzọ n'ụzọ nke na-egbu oge-mmetụta ma ọ bụ oke ike na-aga "n'ime" otu akụkụ (n'ihe banyere p002, VRF) ma ghara ịgafe na firewall. Okporo ụzọ n'etiti akụkụ dị iche iche ga-aga n'ihu na-aga na firewall. Ịnwekwara ike iji ụzọ na-agbapụta n'etiti VRF iji zere ibugharị okporo ụzọ site na firewall
- Ị nwekwara ike iji firewall na transperent mode na naanị maka ndị VLAN ebe ihe ndị a (latency/arụmọrụ) adịghị mkpa. Mana ịkwesịrị iji nlezianya mụọ ihe mgbochi ndị metụtara iji mod a maka onye na-ere ahịa ọ bụla
- ị nwere ike chọọ ịtụle iji ihe owuwu yinye ọrụ. Nke a ga-ekwe ka naanị okporo ụzọ dị mkpa gafere na firewall. Ọ mara mma na tiori, mana ahụbeghị m ngwọta a na mmepụta. Anyị nwalere agbụ ọrụ maka Cisco ACI/Juniper SRX/F5 LTM ihe dị ka afọ 3 gara aga, mana n'oge ahụ, ngwọta a dị ka "mkpụrụ obi" nye anyị.
Ọkwa nchedo
Ugbu a ịkwesịrị ịza ajụjụ nke ngwaọrụ ịchọrọ iji nzacha okporo ụzọ. Nke a bụ ụfọdụ njirimara na-adịkarị na NGFW (dịka ọmụmaatụ, ):
- firewalling steeti (nke ndabara)
- ngwa firewalling
- Mgbochi iyi egwu (antivirus, mgbochi spyware, na adịghị ike)
- URL nzacha
- nzacha data (nyocha ọdịnaya)
- igbochi faịlụ (na-egbochi ụdị faịlụ)
- dos nchedo
Ọ bụghịkwa ihe niile doro anya. Ọ ga-adị ka ọkwa nchebe dị elu, ọ ka mma. Ma ị kwesịkwara ịtụle nke ahụ
- Ka ọrụ firewall dị n'elu ị na-eji, ka ọ ga-adị ọnụ karịa (ikikere, modul ndị ọzọ)
- iji ụfọdụ algọridim nwere ike ibelata mmepụta nke firewall nke ukwuu ma na-abawanye oge igbu oge, lee ọmụmaatụ
- Dị ka ihe ngwọta ọ bụla dị mgbagwoju anya, iji usoro nchebe dị mgbagwoju anya nwere ike belata ntụkwasị obi nke ngwọta gị, dịka ọmụmaatụ, mgbe ị na-eji firewalling ngwa, ahụrụ m igbochi ụfọdụ ngwa ọrụ na-arụ ọrụ (dns, smb)
Dị ka oge niile, ịkwesịrị ịchọta ngwọta kacha mma maka netwọk gị.
Ọ gaghị ekwe omume ịza ajụjụ nke ọrụ nchebe nwere ike ịchọrọ. Nke mbụ, n'ihi na ọ dabere na data ị na-ebufe ma ọ bụ na-echekwa ma na-agbalị ichebe. Nke abuo, n'eziokwu, mgbe mgbe nhọrọ nke ngwá ọrụ nchebe bụ ihe gbasara okwukwe na ntụkwasị obi na onye na-ere ahịa. Ị maghị algọridim, ị maghị otú ha si arụ ọrụ, ma ị nweghị ike ịnwale ha n'ụzọ zuru ezu.
Ya mere, na akụkụ dị oke egwu, ezigbo ngwọta nwere ike ịbụ iji onyinye sitere na ụlọ ọrụ dị iche iche. Dịka ọmụmaatụ, ị nwere ike ịme ka antivirus rụọ ọrụ na firewall, ma jirikwa nchebe antivirus (nke sitere na onye nrụpụta ọzọ) na mpaghara na ndị ọbịa.
Nkebi
Anyị na-ekwu maka akụkụ ezi uche dị na ya nke netwọk data center. Dịka ọmụmaatụ, ikewa n'ime VLANs na subnets bụkwa akụkụ ezi uche dị na ya, mana anyị agaghị atụle ya n'ihi na ọ pụtara ìhè. Akụkụ na-adọrọ mmasị na-eburu n'uche ụlọ ọrụ dị ka mpaghara nchekwa FW, VRFs (na analogues ha gbasara ndị na-ere ahịa dị iche iche), ngwaọrụ ezi uche (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...
Enyere ihe atụ nke ngalaba ezi uche dị otú ahụ na nhazi data etiti a na-achọ ugbu a .
N'ịkọwapụtachara akụkụ ezi uche dị na ya nke netwọkụ gị, ị nwere ike kọwaa otú okporo ụzọ si aga n'etiti akụkụ dị iche iche, nke a ga-eji nzacha ngwaọrụ na ihe ọ bụla.
Ọ bụrụ na netwọk gị enweghị nkebi ezi uche doro anya na iwu maka itinye iwu nchekwa maka usoro data dị iche iche adịghị edozi ya, nke a pụtara na mgbe ị mepee nke a ma ọ bụ ohere ahụ, a na-amanye gị iji dozie nsogbu a, yana nnukwu ohere ị nwere. ga-edozi ya mgbe ọ bụla dị iche iche.
Ọtụtụ mgbe nkewa na-adabere naanị na mpaghara nchekwa FW. Mgbe ahụ ịkwesịrị ịza ajụjụ ndị a:
- kedu mpaghara nchekwa ị chọrọ
- Kedu ọkwa nchebe ịchọrọ itinye na mpaghara ọ bụla n'ime mpaghara ndị a
- a ga-ahapụ okporo ụzọ intra-mpaghara na ndabara?
- Ọ bụrụ na ọ bụghị, a ga-etinye ụkpụrụ nzacha okporo ụzọ n'ime mpaghara ọ bụla
- Kedu amụma nzacha okporo ụzọ a ga-etinye maka mpaghara mpaghara ọ bụla (isi iyi/ebe ebe)
TCAM
Nsogbu a na-enwekarị bụ TCAM ezughi oke (Nchekwa Content Addressable Memory), ma maka ntụgharị na maka ịnweta. IMHO, nke a bụ otu n'ime ihe kachasị mkpa mgbe ị na-ahọrọ ngwá ọrụ, ya mere, ị kwesịrị iji nlezianya na-elekọta okwu a.
Ọmụmaatụ 1. Tebụl na-ebugharị TCAM.
ka anyị tụlee firewall
Anyị na-ahụ na IPv4 ebugharị tebụl nha* = 32K
Ọzọkwa, ọnụ ọgụgụ nke ụzọ a na-ahụkarị maka VSYS niile.Ka anyị were na dịka imewe gị si dị, ị ga-ekpebi iji 4 VSYS.
Ejikọtara nke ọ bụla n'ime VSYS ndị a site na BGP gaa na MPLS PE abụọ nke igwe ojii nke ị na-eji dị ka BB. Ya mere, 4 VSYS na-agbanwe ụzọ niile akọwapụtara na ibe ya ma nwee tebụl mbugharị nwere ihe dị ka otu usoro ụzọ (mana NH dị iche iche). N'ihi na VSYS ọ bụla nwere nnọkọ BGP 2 (ya na otu ntọala), mgbe ahụ ụzọ ọ bụla a na-enweta site na MPLS nwere 2 NH yana, yabụ, ntinye FIB 2 na tebụl mbugharị. Ọ bụrụ na anyị na-eche na nke a bụ nanị firewall na data center na ọ ghaghị ịma banyere ụzọ niile, mgbe ahụ, nke a ga-apụta na ọnụ ọgụgụ nke ụzọ na anyị data center enweghị ike ịbụ karịa 32K / (4 * 2) = 4K.Ugbu a, ọ bụrụ na anyị chere na anyị nwere ebe data 2 (nwere otu nhazi ahụ), na anyị chọrọ iji VLAN "agbatị" n'etiti ebe data (dịka ọmụmaatụ, maka vMotion), mgbe ahụ, iji dozie nsogbu ntụgharị, anyị ga-eji ụzọ ndị ọbịa. . Mana nke a pụtara na maka ebe data 2, anyị agaghị enwe ihe karịrị 4096 ndị ọbịa nwere ike ime na, n'ezie, nke a nwere ike ọ gaghị ezuru.
Ọmụmaatụ 2. ACL TCAM.
Ọ bụrụ na ị na-eme atụmatụ nzacha okporo ụzọ na L3 switches (ma ọ bụ ihe ngwọta ndị ọzọ na-eji L3 switches, dịka ọmụmaatụ, Cisco ACI), mgbe ahụ mgbe ị na-ahọrọ ngwá ọrụ ị kwesịrị ịṅa ntị na TCAM ACL.
Were ya na ị chọrọ ijikwa ohere na SVI interfaces nke Cisco Catalyst 4500. Mgbe ahụ, dị ka a pụrụ ịhụ site na. , iji chịkwaa okporo ụzọ ọpụpụ (yana na-abata) na interfaces, ị nwere ike iji naanị ahịrị 4096 TCAM. Nke mgbe ị na-eji TCAM3 ga-enye gị ihe dịka 4000 puku ACE (ACL).
Ọ bụrụ na ị na-eche nsogbu nke TCAM ezughi oke, mgbe ahụ, nke mbụ, n'ezie, ịkwesịrị ịtụle ohere nke njikarịcha. Ya mere, ọ bụrụ na enwere nsogbu na nha nke Tebụl Na-ebugharị, ịkwesịrị ịtụle ohere nke ịchịkọta ụzọ. Ọ bụrụ na enwere nsogbu na nha TCAM maka nnweta, nweta nyocha, wepụ ihe ndekọ ochie na nke kpuchiri ekpuchi, yana ikekwe megharịa usoro maka mmeghe ohere (a ga-atụle n'ụzọ zuru ezu na isiakwụkwọ gbasara nnweta nyocha).
Nnukwu nnweta
Ajụjụ a bụ: m ga-eji HA maka firewalls ma ọ bụ wụnye igbe abụọ nọọrọ onwe ha "n'otu n'otu" na, ọ bụrụ na otu n'ime ha daa, na-agafe okporo ụzọ site na nke abụọ?
Ọ ga-adị ka azịza doro anya - jiri HA. Ihe kpatara ajụjụ a ka na-ebilite bụ na, ọ dị mwute ikwu, usoro iwu na mgbasa ozi 99 na ọtụtụ pasent iri nke ohere ịnweta na omume na-apụta na ọ dị anya na cha cha. HA bụ ihe ezi uche dị na ya dị mgbagwoju anya, yana na akụrụngwa dị iche iche, yana ndị na-ere ahịa dị iche iche (enweghị ihe ọ bụla), anyị jidere nsogbu na ahụhụ na nkwụsị ọrụ.
Ọ bụrụ na ị na-eji HA, ị ga-enwe ohere iji gbanyụọ onye ọ bụla ọnụ ọnụ, gbanwee n'etiti ha na-enweghị ịkwụsị ọrụ, nke dị mkpa, dị ka ihe atụ, mgbe ị na-eme nkwalite, ma n'otu oge ahụ ị nwere a anya site efu puru omume na abụọ ọnụ. ga-agbaji n'otu oge ahụ, nakwa na nke ọzọ nkwalite ahụ agaghị aga nke ọma dị ka onye na-ere ahịa na-ekwe nkwa (enwere ike izere nsogbu a ma ọ bụrụ na ị nwere ohere iji nwalee nkwalite na ngwá ụlọ nyocha).
Ọ bụrụ na ị naghị eji HA, mgbe ahụ site n'echiche nke ọdịda okpukpu abụọ, ihe ize ndụ gị dị ntakịrị (ebe ọ bụ na ị nwere 2 firewalls onwe ha), ma ebe ọ bụ na ... A naghị emekọrịta nnọkọ, mgbe ahụ oge ọ bụla ị gbanwere n'etiti firewalls ndị a, ị ga-atụfu okporo ụzọ. Ị nwere ike, n'ezie, iji firewalling na-enweghị obodo, ma mgbe ahụ, isi ihe iji firewall na-efunahụ ya.
Ya mere, ọ bụrụ na n'ihi nyocha ahụ, ị chọpụtala firewalls naanị, ma ị na-eche echiche ịbawanye ntụkwasị obi nke netwọk gị, mgbe ahụ HA, n'ezie, bụ otu n'ime ngwọta ndị a tụrụ aro, ma ị kwesịkwara iburu n'uche adịghị ike ndị metụtara. site na usoro a na, ikekwe, kpọmkwem maka netwọk gị, ngwọta ọzọ ga-adaba adaba.
Ijikwa
Na ụkpụrụ, HA bụkwa maka njikwa njikwa. Kama ịhazi igbe 2 iche iche ma na-edozi nsogbu nke idobe nhazi na mmekọrịta, ị na-ejikwa ha dị ka a ga-asị na ị nwere otu ngwaọrụ.
Ma eleghị anya, ị nwere ọtụtụ ebe data na ọtụtụ firewalls, mgbe ahụ ajụjụ a na-ebilite na ọkwa ọhụrụ. Na ajụjụ abụghị naanị banyere nhazi, kamakwa banyere
- ndabere nhazi
- mmelite
- nkwalite
- nlekota oru
- igbu osisi
Na ihe niile nwere ike dozie site centralized management usoro.
Yabụ, dịka ọmụmaatụ, ọ bụrụ na ị na-eji Palo Alto firewalls, mgbe ahụ bụ ihe ngwọta dị otú ahụ.
Ka ga-aga n'ihu.
isi: www.habr.com