ProHoster > Блог > Nchịkwa > Otu esi ejikwa akụrụngwa netwọkụ gị. Isi nke atọ. Nchekwa netwọkụ. Akụkụ nke atọ

Otu esi ejikwa akụrụngwa netwọkụ gị. Isi nke atọ. Nchekwa netwọkụ. Akụkụ nke atọ

Isiokwu a bụ nke ise n'usoro isiokwu bụ "Otu ị ga-esi chịkwaa akụrụngwa netwọkụ gị." Enwere ike ịchọta ọdịnaya nke akụkọ niile dị na usoro na njikọ ebe a.

A ga-etinye akụkụ a na ngalaba Campus (Office) & ohere ohere VPN.

Otu esi ejikwa akụrụngwa netwọkụ gị. Isi nke atọ. Nchekwa netwọkụ. Akụkụ nke atọ

Nhazi netwọkụ ọrụ nwere ike ịdị mfe.

N'ezie, anyị na-ewere L2 / L3 switches ma jikọọ ha na ibe ha. Na-esote, anyị na-eme ntọala ntọala nke vilans na ọnụ ụzọ ndabara, na-edozi ụzọ dị mfe, jikọọ ndị na-ahụ maka WiFi, ebe ịnweta, wụnye na hazie ASA maka ịnweta ohere, anyị nwere obi ụtọ na ihe niile na-arụ ọrụ. N'ụzọ bụ isi, dịka m deburu n'otu n'ime ndị gara aga isiokwu N'ime usoro a, ihe fọrọ nke nta ka ọ bụrụ nwa akwụkwọ ọ bụla gara (ma mụta) semester abụọ nke usoro telecom nwere ike chepụta ma hazie netwọk ụlọ ọrụ ka ọ "na-arụ ọrụ n'ụzọ ụfọdụ."

Ma ka ị na-amụtakwu ihe, otú ahụ ka ọrụ a na-adịchaghị mfe. Maka mụ onwe m, isiokwu a, isiokwu nke imewe netwọk ụlọ ọrụ, adịghị ka ọ dị mfe ma ọlị, na n'isiokwu a, m ga-agbalị ịkọwa ihe kpatara ya.

Na nkenke, enwere ihe ole na ole ị ga-atụle. Ọtụtụ mgbe, ihe ndị a na-emegiderịta onwe ha ma a ghaghị ịchọ nkwekọrịta ezi uche dị na ya.
Nke a na-ejighị n'aka bụ isi ihe isi ike. Yabụ, na-ekwu maka nchekwa, anyị nwere triangle nwere akụkụ atọ: nchekwa, ịdị mma maka ndị ọrụ, ọnụahịa nke ngwọta.
Na oge ọ bụla ị ga-achọ nkwekọrịta n'etiti atọ ndị a.

ije

Dịka ọmụmaatụ nke ihe owuwu maka akụkụ abụọ a, dị ka n'isiokwu ndị gara aga, ana m akwado Cisco SAFE nlereanya: Ogige ụlọ ọrụ, Ụlọ ọrụ ịntanetị Edge.

Ndị a bụ akwụkwọ emechiela. M na-ewetara ha ebe a n'ihi na atụmatụ ndị bụ isi na ụzọ adịghị agbanwe agbanwe, ma n'otu oge ahụ na-amasị m ngosi karịa na akwụkwọ ọhụrụ.

Na-enweghị agba gị ume iji Cisco ngwọta, m ka na-eche na ọ bara uru iji nlezianya na-amụ ihe a imewe.

Edemede a, dị ka ọ na-adị, ọ bụghị n'ụzọ ọ bụla na-eme ka à ga-asị na ọ zuru oke, kama ọ bụ mgbakwunye na ozi a.

Na njedebe nke isiokwu a, anyị ga-enyocha nhazi ụlọ ọrụ Cisco SAFE n'ihe gbasara echiche ndị akọwapụtara ebe a.

Ụkpụrụ niile

Nhazi nke netwọk ụlọ ọrụ aghaghị, n'ezie, imezu ihe ndị a chọrọ n'ozuzu nke a tụlere ebe a n'isiakwụkwọ "Criteria maka nleba anya imewe mma". E wezụga ọnụahịa na nchekwa, nke anyị bu n'obi ịkọwa n'isiokwu a, a ka nwere njirisi atọ anyị ga-atụle mgbe ị na-emepụta (ma ọ bụ na-eme mgbanwe):

  • scalability
  • ịdị mfe iji (njikwa)
  • nnweta

Ọtụtụ n'ime ihe a tụlere maka ya ebe data Nke a bụkwa eziokwu maka ụlọ ọrụ.

Ma ka ọ dị, ngalaba ụlọ ọrụ nwere nkọwa nke ya, nke dị oke egwu site na nche. Ihe kachasị mkpa nke nkọwa a bụ na a na-emepụta akụkụ a iji nye ndị ọrụ netwọk ọrụ (yana ndị mmekọ na ndị ọbịa) nke ụlọ ọrụ ahụ, na, n'ihi ya, na ọkwa kachasị elu nke nlebara anya nke nsogbu ahụ anyị nwere ọrụ abụọ:

  • chebe akụrụngwa ụlọ ọrụ pụọ na omume ọjọọ nwere ike isite n'aka ndị ọrụ (ndị ọbịa, ndị mmekọ) yana sọftụwia ha na-eji. Nke a gụnyekwara nchebe pụọ na njikọ na-enwetaghị ikike na netwọkụ.
  • chebe sistemu na data onye ọrụ

Na nke a bụ naanị otu akụkụ nke nsogbu (ma ọ bụ kama, otu vertex nke triangle). N'akụkụ nke ọzọ bụ onye ọrụ mma na ọnụahịa nke ngwọta eji.

Ka anyị bido site na ilele ihe onye ọrụ na-atụ anya na netwọk ụlọ ọrụ ọgbara ọhụrụ.

Ihe oma

Nke a bụ ihe "ihe eji enyere ndụ aka" dị ka onye ọrụ ụlọ ọrụ n'uche nke m:

  • Mbugharị
  • Ikike iji ngwaọrụ ndị ama ama yana sistemu arụ ọrụ
  • Ọ dị mfe ịnweta akụrụngwa ụlọ ọrụ niile dị mkpa
  • Ịnweta akụrụngwa ịntanetị, gụnyere ọrụ igwe ojii dị iche iche
  • "Arụ ọrụ ngwa ngwa" nke netwọkụ

Ihe a niile na-emetụta ma ndị ọrụ na ndị ọbịa (ma ọ bụ ndị mmekọ), ọ bụkwa ọrụ nke ndị injinia ụlọ ọrụ ka ha kewaa ohere maka ndị ọrụ dị iche iche dabere na ikike.

Ka anyị leba anya na nke ọ bụla n'ime akụkụ ndị a na ntakịrị nkọwa.

Mbugharị

Anyị na-ekwu maka ohere iji rụọ ọrụ na iji ihe niile dị mkpa ụlọ ọrụ sitere na ebe ọ bụla n'ụwa (n'ezie, ebe ịntanetị dị).

Nke a na-emetụta ụlọ ọrụ ahụ kpamkpam. Nke a dị mma mgbe ị nwere ohere ịga n'ihu na-arụ ọrụ site na ebe ọ bụla n'ọfịs, dịka ọmụmaatụ, nata mail, na-ekwurịta okwu na onye ozi ụlọ ọrụ, dị maka oku vidiyo, ... Ya mere, nke a na-enye gị ohere, n'otu aka, iji dozie ụfọdụ okwu nkwurịta okwu "dị ndụ" (dịka ọmụmaatụ, sonye na rallies), na n'aka nke ọzọ, na-anọ n'ịntanetị mgbe niile, debe mkpịsị aka gị na pulse ma dozie ụfọdụ ọrụ dị mkpa ngwa ngwa ngwa ngwa. Nke a na-adaba adaba ma na-emeziwanye ogo nkwukọrịta.

A na-enweta nke a site na nhazi netwọk WiFi kwesịrị ekwesị.

Rịba ama

N'ebe a, ajụjụ a na-ebilite: ọ zuru ezu iji naanị WiFi? Nke a ọ pụtara na ị nwere ike ịkwụsị iji ọdụ ụgbọ mmiri Ethernet n'ụlọ ọrụ? Ọ bụrụ na anyị na-ekwu naanị banyere ndị ọrụ, ọ bụghịkwa banyere sava, nke ka nwere ezi uche iji jikọọ na ọdụ ụgbọ mmiri Ethernet mgbe niile, mgbe ahụ n'ozuzu azịza ya bụ: ee, ị nwere ike ịkwụsị onwe gị na WiFi naanị. Ma enwere nuances.

Enwere otu ndị ọrụ dị mkpa chọrọ ụzọ dị iche. Ndị a bụ, n'ezie, ndị nchịkwa. Na ụkpụrụ, njikọ WiFi enweghị ntụkwasị obi (n'ihe gbasara ọnwụ okporo ụzọ) yana nwayọ karịa ọdụ ụgbọ mmiri Ethernet mgbe niile. Nke a nwere ike ịdị mkpa maka ndị nchịkwa. Na mgbakwunye, ndị na-ahụ maka netwọkụ, dịka ọmụmaatụ, nwere ike, n'ụkpụrụ, nwee netwọk Ethernet raara onwe ya nye maka njikọ ndị na-apụ apụ.

Enwere ike ịnwe otu / ngalaba ndị ọzọ na ụlọ ọrụ gị nke ihe ndị a dịkwa mkpa maka ya.

E nwere isi ihe ọzọ dị mkpa - telephony. Ikekwe n'ihi ihe ụfọdụ ị chọghị iji Wireless VoIP ma chọọ iji ekwentị IP nwere njikọ Ethernet mgbe niile.

N'ozuzu, ụlọ ọrụ ndị m na-arụ ọrụ na-enwekarị njikọ WiFi na ọdụ ụgbọ mmiri Ethernet.

Ọ ga-amasị m ka ngagharị ghara ịbụ naanị ụlọ ọrụ.

Iji hụ na ị nwere ike ịrụ ọrụ site na ụlọ (ma ọ bụ ebe ọ bụla ọzọ nwere ịntanetị enwere ike ịnweta), a na-eji njikọ VPN. N'otu oge ahụ, ọ bụ ihe na-achọsi ike na ndị ọrụ anaghị eche ọdịiche dị n'etiti ịrụ ọrụ site na ụlọ na ọrụ dịpụrụ adịpụ, nke na-ewere otu ohere ahụ. Anyị ga-atụle otu esi ahazi nke a obere oge ka e mesịrị n'isiakwụkwọ nke "Sistemụ nyocha na ikike nke jikọtara ọnụ."

Rịba ama

O yikarịrị, ị gaghị enwe ike ịnye otu ụdị ọrụ maka ọrụ dịpụrụ adịpụ nke ị nwere n'ọfịs. Ka anyị were ya na ị na-eji Cisco ASA 5520 dị ka ọnụ ụzọ VPN gị akwụkwọ data ngwaọrụ a nwere ike "ịgbari" naanị 225 Mbit nke okporo ụzọ VPN. Nke ahụ bụ, n'ezie, n'ihe gbasara bandwidth, ijikọ site na VPN dị nnọọ iche na ịrụ ọrụ na ụlọ ọrụ. Ọzọkwa, ọ bụrụ na, n'ihi ihe ụfọdụ, latency, ọnwụ, jitter (dịka ọmụmaatụ, ịchọrọ iji ụlọ ọrụ IP telephony) maka ọrụ netwọk gị dị ịrịba ama, ị gaghị enwetakwa otu àgwà dị ka a ga-asị na ị nọ n'ọfịs. Ya mere, mgbe anyị na-ekwu maka mmegharị ahụ, anyị ga-amarịrị ihe ndị nwere ike ime.

Ọ dị mfe ịnweta akụrụngwa ụlọ ọrụ niile

Ekwesịrị idozi ọrụ a na ngalaba nka ndị ọzọ.
Ọnọdụ dị mma bụ mgbe onye ọrụ kwesịrị ịchọpụta otu ugboro, mgbe nke ahụ gasịrị, ọ nwere ike ịnweta ihe niile dị mkpa.
Inye ohere dị mfe na-enweghị ịchụpụ nchekwa nwere ike melite nrụpụta ma belata nchekasị n'etiti ndị ọrụ ibe gị.

Okwu 1

Ọ dị mfe ịnweta ọ bụghị naanị ugboro ole ị nwere itinye paswọọdụ. Ọ bụrụ na, dịka ọmụmaatụ, dịka iwu nchekwa gị si dị, iji jikọọ site na ụlọ ọrụ gaa na ebe data, ị ga-ebu ụzọ jikọọ na ọnụ ụzọ VPN, n'otu oge ahụ, ị ​​​​nweghị ohere ịnweta akụrụngwa ụlọ ọrụ, mgbe ahụ nke a dịkwa oke. , na-adịghị mma.

Okwu 2

Enwere ọrụ (dịka ọmụmaatụ, ịnweta akụrụngwa netwọkụ) ebe anyị na-enwekarị sava AAA raara onwe anyị nye na nke a bụ ụkpụrụ mgbe na nke a anyị ga-enyocha ọtụtụ oge.

Nnweta akụrụngwa ịntanetị

Ịntanetị abụghị naanị ntụrụndụ, kamakwa usoro ọrụ nwere ike ịba uru maka ọrụ. E nwekwara naanị ihe gbasara mmụọ. Onye nke oge a na-ejikọta ya na ndị ọzọ site na Ịntanetị site na ọtụtụ eriri mebere, na, n'echiche m, ọ dịghị ihe ọjọọ ma ọ bụrụ na ọ na-anọgide na-enwe mmetụta nke njikọ a ọbụna mgbe ọ na-arụ ọrụ.

Site n'echiche nke igbu oge, ọ dịghị ihe ọjọọ ma ọ bụrụ na onye ọrụ, dịka ọmụmaatụ, nwere Skype na-agba ọsọ ma jiri nkeji 5 na-ekwurịta okwu na onye ị hụrụ n'anya ma ọ bụrụ na ọ dị mkpa.

Nke a ọ pụtara na ịntanetị kwesịrị ịdị na-adị mgbe niile, nke a ọ pụtara na ndị ọrụ nwere ike ịnweta akụrụngwa niile ma ghara ịchịkwa ha n'ụzọ ọ bụla?

Mba apụtaghị nke ahụ, n'ezie. Ọkwa nke oghere ịntanetị nwere ike ịdịgasị iche maka ụlọ ọrụ dị iche iche - site na mmechi zuru oke iji meghee oghere. Anyị ga-atụle ụzọ isi chịkwaa okporo ụzọ ma emechaa na ngalaba na usoro nchekwa.

Ikike iji ngwaọrụ ndị ama ama

Ọ dị mma mgbe, dịka ọmụmaatụ, ị nwere ohere ịga n'ihu na-eji ụzọ nkwukọrịta niile ị na-eji na-arụ ọrụ. Ọ dịghị ihe isi ike n'iji teknụzụ emejuputa nke a. Maka nke a ị chọrọ WiFi na onye ọbịa wilan.

Ọ dịkwa mma ma ọ bụrụ na ị nwere ohere iji sistemụ arụmọrụ ị na-eji. Mana, na nlebanya m, a na-anabata nke a naanị ndị njikwa, ndị nchịkwa na ndị mmepe.

Ihe nlele:

Ị nwere ike, n'ezie, soro ụzọ nke mmachibido iwu, machibido ịbanye n'ime ime, machibido njikọ site na ngwaọrụ mkpanaka, kpachie ihe niile na njikọ Ethernet static, na-amachi ịntanetị, na-amanye ekwentị mkpanaaka na ngwaọrụ na ebe nlele ... na ụzọ a. bụ n'ezie ụfọdụ òtù na-esochi ya nwere ụbara nchekwa chọrọ, na ikekwe n'ọnọdụ ụfọdụ nke a nwere ike ịbụ nke ziri ezi, ma ... ị ghaghị ikweta na nke a dị ka mgbalị iji kwụsị ọganihu na otu nzukọ. N'ezie, ọ ga-amasị m ijikọta ohere nke teknụzụ ọgbara ọhụrụ na-enye nchebe zuru oke.

"Arụ ọrụ ngwa ngwa" nke netwọkụ

Ọsọ mbufe data nwere teknụzụ nwere ọtụtụ ihe. Na ọsọ nke ọdụ ụgbọ mmiri njikọ gị anaghị abụkarị nke kacha mkpa. Ọrụ ngwa ngwa nke ngwa anaghị ejikọta ya na nsogbu netwọkụ mgbe niile, mana maka ugbu a anyị nwere mmasị naanị na akụkụ netwọkụ. Nsogbu kachasị na netwọk mpaghara "slowdown" metụtara mfu ngwugwu. Nke a na-emekarị mgbe enwere nsogbu n'olu ma ọ bụ L1 (OSI). Ọ na-adịkarị obere, yana ụfọdụ atụmatụ (dịka ọmụmaatụ, mgbe subnets gị nwere firewall dị ka ọnụ ụzọ ndabara wee si otú a na-agafe na ya), arụmọrụ ngwaike nwere ike ghara.

Ya mere, mgbe ị na-ahọrọ ngwá ọrụ na ihe owuwu, ịkwesịrị ịmekọrịta ọsọ nke ọdụ ụgbọ mmiri, ogwe na arụmọrụ akụrụngwa.

Ihe nlele:

Ka anyị were ya na ị na-eji switches nwere ọdụ ụgbọ mmiri 1 gigabit ka ịnweta oyi akwa. Ha na-ejikọta ibe ha site na Etherchannel 2 x 10 gigabits. Dị ka ọnụ ụzọ ámá ndabara, ị na-eji firewall nwere ọdụ ụgbọ mmiri gigabit, iji jikọọ nke na netwọk ụlọ ọrụ L2 ị na-eji ọdụ ụgbọ mmiri 2 gigabit jikọtara n'ime Etherchannel.

Ihe owuwu a na-adaba adaba site na echiche ọrụ, n'ihi na ... All okporo ụzọ na-aga site na firewall, na ị nwere ike nkasi obi jikwaa ohere atumatu, na-etinye mgbagwoju algọridim iji chịkwaa okporo ụzọ na-egbochi ekwe omume ọgụ (lee n'okpuru), ma si a throughput na arụmọrụ ele ihe anya imewe a, n'ezie, nwere ike nsogbu. Ya mere, dịka ọmụmaatụ, ndị ọbịa 2 na-ebudata data (nke nwere ọdụ ụgbọ mmiri nke 1 gigabit) nwere ike ibunye njikọ 2 gigabit kpamkpam na firewall, ma si otú a na-ebute mmebi ọrụ maka akụkụ ụlọ ọrụ dum.

Anyị elelela otu vertex nke triangle, ugbu a ka anyị leba anya ka anyị ga-esi hụ nchekwa.

Ngwọta

Ya mere, n'ezie, na-emekarị ọchịchọ anyị (ma ọ bụ kama nke ahụ, ọchịchọ nke njikwa anyị) bụ iji nweta ihe na-agaghị ekwe omume, ya bụ, inye ihe kachasị mma na nchekwa kachasị na ọnụahịa kacha nta.

Ka anyị leba anya na ụzọ ndị anyị nwere iji nye nchebe.

Maka ụlọ ọrụ, m ga-akọwapụta ihe ndị a:

  • efu ntụkwasị obi obibia imewe
  • nchebe dị elu
  • netwọk visibiliti
  • usoro nyocha na ikike jikọtara ọnụ
  • nlele nnabata

Ọzọ, anyị ga-ebi n'ime ntakịrị nkọwa n'akụkụ nke ọ bụla.

Ntụkwasị obi efu

Ụwa IT na-agbanwe ngwa ngwa. Naanị n'ime afọ 10 gara aga, mpụta nke teknụzụ ọhụrụ na ngwaahịa emewo ka nnukwu ngbanwe nke echiche nchekwa. Afọ iri gara aga, site na nche nche, anyị kewara netwọk n'ime ntụkwasị obi, dmz na mpaghara enweghị ntụkwasị obi, ma jiri ihe a na-akpọ "nchekwa gburugburu", ebe e nwere usoro nchebe 2: enweghị ntụkwasị obi -> dmz na dmz -> ntụkwasị obi. Ọzọkwa, nchebe na-ejedebe na ịnweta ndepụta dabere na nkụnye eji isi mee L3/L4 (OSI) (IP, TCP/UDP ọdụ ụgbọ mmiri, ọkọlọtọ TCP). Ihe niile metụtara ọkwa dị elu, gụnyere L7, hapụrụ OS na ngwaahịa nchekwa etinyere na ndị ọbịa njedebe.

Ugbu a ọnọdụ agbanweela nke ukwuu. Echiche nke oge a ntụkwasị obi efu na-abịa site n'eziokwu na ọ gaghị ekwe omume ịtụle usoro dị n'ime ya, ya bụ, ndị dị n'ime oghere, dị ka a tụkwasịrị obi, na echiche nke perimeta n'onwe ya aghọwo ihe mgbagwoju anya.
Na mgbakwunye na njikọ ịntanetị anyị nwekwara

  • ohere ime ime VPN ndị ọrụ
  • Ngwa dị iche iche nke onwe, wetara laptọọpụ, jikọọ site na WiFi ụlọ ọrụ
  • ụlọ ọrụ ndị ọzọ (alaka).
  • mwekota na igwe ojii akụrụngwa

Kedu ka ụzọ Zero Trust si dị na omume?

Dị ka o kwesịrị, ọ bụ naanị okporo ụzọ achọrọ ka a ga-ahapụ ma, ọ bụrụ na anyị na-ekwu maka ihe dị mma, mgbe ahụ njikwa kwesịrị ịbụ naanị na ọkwa L3 / L4, ma na ọkwa ngwa.

Ọ bụrụ na, dịka ọmụmaatụ, ị nwere ike ịgafe okporo ụzọ niile site na firewall, mgbe ahụ ị nwere ike ịgbalị ịbịaru nso na mma. Mana usoro a nwere ike ibelata mkpokọta bandwit nke netwọkụ gị nke ukwuu, na agbakwunyere, nzacha site na ngwa anaghị arụ ọrụ nke ọma mgbe niile.

Mgbe ị na-achịkwa okporo ụzọ na rawụta ma ọ bụ L3 mgba ọkụ (iji ọkọlọtọ ACL), ị na-ezute nsogbu ndị ọzọ:

  • Nke a bụ naanị nzacha L3/L4. Ọ nweghị ihe na-egbochi onye mwakpo iji ọdụ ụgbọ mmiri ekwenyere (dịka TCP 80) maka ngwa ha (ọ bụghị http)
  • njikwa ACL siri ike (ọ siri ike ịkọwa ACLs)
  • Nke a abụghị firewall zuru oke nke steeti, nke pụtara na ị ga-ekwe ka okporo ụzọ laghachi azụ n'ụzọ doro anya
  • na switches ị na-ejikarị oke TCAM na-amachi ya, nke nwere ike bụrụ nsogbu ngwa ngwa ma ọ bụrụ na ị were usoro "naanị kwe ka ihe ị chọrọ"

Rịba ama

N'ikwu okwu banyere okporo ụzọ azụ, anyị ga-echeta na anyị nwere ohere ndị a (Cisco)

kwe ka tcp ọ bụla guzosie ike

Mana ịkwesịrị ịghọta na ahịrị a bụ ahịrị abụọ.
ekwe tcp ọ bụla ack
ekwe tcp ọ bụla mbụ

Nke pụtara na ọ bụrụgodị na enweghị akụkụ TCP mbụ nwere ọkọlọtọ SYN (ya bụ, nnọkọ TCP amalitebeghị ịmalite), ACL a ga-enye ohere maka ngwugwu nwere ọkọlọtọ ACK, nke onye na-awakpo nwere ike iji nyefee data.

Ya bụ, ahịrị a ọ dịghị ụzọ ọ bụla na-atụgharị rawụta gị ma ọ bụ L3 ka ọ bụrụ firewall zuru oke.

Nchekwa dị elu

В ederede Na ngalaba na ebe data, anyị tụlere ụzọ nchebe ndị a.

  • firewalling steeti (nke ndabara)
  • ddos/dos nchedo
  • ngwa firewalling
  • Mgbochi iyi egwu (antivirus, mgbochi spyware, na adịghị ike)
  • URL nzacha
  • nzacha data (nyocha ọdịnaya)
  • igbochi faịlụ (na-egbochi ụdị faịlụ)

N'ihe banyere ụlọ ọrụ, ọnọdụ ahụ yiri, ma ihe ndị ka mkpa dịtụ iche. Nnweta ụlọ ọrụ (nweta) anaghị adịkarị oke mkpa dịka ọ dị na etiti data, ebe ohere nke okporo ụzọ ọjọọ "ime" bụ iwu nke ukwuu.
Ya mere, ụzọ nchebe ndị a maka akụkụ a dị oke egwu:

  • ngwa firewalling
  • Mgbochi iyi egwu (mgbochi nje, mgbochi spyware, na adịghị ike)
  • URL nzacha
  • nzacha data (nyocha ọdịnaya)
  • igbochi faịlụ (na-egbochi ụdị faịlụ)

Ọ bụ ezie na ụzọ nchebe ndị a niile, ewezuga firewalling ngwa, bụ omenala ma na-aga n'ihu na-edozi ya na njedebe njedebe (dịka ọmụmaatụ, site na ịwụnye mmemme antivirus) na iji proxies, NGFW nke oge a na-enyekwa ọrụ ndị a.

Ndị na-ere ngwá ọrụ nchekwa na-agbalịsi ike ịmepụta nchebe zuru oke, ya mere yana nchebe mpaghara, ha na-enye teknụzụ igwe ojii dị iche iche na ngwanrọ ndị ahịa maka ndị ọbịa (nchekwa njedebe / EPP). Ya mere, ka ihe atụ, si 2018 Gartner Magic Quadrant Anyị na-ahụ na Palo Alto na Cisco nwere EPP nke ha (PA: Traps, Cisco: AMP), ma ọ dị anya na ndị isi.

Ịkwado nchedo ndị a (na-emekarị site na ịzụrụ ikike) na firewall gị abụghị iwu (ị nwere ike ịga n'ụzọ omenala), mana ọ na-enye ụfọdụ uru:

  • na nke a, e nwere otu isi ihe ntinye nke ụzọ nchebe, nke na-eme ka ọhụụ dịkwuo mma (lee isiokwu na-esote).
  • Ọ bụrụ na e nwere ngwaọrụ na-enweghị nchebe na netwọk gị, mgbe ahụ ọ ka na-adaba n'okpuru "nche anwụ" nke nchebe firewall.
  • Site n'iji nchedo firewall na njikọ nchebe njedebe, anyị na-abawanye ohere nke ịchọpụta okporo ụzọ ọjọọ. Dịka ọmụmaatụ, iji mgbochi iyi egwu na ndị ọbịa mpaghara yana na firewall na-abawanye ohere nke nchọpụta (ọ bụrụ n'ezie, na ngwọta ndị a dabere na ngwaahịa ngwanrọ dị iche iche)

Rịba ama

Dịka ọmụmaatụ, ọ bụrụ na ị na-eji Kaspersky dị ka antivirus ma na firewall na na njedebe ndị ọbịa, mgbe ahụ nke a, n'ezie, agaghị eme ka ohere gị gbochie mwakpo nje na netwọk gị.

Nhụta netwọkụ

Isi echiche dị mfe - "hụ" ihe na-eme na netwọk gị, ma ozugbo na data akụkọ ihe mere eme.

M ga-ekewa "ọhụụ" a ụzọ abụọ:

Otu: ihe gị nlekota usoro na-emekarị na-enye gị.

  • akụrụngwa loading
  • nbudata ọwa
  • ebe nchekwa ojiji
  • ojiji disk
  • na-agbanwe okpokoro ụzọ
  • ọnọdụ njikọ
  • nnweta akụrụngwa (ma ọ bụ ndị ọbịa)
  • ...

Otu abụọ: ozi metụtara nchekwa.

  • ụdị ọnụ ọgụgụ dị iche iche (dịka ọmụmaatụ, site na ngwa, site na URL okporo ụzọ, ụdị data ebudatara, data onye ọrụ)
  • ihe e gbochiri site na amụma nchekwa na ihe kpatara ya, ya bụ
    • ngwa amachibidoro
    • amachibidoro dabere na ip/protocol/port/flags/ zones
    • mgbochi iyi egwu
    • url nzacha
    • data nzacha
    • igbochi faịlụ
    • ...
  • ọnụ ọgụgụ na mwakpo DOS/DDOS
  • mbọ njirimara na ikike dara ada
  • ọnụ ọgụgụ maka mmemme mmebi iwu nchekwa niile dị n'elu
  • ...

N'isiakwụkwọ a gbasara nchekwa, anyị nwere mmasị na akụkụ nke abụọ.

Ụfọdụ ọkụ ọkụ ọgbara ọhụrụ (site na ahụmịhe Palo Alto m) na-enye ọkwa dị mma nke visibiliti. Ma, n'ezie, okporo ụzọ ị nwere mmasị na ya aghaghị ịgafe na firewall a (nke ị nwere ike igbochi okporo ụzọ) ma ọ bụ na-egosipụta na firewall (eji naanị maka nlekota na nyocha), na ị ga-enwerịrị ikikere iji mee ka mmadụ niile nwee ike. ọrụ ndị a .

Enwere, n'ezie, ụzọ ọzọ, ma ọ bụ kama usoro omenala, dịka ọmụmaatụ,

  • Enwere ike ịnakọta ọnụ ọgụgụ nnọkọ site na netflow wee jiri ngwa pụrụ iche maka nyocha ozi na nhụta data.
  • mgbochi egwu - mmemme pụrụ iche (mgbochi nje, mgbochi spyware, firewall) na ndị ọbịa njedebe
  • Nzacha URL, nzacha data, igbochi faịlụ - na proxy
  • ọ dịkwa ike nyochaa tcpdump iji dịka ọmụmaatụ. sụọ ude

Ị nwere ike ijikọ ụzọ abụọ a, na-emeju atụmatụ ndị na-efu efu ma ọ bụ megharịa ha ka ha nwekwuo ohere ịchọta ọgụ.

Kedu ụzọ ị ga-esi họrọ?
Ọ dabere na ntozu na mmasị nke otu gị.
Ma n'ebe ahụ ma enwere uru na ọghọm.

Sistemụ nyocha na ikike jikọtara ọnụ

Mgbe a haziri nke ọma, mmegharị ahụ anyị tụlere n'isiokwu a na-eche na ị nwere ohere ahụ ma ị na-arụ ọrụ site n'ọfịs ma ọ bụ site n'ụlọ, site na ọdụ ụgbọ elu, ụlọ ahịa kọfị ma ọ bụ n'ebe ọ bụla (na njedebe anyị tụlere n'elu). Ọ ga-adị ka, gịnị bụ nsogbu ahụ?
Iji ghọta nke ọma mgbagwoju anya nke ọrụ a, ka anyị leba anya n'ụdị nhazi.

Ihe nlele:

  • Ị kewaa ndị ọrụ niile n'ìgwè. Ị kpebiela ịnye ohere site na otu dị iche iche
  • N'ime ụlọ ọrụ, ị na-ejikwa ohere na firewall ụlọ ọrụ
  • Ị na-achịkwa okporo ụzọ site na ụlọ ọrụ gaa na ebe data na firewall data center
  • Ị na-eji Cisco ASA dị ka ọnụ ụzọ VPN na ijikwa okporo ụzọ na-abanye na netwọk gị site na ndị ahịa dịpụrụ adịpụ, ị na-eji mpaghara (na ASA) ACL.

Ugbu a, ka anyị kwuo na a gwara gị ka itinyekwu ohere na otu onye ọrụ. N'okwu a, a na-arịọ gị ka ị gbakwunye ohere naanị ya na ọ nweghị onye ọzọ sitere na otu ya.

Maka nke a, anyị ga-emepụta otu dị iche iche maka onye ọrụ a, ya bụ

  • mepụta ọdọ mmiri IP dị iche na ASA maka onye ọrụ a
  • tinye ACL ọhụrụ na ASA wee kechie ya na onye ahịa ahụ dịpụrụ adịpụ
  • mepụta amụma nchekwa ọhụrụ na ụlọ ọrụ na firewalls data center

Ọ dị mma ma ọ bụrụ na mmemme a dị ụkọ. Ma na omume m, e nwere ọnọdụ mgbe ndị ọrụ na-ekere òkè na ọrụ dị iche iche, na nke a na-arụ ọrụ nke ụfọdụ n'ime ha gbanwere nnọọ mgbe, na ọ bụghị 1-2 mmadụ, ma ọtụtụ. N'ezie, ọ dị ihe dị mkpa ka a gbanwee ebe a.

E mere nke a n'ụzọ dị otú a.

Anyị kpebiri na LDAP ga-abụ naanị isi iyi nke eziokwu na-ekpebi ohere ọ bụla ndị ọrụ nwere ike nweta. Anyị mepụtara ụdị ọ bụla nke na-akọwapụta usoro ohere, anyị kenyekwa onye ọrụ ọ bụla n'otu ma ọ bụ karịa.

Yabụ, dịka ọmụmaatụ, were ya na enwere otu

  • ọbịa (Nnweta ịntanetị)
  • ohere nkịtị (ịnweta akụrụngwa nkekọrịta: ozi, ntọala ọmụma, ...)
  • aza ajụjụ
  • oru ngo 1
  • oru ngo 2
  • data isi nchịkwa
  • Linux nchịkwa
  • ...

Ma ọ bụrụ na otu n'ime ndị ọrụ na-etinye aka na abụọ ọrụ 1 na ọrụ 2, na ọ chọrọ ohere dị mkpa iji rụọ ọrụ ndị a, mgbe ahụ, e kenyere onye ọrụ a n'òtù ndị a:

  • guest
  • ohere nkịtị
  • oru ngo 1
  • oru ngo 2

Kedu ka anyị ga-esi gbanwee ozi a ugbu a ka ọ bụrụ ịnweta na akụrụngwa netwọk?

Cisco ASA Dynamic Access Policy (DAP) (lee www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) ngwọta dị mma maka ọrụ a.

N'okwu dị nkenke banyere mmejuputa anyị, n'oge usoro njirimara / ikike, ASA na-enweta site na LDAP otu ìgwè nke kwekọrọ na onye ọrụ nyere ma "na-anakọta" site na ọtụtụ ACL mpaghara (nke ọ bụla n'ime ya kwekọrọ na otu) ACL dị ike nke nwere ohere niile dị mkpa. , nke dabara n'ụzọ zuru ezu na ọchịchọ anyị.

Mana nke a bụ naanị maka njikọ VPN. Iji mee ka ọnọdụ ahụ bụrụ otu maka ndị ọrụ abụọ jikọtara site na VPN na ndị nọ n'ọfịs, e mere nzọụkwụ na-esonụ.

Mgbe ị na-ejikọ site na ụlọ ọrụ, ndị ọrụ na-eji protocol 802.1x kwụsịrị na LAN ọbịa (maka ndị ọbịa) ma ọ bụ LAN nkekọrịta (maka ndị ọrụ ụlọ ọrụ). Ọzọkwa, iji nweta ohere a kapịrị ọnụ (dịka ọmụmaatụ, na ọrụ dị na ebe data), ndị ọrụ ga-ejikọ site na VPN.

Iji jikọọ site na ụlọ ọrụ na site na ụlọ, a na-eji otu ọwara dị iche iche na ASA. Nke a dị mkpa ka ndị na-ejikọta site na ụlọ ọrụ, okporo ụzọ na-ekekọrịta ihe (nke ndị ọrụ niile na-eji, dị ka mail, faịlụ faịlụ, usoro tiketi, dns, ...) adịghị aga site na ASA, kama site na netwọk mpaghara. . Ya mere, anyị ebughị ASA okporo ụzọ na-adịghị mkpa, gụnyere okporo ụzọ siri ike.

Ya mere, a doziri nsogbu ahụ.
Anyị nwetara

  • otu ụdị ohere maka njikọ abụọ ahụ sitere na ụlọ ọrụ na njikọ dịpụrụ adịpụ
  • enweghị mmebi ọrụ mgbe ọ na-arụ ọrụ site na ụlọ ọrụ jikọtara ya na nnyefe nke okporo ụzọ dị elu site na ASA

Kedu uru ndị ọzọ dị na usoro a?
Na ịnweta nchịkwa. Enwere ike ịgbanwe ohere ịnweta n'otu ebe.
Dịka ọmụmaatụ, ọ bụrụ na onye ọrụ hapụrụ ụlọ ọrụ ahụ, ị ​​​​na-ewepụ ya na LDAP, ọ ga-efunahụ ohere ọ bụla na-akpaghị aka.

Nyochaa onye ọbịa

Site na ohere nke njikọ dịpụrụ adịpụ, anyị na-agba ọsọ n'ihe ize ndụ nke ikwe ka ọ bụghị naanị onye ọrụ ụlọ ọrụ banye na netwọkụ ahụ, kamakwa sọftụ obi ọjọọ niile nke nwere ike ịdị na kọmpụta ya (dịka ọmụmaatụ, ụlọ), yana ọzọ, site na ngwanrọ a anyị. nwere ike na-enye onye na-awakpo ohere ịnweta netwọkụ anyị na-eji onye ọbịa a dị ka onye nnọchiteanya.

Ọ bụ ihe ezi uche dị na ya maka onye nnabata ejikọrọ n'ime obodo itinye otu ihe nchekwa chọrọ dị ka onye nnabata ụlọ ọrụ.

Nke a na-ewerekwa ụdị OS “nke ziri ezi”, mgbochi nje, ihe mgbochi spyware, yana sọftụwia firewall na mmelite. Dịka, ikike a dị na ọnụ ụzọ VPN (maka ASA lee, dịka ọmụmaatụ, ebe a).

Ọ bụkwa ihe amamihe dị na ya itinye otu nyocha okporo ụzọ na igbochi usoro (lee "Nchekwa dị elu") nke amụma nchekwa gị na-emetụta okporo ụzọ ụlọ ọrụ.

Ọ bụ ihe ezi uche dị na ya iche na netwọk ụlọ ọrụ ejedebeghị na ụlọ ọfịs na ndị ọbịa nọ n'ime ya.

Ihe nlele:

Usoro dị mma bụ ịnye onye ọrụ ọ bụla chọrọ ohere dịpụrụ adịpụ na laptọọpụ dị mma, dị mma ma chọọ ka ha rụọ ọrụ, ma n'ọfịs ma n'ụlọ, naanị site na ya.

Ọ bụghị naanị na ọ na-eme ka nchekwa nke netwọkụ gị dịkwuo mma, mana ọ dịkwa mma n'ezie yana ndị ọrụ na-ele ya anya nke ọma (ọ bụrụ na ọ dị ezigbo mma, laptọọpụ enyi na enyi).

Banyere echiche nke oke na nguzozi

N'ụzọ bụ isi, nke a bụ mkparịta ụka gbasara vertex nke atọ nke triangle anyị - gbasara ọnụahịa.
Ka anyị lee ihe atụ echiche.

Ihe nlele:

Ị nwere ụlọ ọrụ maka mmadụ 200. Ị kpebiri ime ya ka ọ dị mma yana nchekwa dịka o kwere mee.

Ya mere, ị kpebiri ịgafe okporo ụzọ niile site na firewall wee si otú a maka subnets ụlọ ọrụ niile, firewall bụ ọnụ ụzọ ndabara. Na mgbakwunye na sọftụwia nchekwa etinyere na onye nnabata ọ bụla (mgbochi nje, mgbochi spyware na sọftụwia firewall), ị kpebiri itinye usoro nchebe niile na firewall.

Iji hụ na ọsọ njikọ dị elu (niile maka ịdị mma), ị họọrọ switches na 10 Gigabit ohere ọdụ ụgbọ mmiri dị ka ohere switches, na elu-arụmọrụ NGFW firewalls dị ka firewalls, ihe atụ, Palo Alto 7K usoro (na 40 Gigabit ọdụ ụgbọ mmiri), ndammana na niile ikike. gụnyere yana, n'ezie, ụzọ nnweta dị elu.

Ọzọkwa, n'ezie, iji rụọ ọrụ na nke a ahịrị ngwá ọrụ anyị chọrọ opekata mpe a di na nwunye nke ukwuu ruru eru nche engineer.

Ọzọ, ị kpebiri inye onye ọrụ ọ bụla ezigbo laptọọpụ.

Mkpokọta, ihe dị ka nde dollar 10 maka mmejuputa iwu, ọtụtụ narị puku dollar (echere m na nso otu nde) maka nkwado kwa afọ na ụgwọ ọnwa maka ndị injinia.

Ụlọ ọrụ, mmadụ 200 ...
Nkasi obi? Echere m na ọ bụ ee.

Ị bịarutere atụmatụ a na njikwa gị...
Ikekwe enwere ọtụtụ ụlọ ọrụ n'ụwa nke nke a bụ ihe ngwọta na-anabata na nke ziri ezi. Ọ bụrụ na ị bụ onye ọrụ nke ụlọ ọrụ a, ekele m, mana n'ọtụtụ ikpe, ejiri m n'aka na njikwa agaghị enwe ekele maka ihe ọmụma gị.

Ihe atụ a ọ̀ bụ ikwubiga okwu ókè? Isiakwụkwọ na-esonụ ga-aza ajụjụ a.

Ọ bụrụ na netwọk gị ahụghị nke ọ bụla n'ime ihe ndị a dị n'elu, mgbe ahụ nke a bụ ụkpụrụ.
Maka ikpe ọ bụla akọwapụtara, ịkwesịrị ịchọta nkwekọrịta ezi uche dị na ya n'etiti ịdị mma, ọnụahịa na nchekwa. Ọtụtụ mgbe, ị naghị achọ NGFW n'ọfịs gị, na nchekwa L7 na firewall adịghị mkpa. O zuru ezu iji nye ọkwa dị mma nke visibiliti na ọkwa, na nke a nwere ike ime site na iji ngwaahịa na-emeghe, dịka ọmụmaatụ. Ee, mmeghachi omume gị na mwakpo agaghị adị ngwa ngwa, ma isi ihe bụ na ị ga-ahụ ya, na usoro ziri ezi dị na ngalaba gị, ị ga-enwe ike iwepụ ya ngwa ngwa.

Ka m chetara gị na, dị ka echiche nke usoro isiokwu a si dị, ị naghị emepụta netwọk, naanị ị na-agbalị imeziwanye ihe ị nwetara.

Ntụle nchekwa nchekwa ụlọ ọrụ

Lezienụ anya na square uhie a nke m kenyere ebe na eserese si Ntuziaka ihe owuwu ụlọ nchekwa nchekwa nchekwanke m ga-achọ ikwu ebe a.

Otu esi ejikwa akụrụngwa netwọkụ gị. Isi nke atọ. Nchekwa netwọkụ. Akụkụ nke atọ

Nke a bụ otu n'ime isi ebe ihe owuwu ụlọ na otu n'ime ihe ejighị n'aka kacha mkpa.

Rịba ama

Enwebeghị m ntọala ma ọ bụ rụọ ọrụ na FirePower (nke sitere na eriri ọkụ ọkụ Cisco - naanị ASA), yabụ m ga-emeso ya dị ka firewall ọ bụla ọzọ, dị ka Juniper SRX ma ọ bụ Palo Alto, na-eche na ọ nwere otu ikike.

N'ime atụmatụ ndị a na-emebu, a na m ahụ naanị nhọrọ 4 maka iji firewall na njikọ a:

  • Ọnụ ụzọ ndabara maka subnet ọ bụla bụ ngbanwe, ebe firewall nọ na ọnọdụ transperent (ya bụ, okporo ụzọ niile na-aga na ya, mana ọ naghị etolite hop L3)
  • ụzọ ndabara maka subnet ọ bụla bụ sub-interfaces firewall (ma ọ bụ SVI interfaces), mgba ọkụ na-arụ ọrụ nke L2.
  • A na-eji VRF dị iche iche na mgba ọkụ, na okporo ụzọ n'etiti VRF na-aga site na firewall, okporo ụzọ n'ime otu VRF na-achịkwa ACL na mgba ọkụ.
  • A na-egosipụta okporo ụzọ niile na firewall maka nyocha na nleba anya; okporo ụzọ anaghị agafe ya

Okwu 1

Ngwakọta nke nhọrọ ndị a ga-ekwe omume, ma maka ịdị mfe anyị agaghị atụle ha.

Rịba ama2

Enwekwara ike iji PBR (ọrụ agbụ ígwè ọrụ), ma ugbu a, nke a, ọ bụ ezie na ngwọta mara mma n'echiche m, bụ ihe dị egwu, n'ihi ya, anaghị m atụle ya ebe a.

Site na nkọwa nke mmiri na akwụkwọ ahụ, anyị na-ahụ na okporo ụzọ ka na-aga site na firewall, ya bụ, dị ka usoro Cisco si dị, a na-ewepụ nhọrọ nke anọ.

Ka anyị buru ụzọ leba anya na nhọrọ abụọ mbụ.
Site na nhọrọ ndị a, okporo ụzọ niile na-aga na firewall.

Ugbu a, ka anyị lee anya akwụkwọ data, lee Cisco GPL na anyị na-ahụ na ọ bụrụ na anyị chọrọ mkpokọta bandwit maka ụlọ ọrụ anyị dịkarịa ala gburugburu 10 - 20 gigabits, mgbe ahụ anyị ga-azụrụ 4K version.

Rịba ama

Mgbe m na-ekwu maka mkpokọta bandwit, m na-ekwu na okporo ụzọ n'etiti subnets (ọ bụghị n'ime otu vina).

Site na GPL anyị na-ahụ na maka HA Bundle with Threat Defense, ọnụahịa dabere na ihe nlereanya (4110 - 4150) dị iche na ~ 0,5 - 2,5 nde dollar.

Ya bụ, imewe anyị na-amalite iyi ihe atụ gara aga.

Nke a ọ pụtara na atụmatụ a adịghị mma?
Mba, nke ahụ apụtaghị ya. Cisco na-enye gị nchekwa kacha mma dabere na ahịrị ngwaahịa o nwere. Mana nke ahụ apụtaghị na ọ bụ ihe a ga-emerịrị gị.

Na ụkpụrụ, nke a bụ ajụjụ nkịtị na-ebilite mgbe ị na-emepụta ụlọ ọrụ ma ọ bụ ebe data, ọ pụtara naanị na ọ dị mkpa ka a chọọ nkwekọrịta.

Dịka ọmụmaatụ, ekwela ka okporo ụzọ niile gafere na firewall, n'ọnọdụ nke nhọrọ 3 dị m mma, ma ọ bụ (lee akụkụ nke mbụ) ma eleghị anya ị chọghị ihe nchebe egwu ma ọ bụ na ị chọghị firewall ma ọlị na nke ahụ. ngalaba netwọkụ, na naanị ị ga-amachi onwe gị na nleba anya na-agafe agafe site na iji akwụ ụgwọ (adịghị ọnụ) ma ọ bụ ihe ngwọta mepere emepe, ma ọ bụ na ịchọrọ firewall, mana site na onye na-ere ahịa dị iche.

Ọ na-abụkarị ihe a na-ejighị n'aka na ọ nweghị azịza doro anya maka mkpebi kacha mma maka gị.
Nke a bụ mgbagwoju anya na ịma mma nke ọrụ a.

isi: www.habr.com

Tinye a comment