ProHoster > Blog > Rêveberî > Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Beşa sêyem

Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Beşa sêyem

Ev gotara pêncemîn e di rêza "Çawa Di Binesaziya Tora Xwe de Kontrol Bike." Naveroka hemî gotarên rêzefîlmê û girêdan têne dîtin vir.

Ev beş dê ji beşên Kampusê (Ofûs) & gihandina dûr a VPN re were veqetandin.

Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Beşa sêyem

Dibe ku sêwirana torê ya nivîsgehê hêsan xuya bike.

Bi rastî, em guheztinên L2/L3 digirin û wan bi hevûdu ve girêdidin. Dûv re, em sazkirina bingehîn a vilan û dergehên xwerû pêk tînin, rêgezek hêsan saz dikin, kontrolkerên WiFi, xalên gihîştinê girêdidin, ASA-yê ji bo gihîştina dûr saz dikin û mîheng dikin, em kêfxweş in ku her tişt xebitî. Di bingeh de, wekî ku min berê jî di yek ji yên berê de nivîsand gotarên di vê dewrê de, hema her xwendekarek ku du semsterên qursek telekomê beşdar bûye (û fêr bûye) dikare tora nivîsgehê sêwirîne û mîheng bike da ku ew "bi rengekî bixebite".

Lê her ku hûn hîn dibin, ev peywir kêm hêsan xuya dike. Ji bo min bixwe, ev mijar, mijara sêwirana torê ya nivîsgehê, qet hêsan xuya nake, û di vê gotarê de ez ê hewl bidim ku çima rave bikim.

Bi kurtasî, çend faktor hene ku meriv li ber çavan bigire. Gelek caran ev faktor bi hev re nakokî ne û divê lihevkirinek maqûl bête peyda kirin.
Ev nezelaliyê zehmetiya sereke ye. Ji ber vê yekê, em di derbarê ewlehiyê de dipeyivin, sêgoşeyek me bi sê bergan heye: ewlehî, rehetiya karmendan, bihayê çareseriyê.
Û her carê divê hûn di navbera van hersêyan de lihevhatinek bigerin.

avakarî

Wekî mînakek mîmariyek ji bo van her du beşan, wekî di gotarên berê de, ez pêşniyar dikim Cisco SAFE cins: Kampusa Enterprise, Enterprise Internet Edge.

Ev hinek belgeyên kevnar in. Ez wan li vir pêşkêşî dikim ji ber ku nexşe û nêzîkatiya bingehîn neguheriye, lê di heman demê de ez ji pêşkêşiyê bêtir jê hez dikim. belgeyên nû.

Bêyî ku hûn teşwîq bikin ku hûn çareseriyên Cisco bikar bînin, ez dîsa jî difikirim ku bi baldarî xwendina vê sêwiranê kêrhatî ye.

Ev gotar, wekî her car, bi tu awayî xwe nade ku bêkêmasî be, lê ji bilî vê agahiyê pêvekek e.

Di dawiya gotarê de, em ê sêwirana nivîsgeha Cisco SAFE li gorî têgehên ku li vir hatine destnîşan kirin analîz bikin.

Prensîpên giştî

Sêwirana tora nivîsgehê, bê guman, pêdivî ye ku daxwazên gelemperî yên ku hatine nîqaş kirin bicîh bîne vir di beşa "Krîterên ji bo nirxandina kalîteya sêwiranê" de. Ji xeynî biha û ewlehiyê, yên ku em dixwazin di vê gotarê de nîqaş bikin, hîn jî sê pîvan hene ku divê em dema sêwirandin (an guheztinan) bihesibînin:

  • scalability
  • hêsaniya karanîna (rêveberî)
  • berdestbûnî

Pir tiştên ku ji bo nîqaş kirin navendên danûstendinê Ev ji bo ofîsê jî rast e.

Lê dîsa jî, beşa nivîsgehê taybetmendiyên xwe hene, ku ji hêla ewlehiyê ve krîtîk in. Esasê vê taybetmendiyê ev e ku ev beş ji bo peydakirina karûbarên torê ji xebatkarên (her weha hevkar û mêvanên) pargîdaniyê re hatî çêkirin, û, wekî encamek, di asta herî bilind de nihêrîna pirsgirêkê du peywirên me hene:

  • çavkaniyên pargîdaniyê ji kiryarên xerab ên ku dibe ku ji karmendan (mêvan, hevkar) û ji nermalava ku ew bikar tînin biparêzin biparêzin. Ev di heman demê de parastina li dijî girêdana bêdestûr a bi torê re jî dihewîne.
  • pergalên û daneyên bikarhêner biparêzin

Û ev tenê aliyek pirsgirêkê ye (an jî, yek verteksê sêgoşeyê). Li aliyê din rehetiya bikarhêner û bihayê çareseriyên têne bikar anîn e.

Ka em bi nihêrîna ku bikarhênerek ji tora nivîsgeha nûjen çi hêvî dike dest pê bikin.

Amenities

Li vir bi dîtina min ji bo bikarhênerek nivîsgehê çi "hêzên torê" xuya dike:

  • Mobility
  • Kapasîteya karanîna tevahî cûrbecûr amûrên nas û pergalên xebitandinê
  • Gihîştina hêsan a hemî çavkaniyên pargîdaniya pêwîst
  • Hebûna çavkaniyên Înternetê, tevî karûbarên ewr ên cihêreng
  • "Operasyona bilez" ya torê

Hemî ev hem ji bo karmendan û hem jî ji mêvanan (an jî hevkaran) re derbas dibe, û peywira endezyarên pargîdaniyê ye ku li ser bingeha destûrnameyê gihandina komên cûda yên bikarhêneran cuda bikin.

Ka em bi hûrgulî li her yek ji van aliyan binihêrin.

Mobility

Em behsa fersendê dikin ku kar bikin û hemî çavkaniyên pargîdanî yên pêwîst ji her deverê cîhanê bikar bînin (bê guman, li ku derê Înternet heye).

Ev bi tevahî ji bo nivîsgehê derbas dibe. Dema ku derfeta we hebe ku hûn ji her derê nivîsgehê xebata xwe bidomînin, mînakî, wergirtina nameyê, di peyamberek pargîdanî de danûstendinê, ji bo bangek vîdyoyê peyda bibin,… Bi vî rengî, ev ji aliyekî ve destûrê dide we, ji bo çareserkirina hin pirsgirêkan danûstendina "zindî" (mînakî, beşdarî mîtîngan bibin), û ji hêla din ve, her dem serhêl bin, tiliya xwe li ser nebzê bihêlin û zû hin karên bilez ên pêşîn çareser bikin. Ev pir hêsan e û bi rastî kalîteya ragihandinê çêtir dike.

Ev bi sêwirana tora WiFi ya rast ve tête bidestxistin.

Têbînî:

Li vir pirs bi gelemperî derdikeve: gelo bes e ku meriv tenê WiFi bikar bîne? Ma ev tê vê wateyê ku hûn dikarin di nivîsgehê de karanîna portên Ethernet rawestînin? Ger em tenê li ser bikarhêneran diaxivin, û ne li ser pêşkêşkeran, ku hîn jî maqûl in ku bi portek Ethernet-a birêkûpêk ve girêdayî bin, wê hingê bi gelemperî bersiv ev e: erê, hûn dikarin xwe tenê bi WiFi-yê sînordar bikin. Lê nuans hene.

Komên bikarhêner ên girîng hene ku nêzîkatiyek cûda hewce dike. Helbet ev rêveber in. Di prensîbê de, pêwendiyek WiFi kêmtir pêbawer e (di warê windabûna trafîkê de) û ji portek Ethernet ya birêkûpêk hêdîtir e. Ev dikare ji bo rêveberan girîng be. Wekî din, rêveberên torê, ji bo nimûne, dikarin, di prensîbê de, ji bo girêdanên derveyî-band-ê tora xweya Ethernet-ê ya taybetî hebe.

Dibe ku di pargîdaniya we de kom / beşên din jî hebin ku ev faktor jî ji bo wan girîng in.

Xaleke din a girîng heye - telefonî. Dibe ku ji ber hin sedeman hûn naxwazin VoIP-a Wireless bikar bînin û dixwazin têlefonên IP-yê bi pêwendiyek birêkûpêk Ethernet bikar bînin.

Bi gelemperî, pargîdaniyên ku ez lê dixebitim bi gelemperî hem pêwendiya WiFi û hem jî portek Ethernet hebûn.

Ez dixwazim ku tevger tenê bi nivîsgehê re sînordar nebe.

Ji bo misogerkirina kapasîteya xebatê ji malê (an cîhek din a bi Înternetê ya gihîştî), pêwendiyek VPN tê bikar anîn. Di heman demê de, tê xwestin ku karmend cûdahiya di navbera xebata ji malê û xebata dûr de hîs nekin, ku heman gihîştinê ferz dike. Em ê di beşa "Pergala rastrastkirin û destûrnameyê ya navendîkirî ya yekbûyî de hinekî paşê çawa birêxistin bikin."

Têbînî:

Bi îhtimaleke mezin, hûn ê nikaribin bi tevahî heman kalîteya karûbaran ji bo xebata dûr a ku we li nivîsgehê heye peyda bikin. Werin em texmîn bikin ku hûn Cisco ASA 5520 wekî deriyê VPN-ya xwe bikar tînin. Li gorî karta danûstendinê ev amûr dikare tenê 225 Mbit seyrûsefera VPN-ê "digest" bike. Ango, bê guman, di warê berfê de, girêdana bi VPN-ê ji xebata ji nivîsgehê pir cûda ye. Di heman demê de, heke, ji ber hin sedeman, derengbûn, windabûn, jitter (mînak, hûn dixwazin têlefoniya IP-ya ofîsê bikar bînin) ji bo karûbarên torê yên we girîng in, hûn ê heman kalîteyê wekî ku hûn li nivîsgehê bin jî wernegirin. Ji ber vê yekê, dema ku li ser tevgerê diaxivin, divê em ji sînorên gengaz haydar bin.

Gihîştina hêsan a hemî çavkaniyên pargîdaniyê

Divê ev kar bi beşên teknîkî yên din re bi hev re were çareser kirin.
Rewşa îdeal ev e ku bikarhêner tenê carekê hewce dike ku rast bike, û piştî wê jî ew bigihîje hemî çavkaniyên pêwîst.
Pêşkêşkirina gihîştina hêsan bêyî qurbankirina ewlehiyê dikare bi girîngî hilberîneriyê baştir bike û stresê di nav hevkarên we de kêm bike.

Nîşe 1

Hêsaniya gihîştinê ne tenê ew e ku hûn çend caran şîfreyek têkevin. Ger, mînakî, li gorî polîtîkaya xweya ewlehiyê, ji bo ku hûn ji nivîsgehê bi navenda daneyê ve girêbidin, divê hûn pêşî bi deriyê VPN-ê ve girêbidin, û di heman demê de hûn gihîştina çavkaniyên nivîsgehê winda bikin, wê hingê ev jî pir e. , pir nerehet e.

Nîşe 2

Karûbar hene (mînakî, gihîştina alavên torê) ku em bi gelemperî serverên xwe yên AAA-yê yên diyarkirî hene û ev norm e dema ku di vê rewşê de divê em çend caran rast bikin.

Hebûna çavkaniyên Înternetê

Înternet ne tenê şahî ye, lê di heman demê de komek karûbar e ku dikare ji bo xebatê pir bikêr be. Faktorên psîkolojîk jî hene. Mirovek nûjen bi navgîniya Înternetê bi gelek mijarên virtual ve bi mirovên din ve girêdayî ye, û, bi dîtina min, tiştek xelet tune ku ew di dema xebatê de jî vê pêwendiyê hîs bike.

Ji hêla windakirina wextê ve, heke karmendek, mînakî, Skype-ê bixebite û heke hewce bike 5 hûrdeman bi hevalek xwe re danûstendinê derbas bike, tiştek xelet tune.

Ma ev tê wê wateyê ku divê înternet her dem hebe, gelo ev tê vê wateyê ku karmend dikarin bigihîjin hemî çavkaniyan û bi tu awayî wan kontrol nekin?

Na, bê guman, nayê vê wateyê. Asta vebûna Înternetê dikare ji bo pargîdaniyên cûda cûda bibe - ji girtina tam heya vekirîbûna tevahî. Em ê paşê di beşên li ser tedbîrên ewlehiyê de awayên kontrolkirina trafîkê nîqaş bikin.

Kapasîteya karanîna tevahî ya amûrên naskirî

Dema ku, mînakî, derfeta we hebe ku hûn hemî rêgezên ragihandinê yên ku hûn di kar de bikar tînin bikar bînin, hêsan e. Ji aliyê teknîkî ve tu zehmetî tine ye. Ji bo vê yekê hûn hewceyê WiFi û wilanek mêvandar in.

Ger derfeta we hebe ku hûn pergala xebitandinê ya ku hûn jê re bikar tînin bikar bînin jî baş e. Lê, di çavdêriya min de, ev bi gelemperî tenê ji rêveber, rêvebir û pêşdebiran re tê destûr kirin.

Nimûne:

Bê guman, hûn dikarin rêça qedexeyan bişopînin, gihandina ji dûr ve qedexe bikin, girêdana ji cîhazên desta re qedexe bikin, her tiştî bi girêdanên statîk ên Ethernet re bisînor bikin, gihîştina înternetê bisînor bikin, bi zorê têlefonên desta û amûrên li nuqteya kontrolê desteser bikin... û ev rê bi rastî ji hêla hin rêxistinan ve bi hewcedariyên ewlehiyê yên zêde têne şopandin, û dibe ku di hin rewşan de ev yek rastdar be, lê ... divê hûn bipejirînin ku ev wekî hewildanek ji bo rawestandina pêşkeftinê di rêxistinek yekane de xuya dike. Bê guman, ez dixwazim fersendên ku teknolojiyên nûjen bi astek têr ewlehiyek peyda dikin re berhev bikim.

"Operasyona bilez" ya torê

Leza veguheztina daneyê ji hêla teknîkî ve ji gelek faktoran pêk tê. Û leza porta girêdana we bi gelemperî ne ya herî girîng e. Xebata hêdî ya serîlêdanê ne her gav bi pirsgirêkên torê re têkildar e, lê heya niha em tenê bi beşa torê re eleqedar in. Pirsgirêka herî gelemperî ya bi "hêdîbûna" tora herêmî bi windabûna pakêtê ve girêdayî ye. Ev bi gelemperî gava ku pirsgirêkek tengahiyek an L1 (OSI) hebe çêdibe. Kêmtir, digel hin sêwiranan (mînak, dema ku jêrtorên we wekî deriyê xwerû xwedan dîwarek agir heye û bi vî rengî hemî seyrûsefer jê re derbas dibe), dibe ku performansa hardware kêm be.

Ji ber vê yekê, dema ku amûr û mîmarî hilbijêrin, hûn hewce ne ku leza benderên paşîn, stûn û performansa amûrê bi hev re têkildar bikin.

Nimûne:

Werin em texmîn bikin ku hûn guheztinên bi portên 1 gigabit wekî guhêrbarên qata gihîştinê bikar tînin. Ew bi rêya Etherchannel 2 x 10 gigabit bi hevûdu ve girêdayî ne. Wekî dergehek xwerû, hûn dîwarek dîwarê bi benderên gigabit bikar tînin, ji bo girêdana wê bi tora nivîsgeha L2 re hûn 2 portên gigabit ên ku di nav Etherchannel de têne hev kirin bikar tînin.

Ev mîmarî ji hêla fonksiyonê ve pir hêsan e, ji ber ku ... Hemî seyrûsefer di dîwarê agir re derbas dibe, û hûn dikarin bi rehetî polîtîkayên gihîştinê birêve bibin, û algorîtmayên tevlihev bicîh bînin da ku seyrûseferê kontrol bikin û pêşî li êrîşên muhtemel bigirin (li jêr binêre), lê ji hêla rêveçûn û performansê ve ev sêwirandin, bê guman, pirsgirêkên potansiyel hene. Ji ber vê yekê, mînakî, 2 mêvandar ku daneyan dakêşin (bi leza portê 1 gigabit) dikarin bi tevahî pêwendiyek 2 gigabit bi dîwarê agir ve bar bikin, û bi vî rengî bibe sedema xerabûna karûbarê ji bo tevahiya beşa nivîsgehê.

Me li yek xala sêgoşeyê mêze kir, naha em binerin ka em çawa dikarin ewlehiyê misoger bikin.

Remedies

Ji ber vê yekê, bê guman, bi gelemperî daxwaza me (an jî, xwesteka rêveberiya me) ev e ku em bigihîjin ne gengaziyê, ango, bi ewlehiya herî zêde û lêçûnek hindiktirîn re rehetiya herî zêde peyda bikin.

Ka em binihêrin ka em ji bo parastinê çi rêbaz hene.

Ji bo ofîsê, ez ê jêrîn ronî bikim:

  • nêzîkatiya baweriya sifir ji bo sêwiranê
  • asta bilind ya parastinê
  • xuyabûna torê
  • pergala yekbûyî ya nasandin û destûrnameyê ya navendî
  • kontrolkirina mêvandar

Paşê, em ê bi hûrgulî li ser her yek ji van aliyan rawestin.

Baweriya Zero

Cîhana IT pir zû diguhere. Tenê di van 10 salên borî de, derketina teknolojiyên nû û hilberên nû rê li ber guheztinek mezin a têgehên ewlehiyê vekir. Deh sal berê, ji hêla ewlehiyê ve, me tora li herêmên pêbawer, dmz û nebaweriyê dabeş kir û bi navê "parastina perimeter" bikar anî, ku tê de 2 xetên parastinê hebûn: bêbawer -> dmz û dmz -> bawerî. Di heman demê de, parastin bi gelemperî bi navnîşên gihîştinê yên li ser sernavên L3/L4 (OSI) (IP, portên TCP / UDP, alên TCP) ve girêdayî bû. Her tiştê ku bi astên bilindtir ve girêdayî ye, tevî L7, ji OS û hilberên ewlehiyê yên ku li ser mêvandarên paşîn hatine saz kirin hiştin.

Niha rewş bi awayekî berbiçav hatiye guhertin. Konsepta modern bawerî sifir Ji wê yekê tê ku êdî ne pêkan e ku pergalên hundurîn, ango yên ku di hundurê perimeterê de ne, wekî pêbawer werin hesibandin, û têgîna perimeterê bixwe jî şêlû bûye.
Ji bilî pêwendiya înternetê ya me jî heye

  • bikarhênerên VPN ji dûr ve
  • amûrên cûda yên kesane, laptopan anîn, bi WiFi ofîsê ve girêdayî ne
  • buroyên (şax) yên din
  • entegrasyonê bi binesaziya ewr

Nêzîkatiya Zero Trust di pratîkê de çawa xuya dike?

Bi îdeal, tenê seyrûsefera ku tê xwestin divê were destûr kirin û, heke em li ser îdealek diaxivin, wê hingê divê kontrol ne tenê di asta L3/L4 de, lê di asta serîlêdanê de be.

Ger, bo nimûne, we şiyana ku hûn hemî seyrûseferê di nav dîwarek agir de derbas bikin, wê hingê hûn dikarin hewl bidin ku nêzîkê îdealê bibin. Lê ev nêzîkatî dikare bi girîngî firehiya tevaya tora we kêm bike, û ji bilî vê, fîlterkirina ji hêla serîlêdanê ve her gav baş naxebite.

Dema ku seyrûsefera li ser router an guhezek L3 (bi karanîna ACL-yên standard) kontrol dikin, hûn bi pirsgirêkên din re rû bi rû dimînin:

  • Ev tenê fîlterkirina L3/L4 e. Tiştek nahêle ku êrîşkar benderên destûr (mînak TCP 80) ji bo serîlêdana xwe bikar bîne (ne http)
  • Rêvebiriya ACL ya tevlihev (zehmet e ku ACL-yên pars bike)
  • Ev ne dîwarek fireh a dewletparêz e, tê vê wateyê ku hûn hewce ne ku bi eşkere destûr bidin seyrûsefera berevajî
  • bi guhêrkan re hûn bi gelemperî ji hêla mezinahiya TCAM-ê ve pir hişk têne sînorkirin, ku ger hûn nêzîkatiya "tenê destûrê bidin ya ku hûn hewce ne" bigirin, dikare zû bibe pirsgirêk.

Têbînî:

Di derbarê seyrûsefera berevajî de diaxivin, divê em ji bîr mekin ku me fersendek jêrîn heye (Cisco)

destûr tcp her ku hatî damezrandin

Lê divê hûn fêm bikin ku ev rêz bi du rêzan re wekhev e:
destûr tcp her tiştî
destûr tcp her rst

Ev tê vê wateyê ku her çend beşa TCP-ya destpêkê ya bi ala SYN-ê tunebûya jî (ango, danişîna TCP-ê jî dest bi sazkirinê nekir), ev ACL dê destûrê bide pakêtek bi ala ACK, ku êrîşkar dikare bikar bîne da ku daneyan veguhezîne.

Ango, ev xet bi tu awayî routerê we an guheztina L3-a we nazivirîne dîwarek fireh a dewletparêz.

Asta bilind ya parastinê

В gotara Di beşa li ser navendên daneyê de, me rêbazên parastinê yên jêrîn fikirîn.

  • firewallkirina dewletî (default)
  • parastina ddos ​​/ dos
  • firewalling sepanê
  • pêşîlêgirtina tehdîdê (antîvîrûs, antî-spyware, û lawazbûn)
  • Parzûnkirina URL
  • Parzûnkirina daneyan (fîlterkirina naverokê)
  • astengkirina pelan (cureyên pelan asteng kirin)

Di mesela ofîsê de rewş bi vî rengî ye, lê pêşanî hinekî cûda ne. Hebûna ofîsê (hebûnî) bi gelemperî wekî di navendek daneyê de ne krîtîk e, di heman demê de îhtîmala seyrûsefera xirab a "hundirîn" fermanên mezinbûnê mezintir e.
Ji ber vê yekê, rêbazên parastinê yên jêrîn ji bo vê beşê krîtîk dibin:

  • firewalling sepanê
  • pêşîlêgirtina gefê (dij-vîrûs, antî-spyware, û lawazbûn)
  • Parzûnkirina URL
  • Parzûnkirina daneyan (fîlterkirina naverokê)
  • astengkirina pelan (cureyên pelan asteng kirin)

Her çend hemî van rêbazên parastinê, ji xeynî firewallkirina serîlêdanê, bi kevneşopî li ser mêvandarên paşîn têne çareser kirin (mînak, bi sazkirina bernameyên antivirus) û karanîna proxiyan, NGFW-yên nûjen jî van karûbaran peyda dikin.

Firoşkarên alavên ewlehiyê hewl didin ku parastina berfereh biafirînin, ji ber vê yekê ligel parastina herêmî, ew teknolojiyên cûda yên ewr û nermalava xerîdar ji bo mêvandaran (parastina xala dawîn / EPP) pêşkêş dikin. Ji ber vê yekê, ji bo nimûne, ji 2018 Gartner Magic Quadrant Em dibînin ku Palo Alto û Cisco xwedan EPP-yên xwe ne (PA: Traps, Cisco: AMP), lê ji serokan dûr in.

Çalakkirina van parastinan (bi gelemperî bi kirîna lîsansan) li ser dîwarê weya agir bê guman ne mecbûrî ye (hûn dikarin riya kevneşopî biçin), lê ew hin feydeyan peyda dike:

  • Di vê rewşê de, xalek yekane ya serîlêdana rêbazên parastinê heye, ku dîtinê çêtir dike (li mijara paşîn binêre).
  • Ger li ser tora we amûrek neparastî hebe, wê hingê ew hîn jî dikeve bin "sîwanek" parastina dîwarê agir
  • Bi karanîna parastina dîwarê dîwarê digel parastina paşîn-hoste, em îhtîmala tespîtkirina seyrûsefera xerab zêde dikin. Mînakî, karanîna pêşîlêgirtina xetereyê li ser mêvandarên herêmî û li ser dîwarek agir îhtîmala tespîtkirinê zêde dike (bê guman, bi şertê ku ev çareserî li ser hilberên nermalava cihêreng bin)

Têbînî:

Ger, bo nimûne, hûn Kaspersky hem li ser dîwarê agir û hem jî li ser mêvandarên paşîn wekî antivirus bikar bînin, wê hingê ev, bê guman, dê şansên we yên pêşîlêgirtina êrişek vîrusê li ser tora we pir zêde neke.

Dîtina torê

Bersiva sereke hêsan e - "bibînin" ka çi li ser tora we diqewime, hem di dema rast û hem jî daneyên dîrokî de.

Ez ê vê "vîzyonê" li du koman parve bikim:

Koma yekê: tiştê ku pergala çavdêriya we bi gelemperî ji we re peyda dike.

  • barkirina alavên
  • barkirina kanalan
  • bikaranîna bîra
  • bikaranîna dîskê
  • guhertina tabloya rêwîtiyê
  • rewşa girêdanê
  • hebûna alavan (an mêvandar)
  • ...

Koma duduyan: agahdariya têkildarî ewlehiyê.

  • cûrbecûr statîstîkan (mînak, ji hêla serîlêdanê, ji hêla seyrûsefera URL-ê ve, çi celeb daneyên dakêşandî, daneyên bikarhêner)
  • çi ji hêla polîtîkayên ewlehiyê ve hate asteng kirin û ji ber çi sedem, ango
    • serlêdana qedexe
    • li ser bingeha ip / protokol / port / ala / deveran qedexe ye
    • pêşîlêgirtina gefan
    • fîlterkirina url
    • Parzûna daneyan
    • astengkirina pelê
    • ...
  • statîstîkên li ser êrîşên DOS / DDOS
  • hewldanên nasname û destûrnameyê bi ser neket
  • statîstîkên ji bo hemî bûyerên binpêkirina siyaseta ewlehiyê ya jorîn
  • ...

Di vê beşê de li ser ewlehiyê, em bi beşa duyemîn re eleqedar dibin.

Hin dîwarên agir ên nûjen (ji ezmûna min a Palo Alto) astek baş a dîtinê peyda dikin. Lê, bê guman, seyrûsefera ku hûn jê re eleqedar dibin divê di vê dîwarê agir de derbas bibe (di vê rewşê de we şiyana astengkirina seyrûseferê heye) an jî bi dîwarê agir ve were neynik kirin (tenê ji bo şopandin û analîzê tê bikar anîn), û divê hûn xwediyê destûrnameyên ku hemî çalak bikin. van xizmetan.

Bê guman, rêyek alternatîf heye, an bêtir awayê kevneşopî, mînakî,

  • Statîstîkên danişînê dikare bi riya netflow ve were berhev kirin û dûv re ji bo analîzkirina agahdarî û dîtbarîkirina daneyan karûbarên taybetî têne bikar anîn
  • pêşîlêgirtina gefê - bernameyên taybetî (dij-vîrûs, antî-spyware, firewall) li ser mêvandarên dawî
  • Parzûnkirina URL, Parzûna daneyê, astengkirina pelan - li ser proxy
  • di heman demê de gengaz e ku meriv tcpdump bi kar bîne, mînak. şûştin

Hûn dikarin van her du nêzîkatiyan berhev bikin, taybetmendiyên winda temam bikin an wan dubare bikin da ku îhtîmala tespîtkirina êrîşek zêde bikin.

Divê hûn kîjan rêbazê hilbijêrin?
Pir bi kalîte û vebijarkên tîmê we ve girêdayî ye.
Hem li wir û hem jî erênî û neyînî hene.

Pergala pejirandin û destûrnameyê ya navendî ya yekbûyî

Gava ku baş hatî sêwirandin, tevgerîna ku me di vê gotarê de nîqaş kir texmîn dike ku hûn heman gihîştina we heye ku hûn ji nivîsgehê an ji malê, ji balafirgehê, ji qehwexaneyek an cîhek din bixebitin (bi sînorên ku me li jor behs kir). Ew xuya dike, pirsgirêk çi ye?
Ji bo ku hûn tevliheviya vê peywirê çêtir fam bikin, werin em li sêwirana tîpîk binêrin.

Nimûne:

  • We hemû xebatkar di nava koman de parve kirine. We biryar da ku hûn ji hêla koman ve gihîştinê peyda bikin
  • Di hundurê nivîsgehê de, hûn gihîştina li ser dîwarê nivîsgehê kontrol dikin
  • Hûn seyrûsefera ji nivîsgehê berbi navenda daneyê ya li ser dîwarê navenda daneyê kontrol dikin
  • Hûn Cisco ASA-yê wekî dergehek VPN bikar tînin û ji bo kontrolkirina seyrûsefera ku ji xerîdarên dûr dikevin tora we, hûn ACL-yên herêmî (li ser ASA) bikar tînin.

Naha, em bibêjin ku ji we tê xwestin ku hûn gihîştina karmendek diyarkirî zêde bikin. Di vê rewşê de, ji we tê xwestin ku hûn tenê ji wî re û ne kesek din ji koma wî re gihîştinê zêde bikin.

Ji bo vê divê em ji bo vî karmendî komeke cuda ava bikin, yanî

  • ji bo vî karmendî hewzek IP-ya cihê li ser ASA biafirînin
  • ACL-ya nû li ser ASA zêde bikin û wê bi wê xerîdarê dûr ve girêdin
  • polîtîkayên ewlehiyê yên nû li ser firewalên nivîsgehê û navenda daneyê biafirînin

Baş e ku ev bûyer kêm be. Lê di pratîka min de rewşek hebû ku karmend beşdarî projeyên cihêreng dibûn, û ev komek projeyan ji bo hin ji wan pir caran diguherî, û ew ne 1-2 kes, lê bi dehan bûn. Bê guman, li vir tiştek hewce bû ku were guhertin.

Ev bi awayê jêrîn hate çareser kirin.

Me biryar da ku LDAP dê bibe çavkaniya yekane ya rastiyê ku hemî gihîştina karmendê gengaz diyar dike. Me her cûre kom afirand ku komek gihîştinan diyar dike, û me her bikarhêner ji yek an çend koman re destnîşan kir.

Ji ber vê yekê, wek nimûne, bifikirin ku kom bûn

  • mêvan (gihîştina înternetê)
  • gihîştina hevpar (gihîştina çavkaniyên hevpar: e-name, bingeha zanînê, ...)
  • hisêba
  • projeya 1
  • projeya 2
  • rêveberê bingeha daneyê
  • rêveberê Linux
  • ...

Û heke yek ji karmendan hem di projeya 1 û hem jî di projeya 2 de beşdar bû, û ji bo ku di van projeyan de bixebite pêdivî bi gihîştina hewce hebû, wê hingê ev karmend di komên jêrîn de hate destnîşankirin:

  • mêvan
  • gihîştina hevpar
  • projeya 1
  • projeya 2

Naha em çawa dikarin vê agahiyê veguherînin gihîştina amûrên torê?

Polîtîkaya Gihîştina Dînamîkî ya Cisco ASA (DAP) (binêre www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) çareserî tenê ji bo vî karî rast e.

Bi kurtî di derbarê pêkanîna me de, di dema pêvajoya nasîn / destûrnameyê de, ASA ji LDAP komek komên ku bi bikarhênerek diyarkirî re têkildar distîne û ji çend ACL-yên herêmî (her yek ji komekê re têkildar e) ACLek dînamîkî bi hemî gihîştinên pêwîst re "kok dike". , ku bi tevahî daxwazên me re têkildar e.

Lê ev tenê ji bo girêdanên VPN e. Ji bo ku rewş hem ji bo xebatkarên ku bi VPN ve girêdayî ne û hem jî yên li nivîsgehê yek bin, gava jêrîn hate avêtin.

Dema ku ji nivîsgehê ve girêdidin, bikarhênerên ku protokola 802.1x bikar tînin an LAN-ya mêvan (ji bo mêvanan) an jî LAN-ya hevpar (ji bo karmendên pargîdaniyê) diqede. Wekî din, ji bo bidestxistina gihîştina taybetî (mînakî, projeyên li navendek daneyê), karmend neçar bûn ku bi VPN ve girêdayî bin.

Ji bo girêdana ji ofîsê û ji malê, komên cuda yên tunelê li ser ASA hatin bikar anîn. Ev pêdivî ye ku ji bo kesên ku ji nivîsgehê ve girêdayî ne, seyrûsefera çavkaniyên hevpar (ji hêla hemî karmendan ve têne bikar anîn, wekî nameyê, serverên pelan, pergala bilêtê, dns, ...) ne bi ASA, lê bi navgîniya tora herêmî re derbas dibe. . Bi vî rengî, me ASA bi seyrûsefera nehewce, tevî seyrûsefera zirav, bar nekir.

Bi vî awayî, pirsgirêk çareser bû.
Me girt

  • heman set gihîştina hem ji bo girêdanên ji nivîsgehê û hem jî ji dûr ve
  • nebûna xerabûna karûbarê dema ku ji nivîsgehê dixebite ku bi veguheztina seyrûsefera tundûtûj a bi navgîniya ASA ve girêdayî ye

Çi avantajên din ên vê nêzîkbûnê?
Di rêveberiya gihîştinê de. Gihîştin dikarin li yek cîhek bi hêsanî werin guheztin.
Mînakî, heke karmendek ji pargîdaniyê derkeve, wê hingê hûn tenê wî ji LDAP-ê derdixin, û ew bixweber hemî gihîştinê winda dike.

Kontrolkirina mêvandar

Bi îhtîmala girêdana ji dûr ve, em xetera ku ne tenê karmendek pargîdanî bikeve nav torê, lê di heman demê de hemî nermalava xirab a ku bi îhtîmalek mezin li ser komputera wî heye (mînak, mal) dimeşîne, û ji bilî vê, em bi vê nermalavê re dibe ku gihandina tora me ji êrîşkerek ku vê mêvandarê wekî proxy bikar tîne peyda bike.

Wateya ku mêvandarek ji dûr ve girêdayî ye ku heman hewcedariyên ewlehiyê wekî mêvandarek nav-ofîsê bicîh bîne.

Ev di heman demê de guhertoya "rast" ya OS, antî-vîrûs, antî-spyware, û nermalava firewall û nûvekirinê digire. Bi gelemperî, ev kapasîteyê li ser deriyê VPN heye (ji bo ASA, mînakî, binêre, vir).

Di heman demê de aqilmend e ku hûn heman analîza trafîkê û teknîkên astengkirinê bicîh bikin (binihêrin "Asta parastinê ya bilind") ku siyaseta weya ewlehiyê li seyrûsefera nivîsgehê bicîh tîne.

Maqûl e ku meriv texmîn bike ku tora nivîsgeha we êdî bi avahiya nivîsgehê û mêvandarên di hundurê wê de sînordar nabe.

Nimûne:

Teknîkîyek baş ev e ku meriv her karmendek ku ji dûr ve pêdivî ye bi laptopek baş û hêsan peyda bike û ji wan hewce bike ku hem li nivîsgehê û hem jî ji malê, tenê ji wê bixebitin.

Ew ne tenê ewlehiya tora we baştir dike, lê ew bi rastî jî rehet e û bi gelemperî ji hêla karmendan ve bi xweş tê dîtin (heke ew bi rastî laptopek baş, bikarhêner-heval e).

Li ser hestek nîsbet û hevsengiyê

Di bingeh de, ev danûstendinek li ser sêweya sêgoşeya me ye - li ser bihayê.
Ka em li mînakeke hîpotetîk binêrin.

Nimûne:

Ofîsa we ya 200 kesî heye. We biryar da ku hûn wê bi qasî ku pêkan hêsan û ewledar bikin.

Ji ber vê yekê, we biryar da ku hûn hemî seyrûseferê di dîwarê agir re derbas bikin û bi vî rengî ji bo hemî jêrtorên nivîsgehê dîwarê agir deriyê xwerû ye. Ji bilî nermalava ewlehiyê ya ku li ser her mêvandarê paşîn hatî saz kirin (nermalava dijî-vîrûs, antî-spyware, û nermalava firewall), we jî biryar da ku hûn hemî rêbazên parastinê yên gengaz li ser dîwarê agir bicîh bikin.

Ji bo temînkirina leza girêdana bilind (hemî ji bo rehetiyê), we guhezên bi 10 portên gihîştina Gigabit wekî guhêzbarên gihîştinê, û dîwarên NGFW-ya bi performansa bilind wekî dîwarên agir hilbijart, mînakî, rêzikên Palo Alto 7K (bi portên 40 Gigabit), bi xwezayî bi hemî lîsansan re. tê de û, bi xwezayî, cotek Hebûna Bilind.

Di heman demê de, bê guman, ji bo ku em bi vê rêza alavan re bixebitin bi kêmî ve du endezyarên ewlehiyê yên pir jêhatî hewce ne.

Dûv re, we biryar da ku hûn her karmendek laptopek baş bidin.

Bi tevahî, nêzîkî 10 mîlyon dolar ji bo bicîhkirinê, bi sed hezaran dolar (ez nêzî mîlyonek difikirim) ji bo piştgirî û mûçeyên salane ji bo endezyaran.

Ofîs, 200 kes ...
Rehet? Bi texmîna min erê ye.

Hûn bi vê pêşniyarê werin rêveberiya xwe ...
Dibe ku li cîhanê çend pargîdanî hebin ku ev çareseriyek meqbûl û rast e. Ger hûn xebatkarê vê pargîdaniyê bin, ez pîroz dikim, lê di pirraniya bûyeran de, ez bawer im ku zanîna we dê ji hêla rêveberiyê ve neyê pejirandin.

Ma ev nimûne zêde ye? Beşa din dê bersiva vê pirsê bide.

Ger li ser tora xwe hûn yek ji jor nabînin, wê hingê ev norm e.
Ji bo her dozek taybetî, hûn hewce ne ku di navbera rehetî, biha û ewlehiyê de lihevhatina xweya maqûl bibînin. Bi gelemperî hûn di nivîsgeha xwe de ne hewceyê NGFW-ê jî ne, û parastina L7 li ser dîwarê agir ne hewce ye. Ji bo peydakirina astek baş a dîtin û hişyariyê bes e, û ev dikare bi karanîna hilberên çavkaniya vekirî, mînakî, were kirin. Erê, berteka we ya li hember êrîşek dê tavilê nebe, lê ya sereke ev e ku hûn ê wê bibînin, û bi pêvajoyên rast ên ku di beşa we de cih digirin, hûn ê karibin bi lez wê bêbandor bikin.

Û bihêle ez ji we re bi bîr bînim ku, li gorî konsepta vê rêze gotaran, hûn ne torgilokek sêwiran dikin, hûn tenê hewl didin ku tiştê ku we bi dest xistiye baştir bikin.

Analyziya SAFE ya mîmariya nivîsgehê

Bala xwe bidin vê çargoşeya sor a ku min jê re cîhek li ser diyagramê veqetand Rêbernameya Mîmarî ya Kampusê Ewleku ez dixwazim li vir nîqaş bikim.

Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Beşa sêyem

Ev yek ji cihên sereke yên mîmariyê û yek ji nezelaliyên herî girîng e.

Têbînî:

Min tu carî bi FirePower (ji xeta dîwarê dîwarê Cisco - tenê ASA) saz nekiriye û nexebitim, ji ber vê yekê ez ê wê mîna her dîwarê dîwarê din, mîna Juniper SRX an Palo Alto, bihesibînim, bihesibînin ku ew xwedî heman kapasîteyên e.

Ji sêwiranên asayî, ez tenê 4 vebijarkên mimkun ji bo karanîna dîwarek bi vê pêwendiyê dibînim:

  • deriyê xwerû ji bo her subnetê veguhezek e, dema ku dîwarê agir di moda zelal de ye (ango, hemî seyrûsefer di nav wê re derbas dibe, lê ew hopek L3 çê nake)
  • dergehê xwerû ji bo her subnetê navbeynkariya firewall e (an jî navbeynkariya SVI), guhêrbar rola L2 dilîze.
  • VRF-yên cihêreng li ser guhêrbar têne bikar anîn, û seyrûsefera di navbera VRF-an de ji dîwarê agir derbas dibe, seyrûsefera di hundurê yek VRF-ê de ji hêla ACL-ya li ser veguheztinê ve tê kontrol kirin.
  • hemî seyrûsefer ji bo vekolîn û çavdêrîkirinê li dîwarê agir tê neynik kirin; seyrûsefer jê re derbas nabe

Nîşe 1

Kombînasyona van vebijarkan mimkun e, lê ji bo sadebûnê em ê wan nehesibînin.

Nîşe2

Di heman demê de îhtîmala karanîna PBR (mîmariya zincîra karûbarê) jî heye, lê ji bo naha ev, her çend bi dîtina min çareseriyek xweşik e, lê bi egzotîk e, ji ber vê yekê ez li vir nafikirim.

Ji danasîna herikîna di belgeyê de, em dibînin ku seyrûsefer hîn jî di nav dîwarê agir re derbas dibe, ango, li gorî sêwirana Cisco, vebijarka çaremîn ji holê radibe.

Ka em pêşî li her du vebijarkên pêşîn binêrin.
Bi van vebijarkan, hemî seyrûsefer di dîwarê agir re derbas dibe.

Niha em lê binêrin karta danûstendinê, binêre Cisco GPL û em dibînin ku heke em dixwazin ku tevaya bandê ya nivîsgeha me bi kêmî ve li dora 10 - 20 gigabit be, wê hingê divê em guhertoya 4K bikirin.

Têbînî:

Dema ku ez li ser tevaya bandê dipeyivim, mebesta min seyrûsefera di navbera subnetan de (û ne di hundurê yek vilana de) ye.

Ji GPL-ê em dibînin ku ji bo HA Bundle bi Parastina Xefetê, bihayê li gorî modelê (4110 - 4150) ji ~ 0,5 - 2,5 mîlyon dolaran diguhere.

Ango sêwirana me dest pê dike ku dişibihe mînaka berê.

Ma ev tê vê wateyê ku ev sêwirandin xelet e?
Na, ev nayê wê wateyê. Cisco li ser bingeha xeta hilberê ya ku ew heye, parastina çêtirîn gengaz dide we. Lê ev nayê wê wateyê ku ew ji bo we pêdivî ye.

Di prensîbê de, ev pirsek hevpar e ku dema sêwirana nivîsgehek an navendek daneyê derdikeve holê, û ew tenê tê vê wateyê ku pêdivî ye ku lihevkirinek were peyda kirin.

Mînakî, nehêlin ku hemî seyrûsefer di nav dîwarek agir de derbas bibe, di vê rewşê de vebijarka 3 ji min re pir xweş xuya dike, an (li beşa berê binêre) dibe ku hûn ne hewceyî Parastina Tehdîdê nebin an jî li ser wê qet hewcedarê dîwarek agir nebin. beşa torê, û hûn tenê hewce ne ku xwe bi çavdêriya pasîf bi karanîna çareseriyên drav (ne biha) an çavkaniyek vekirî sînordar bikin, an jî hûn hewceyê dîwarek agir in, lê ji firoşkarek cûda.

Bi gelemperî her gav ev nediyarbûn heye û bersivek zelal tune ku kîjan biryar ji bo we çêtirîn e.
Tevlihevî û bedewiya vî karî ev e.

Source: www.habr.com

Add a comment