ບົດຂຽນນີ້ແມ່ນບົດຄວາມທີສາມໃນຊຸດຂອງບົດຄວາມ "ວິທີການຄວບຄຸມໂຄງສ້າງເຄືອຂ່າຍຂອງເຈົ້າ." ເນື້ອໃນຂອງບົດຄວາມທັງຫມົດໃນຊຸດແລະການເຊື່ອມຕໍ່ສາມາດພົບໄດ້ ທີ່ນີ້.

ບໍ່ມີຈຸດໃດທີ່ຈະເວົ້າກ່ຽວກັບການກໍາຈັດຄວາມສ່ຽງດ້ານຄວາມປອດໄພຢ່າງສົມບູນ. ໃນຫຼັກການ, ພວກເຮົາບໍ່ສາມາດຫຼຸດພວກມັນເປັນສູນ. ພວກເຮົາຍັງຕ້ອງເຂົ້າໃຈວ່າເມື່ອພວກເຮົາພະຍາຍາມເຮັດໃຫ້ເຄືອຂ່າຍມີຄວາມປອດໄພຫຼາຍຂຶ້ນ, ການແກ້ໄຂຂອງພວກເຮົາກໍ່ມີລາຄາແພງກວ່າ. ທ່ານຈໍາເປັນຕ້ອງຊອກຫາການແລກປ່ຽນລະຫວ່າງຄ່າໃຊ້ຈ່າຍ, ຄວາມສັບສົນ, ແລະຄວາມປອດໄພທີ່ມີຄວາມຫມາຍສໍາລັບເຄືອຂ່າຍຂອງທ່ານ.

ແນ່ນອນ, ການອອກແບບຄວາມປອດໄພແມ່ນປະສົມປະສານທາງອິນຊີເຂົ້າໄປໃນສະຖາປັດຕະຍະກໍາໂດຍລວມແລະການແກ້ໄຂຄວາມປອດໄພທີ່ໃຊ້ຜົນກະທົບຕໍ່ການຂະຫຍາຍ, ຄວາມຫນ້າເຊື່ອຖື, ການຄຸ້ມຄອງ, ... ຂອງໂຄງສ້າງເຄືອຂ່າຍ, ເຊິ່ງຍັງຕ້ອງໄດ້ພິຈາລະນາ.

ແຕ່ໃຫ້ຂ້ອຍເຕືອນເຈົ້າວ່າຕອນນີ້ພວກເຮົາບໍ່ໄດ້ເວົ້າກ່ຽວກັບການສ້າງເຄືອຂ່າຍ. ອີງຕາມການຂອງພວກເຮົາ ເງື່ອນໄຂເບື້ອງຕົ້ນ ພວກ​ເຮົາ​ໄດ້​ເລືອກ​ເອົາ​ການ​ອອກ​ແບບ, ເລືອກ​ອຸ​ປະ​ກອນ, ແລະ ສ້າງ​ໂຄງ​ລ່າງ​ພື້ນ​ຖານ​ແລ້ວ, ແລະ ໃນ​ຂັ້ນ​ຕອນ​ນີ້, ຖ້າ​ເປັນ​ໄປ​ໄດ້, ພວກ​ເຮົາ​ຄວນ “ດຳ​ລົງ​ຊີ​ວິດ” ແລະ ຊອກ​ຫາ​ວິ​ທີ​ແກ້​ໄຂ​ໃນ​ບັນ​ດາ​ວິ​ທີ​ທີ່​ໄດ້​ເລືອກ​ໄວ້​ກ່ອນ.

ວຽກງານຂອງພວກເຮົາໃນປັດຈຸບັນແມ່ນເພື່ອກໍານົດຄວາມສ່ຽງທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພໃນລະດັບເຄືອຂ່າຍແລະຫຼຸດລົງໃນລະດັບທີ່ສົມເຫດສົມຜົນ.

ການກວດສອບຄວາມປອດໄພເຄືອຂ່າຍ

ຖ້າອົງການຂອງທ່ານໄດ້ປະຕິບັດຂະບວນການ ISO 27k, ການກວດສອບຄວາມປອດໄພແລະການປ່ຽນແປງເຄືອຂ່າຍຄວນເຫມາະສົມກັບຂະບວນການລວມພາຍໃນວິທີການນີ້. ແຕ່ມາດຕະຖານເຫຼົ່ານີ້ຍັງບໍ່ກ່ຽວກັບການແກ້ໄຂສະເພາະ, ບໍ່ກ່ຽວກັບການຕັ້ງຄ່າ, ບໍ່ແມ່ນກ່ຽວກັບການອອກແບບ ... ບໍ່ມີຄໍາແນະນໍາທີ່ຊັດເຈນ, ບໍ່ມີມາດຕະຖານທີ່ກໍານົດຢ່າງລະອຽດວ່າເຄືອຂ່າຍຂອງເຈົ້າຄວນຈະເປັນແນວໃດ, ນີ້ແມ່ນຄວາມສັບສົນແລະຄວາມງາມຂອງວຽກງານນີ້.

ຂ້ອຍຈະເນັ້ນການກວດສອບຄວາມປອດໄພເຄືອຂ່າຍທີ່ເປັນໄປໄດ້ຫຼາຍອັນ:

• ການ​ກວດ​ສອບ​ການ​ຕັ້ງ​ຄ່າ​ອຸ​ປະ​ກອນ (hardening​)
• ການກວດສອບການອອກແບບຄວາມປອດໄພ
• ການ​ເຂົ້າ​ເຖິງ​ການ​ກວດ​ສອບ​
• ການ​ກວດ​ສອບ​ຂະ​ບວນ​ການ​

ການ​ກວດ​ສອບ​ການ​ຕັ້ງ​ຄ່າ​ອຸ​ປະ​ກອນ (hardening​)

ມັນເບິ່ງຄືວ່າໃນກໍລະນີຫຼາຍທີ່ສຸດ, ນີ້ແມ່ນຈຸດເລີ່ມຕົ້ນທີ່ດີທີ່ສຸດສໍາລັບການກວດສອບແລະການປັບປຸງຄວາມປອດໄພຂອງເຄືອຂ່າຍຂອງທ່ານ. IMHO, ນີ້ແມ່ນການສະແດງອອກທີ່ດີຂອງກົດຫມາຍຂອງ Pareto (20% ຂອງຄວາມພະຍາຍາມຜະລິດ 80% ຂອງຜົນໄດ້ຮັບ, ແລະອີກ 80% ຂອງຄວາມພະຍາຍາມຜະລິດພຽງແຕ່ 20% ຂອງຜົນໄດ້ຮັບ).

ເສັ້ນທາງລຸ່ມແມ່ນວ່າພວກເຮົາມັກຈະມີຄໍາແນະນໍາຈາກຜູ້ຂາຍກ່ຽວກັບ "ການປະຕິບັດທີ່ດີທີ່ສຸດ" ສໍາລັບຄວາມປອດໄພໃນເວລາທີ່ກໍານົດອຸປະກອນ. ອັນນີ້ເອີ້ນວ່າ "ການແຂງ".

ທ່ານຍັງສາມາດຊອກຫາແບບສອບຖາມ (ຫຼືສ້າງຕົວທ່ານເອງ) ໂດຍອີງໃສ່ຄໍາແນະນໍາເຫຼົ່ານີ້, ເຊິ່ງຈະຊ່ວຍໃຫ້ທ່ານກໍານົດວ່າການຕັ້ງຄ່າຂອງອຸປະກອນຂອງທ່ານສອດຄ່ອງກັບ "ການປະຕິບັດທີ່ດີທີ່ສຸດ" ເຫຼົ່ານີ້ແນວໃດແລະ, ອີງຕາມຜົນໄດ້ຮັບ, ປ່ຽນແປງເຄືອຂ່າຍຂອງທ່ານ. . ນີ້ຈະຊ່ວຍໃຫ້ທ່ານສາມາດຫຼຸດຜ່ອນຄວາມສ່ຽງດ້ານຄວາມປອດໄພຢ່າງຫຼວງຫຼາຍຢ່າງງ່າຍດາຍ, ໂດຍບໍ່ມີຄ່າໃຊ້ຈ່າຍໃດໆ.

ຕົວຢ່າງຈໍານວນຫນຶ່ງສໍາລັບບາງລະບົບປະຕິບັດການ Cisco.

Cisco IOS Configuration Hardening
Cisco IOS-XR Configuration Hardening
Cisco NX-OS Configuration Hardening
ລາຍຊື່ການກວດສອບຄວາມປອດໄພຂອງ Cisco Baseline

ອີງຕາມເອກະສານເຫຼົ່ານີ້, ບັນຊີລາຍຊື່ຂອງຄວາມຕ້ອງການການຕັ້ງຄ່າສໍາລັບແຕ່ລະປະເພດຂອງອຸປະກອນສາມາດສ້າງໄດ້. ຕົວຢ່າງ, ສໍາລັບ Cisco N7K VDC ຂໍ້ກໍານົດເຫຼົ່ານີ້ອາດຈະຄ້າຍຄື ສະນັ້ນ.

ດ້ວຍວິທີນີ້, ໄຟລ໌ການຕັ້ງຄ່າສາມາດຖືກສ້າງຂື້ນສໍາລັບປະເພດຕ່າງໆຂອງອຸປະກອນທີ່ໃຊ້ວຽກຢູ່ໃນໂຄງສ້າງເຄືອຂ່າຍຂອງທ່ານ. ຕໍ່ໄປ, ດ້ວຍຕົນເອງຫຼືໃຊ້ອັດຕະໂນມັດ, ທ່ານສາມາດ "ອັບໂຫລດ" ໄຟລ໌ການຕັ້ງຄ່າເຫຼົ່ານີ້. ວິທີການອັດຕະໂນມັດຂະບວນການນີ້ຈະໄດ້ຮັບການປຶກສາຫາລືໃນລາຍລະອຽດໃນຊຸດຂອງບົດຄວາມອື່ນກ່ຽວກັບ orchestration ແລະອັດຕະໂນມັດ.

ການກວດສອບການອອກແບບຄວາມປອດໄພ

ໂດຍປົກກະຕິ, ເຄືອຂ່າຍວິສາຫະກິດປະກອບດ້ວຍພາກສ່ວນຕໍ່ໄປນີ້ໃນຮູບແບບຫນຶ່ງຫຼືອື່ນ:

• DC (ການບໍລິການສາທາລະນະ DMZ ແລະສູນຂໍ້ມູນອິນເຕີເນັດ)
• ການ​ເຂົ້າ​ເຖິງ​ອິນ​ເຕີ​ເນັດ
• ການເຂົ້າເຖິງທາງໄກ VPN
• ຂອບ WAN
• ສາຂາ
• ວິທະຍາເຂດ (ຫ້ອງການ)
• Core

ຫົວຂໍ້ທີ່ເອົາມາຈາກ Cisco ປອດໄພ ຮູບແບບ, ແຕ່ວ່າມັນບໍ່ຈໍາເປັນ, ແນ່ນອນ, ທີ່ຈະຕິດກັບຊື່ເຫຼົ່ານີ້ແລະຮູບແບບນີ້ຢ່າງແນ່ນອນ. ຢ່າງໃດກໍຕາມ, ຂ້າພະເຈົ້າຕ້ອງການທີ່ຈະສົນທະນາກ່ຽວກັບຄວາມສໍາຄັນແລະບໍ່ໄດ້ຮັບການ bogged ລົງໃນທາງການ.

ສໍາລັບແຕ່ລະພາກສ່ວນເຫຼົ່ານີ້, ຄວາມຕ້ອງການຄວາມປອດໄພ, ຄວາມສ່ຽງແລະ, ຕາມຄວາມເຫມາະສົມ, ວິທີແກ້ໄຂຈະແຕກຕ່າງກັນ.

ໃຫ້ເບິ່ງຢູ່ໃນແຕ່ລະຄົນແຍກຕ່າງຫາກສໍາລັບບັນຫາທີ່ທ່ານອາດຈະພົບຈາກຈຸດການອອກແບບຄວາມປອດໄພຂອງທັດສະນະ. ແນ່ນອນ, ຂ້າພະເຈົ້າເວົ້າອີກເທື່ອຫນຶ່ງວ່າບໍ່ມີວິທີການໃດໆທີ່ບົດຄວາມນີ້ຈະເຮັດສໍາເລັດ, ເຊິ່ງບໍ່ແມ່ນເລື່ອງງ່າຍ (ຖ້າເປັນໄປບໍ່ໄດ້) ເພື່ອບັນລຸຫົວຂໍ້ທີ່ເລິກເຊິ່ງແລະຫຼາຍແທ້ໆ, ແຕ່ມັນສະທ້ອນເຖິງປະສົບການສ່ວນຕົວຂອງຂ້ອຍ.

ບໍ່ມີການແກ້ໄຂທີ່ສົມບູນແບບ (ຢ່າງຫນ້ອຍຍັງບໍ່ທັນມີ). ມັນສະເຫມີເປັນການປະນີປະນອມ. ແຕ່ມັນເປັນສິ່ງສໍາຄັນທີ່ການຕັດສິນໃຈທີ່ຈະນໍາໃຊ້ວິທີການຫນຶ່ງຫຼືວິທີການອື່ນແມ່ນເຮັດຢ່າງມີສະຕິ, ມີຄວາມເຂົ້າໃຈທັງຂໍ້ດີແລະຂໍ້ເສຍຂອງມັນ.

ສູນ​ຂໍ້​ມູນ

ພາກສ່ວນທີ່ມີຄວາມສໍາຄັນທີ່ສຸດຈາກທັດສະນະຄວາມປອດໄພ.
ແລະ, ຕາມປົກກະຕິ, ບໍ່ມີການແກ້ໄຂທົ່ວໄປຢູ່ທີ່ນີ້. ມັນທັງຫມົດແມ່ນຂຶ້ນກັບຄວາມຕ້ອງການເຄືອຂ່າຍຫຼາຍ.

Firewall ມີຄວາມຈໍາເປັນຫຼືບໍ່?

ມັນເບິ່ງຄືວ່າຄໍາຕອບແມ່ນຈະແຈ້ງ, ແຕ່ທຸກສິ່ງທຸກຢ່າງບໍ່ຊັດເຈນເທົ່າທີ່ມັນອາດຈະເບິ່ງຄືວ່າ. ແລະທາງເລືອກຂອງທ່ານສາມາດໄດ້ຮັບອິດທິພົນບໍ່ພຽງແຕ່ ລາຄາ.

ຕົວຢ່າງ 1. ການຊັກຊ້າ.

ຖ້າເວລາ latency ຕໍ່າແມ່ນຄວາມຕ້ອງການທີ່ສໍາຄັນລະຫວ່າງບາງສ່ວນເຄືອຂ່າຍ, ເຊິ່ງ, ສໍາລັບຕົວຢ່າງ, ຄວາມຈິງໃນກໍລະນີຂອງການແລກປ່ຽນ, ພວກເຮົາຈະບໍ່ສາມາດນໍາໃຊ້ Firewalls ລະຫວ່າງພາກສ່ວນເຫຼົ່ານີ້. ມັນເປັນການຍາກທີ່ຈະຊອກຫາການສຶກສາກ່ຽວກັບ latency ໃນ firewalls, ແຕ່ຕົວແບບສະຫຼັບຈໍານວນຫນ້ອຍສາມາດສະຫນອງການ latency ຫນ້ອຍກວ່າຫຼືຢູ່ໃນຄໍາສັ່ງຂອງ 1 mksec, ດັ່ງນັ້ນຂ້າພະເຈົ້າຄິດວ່າຖ້າ microseconds ມີຄວາມສໍາຄັນກັບທ່ານ, firewalls ບໍ່ແມ່ນສໍາລັບທ່ານ.

ຕົວຢ່າງ 2. ການປະຕິບັດ.

ການສົ່ງຜ່ານຂອງສະວິດ L3 ເທິງສຸດແມ່ນປົກກະຕິແລ້ວເປັນຄໍາສັ່ງຂອງຂະຫນາດທີ່ສູງກວ່າການສົ່ງຜ່ານຂອງໄຟວໍທີ່ມີອໍານາດຫຼາຍທີ່ສຸດ. ດັ່ງນັ້ນ, ໃນກໍລະນີຂອງການຈະລາຈອນທີ່ມີຄວາມເຂັ້ມຂຸ້ນສູງ, ທ່ານກໍ່ຈະຕ້ອງອະນຸຍາດໃຫ້ການຈະລາຈອນນີ້ຂ້າມໄຟວໍ.

ຕົວຢ່າງ 3. ຄວາມຫນ້າເຊື່ອຖື

Firewalls, ໂດຍສະເພາະແມ່ນ NGFW ທີ່ທັນສະໄຫມ (Next-Generation FW) ແມ່ນອຸປະກອນທີ່ສັບສົນ. ພວກມັນມີຄວາມຊັບຊ້ອນຫຼາຍກ່ວາສະຫຼັບ L3/L2. ພວກເຂົາເຈົ້າສະຫນອງການບໍລິການຈໍານວນຫລາຍແລະທາງເລືອກໃນການຕັ້ງຄ່າ, ດັ່ງນັ້ນມັນບໍ່ແປກໃຈວ່າຄວາມຫນ້າເຊື່ອຖືຂອງພວກເຂົາຕ່ໍາກວ່າຫຼາຍ. ຖ້າຄວາມຕໍ່ເນື່ອງຂອງການບໍລິການແມ່ນສໍາຄັນຕໍ່ເຄືອຂ່າຍ, ທ່ານອາດຈະຕ້ອງເລືອກສິ່ງທີ່ຈະນໍາໄປສູ່ການມີທີ່ດີຂຶ້ນ - ຄວາມປອດໄພດ້ວຍໄຟວໍຫຼືຄວາມງ່າຍດາຍຂອງເຄືອຂ່າຍທີ່ສ້າງຢູ່ໃນສະວິດ (ຫຼືປະເພດຕ່າງໆຂອງຜ້າ) ໂດຍໃຊ້ ACLs ປົກກະຕິ.

ໃນ​ກໍ​ລະ​ນີ​ຂອງ​ຕົວ​ຢ່າງ​ຂ້າງ​ເທິງ​ນີ້​, ທ່ານ​ຈະ​ມີ​ຫຼາຍ​ທີ່​ສຸດ (ຕາມ​ປົກ​ກະ​ຕິ​) ມີ​ການ​ຊອກ​ຫາ​ການ​ປະ​ນີ​ປະ​ນ​ອມ​. ເບິ່ງ​ວິ​ທີ​ແກ້​ໄຂ​ດັ່ງ​ຕໍ່​ໄປ​ນີ້​:

• ຖ້າທ່ານຕັດສິນໃຈບໍ່ໃຊ້ Firewalls ພາຍໃນສູນຂໍ້ມູນ, ຫຼັງຈາກນັ້ນທ່ານຈໍາເປັນຕ້ອງຄິດກ່ຽວກັບວິທີຈໍາກັດການເຂົ້າເຖິງບໍລິເວນອ້ອມຮອບເທົ່າທີ່ເປັນໄປໄດ້. ຕົວຢ່າງ, ທ່ານສາມາດເປີດພຽງແຕ່ພອດທີ່ຈໍາເປັນຈາກອິນເຕີເນັດ (ສໍາລັບການຈະລາຈອນຂອງລູກຄ້າ) ແລະການເຂົ້າເຖິງການບໍລິຫານກັບສູນຂໍ້ມູນພຽງແຕ່ຈາກ hosts ເຕັ້ນໄປຫາ. ໃນ​ການ​ເປັນ​ເຈົ້າ​ພາບ​ເຕັ້ນ​ໄປ​ຫາ​, ປະ​ຕິ​ບັດ​ການ​ກວດ​ສອບ​ທີ່​ຈໍາ​ເປັນ​ທັງ​ຫມົດ (ການ​ກວດ​ສອບ / ການ​ອະ​ນຸ​ຍາດ​, antivirus​, ການ​ບັນ​ທຶກ​, ... )
• ທ່ານ​ສາ​ມາດ​ນໍາ​ໃຊ້​ການ​ແບ່ງ​ປັນ​ຢ່າງ​ມີ​ເຫດ​ຜົນ​ຂອງ​ເຄືອ​ຂ່າຍ​ສູນ​ຂໍ້​ມູນ​ເປັນ​ພາກ​ສ່ວນ​, ຄ້າຍ​ຄື​ກັນ​ກັບ​ໂຄງ​ການ​ທີ່​ອະ​ທິ​ບາຍ​ໃນ PSEFABRIC ຕົວຢ່າງ p002. ໃນກໍລະນີນີ້, ເສັ້ນທາງຕ້ອງໄດ້ຮັບການກໍາຫນົດຄ່າໃນລັກສະນະທີ່ການຈະລາຈອນທີ່ມີຄວາມຊັກຊ້າຫຼືຄວາມຫນາແຫນ້ນສູງ "ພາຍໃນ" ພາກສ່ວນຫນຶ່ງ (ໃນກໍລະນີຂອງ p002, VRF) ແລະບໍ່ຜ່ານ firewall. ການຈະລາຈອນລະຫວ່າງພາກສ່ວນຕ່າງໆຈະສືບຕໍ່ຜ່ານໄຟວໍ. ທ່ານຍັງສາມາດໃຊ້ເສັ້ນທາງທີ່ຮົ່ວໄຫຼລະຫວ່າງ VRFs ເພື່ອຫຼີກເວັ້ນການປ່ຽນເສັ້ນທາງຜ່ານໄຟວໍ
• ທ່ານຍັງສາມາດໃຊ້ Firewall ໃນຮູບແບບໂປ່ງໃສ ແລະພຽງແຕ່ສໍາລັບ VLANs ເຫຼົ່ານັ້ນທີ່ປັດໃຈເຫຼົ່ານີ້ (latency / ປະສິດທິພາບ) ບໍ່ສໍາຄັນ. ແຕ່ທ່ານຈໍາເປັນຕ້ອງໄດ້ສຶກສາຢ່າງລະມັດລະວັງກ່ຽວກັບຂໍ້ຈໍາກັດທີ່ກ່ຽວຂ້ອງກັບການນໍາໃຊ້ mod ນີ້ສໍາລັບຜູ້ຂາຍແຕ່ລະຄົນ
• ທ່ານອາດຈະຕ້ອງການພິຈາລະນານໍາໃຊ້ສະຖາປັດຕະຍະກໍາລະບົບຕ່ອງໂສ້ການບໍລິການ. ນີ້ຈະຊ່ວຍໃຫ້ການຈະລາຈອນທີ່ຈໍາເປັນເທົ່ານັ້ນທີ່ຈະຜ່ານໄຟວໍ. ເບິ່ງງາມໃນທິດສະດີ, ແຕ່ຂ້ອຍບໍ່ເຄີຍເຫັນການແກ້ໄຂນີ້ໃນການຜະລິດ. ພວກເຮົາໄດ້ທົດສອບລະບົບຕ່ອງໂສ້ການບໍລິການສໍາລັບ Cisco ACI/Juniper SRX/F5 LTM ປະມານ 3 ປີກ່ອນຫນ້ານີ້, ແຕ່ໃນເວລານັ້ນການແກ້ໄຂນີ້ເບິ່ງຄືວ່າ "ຂີ້ຮ້າຍ" ສໍາລັບພວກເຮົາ.

ລະດັບການປົກປ້ອງ

ໃນປັດຈຸບັນທ່ານຈໍາເປັນຕ້ອງຕອບຄໍາຖາມຂອງສິ່ງທີ່ເຄື່ອງມືທີ່ທ່ານຕ້ອງການທີ່ຈະນໍາໃຊ້ເພື່ອການກັ່ນຕອງການຈະລາຈອນ. ນີ້ແມ່ນບາງລັກສະນະທີ່ປົກກະຕິແລ້ວມີຢູ່ໃນ NGFW (ຕົວຢ່າງ: ທີ່ນີ້):

• firewalling stateful (ຄ່າເລີ່ມຕົ້ນ)
• ຄໍາຮ້ອງສະຫມັກ firewalling
• ການ​ປ້ອງ​ກັນ​ໄພ​ຂົ່ມ​ຂູ່ (ຕ້ານ​ໄວຣ​ັ​ສ​, ຕ້ານ spyware​, ແລະ​ຄວາມ​ສ່ຽງ​)
• ການກັ່ນຕອງ URL
• ການກັ່ນຕອງຂໍ້ມູນ (ການກັ່ນຕອງເນື້ອຫາ)
• ການບລັອກໄຟລ໌ (ການບລັອກປະເພດໄຟລ໌)
• ການປົກປ້ອງ dos

ແລະບໍ່ແມ່ນທຸກສິ່ງທຸກຢ່າງຈະແຈ້ງຄືກັນ. ມັນເບິ່ງຄືວ່າລະດັບການປົກປ້ອງສູງກວ່າ, ດີກວ່າ. ແຕ່ທ່ານຍັງຈໍາເປັນຕ້ອງພິຈາລະນາວ່າ

• ຟັງຊັນ Firewall ຂ້າງເທິງຫຼາຍອັນທີ່ທ່ານໃຊ້, ມັນຈະມີລາຄາແພງກວ່າຕາມທໍາມະຊາດ (ໃບອະນຸຍາດ, ໂມດູນເພີ່ມເຕີມ)
• ການ​ນໍາ​ໃຊ້​ວິ​ທີ​ການ​ບາງ​ຢ່າງ​ສາ​ມາດ​ຫຼຸດ​ຜ່ອນ​ການ​ຜ່ານ firewall ຢ່າງ​ຫຼວງ​ຫຼາຍ​ແລະ​ຍັງ​ເພີ່ມ​ການ​ຊັກ​ຊ້າ​, ເບິ່ງ​ຕົວ​ຢ່າງ​ ທີ່ນີ້
• ເຊັ່ນດຽວກັນກັບການແກ້ໄຂສະລັບສັບຊ້ອນໃດກໍ່ຕາມ, ການນໍາໃຊ້ວິທີການປ້ອງກັນທີ່ສັບສົນສາມາດຫຼຸດຜ່ອນຄວາມຫນ້າເຊື່ອຖືຂອງການແກ້ໄຂຂອງທ່ານ, ຕົວຢ່າງເຊັ່ນ, ເມື່ອໃຊ້ໄຟວໍ, ຂ້ອຍໄດ້ພົບກັບການຂັດຂວາງບາງຄໍາຮ້ອງສະຫມັກທີ່ເຮັດວຽກໄດ້ມາດຕະຖານ (dns, smb)

ໃນຖານະເປັນສະເຫມີ, ທ່ານຈໍາເປັນຕ້ອງຊອກຫາການແກ້ໄຂທີ່ດີທີ່ສຸດສໍາລັບເຄືອຂ່າຍຂອງທ່ານ.

ມັນເປັນໄປບໍ່ໄດ້ທີ່ຈະຕອບຄໍາຖາມຢ່າງຈະແຈ້ງວ່າມີຫນ້າທີ່ປ້ອງກັນອັນໃດທີ່ອາດຈະຕ້ອງການ. ກ່ອນອື່ນ ໝົດ, ເພາະວ່າມັນແນ່ນອນຂື້ນກັບຂໍ້ມູນທີ່ເຈົ້າ ກຳ ລັງສົ່ງຫຼືເກັບຮັກສາແລະພະຍາຍາມປົກປ້ອງ. ອັນທີສອງ, ໃນຄວາມເປັນຈິງ, ການເລືອກເຄື່ອງມືຄວາມປອດໄພແມ່ນເປັນເລື່ອງຂອງຄວາມເຊື່ອແລະຄວາມໄວ້ວາງໃຈໃນຜູ້ຂາຍ. ທ່ານບໍ່ຮູ້ສູດການຄິດໄລ່, ທ່ານບໍ່ຮູ້ວ່າພວກມັນມີປະສິດທິພາບແນວໃດ, ແລະທ່ານບໍ່ສາມາດທົດສອບໄດ້ຢ່າງເຕັມສ່ວນ.

ດັ່ງນັ້ນ, ໃນພາກສ່ວນທີ່ສໍາຄັນ, ການແກ້ໄຂທີ່ດີອາດຈະເປັນການນໍາໃຊ້ການສະເຫນີຈາກບໍລິສັດທີ່ແຕກຕ່າງກັນ. ຕົວຢ່າງເຊັ່ນ, ທ່ານສາມາດເປີດໃຊ້ antivirus ໃນ firewall, ແຕ່ຍັງໃຊ້ການປ້ອງກັນ antivirus (ຈາກຜູ້ຜະລິດອື່ນ) ຢູ່ໃນ hosts.

ການແບ່ງສ່ວນ

ພວກເຮົາເວົ້າກ່ຽວກັບການແບ່ງສ່ວນຢ່າງມີເຫດຜົນຂອງເຄືອຂ່າຍສູນຂໍ້ມູນ. ຕົວຢ່າງ, ການແບ່ງສ່ວນເຂົ້າໄປໃນ VLAN ແລະເຄືອຂ່າຍຍ່ອຍແມ່ນການແບ່ງສ່ວນຢ່າງມີເຫດຜົນ, ແຕ່ພວກເຮົາຈະບໍ່ພິຈາລະນາມັນເນື່ອງຈາກຄວາມຊັດເຈນຂອງມັນ. ການແບ່ງສ່ວນທີ່ຫນ້າສົນໃຈທີ່ຄໍານຶງເຖິງຫນ່ວຍງານເຊັ່ນ: ເຂດຄວາມປອດໄພ FW, VRFs (ແລະ analogues ຂອງພວກເຂົາທີ່ກ່ຽວຂ້ອງກັບຜູ້ຂາຍຕ່າງໆ), ອຸປະກອນທີ່ມີເຫດຜົນ (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

ຕົວຢ່າງຂອງການແບ່ງສ່ວນຢ່າງມີເຫດຜົນດັ່ງກ່າວແລະການອອກແບບສູນຂໍ້ມູນຄວາມຕ້ອງການໃນປະຈຸບັນແມ່ນໃຫ້ຢູ່ໃນ p002 ຂອງໂຄງການ PSEFABRIC.

ໂດຍໄດ້ກໍານົດພາກສ່ວນທີ່ມີເຫດຜົນຂອງເຄືອຂ່າຍຂອງທ່ານ, ຫຼັງຈາກນັ້ນທ່ານສາມາດອະທິບາຍວ່າການຈະລາຈອນຍ້າຍລະຫວ່າງພາກສ່ວນຕ່າງໆ, ການກັ່ນຕອງອຸປະກອນໃດຈະຖືກປະຕິບັດແລະໂດຍວິທີໃດ.

ຖ້າເຄືອຂ່າຍຂອງທ່ານບໍ່ມີການແບ່ງປັນຢ່າງມີເຫດຜົນທີ່ຊັດເຈນແລະກົດລະບຽບການນໍາໃຊ້ນະໂຍບາຍຄວາມປອດໄພສໍາລັບການໄຫຼເຂົ້າຂອງຂໍ້ມູນທີ່ແຕກຕ່າງກັນບໍ່ໄດ້ເປັນທາງການ, ນີ້ຫມາຍຄວາມວ່າເມື່ອທ່ານເປີດການເຂົ້າເຖິງນີ້ຫຼືນັ້ນ, ທ່ານຖືກບັງຄັບໃຫ້ແກ້ໄຂບັນຫານີ້, ແລະມີຄວາມເປັນໄປໄດ້ສູງ. ຈະ​ແກ້​ໄຂ​ມັນ​ທຸກ​ຄັ້ງ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​.

ປົກກະຕິແລ້ວການແບ່ງສ່ວນແມ່ນອີງໃສ່ເຂດຄວາມປອດໄພ FW ເທົ່ານັ້ນ. ຫຼັງຈາກນັ້ນ, ທ່ານຈໍາເປັນຕ້ອງຕອບຄໍາຖາມຕໍ່ໄປນີ້:

• ເຈົ້າຕ້ອງການເຂດຄວາມປອດໄພອັນໃດ
• ທ່ານຕ້ອງການໃຊ້ການປົກປ້ອງລະດັບໃດກັບແຕ່ລະເຂດເຫຼົ່ານີ້
• ການສັນຈອນພາຍໃນເຂດຈະໄດ້ຮັບອະນຸຍາດຕາມຄ່າເລີ່ມຕົ້ນບໍ?
• ຖ້າບໍ່ແມ່ນ, ນະໂຍບາຍການກັ່ນຕອງການຈະລາຈອນຈະຖືກນໍາໃຊ້ພາຍໃນແຕ່ລະເຂດ
• ນະໂຍບາຍການກັ່ນຕອງການຈາລະຈອນອັນໃດຈະຖືກນໍາໃຊ້ສໍາລັບແຕ່ລະຄູ່ຂອງເຂດ (ແຫຼ່ງ / ຈຸດຫມາຍປາຍທາງ)

TCAM

ບັນຫາທົ່ວໄປແມ່ນ TCAM ບໍ່ພຽງພໍ (Ternary Content Addressable Memory), ທັງສໍາລັບເສັ້ນທາງ ແລະການເຂົ້າເຖິງ. IMHO, ນີ້ແມ່ນບັນຫາຫນຶ່ງທີ່ສໍາຄັນທີ່ສຸດໃນເວລາທີ່ເລືອກອຸປະກອນ, ດັ່ງນັ້ນທ່ານຈໍາເປັນຕ້ອງປິ່ນປົວບັນຫານີ້ດ້ວຍລະດັບການດູແລທີ່ເຫມາະສົມ.

ຕົວຢ່າງ 1. ຕາຕະລາງການສົ່ງຕໍ່ TCAM.

ໃຫ້ພິຈາລະນາ ປາໂລ ອັນໂຕ 7 ກ ໄຟວໍ
ພວກເຮົາເຫັນວ່າຂະຫນາດຕາຕະລາງການສົ່ງຕໍ່ IPv4* = 32K
ຍິ່ງໄປກວ່ານັ້ນ, ຈໍານວນເສັ້ນທາງນີ້ແມ່ນທົ່ວໄປສໍາລັບ VSYSs ທັງຫມົດ.

ໃຫ້ສົມມຸດວ່າອີງຕາມການອອກແບບຂອງທ່ານ, ທ່ານຕັດສິນໃຈໃຊ້ 4 VSYS.
ແຕ່ລະ VSYS ເຫຼົ່ານີ້ແມ່ນເຊື່ອມຕໍ່ຜ່ານ BGP ກັບສອງ MPLS PEs ຂອງເມຄທີ່ທ່ານໃຊ້ເປັນ BB. ດັ່ງນັ້ນ, 4 VSYS ແລກປ່ຽນທຸກເສັ້ນທາງສະເພາະກັບກັນແລະກັນແລະມີຕາຕະລາງການສົ່ງຕໍ່ທີ່ມີປະມານຊຸດດຽວກັນຂອງເສັ້ນທາງ (ແຕ່ NHs ທີ່ແຕກຕ່າງກັນ). ເນື່ອງຈາກວ່າ ແຕ່ລະ VSYS ມີ 2 BGP sessions (ມີການຕັ້ງຄ່າດຽວກັນ), ຫຼັງຈາກນັ້ນແຕ່ລະເສັ້ນທາງທີ່ໄດ້ຮັບຜ່ານ MPLS ມີ 2 NH ແລະ, ຕາມນັ້ນ, 2 ລາຍການ FIB ໃນຕາຕະລາງການສົ່ງຕໍ່. ຖ້າພວກເຮົາສົມມຸດວ່ານີ້ແມ່ນໄຟວໍດຽວໃນສູນຂໍ້ມູນແລະມັນຕ້ອງຮູ້ກ່ຽວກັບເສັ້ນທາງທັງຫມົດ, ນີ້ຫມາຍຄວາມວ່າຈໍານວນເສັ້ນທາງທັງຫມົດໃນສູນຂໍ້ມູນຂອງພວກເຮົາບໍ່ສາມາດມີຫຼາຍກ່ວາ 32K / (4 * 2) = 4K.

ໃນປັດຈຸບັນ, ຖ້າພວກເຮົາສົມມຸດວ່າພວກເຮົາມີ 2 ສູນຂໍ້ມູນ (ມີການອອກແບບດຽວກັນ), ແລະພວກເຮົາຕ້ອງການໃຊ້ VLANs "stretched" ລະຫວ່າງສູນຂໍ້ມູນ (ຕົວຢ່າງ, ສໍາລັບ vMotion), ຫຼັງຈາກນັ້ນເພື່ອແກ້ໄຂບັນຫາເສັ້ນທາງ, ພວກເຮົາຕ້ອງໃຊ້ host routes. . ແຕ່ນີ້ຫມາຍຄວາມວ່າສໍາລັບ 2 ສູນຂໍ້ມູນພວກເຮົາຈະມີບໍ່ເກີນ 4096 ເຈົ້າພາບທີ່ເປັນໄປໄດ້ແລະ, ແນ່ນອນ, ນີ້ອາດຈະບໍ່ພຽງພໍ.

ຕົວຢ່າງ 2. ACL TCAM.

ຖ້າທ່ານວາງແຜນທີ່ຈະກັ່ນຕອງການຈະລາຈອນໃນ L3 switches (ຫຼືວິທີແກ້ໄຂອື່ນໆທີ່ໃຊ້ L3 switches, ສໍາລັບການຍົກຕົວຢ່າງ, Cisco ACI), ຫຼັງຈາກນັ້ນ, ໃນເວລາທີ່ເລືອກອຸປະກອນ, ທ່ານຄວນເອົາໃຈໃສ່ກັບ TCAM ACL.

ສົມມຸດວ່າທ່ານຕ້ອງການຄວບຄຸມການເຂົ້າເຖິງໃນການໂຕ້ຕອບ SVI ຂອງ Cisco Catalyst 4500. ຫຼັງຈາກນັ້ນ, ດັ່ງທີ່ເຫັນໄດ້ຈາກ ຫົວ​ຂໍ້​ນີ້, ເພື່ອຄວບຄຸມການຈະລາຈອນຂາອອກ (ເຊັ່ນດຽວກັນກັບຂາເຂົ້າ) ໃນການໂຕ້ຕອບ, ທ່ານສາມາດນໍາໃຊ້ພຽງແຕ່ 4096 TCAM ສາຍ. ເຊິ່ງເມື່ອໃຊ້ TCAM3 ຈະໃຫ້ເຈົ້າປະມານ 4000 ພັນ ACE (ສາຍ ACL).

ຖ້າທ່ານປະເຊີນກັບບັນຫາຂອງ TCAM ບໍ່ພຽງພໍ, ແນ່ນອນ, ກ່ອນອື່ນ ໝົດ, ທ່ານຈໍາເປັນຕ້ອງພິຈາລະນາຄວາມເປັນໄປໄດ້ຂອງການເພີ່ມປະສິດທິພາບ. ດັ່ງນັ້ນ, ໃນກໍລະນີທີ່ມີບັນຫາກັບຂະຫນາດຂອງຕາຕະລາງການສົ່ງຕໍ່, ທ່ານຈໍາເປັນຕ້ອງພິຈາລະນາຄວາມເປັນໄປໄດ້ຂອງການລວບລວມເສັ້ນທາງ. ໃນກໍລະນີທີ່ມີບັນຫາກັບຂະຫນາດ TCAM ສໍາລັບການເຂົ້າເຖິງ, ການກວດສອບການເຂົ້າເຖິງ, ເອົາບັນທຶກທີ່ລ້າສະໄຫມແລະທັບຊ້ອນກັນ, ແລະອາດຈະປັບປຸງຂັ້ນຕອນການເປີດການເຂົ້າເຖິງ (ຈະໄດ້ຮັບການປຶກສາຫາລືຢ່າງລະອຽດໃນບົດກ່ຽວກັບການເຂົ້າເຖິງການກວດສອບ).

ມີຄວາມພ້ອມສູງ

ຄໍາຖາມແມ່ນ: ຂ້ອຍຄວນໃຊ້ HA ສໍາລັບ firewalls ຫຼືຕິດຕັ້ງສອງກ່ອງເອກະລາດ "ໃນຂະຫນານ" ແລະ, ຖ້າຫນຶ່ງໃນນັ້ນລົ້ມເຫລວ, ເສັ້ນທາງການຈະລາຈອນຜ່ານທີສອງ?

ມັນເບິ່ງຄືວ່າຄໍາຕອບແມ່ນຈະແຈ້ງ - ໃຊ້ HA. ເຫດຜົນວ່າເປັນຫຍັງຄໍາຖາມນີ້ຍັງເກີດຂຶ້ນແມ່ນວ່າ, ແຕ່ຫນ້າເສຍດາຍ, ທິດສະດີແລະການໂຄສະນາ 99 ແລະອັດຕາສ່ວນອັດຕານິຍົມຈໍານວນຫນຶ່ງຂອງການເຂົ້າເຖິງໃນການປະຕິບັດໄດ້ກາຍເປັນຢູ່ໄກຈາກ rosy ຫຼາຍ. HA ແມ່ນສົມເຫດສົມຜົນທີ່ຂ້ອນຂ້າງສັບສົນ, ແລະກ່ຽວກັບອຸປະກອນທີ່ແຕກຕ່າງກັນ, ແລະກັບຜູ້ຂາຍທີ່ແຕກຕ່າງກັນ (ບໍ່ມີຂໍ້ຍົກເວັ້ນ), ພວກເຮົາຈັບບັນຫາແລະຂໍ້ບົກພ່ອງແລະການຢຸດເຊົາການບໍລິການ.

ຖ້າທ່ານໃຊ້ HA, ທ່ານຈະມີໂອກາດທີ່ຈະປິດ nodes ສ່ວນບຸກຄົນ, ປ່ຽນລະຫວ່າງພວກມັນໂດຍບໍ່ມີການຢຸດການບໍລິການ, ເຊິ່ງເປັນສິ່ງສໍາຄັນ, ຕົວຢ່າງເຊັ່ນ, ເມື່ອເຮັດການຍົກລະດັບ, ແຕ່ໃນເວລາດຽວກັນທ່ານມີຄວາມເປັນໄປໄດ້ໄກຈາກສູນທີ່ທັງສອງ nodes. ຈະແຕກໃນເວລາດຽວກັນ, ແລະຍັງວ່າການຍົກລະດັບຕໍ່ໄປຈະບໍ່ເປັນໄປຕາມທີ່ຜູ້ຂາຍສັນຍາໄວ້ (ບັນຫານີ້ສາມາດຫຼີກເວັ້ນໄດ້ຖ້າທ່ານມີໂອກາດທີ່ຈະທົດສອບການຍົກລະດັບໃນອຸປະກອນຫ້ອງທົດລອງ).

ຖ້າທ່ານບໍ່ໃຊ້ HA, ຫຼັງຈາກນັ້ນຈາກທັດສະນະຂອງຄວາມລົ້ມເຫຼວສອງເທົ່າຄວາມສ່ຽງຂອງທ່ານແມ່ນຕ່ໍາຫຼາຍ (ນັບຕັ້ງແຕ່ທ່ານມີ 2 firewalls ເອກະລາດ), ແຕ່ນັບຕັ້ງແຕ່ ... ເຊດຊັນບໍ່ໄດ້ຖືກ synchronized, ຫຼັງຈາກນັ້ນທຸກຄັ້ງທີ່ທ່ານປ່ຽນລະຫວ່າງ firewalls ເຫຼົ່ານີ້ທ່ານຈະສູນເສຍການຈະລາຈອນ. ທ່ານສາມາດ, ແນ່ນອນ, ໃຊ້ firewalling stateless, ແຕ່ຫຼັງຈາກນັ້ນຈຸດຂອງການນໍາໃຊ້ firewall ແມ່ນສູນເສຍໄປ.

ດັ່ງນັ້ນ, ຖ້າຜົນຂອງການກວດສອບທ່ານໄດ້ຄົ້ນພົບໄຟວໍທີ່ໂດດດ່ຽວ, ແລະທ່ານກໍາລັງຄິດກ່ຽວກັບການເພີ່ມຄວາມຫນ້າເຊື່ອຖືຂອງເຄືອຂ່າຍຂອງທ່ານ, ແນ່ນອນ, HA ແມ່ນຫນຶ່ງໃນວິທີແກ້ໄຂທີ່ແນະນໍາ, ແຕ່ທ່ານຄວນຄໍານຶງເຖິງຂໍ້ເສຍທີ່ກ່ຽວຂ້ອງ. ດ້ວຍວິທີການນີ້ແລະ, ບາງທີ, ໂດຍສະເພາະສໍາລັບເຄືອຂ່າຍຂອງທ່ານ, ການແກ້ໄຂອື່ນແມ່ນເຫມາະສົມກວ່າ.

ຄວາມສາມາດໃນການຈັດການ

ໃນຫຼັກການ, HA ແມ່ນກ່ຽວກັບການຄວບຄຸມ. ແທນທີ່ຈະກໍານົດ 2 ກ່ອງແຍກຕ່າງຫາກແລະຈັດການກັບບັນຫາຂອງການຮັກສາການຕັ້ງຄ່າໃນ sync, ເຈົ້າຈັດການພວກມັນຫຼາຍຄືກັບວ່າເຈົ້າມີອຸປະກອນດຽວ.

ແຕ່ບາງທີເຈົ້າອາດມີສູນຂໍ້ມູນຫຼາຍ ແລະ firewalls ຫຼາຍ, ຫຼັງຈາກນັ້ນຄໍາຖາມນີ້ເກີດຂື້ນໃນລະດັບໃຫມ່. ແລະຄໍາຖາມແມ່ນບໍ່ພຽງແຕ່ກ່ຽວກັບການຕັ້ງຄ່າ, ແຕ່ຍັງກ່ຽວກັບ

• ການ​ຕັ້ງ​ຄ່າ​ສໍາ​ຮອງ​ຂໍ້​ມູນ​
• ອັບເດດ
• ການຍົກລະດັບ
• ການຕິດຕາມ
• ການຕັດໄມ້

ແລະທັງຫມົດນີ້ສາມາດແກ້ໄຂໄດ້ໂດຍລະບົບການຄຸ້ມຄອງສູນກາງ.

ດັ່ງນັ້ນ, ສໍາລັບຕົວຢ່າງ, ຖ້າຫາກວ່າທ່ານກໍາລັງໃຊ້ໄຟວໍ Palo Alto, ຫຼັງຈາກນັ້ນ panorama ແມ່ນການແກ້ໄຂດັ່ງກ່າວ.

ຕິດ​ຕາມ​ຕອນ​ຕໍ່​ໄປ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com