Ity lahatsoratra ity no fahatelo amin'ny andian-dahatsoratra "Ahoana ny fomba hifehezana ny fotodrafitrasa tambajotrao." Ny votoatin'ny lahatsoratra rehetra ao amin'ny andian-dahatsoratra sy ny rohy dia azo jerena .
Tsy misy dikany ny miresaka momba ny fanafoanana tanteraka ny loza ateraky ny filaminana. Amin'ny ankapobeny, tsy afaka mampihena azy ireo ho aotra isika. Mila takatsika ihany koa fa rehefa miezaka manao ny tambajotra ho azo antoka kokoa isika, dia mihamitombo hatrany ny vahaolana. Mila mitady fifanakalozam-barotra eo amin'ny vidiny, ny fahasarotana ary ny fiarovana izay mitombina amin'ny tambajotranao ianao.
Mazava ho azy, ny famolavolana fiarovana dia tafiditra ao anatin'ny rafitra ankapobeny ary ny vahaolana fiarovana ampiasaina dia misy fiantraikany amin'ny scalability, ny fahatokisana, ny fitantanana, ... ny fotodrafitrasa tambajotra, izay tsy maintsy raisina ihany koa.
Fa mampahatsiahy anao aho fa tsy ny famoronana tambajotra no resahina. Araka ny antsika Efa nisafidy ny famolavolana isika, nisafidy ny fitaovana ary namorona ny fotodrafitrasa, ary amin'ity dingana ity, raha azo atao, dia tokony "hiaina" ary hitady vahaolana amin'ny tontolon'ny fomba nofidina teo aloha.
Ny andraikitray ankehitriny dia ny mamantatra ireo loza mifandray amin'ny fiarovana eo amin'ny sehatry ny tambajotra ary mampihena izany amin'ny ambaratonga mety.
Fanaraha-maso fiarovana amin'ny tambajotra
Raha nampihatra ny fizotran'ny ISO 27k ny orinasanao, dia tokony hifanaraka tsara amin'ny dingana ankapobeny ao anatin'ity fomba ity ny fanaraha-maso fiarovana sy ny fiovan'ny tambajotra. Saingy ireo fenitra ireo dia mbola tsy momba ny vahaolana manokana, tsy momba ny fanamafisana, fa tsy momba ny famolavolana ... Tsy misy toro-hevitra mazava, tsy misy fenitra milaza amin'ny antsipiriany ny tokony ho toetran'ny tambajotranao, izany no fahasarotana sy hatsaran'ity asa ity.
Hanasongadina maromaro azo atao ny fanaraha-maso fiarovana amin'ny tambajotra aho:
- Fanaraha-maso ny fanamafisana ny fitaovana (hardening)
- fanaraha-maso ny famolavolana fiarovana
- fidirana audit
- fanaraha-maso ny dingana
Fanaraha-maso ny fanamafisam-peo (fanamafisana)
Toa amin'ny ankabeazan'ny tranga dia io no toerana fanombohana tsara indrindra amin'ny fanaraha-maso sy fanatsarana ny fiarovana ny tambajotranao. IMHO, fanehoana tsara ny lalàn'i Pareto ity (20% amin'ny ezaka dia mamokatra 80% amin'ny vokatra, ary ny 80% amin'ny ezaka sisa dia mamokatra 20% amin'ny vokatra).
Ny fehiny dia matetika manana tolo-kevitra avy amin'ny mpivarotra momba ny "fomba fanao tsara indrindra" ho an'ny fiarovana rehefa manamboatra fitaovana. Izany dia antsoina hoe "hardening".
Azonao atao koa ny mahita fanontaniana matetika (na mamorona anao manokana) mifototra amin'ireo tolo-kevitra ireo, izay hanampy anao hamantatra hoe hatraiza ny fanaraha-maso ny fitaovanao amin'ireo "fomba fanao tsara indrindra" ireo ary, mifanaraka amin'ny vokatra, manova ny tambajotrao. . Izany dia ahafahanao mampihena be ny risika amin'ny fiarovana mora foana, tsy misy vidiny.
Ohatra maromaro ho an'ny rafitra fiasan'ny Cisco sasany.
Mifototra amin'ireo antontan-taratasy ireo, ny lisitr'ireo fepetra takian'ny fanamboarana ho an'ny karazana fitaovana tsirairay dia azo noforonina. Ohatra, ho an'ny Cisco N7K VDC dia mety ho toa ireto fepetra ireto .
Amin'izany fomba izany, dia azo noforonina ho an'ny karazana fitaovana mavitrika isan-karazany ao amin'ny fotodrafitrasa tambajotranao ny rakitra fikirakirana. Avy eo, amin'ny tanana na amin'ny fampiasana automatique, azonao atao ny "mampakatra" ireo rakitra fanamafisana ireo. Hodinihina amin'ny antsipiriany ao amin'ny andian-dahatsoratra hafa momba ny orkestra sy ny automatique ny fomba automatique an'ity dingana ity.
Fanaraha-maso ny famolavolana fiarovana
Amin'ny ankapobeny, ny tambajotra orinasa dia ahitana ireto fizarana manaraka ireto amin'ny endrika iray na hafa:
- DC (serivisy ho an'ny daholobe DMZ sy foibe angona intranet)
- Internet access
- VPN fidirana lavitra
- WAN sisiny
- sampana
- Campus (birao)
- Core
Lohateny nalaina tamin'ny modely, fa tsy ilaina, mazava ho azy, ny mifatotra amin`ny marina ireo anarana sy ny modely. Na izany aza, te-hiresaka momba ny maha-zava-dehibe aho fa tsy ho variana amin'ny fombafomba.
Ho an'ny tsirairay amin'ireo fizarana ireo, ny fepetra fiarovana, ny risika ary, araka izany, ny vahaolana dia tsy mitovy.
Andeha hojerentsika tsirairay avy ny olana mety ho tojo anao amin'ny lafiny famolavolana fiarovana. Mazava ho azy fa averiko indray fa tsy misy mihitsy ity lahatsoratra ity mody feno, izay tsy mora (raha tsy azo atao) amin'ity lohahevitra tena lalina sy maro karazana ity, fa maneho ny traikefako manokana.
Tsy misy vahaolana tonga lafatra (farafaharatsiny tsy mbola). Marimaritra iraisana foana. Fa zava-dehibe ny fanapahan-kevitra hampiasa fomba iray na hafa dia raisina an-tsaina, miaraka amin'ny fahatakarana ny lafy ratsiny sy ny lafy ratsiny.
Data Center
Ny ampahany manan-danja indrindra amin'ny lafiny fiarovana.
Ary, toy ny mahazatra, tsy misy vahaolana manerantany ihany koa eto. Izany rehetra izany dia miankina tanteraka amin'ny fepetra takian'ny tambajotra.
Ilaina ve ny firewall sa tsia?
Toa mazava ny valiny, saingy tsy dia mazava loatra araka ny mety ho hita ny zava-drehetra. Ary tsy ny safidinao ihany no mety hisy fiantraikany ny vidiny.
Ohatra 1. Fahatarana.
Raha toa ka fepetra tsy maintsy ilaina eo amin'ny sehatra tambajotra sasany ny fahatarana ambany, izany hoe, marina amin'ny resaka fifanakalozana, dia tsy ho afaka hampiasa firewall eo anelanelan'ireo fizarana ireo isika. Sarotra ny mahita fandalinana momba ny latency amin'ny firewalls, saingy vitsy ny modely switch afaka manome latency latsaky ny 1 mksec, noho izany dia heveriko fa raha zava-dehibe aminao ny microseconds dia tsy ho anao ny firewall.
Ohatra 2. Performance.
Ny fidirana amin'ny switch L3 ambony dia matetika filaharana ambony kokoa noho ny fidiran'ny rindrina afo mahery indrindra. Noho izany, amin'ny trangan'ny fifamoivoizana mahery vaika dia mety tsy maintsy mamela ity fifamoivoizana ity handalo ny firewalls ihany koa ianao.
Ohatra 3. Azo itokisana.
Ny firewall, indrindra ny NGFW maoderina (FW Next-Generation) dia fitaovana sarotra. Sarotra kokoa noho ny switch L3/L2 izy ireo. Manolotra serivisy sy safidy maro izy ireo, noho izany dia tsy mahagaga raha ambany kokoa ny fahatokisany. Raha tena zava-dehibe amin'ny tambajotra ny fitohizan'ny serivisy, dia mety tsy maintsy misafidy izay hitarika ho amin'ny fahazoana tsaratsara kokoa ianao - fiarovana amin'ny firewall na ny fahatsoran'ny tambajotra miorina amin'ny switch (na karazana lamba isan-karazany) mampiasa ACL mahazatra.
Amin'ireo ohatra etsy ambony ireo dia mety tsy maintsy mitady marimaritra iraisana ianao (toy ny mahazatra). Jereo ireto vahaolana manaraka ireto:
- raha manapa-kevitra ny tsy hampiasa firewall ao anatin'ny foibe data ianao, dia mila mieritreritra ny fomba hamerana ny fidirana manodidina ny perimeter araka izay azo atao. Ohatra, azonao atao ny manokatra afa-tsy ny seranana ilaina avy amin'ny Internet (ho an'ny fifamoivoizana mpanjifa) sy ny fidirana ara-pitantanana mankany amin'ny foibe data raha tsy avy amin'ny mpampiantrano jump. Amin'ny mpampiantrano jump, ataovy ny fisavana rehetra ilaina (fanamarinana/fanomezana, antivirus, logging, ...)
- azonao atao ny mampiasa fizarazarana lojika amin'ny tambajotran'ny foibe data ho fizarana, mitovy amin'ny tetika voalaza ao amin'ny PSEFABRIC . Amin'ity tranga ity, ny zotra dia tsy maintsy amboarina amin'ny fomba izay ahafahan'ny fifamoivoizana saro-pady na avo lenta mandeha "ao anatin'ny" ampahany iray (amin'ny tranga p002, VRF) ary tsy mandeha amin'ny firewall. Hitohy amin'ny alàlan'ny rindrina afo ny fifamoivoizana eo amin'ny fizarana samihafa. Azonao atao ihany koa ny mampiasa lalana mitete eo anelanelan'ny VRF mba hisorohana ny fampidinana ny fifamoivoizana amin'ny alàlan'ny firewall
- Azonao atao koa ny mampiasa firewall amin'ny fomba mangarahara ary ho an'ireo VLAN izay tsy misy dikany ireo anton-javatra ireo (latency/performance). Saingy mila mandinika tsara ny fameperana mifandraika amin'ny fampiasana ity mod ity ho an'ny mpivarotra tsirairay ianao
- azonao atao ny mandinika ny fampiasana rafitra rojo serivisy. Izany dia hamela ny fifamoivoizana ilaina ihany handalo ny firewall. Toa mahafinaritra amin'ny teoria, fa tsy mbola nahita an'io vahaolana io aho tamin'ny famokarana. Nosedrainay ny rojo serivisy ho an'ny Cisco ACI/Juniper SRX/F5 LTM tokony ho 3 taona lasa izay, saingy tamin'izany fotoana izany dia toa "tsy misy dikany" ho anay io vahaolana io.
Avo fiarovana
Ankehitriny dia mila mamaly ny fanontaniana momba ny fitaovana tianao hampiasaina hanivanana ny fifamoivoizana ianao. Ireto ny sasany amin'ireo endri-javatra izay matetika hita ao amin'ny NGFW (ohatra, ):
- firewall amin'ny fanjakana (default)
- fampiharana firewall
- fisorohana ny fandrahonana (antivirus, anti-spyware, ary vulnerability)
- Sivana URL
- fanivanana angona (fanasivana votoaty)
- fanakanana fisie (fanakanana karazana rakitra)
- fiarovana dos
Ary tsy mazava koa ny zava-drehetra. Toa ny ambony ny haavon'ny fiarovana no tsara kokoa. Mila mandinika izany koa anefa ianao
- Arakaraky ny fampiasanao ny firewall etsy ambony, dia ho lafo kokoa izany (licence, modules fanampiny)
- ny fampiasana algorithm sasany dia mety hampihena be ny fidirana amin'ny firewall ary hampitombo ny fahatarana, jereo ohatra
- toy ny vahaolana saro-pady rehetra, ny fampiasana fomba fiarovana sarotra dia mety hampihena ny fahamendrehan'ny vahaolanao, ohatra, rehefa mampiasa firewall fampiharana aho, dia nifanena tamin'ny fanakanana ny rindranasa sasany miasa (dns, smb)
Toy ny mahazatra, mila mitady vahaolana tsara indrindra ho an'ny tambajotranao ianao.
Tsy azo atao ny mamaly amin'ny fomba voafaritra tsara ny fanontaniana momba ny asa fiarovana mety ilaina. Voalohany, satria mazava ho azy fa miankina amin'ny angon-drakitra alefanao na tehirizinao ary ezahinao arovana. Faharoa, raha ny marina, matetika ny fisafidianana fitaovana fiarovana dia resaka finoana sy fahatokisana ny mpivarotra. Tsy fantatrao ny algorithms, tsy fantatrao ny fahombiazany, ary tsy azonao atao ny manandrana azy ireo tanteraka.
Noho izany, amin'ny fizarana mitsikera, ny vahaolana tsara dia ny fampiasana tolotra avy amin'ny orinasa samihafa. Ohatra, azonao atao ny mamela ny antivirus amin'ny firewall, fa koa mampiasa fiarovana antivirus (avy amin'ny mpanamboatra hafa) eo an-toerana amin'ny mpampiantrano.
Segmentation
Miresaka momba ny fizarana lojika amin'ny tambajotran'ny ivontoerana data isika. Ohatra, ny fizarana amin'ny VLAN sy ny subnets dia fizarana lojika ihany koa, saingy tsy hojerentsika izany noho ny fahitana azy. Fizarana mahaliana amin'ny fiheverana ireo sampana toy ny faritra fiarovana FW, VRF (sy ny analogues mifandraika amin'ny mpivarotra isan-karazany), fitaovana lojika (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...
Ohatra iray amin'ny fizarazarana lojika toy izany sy ny famolavolana ivom-pamokarana amin'izao fotoana izao dia omena ao .
Rehefa avy namaritra ireo ampahany lojika amin'ny tambajotranao ianao, dia azonao atao ny mamaritra ny fomba fifindran'ny fifamoivoizana eo anelanelan'ny fizarana samihafa, izay hanaovana sivana ny fitaovana ary amin'ny fomba ahoana.
Raha toa ka tsy manana fizarazarana lojika mazava ny tambajotranao ary ny fitsipika momba ny fampiharana ny politikam-piarovana amin'ny fikorianan'ny angon-drakitra samihafa dia tsy ara-dalàna, midika izany fa rehefa manokatra an'ity na ity fidirana ity ianao, dia voatery mamaha ity olana ity ianao, ary manana vintana lehibe ianao. hamaha izany isaky ny samy hafa.
Matetika ny fizarana dia mifototra amin'ny faritra fiarovana FW ihany. Dia mila mamaly ireto fanontaniana manaraka ireto ianao:
- inona ny faritra fiarovana ilainao
- inona ny haavon'ny fiarovana tianao hampiharina amin'ny tsirairay amin'ireo faritra ireo
- avela amin'ny alàlan'ny default ve ny fifamoivoizana amin'ny faritra?
- raha tsy izany, inona ny politikan'ny sivana fifamoivoizana no hampiharina ao anatin'ny faritra tsirairay
- inona ny politikan'ny fanivanana ny fifamoivoizana hampiharina ho an'ny faritra roa (loharano/fizahana)
TCAM
Ny olana mahazatra dia ny tsy fahampian'ny TCAM (Ternary Content Addressable Memory), na ho an'ny lalana na ho an'ny fidirana. IMHO, ity no iray amin'ireo olana manan-danja indrindra rehefa misafidy fitaovana, noho izany dia mila mikarakara ity olana ity ianao amin'ny fikarakarana sahaza azy.
Ohatra 1. Tabilao fandefasana TCAM.
andeha hodinihintsika firewall
Hitantsika fa ny haben'ny latabatra fandefasana IPv4* = 32K
Ankoatr'izay, io isa io dia mahazatra ho an'ny VSYS rehetra.Andeha hojerentsika fa araka ny endrikao dia manapa-kevitra ny hampiasa 4 VSYS ianao.
Ny tsirairay amin'ireo VSYS ireo dia mifandray amin'ny BGP amin'ny MPLS PE roa an'ny rahona ampiasainao ho BB. Noho izany, ny 4 VSYS dia mifanakalo ny lalana voafaritra rehetra ary manana latabatra fandefasana miaraka amin'ireo andian-dàlana mitovy (fa samy hafa ny NH). SATRIA Ny VSYS tsirairay dia manana fotoam-pivoriana 2 BGP (miaraka amin'ny toe-javatra mitovy), avy eo ny lalana tsirairay azo amin'ny alàlan'ny MPLS dia manana 2 NH ary, araka izany, ny fidirana FIB 2 ao amin'ny tabilao fandefasana. Raha mihevitra isika fa ity no hany firewall ao amin'ny foibe data ary tsy maintsy mahafantatra ny lalana rehetra, dia midika izany fa ny totalin'ny lalana ao amin'ny foibe data dia tsy tokony ho mihoatra ny 32K/(4 * 2) = 4K.Ankehitriny, raha mihevitra isika fa manana foibe data 2 (miaraka amin'ny endrika mitovy), ary te-hampiasa VLANs "mihinjitra" eo anelanelan'ny foibe data (ohatra, ho an'ny vMotion), dia mba hamahana ny olan'ny routing dia tsy maintsy mampiasa lalan'ny mpampiantrano. . Saingy midika izany fa ho an'ny foibe data 2 dia tsy hanana mpampiantrano mihoatra ny 4096 isika ary mazava ho azy fa mety tsy ho ampy izany.
Ohatra 2. ACL TCAM.
Raha mikasa ny hanivana ny fifamoivoizana amin'ny switch L3 ianao (na vahaolana hafa mampiasa switch L3, ohatra, Cisco ACI), dia tokony handinika ny TCAM ACL ianao rehefa mifidy fitaovana.
Eritrereto hoe te hifehy ny fidirana amin'ny interface SVI an'ny Cisco Catalyst 4500 ianao. Avy eo, araka ny hita amin'ny , mba hifehezana ny fifamoivoizana mivoaka (ary koa ny miditra) amin'ny interface, dia tsipika 4096 TCAM ihany no azonao ampiasaina. Izay rehefa mampiasa TCAM3 dia hanome anao 4000 arivo ACEs (tsipika ACL).
Raha sendra olana amin'ny tsy fahampian'ny TCAM ianao, dia voalohany indrindra, mazava ho azy, mila mandinika ny mety hisian'ny fanatsarana ianao. Noho izany, raha misy olana amin'ny haben'ny tabilao fandefasana, dia mila mandinika ny mety hisian'ny fanangonam-bokatra ianao. Raha misy olana amin'ny haben'ny TCAM ho an'ny fidirana, ny fidirana amin'ny fanaraha-maso, esory ny firaketana lany daty sy mifanipaka, ary mety havaozina ny fomba fanokafana fidirana (hodinihina amin'ny antsipiriany ao amin'ny toko momba ny fidirana amin'ny fanaraha-maso).
High Availability
Ny fanontaniana dia: tokony hampiasa HA ho an'ny firewall ve aho na hametraka boaty tsy miankina roa "mifanindran-dàlana" ary, raha tsy mahomby ny iray amin'izy ireo dia mandehana ny fifamoivoizana amin'ny faharoa?
Toa mazava ny valiny - ampiasao HA. Ny antony mbola mipoitra io fanontaniana io dia, indrisy, ny teorika sy ny dokam-barotra 99 ary ny isan-jaton'ny fahafahana miditra amin'ny fampiharana dia lasa lavitra be. Ny HA dia zavatra saro-takarina, ary amin'ny fitaovana samihafa, ary miaraka amin'ireo mpivarotra samihafa (tsy misy maningana), dia nisy olana sy bibikely ary fiatoana serivisy.
Raha mampiasa HA ianao dia hanana fahafahana hamono ny nodes tsirairay, mifamadika eo anelanelan'izy ireo tsy miato ny serivisy, izay zava-dehibe, ohatra, rehefa manao fanavaozana, fa amin'ny fotoana iray ihany koa dia manana probability lavitry ny zero ianao fa samy nodes dia ho tapaka amin'ny fotoana iray ihany, ary koa ny fanavaozana manaraka dia tsy handeha araka ny fampanantenan'ny mpivarotra (azo alaina io olana io raha manana fahafahana hitsapa ny fanavaozana amin'ny fitaovana laboratoara ianao).
Raha tsy mampiasa HA ianao, dia avy amin'ny fomba fijery ny tsy fahombiazana avo roa heny ny loza mety hitranga (satria manana firewall tsy miankina 2 ianao), fa hatramin'ny ... sessions dia tsy arindra, dia isaky ny mifamadika eo amin'ireo firewalls ireo ianao dia ho very fifamoivoizana. Azonao atao, mazava ho azy, ny mampiasa firewall tsy misy fanjakana, saingy very ny teboka amin'ny fampiasana firewall.
Noho izany, raha vokatry ny fanaraha-maso dia nahita firewall manirery ianao, ary mieritreritra ny hampitombo ny fahamendrehan'ny tambajotrao ianao, dia ny HA, mazava ho azy, dia iray amin'ireo vahaolana atolotra, fa tokony hojerenao ihany koa ny fatiantoka mifandraika amin'izany. miaraka amin'ity fomba fiasa ity ary, angamba, ho an'ny tambajotranao manokana, vahaolana hafa no mety kokoa.
fahaiza-mitantana
Amin'ny ankapobeny, ny HA dia momba ny fifehezana ihany koa. Raha tokony hanamboatra boaty 2 mitokana ianao ary miatrika ny olana amin'ny fitazonana ny fampifanarahana amin'ny sync, dia mitantana azy ireo toy ny hoe manana fitaovana iray ianao.
Saingy angamba manana ivom-baovao maro sy firewall maro ianao, dia mipoitra amin'ny ambaratonga vaovao io fanontaniana io. Ary ny fanontaniana dia tsy momba ny configuration, fa koa ny
- backup configurations
- vaovao farany
- fanavaozana
- Fanaraha-maso
- logging
Ary izany rehetra izany dia azo voavaha amin'ny rafitra fitantanana foibe.
Noho izany, ohatra, raha mampiasa firewall Palo Alto ianao, dia dia vahaolana toy izany.
To continue.
Source: www.habr.com