Ity lahatsoratra ity dia ny fahadimy amin'ny andian-dahatsoratra "Ahoana ny fomba hifehezana ny fotodrafitrasa tambajotrao." Ny votoatin'ny lahatsoratra rehetra ao amin'ny andian-dahatsoratra sy ny rohy dia azo jerena .
Ity ampahany ity dia natokana ho an'ny fizarana Campus (Office) & VPN fidirana lavitra.
Mety ho toa mora ny famolavolana tambajotra birao.
Eny tokoa, maka switch L2/L3 izahay ary mampifandray azy ireo. Manaraka, manao ny fametrahana fototra amin'ny vilans sy ny vavahady default izahay, manangana lalana tsotra, mampifandray ireo mpanara-maso WiFi, teboka fidirana, mametraka sy manamboatra ASA ho an'ny fidirana lavitra, faly izahay fa niasa ny zava-drehetra. Amin'ny ankapobeny, araka ny efa nosoratako tao amin'ny iray amin'ireo teo aloha Amin'ity tsingerina ity, saika ny mpianatra rehetra izay nanatrika (sy nianatra) roa semester amin'ny taranja telecom dia afaka mamolavola sy manamboatra tambajotra birao mba "miasa" izany.
Saingy arakaraka ny hianaranao no manomboka toa tsy dia tsotra io asa io. Ho ahy manokana, ity lohahevitra ity, ny lohahevitra momba ny famolavolana tambajotra birao, dia toa tsy tsotra mihitsy, ary amin'ity lahatsoratra ity dia hiezaka ny hanazava ny antony aho.
Raha fintinina dia misy antony vitsivitsy tokony hodinihina. Matetika no mifanipaka ireo lafin-javatra ireo ary tsy maintsy mitady marimaritra iraisana.
Io tsy fahatokisana io no tena sarotra. Noho izany, raha miresaka momba ny fiarovana, dia manana telozoro misy vertices telo: fiarovana, fanamorana ny mpiasa, ny vidin'ny vahaolana.
Ary isaky ny mila mitady marimaritra iraisana eo amin'ireo telo ireo ianao.
maritrano
Ho ohatra amin'ny maritrano ho an'ireo fizarana roa ireo, toy ny tamin'ny lahatsoratra teo aloha, dia manoro hevitra aho modely: , .
Taratasy somary lany andro ireo. Atolotro eto izy ireo satria tsy niova ny tetika sy ny fomba ifotony, fa sady tiako kokoa ny famelabelarana noho ny in .
Raha tsy mamporisika anao hampiasa ny vahaolana Cisco, dia mbola heveriko fa ilaina ny mandinika tsara an'io famolavolana io.
Ity lahatsoratra ity, toy ny mahazatra, dia tsy miseho ho feno, fa fanampim-baovao.
Amin'ny faran'ny lahatsoratra dia hamakafaka ny famolavolana biraon'ny Cisco SAFE isika amin'ny resaka foto-kevitra voasoritra eto.
Fitsipika ankapobeny
Ny famolavolana ny tambajotra birao dia tsy maintsy, mazava ho azy, mahafeno ny fepetra ankapobeny izay noresahina ao amin'ny toko "Criteria ho an'ny fanombanana ny kalitaon'ny famolavolana". Ankoatra ny vidiny sy ny fiarovana, izay tiantsika horesahina ato amin'ity lahatsoratra ity, dia mbola misy fepetra telo tokony hodinihina rehefa mamolavola (na manao fanovana):
- scalability
- mora ampiasaina (managability)
- Availability
Betsaka ny zavatra noresahina Marina koa izany ho an'ny birao.
Saingy na izany aza, ny ampahany amin'ny birao dia manana ny mombamomba azy manokana, izay manakiana amin'ny lafiny fiarovana. Ny fototry ny manokana dia ny hoe ity fizarana ity dia noforonina mba hanomezana serivisy tambajotra ho an'ny mpiasa (ary koa ny mpiara-miombon'antoka sy ny vahiny) ao amin'ny orinasa, ary vokatr'izany, amin'ny ambaratonga ambony indrindra amin'ny fiheverana ny olana dia manana asa roa isika:
- arovy ny loharanon'ny orinasa amin'ny hetsika ratsy mety ho avy amin'ny mpiasa (vahiny, mpiara-miasa) ary avy amin'ny rindrambaiko ampiasainy. Anisan'izany ny fiarovana amin'ny fifandraisana tsy nahazoana alalana amin'ny tambajotra.
- miaro ny rafitra sy ny angona mpampiasa
Ary lafiny iray ihany amin'ny olana izany (na ny marimarina kokoa, iray vertex amin'ny telozoro). Amin'ny lafiny iray dia ny fahafahan'ny mpampiasa sy ny vidin'ny vahaolana ampiasaina.
Andeha isika hanomboka amin'ny fijerena izay andrasan'ny mpampiasa iray amin'ny tambajotra birao maoderina.
tsy hanahirana
Toy izao ny endrik'ireo "fitaovana tambajotra" ho an'ny mpampiasa birao raha ny hevitro:
- mivezivezy
- Fahaizana mampiasa ny fitaovana sy rafitra fiasana mahazatra
- Fidirana mora amin'ny loharanon-karena rehetra ilaina amin'ny orinasa
- Ny fisian'ny loharanon'ny Internet, ao anatin'izany ny serivisy rahona isan-karazany
- "Fast operation" ny tambajotra
Izany rehetra izany dia mihatra amin'ny mpiasa sy ny vahiny (na mpiara-miombon'antoka), ary anjaran'ny injenieran'ny orinasa ny manavaka ny fidirana ho an'ny vondrona mpampiasa samihafa mifototra amin'ny fanomezan-dàlana.
Andeha hojerentsika amin'ny antsipiriany bebe kokoa ny tsirairay amin'ireo lafiny ireo.
mivezivezy
Miresaka momba ny fahafahana miasa sy mampiasa ny loharanon-karena rehetra ilaina amin'ny orinasa na aiza na aiza eto amin'izao tontolo izao isika (mazava ho azy fa misy ny Internet).
Izany dia mihatra tanteraka amin'ny birao. Mety izany rehefa afaka manohy miasa na aiza na aiza ao amin'ny birao ianao, ohatra, mandray mailaka, mifandray amin'ny iraky ny orinasa, afaka manao antso video, ... Noho izany, mamela anao izany, amin'ny lafiny iray, mba hamahana olana sasany amin'ny fifandraisana "mivantana" (ohatra, mandray anjara amin'ny famoriam-bahoaka), ary amin'ny lafiny iray, mijanòna amin'ny Internet foana, mitazona ny rantsan-tànanao eo amin'ny pulse ary mamaha haingana ireo asa tena ilaina maika. Tena mety izany ary tena manatsara ny kalitaon'ny fifandraisana.
Izany dia tratra amin'ny alàlan'ny famolavolana tambajotra WiFi mety.
fanamarihana
Eto matetika dia mipetraka ny fanontaniana: ampy ve ny mampiasa WiFi fotsiny? Midika ve izany fa afaka mijanona amin'ny fampiasana seranan-tsambo Ethernet ao amin'ny birao ianao? Raha miresaka momba ny mpampiasa ihany isika, fa tsy momba ny mpizara, izay mbola azo atao ny mifandray amin'ny seranan-tsambo Ethernet mahazatra, dia amin'ny ankapobeny ny valiny dia: eny, azonao atao ny mametra ny tenanao amin'ny WiFi ihany. Saingy misy ny nuances.
Misy vondrona mpampiasa manan-danja izay mitaky fomba fiasa manokana. Mazava ho azy fa mpitantana ireo. Amin'ny ankapobeny, ny fifandraisana WiFi dia tsy dia azo ianteherana (amin'ny resaka fahaverezan'ny fifamoivoizana) ary miadana kokoa noho ny seranan-tsambo Ethernet mahazatra. Mety ho manan-danja ho an'ny mpitantana izany. Fanampin'izany, ny mpitantana ny tambajotra, ohatra, dia afaka manana ny tambajotra Ethernet manokana ho an'ny fifandraisana ivelan'ny tarika.
Mety misy vondrona/sampana hafa ao amin'ny orinasanao izay manan-danja ihany koa ireo anton-javatra ireo.
Misy teboka manan-danja iray hafa - ny telefaona. Angamba noho ny antony tsy te hampiasa Wireless VoIP ianao ary te hampiasa telefaona IP misy fifandraisana Ethernet mahazatra.
Amin'ny ankapobeny, ny orinasa niasako matetika dia nanana fifandraisana WiFi sy seranan-tsambo Ethernet.
Tiako ny tsy ho voafetra amin'ny birao ihany ny fivezivezena.
Mba hahazoana antoka ny fahafahana miasa any an-trano (na any amin'ny toerana hafa misy Internet azo idirana), dia ampiasaina ny fifandraisana VPN. Amin'izay fotoana izay ihany koa dia irina ny tsy hahatsapan'ny mpiasa ny fahasamihafana misy eo amin'ny fiasana an-trano sy ny asa lavitra, izay mihevitra ny fidirana mitovy. Hodinihintsika ny fomba handaminana izany aoriana kely ao amin'ny toko "Rafitra fanamarinana sy fanomezan-dàlana mitambatra."
fanamarihana
Azo inoana fa tsy ho afaka hanome tanteraka ny kalitaon'ny serivisy ho an'ny asa lavitra izay anananao ao amin'ny birao ianao. Aoka hatao hoe mampiasa Cisco ASA 5520 ianao ho vavahadin-tserasera VPN ity fitaovana ity dia afaka "mandevona" afa-tsy 225 Mbit amin'ny fifamoivoizana VPN. Izany hoe, mazava ho azy, amin'ny resaka bandwidth, ny fifandraisana amin'ny VPN dia tsy mitovy amin'ny miasa amin'ny birao. Ary koa, raha, noho ny antony, ny fahatarana, ny fahaverezana, ny jitter (ohatra, te-hampiasa telephony IP birao) ho an'ny serivisy tambajotrao dia manan-danja, dia tsy hahazo ny kalitao mitovy amin'ny hoe tao amin'ny birao ianao. Noho izany, rehefa miresaka momba ny fivezivezena, dia tsy maintsy mahafantatra ny mety ho fetra.
Fidirana mora amin'ny loharanon'ny orinasa rehetra
Ity asa ity dia tokony hovahana miaraka amin'ny sampana teknika hafa.
Ny toe-javatra mety indrindra dia rehefa indray mandeha ihany no mila manamarina ny mpampiasa, ary aorian'izay dia mahazo ny loharano ilaina rehetra izy.
Ny fanomezana fidirana mora nefa tsy manao sorona ny fiarovana dia mety hanatsara be ny vokatra ary hampihena ny adin-tsaina eo amin'ireo mpiara-miasa aminao.
Fanamarihana 1
Ny fanamorana ny fidirana dia tsy hoe impiry ianao no tsy maintsy mampiditra tenimiafina. Raha, ohatra, mifanaraka amin'ny politikan'ny fiarovana anao, mba hifandraisana avy amin'ny birao mankany amin'ny foibe data, dia tsy maintsy mifandray amin'ny vavahadin'ny VPN aloha ianao, ary amin'izay fotoana izay ihany koa dia very ny fidirana amin'ny loharanon'ny birao, dia tena ilaina tokoa izany. , tena tsy mety.
Fanamarihana 2
Misy serivisy (ohatra, fidirana amin'ny fitaovan'ny tambajotra) izay matetika manana mpizara AAA natokana ho an'ny tenantsika manokana ary izany no fitsipika rehefa amin'ity tranga ity dia tsy maintsy manamarina imbetsaka izahay.
Ny fisian'ny loharanon'ny Internet
Ny Aterineto dia tsy fialamboly fotsiny, fa koa andiana tolotra izay mety ho tena ilaina amin'ny asa. Misy antony ara-psikolojika ihany koa. Ny olona maoderina dia mifandray amin'ny olon-kafa amin'ny alàlan'ny Internet amin'ny alàlan'ny kofehy virtoaly maro, ary raha ny hevitro dia tsy misy maharatsy izany raha mbola mahatsapa izany fifandraisana izany izy na dia miasa aza.
Eo amin’ny lafiny fandaniam-potoana dia tsy misy maharatsy raha toa ka mampiasa Skype ohatra ny mpiasa iray ary mandany 5 minitra hifandraisana amin’ny olon-tiana raha ilaina izany.
Midika ve izany fa tokony hisy foana ny Internet, midika ve izany fa afaka mahazo ny loharano rehetra ny mpiasa ary tsy mifehy azy ireo amin'ny fomba rehetra?
Tsia tsy midika izany, mazava ho azy. Ny haavon'ny fisokafan'ny Internet dia mety miovaova ho an'ny orinasa samihafa - manomboka amin'ny fanakatonana tanteraka ka hatramin'ny fisokafana tanteraka. Hiresaka momba ny fomba hifehezana ny fifamoivoizana isika any aoriana any amin'ny fizarana momba ny fepetra fiarovana.
Fahaiza-mampiasa ny fitaovana mahazatra isan-karazany
Mety izany rehefa, ohatra, ianao dia afaka manohy mampiasa ny fitaovam-pifandraisana rehetra mahazatra anao any am-piasana. Tsy misy fahasarotana amin’ny fampiharana ara-teknika izany. Mba hanaovana izany dia mila WiFi sy wilan vahiny ianao.
Tsara ihany koa raha manana fahafahana hampiasa ny rafitra fiasanao zatra ianao. Saingy, raha ny fahitako azy dia matetika ny mpitantana, ny mpitantana ary ny developer ihany no mahazo izany.
ohatra
Azonao atao, mazava ho azy, ny manaraka ny lalan'ny fandrarana, mandrara ny fidirana lavitra, mandrara ny fifandraisana amin'ny fitaovana finday, mametra ny zava-drehetra amin'ny fifandraisana Ethernet static, mametra ny fidirana amin'ny Internet, maka an-keriny ny finday sy ny gadget eo amin'ny toeram-pisavana... raha ny marina dia arahin'ny fikambanana sasany manana fepetra fiarovana bebe kokoa, ary angamba amin'ny toe-javatra sasany dia mety hamarinina izany, saingy ... tsy maintsy manaiky ianao fa toa fiezahana hampiato ny fandrosoana ao amin'ny fikambanana tokana izany. Mazava ho azy fa tiako ny manambatra ny fahafahana omen'ny teknolojia maoderina amin'ny haavon'ny fiarovana ampy.
"Fast operation" ny tambajotra
Ny hafainganam-pandehan'ny data ara-teknika dia misy anton-javatra maro. Ary ny hafainganam-pandehan'ny seranan-tsambo dia matetika tsy ny lehibe indrindra. Ny fampandehanana miadana ny fampiharana iray dia tsy mifandray amin'ny olan'ny tambajotra foana, fa amin'izao fotoana izao dia ny ampahany amin'ny tambajotra ihany no mahaliana anay. Ny olana mahazatra indrindra amin'ny tambajotra eo an-toerana dia ny "fahamamoana" dia mifandraika amin'ny fahaverezan'ny fonosana. Matetika no mitranga izany rehefa misy olana amin'ny bottleneck na L1 (OSI). Mahalana kokoa, miaraka amin'ny endrika sasany (ohatra, rehefa manana firewall ny subnets anao ho vavahadin'ny default ary noho izany dia mandalo azy ny fifamoivoizana rehetra), mety tsy ampy ny fahombiazan'ny fitaovana.
Noho izany, rehefa misafidy fitaovana sy maritrano ianao dia mila mampifandray ny hafainganam-pandehan'ny seranana farany, ny vatan-kazo ary ny fahombiazan'ny fitaovana.
ohatra
Andao atao hoe mampiasa switch misy seranana gigabit 1 ianao ho toy ny switch layer access. Izy ireo dia mifandray amin'ny alalan'ny Etherchannel 2 x 10 gigabits. Amin'ny maha-vavahady mahazatra anao dia mampiasa firewall misy seranana gigabit ianao, hampifandray izay amin'ny tambajotra birao L2 ampiasainao seranana gigabit 2 mitambatra ho Etherchannel.
Ity maritrano ity dia mety amin'ny fomba fijery fampiasa, satria ... Ny fifamoivoizana rehetra dia mandalo amin'ny firewall, ary afaka mitantana am-pilaminana ny politikam-pidirana ianao, ary mampihatra algorithms sarotra mba hifehezana ny fifamoivoizana sy hisorohana ny fanafihana mety hitranga (jereo eto ambany), fa avy amin'ny fomba fijery sy ny fomba fijery ity famolavolana ity, mazava ho azy, dia misy olana mety hitranga. Noho izany, ohatra, ny mpampiantrano 2 misintona angon-drakitra (miaraka amin'ny hafainganam-pandehan'ny seranan-tsambo 1 gigabit) dia afaka mameno tanteraka ny fifandraisana 2 gigabit amin'ny firewall, ary noho izany dia mitarika amin'ny fahasimban'ny serivisy ho an'ny fizarana birao manontolo.
Nijery ny tendron'ny telozoro iray isika, ankehitriny andeha hojerentsika ny fomba ahafahantsika miantoka ny fiarovana.
fanafody
Noho izany, mazava ho azy, matetika ny faniriantsika (na ny marimarina kokoa, ny fanirian'ny mpitantana antsika) dia ny hahatratra ny tsy azo atao, izany hoe ny manome fahafaham-po indrindra amin'ny fiarovana ambony indrindra sy ny vidiny ambany indrindra.
Andeha hojerentsika hoe inona no fomba ananantsika hiarovana.
Ho an'ny birao dia manasongadina ireto manaraka ireto aho:
- aotra fitokisana fomba famolavolana
- fiarovana avo lenta
- fahitana tambajotra
- rafitra fanamarinana sy fanomezan-dàlana mitambatra
- fanamarinana mpampiantrano
Manaraka izany dia hodinihintsika amin'ny antsipiriany bebe kokoa ny tsirairay amin'ireo lafiny ireo.
ZeroTrust
Miova haingana dia haingana ny tontolon'ny IT. Tao anatin'ny 10 taona lasa izay, ny firongatry ny teknolojia sy ny vokatra vaovao dia nitarika fanavaozana lehibe momba ny fiarovana. Folo taona lasa izay, avy amin'ny lafiny fiarovana, nozarainay ho faritra fitokisana, dmz ary tsy fahatokisana ny tambajotra, ary nampiasa ilay antsoina hoe "fiarovana perimeter", izay misy tsipika fiarovana 2: untrust -> dmz sy dmz -> matoky. Ary koa, ny fiarovana dia matetika voafetra amin'ny fidirana amin'ny lisitra mifototra amin'ny L3/L4 (OSI) lohapejy (IP, TCP/UDP seranana, TCP saina). Ny zavatra rehetra mifandraika amin'ny ambaratonga ambony, anisan'izany ny L7, dia navela ho an'ny OS sy ny vokatra fiarovana napetraka amin'ny mpampiantrano farany.
Niova tanteraka ny toe-draharaha ankehitriny. Hevitra maoderina dia avy amin'ny zava-misy fa tsy azo atao intsony ny mandinika ny rafitra anatiny, izany hoe, ireo izay hita ao anatin'ny vakim-paritra, toy ny azo itokisana, ary ny foto-kevitra momba ny vakim-paritra dia lasa manjavozavo.
Ankoatra ny connexion internet dia manana ihany koa izahay
- fidirana lavitra VPN mpampiasa
- gadget manokana isan-karazany, nitondra solosaina finday, mifandray amin'ny birao WiFi
- birao hafa (sampana).
- fampidirana amin'ny fotodrafitrasa rahona
Manao ahoana ny fomba fiasa Zero Trust amin'ny fampiharana?
Ny tsara indrindra dia ny fifamoivoizana ilaina ihany no avela ary, raha miresaka momba ny idealy isika, dia tsy tokony ho eo amin'ny ambaratonga L3 / L4 ihany ny fanaraha-maso, fa amin'ny ambaratonga fampiharana.
Raha, ohatra, ianao dia afaka mandalo ny fifamoivoizana rehetra amin'ny firewall, dia azonao atao ny manandrana manatona ny idealy. Saingy ity fomba ity dia afaka mampihena be ny totalin'ny bandwidth amin'ny tambajotrao, ary ankoatra izany, ny sivana amin'ny fampiharana dia tsy mandeha tsara foana.
Rehefa mifehy ny fifamoivoizana amin'ny router na L3 switch (mampiasa ACL mahazatra) ianao dia miatrika olana hafa:
- Sivana L3/L4 ihany ity. Tsy misy na inona na inona manakana ny mpanafika tsy hampiasa seranan-tsambo navela (ohatra TCP 80) ho an'ny fampiharana azy (fa tsy http)
- Fitantanana ACL sarotra (sarotra ny mamadika ny ACL)
- Tsy firewall feno fanjakana ity, midika izany fa mila mamela mazava ny fifamoivoizana mivadika ianao
- miaraka amin'ny switch ianao matetika dia voafetra amin'ny haben'ny TCAM, izay mety ho lasa olana haingana raha toa ianao ka mandray ny fomba "avelao izay ilainao".
fanamarihana
Raha miresaka momba ny fifamoivoizan'ny fifamoivoizana dia tsy maintsy tsaroantsika fa manana ny fahafahana manaraka isika (Cisco)
mamela tcp izay efa naorina
Saingy mila mahatakatra ianao fa ity andalana ity dia mitovy amin'ny andalana roa:
avelao tcp any any ack
mamela tcp na inona na inona alohaMidika izany fa na dia tsy nisy fizarana TCP voalohany niaraka tamin'ny sainam-pirenena SYN aza (izany hoe tsy nanomboka nanangana ny TCP session), ity ACL ity dia hamela fonosana misy saina ACK, izay azon'ny mpanafika ampiasaina handefasana angona.
Izany hoe, ity andalana ity dia tsy mamadika ny router na L3 ho lasa firewall feno fanjakana.
Fiarovana avo lenta
В Ao amin'ny fizarana momba ny ivom-baovao, nodinihintsika ireto fomba fiarovana manaraka ireto.
- firewall amin'ny fanjakana (default)
- fiarovana ddos/dos
- fampiharana firewall
- fisorohana ny fandrahonana (antivirus, anti-spyware, ary vulnerability)
- Sivana URL
- fanivanana angona (fanasivana votoaty)
- fanakanana fisie (fanakanana karazana rakitra)
Raha ny momba ny birao dia mitovy ihany ny zava-misy, saingy ny laharam-pahamehana dia tsy mitovy. Ny fisian'ny birao (fahaiza-manao) dia matetika tsy dia manakiana toy ny amin'ny ivontoerana data, fa ny mety hisian'ny fifamoivoizana ratsy "anatiny" dia avo kokoa.
Noho izany, ireto fomba fiarovana manaraka ireto ho an'ity fizarana ity dia lasa manan-danja:
- fampiharana firewall
- fisorohana ny fandrahonana (anti-virus, anti-spyware, ary vulnerability)
- Sivana URL
- fanivanana angona (fanasivana votoaty)
- fanakanana fisie (fanakanana karazana rakitra)
Na dia ireo fomba fiarovana rehetra ireo, ankoatry ny firewall fampiharana, dia efa mahazatra ary mbola voavaha amin'ny mpampiantrano farany (ohatra, amin'ny fametrahana programa antivirus) sy ny fampiasana proxy, ny NGFW maoderina dia manome ireo tolotra ireo ihany koa.
Miezaka mamorona fiarovana feno ireo mpivarotra fitaovam-piarovana, ka miaraka amin'ny fiarovana eo an-toerana, dia manolotra teknolojia rahona isan-karazany sy rindrambaiko mpanjifa ho an'ny mpampiantrano izy ireo (fiarovana amin'ny teboka farany / EPP). Noho izany, ohatra, avy amin'ny Hitanay fa manana EPP manokana (PA: Traps, Cisco: AMP) i Palo Alto sy Cisco, saingy lavitra ny mpitondra.
Mazava ho azy fa tsy voatery ny fampandehanana ireo fiarovana ireo (matetika amin'ny fividianana fahazoan-dàlana) amin'ny rindrin-tranonao (azonao atao ny mandeha amin'ny lalana mahazatra), fa manome tombony vitsivitsy izany:
- Amin'ity tranga ity, misy teboka tokana fampiharana ny fomba fiarovana, izay manatsara ny fahitana (jereo ny lohahevitra manaraka).
- Raha misy fitaovana tsy voaaro ao amin'ny tambajotranao, dia mbola eo ambanin'ny "elo" fiarovana ny firewall.
- Amin'ny fampiasana fiarovana amin'ny firewall miaraka amin'ny fiarovana farany amin'ny mpampiantrano, dia mampitombo ny mety hahitana fifamoivoizana maloto isika. Ohatra, ny fampiasana fisorohana fandrahonana amin'ny mpampiantrano eo an-toerana sy amin'ny firewall dia mampitombo ny mety hahitana (raha mazava ho azy fa mifototra amin'ny vokatra rindrambaiko samihafa ireo vahaolana ireo)
fanamarihana
Raha, ohatra, ianao dia mampiasa Kaspersky ho toy ny antivirus eo amin'ny firewall sy amin'ny mpampiantrano farany, dia mazava ho azy fa tsy hampitombo be ny fahafahanao misoroka ny fanafihana virus amin'ny tambajotrao.
Fahitana tambajotra
tsotra - "jereo" ny zava-mitranga ao amin'ny tambajotrao, na amin'ny angona tena izy na ara-tantara.
Zaraiko ho vondrona roa ity “vision” ity:
Vondrona voalohany: izay matetika omen'ny rafitra fanaraha-maso anao.
- fametrahana fitaovana
- fandefasana fantsona
- fampiasana fahatsiarovana
- fampiasana kapila
- manova ny tabilao routing
- sata rohy
- ny fisian'ny fitaovana (na mpampiantrano)
- ...
Vondrona roa: fampahalalana mifandraika amin'ny fiarovana.
- karazana antontan'isa isan-karazany (ohatra, amin'ny alàlan'ny fampiharana, amin'ny fifamoivoizana URL, karazana data nalaina, data mpampiasa)
- inona no nosakanan'ny politikam-piarovana ary inona no antony, izany hoe
- fampiharana voarara
- voarara mifototra amin'ny ip/protocol/port/flags/zones
- fisorohana fandrahonana
- fanivanana url
- fanivanana angona
- fanakanana rakitra
- ...
- antontan'isa momba ny fanafihana DOS/DDOS
- tsy nahomby ny famantarana sy ny fanomezan-dàlana
- antontan'isa ho an'ireo hetsika rehetra fanitsakitsahana ny politika momba ny fiarovana etsy ambony
- ...
Amin'ity toko momba ny fiarovana ity dia mahaliana antsika ny ampahany faharoa.
Ny firewall maoderina sasany (avy amin'ny traikefako Palo Alto) dia manome fahitana tsara. Saingy, mazava ho azy, ny fifamoivoizana mahaliana anao dia tsy maintsy mandalo amin'ity firewall ity (raha toa ka manana fahafahana manakana ny fifamoivoizana ianao) na mitaratra amin'ny firewall (ampiasaina ho an'ny fanaraha-maso sy famakafakana fotsiny), ary tsy maintsy manana fahazoan-dàlana ahafahanao mamela ny rehetra. ireo serivisy ireo.
Mazava ho azy fa misy fomba hafa, na ny fomba mahazatra, ohatra,
- Ny antontan'isa fivoriana dia azo angonina amin'ny alalan'ny netflow ary avy eo dia mampiasa fitaovana manokana ho an'ny famakafakana vaovao sy fijerena angon-drakitra
- fisorohana ny fandrahonana – fandaharana manokana (anti-virus, anti-spyware, firewall) amin'ny mpampiantrano farany
- Sivana URL, sivana data, fanakanana rakitra - amin'ny proxy
- azo atao ihany koa ny mamakafaka tcpdump mampiasa oh.
Azonao atao ny manambatra ireo fomba roa ireo, mameno ireo endri-javatra tsy hita na manao kopia azy ireo mba hampitomboana ny mety hahitana fanafihana.
Inona no fomba tokony hofidinao?
Miankina be dia be amin'ny fahaiza-manao sy ny safidin'ny ekipanao.
Samy misy ny mahatsara sy maharatsy azy.
Rafitra fanamarinana sy fanomezan-dàlana mitambatra
Rehefa voalamina tsara, ny fivezivezena noresahintsika ato amin'ity lahatsoratra ity dia mihevitra fa mitovy ny fidiranao na miasa any amin'ny birao ianao na any an-trano, na avy any amin'ny seranam-piaramanidina, na any amin'ny fivarotana kafe na any amin'ny toerana hafa (miaraka amin'ireo fetra noresahina etsy ambony). Toa inona no olana?
Mba hahatakarana bebe kokoa ny fahasarotan'ity asa ity, andeha hojerentsika ny endrika mahazatra.
ohatra
- Nozarainao ho vondrona ny mpiasa rehetra. Nanapa-kevitra ny hanome fidirana amin'ny vondrona ianao
- Ao anatin'ny birao dia mifehy ny fidirana amin'ny firewall birao ianao
- Mifehy ny fifamoivoizana avy any amin'ny birao mankany amin'ny foibe angon-drakitra amin'ny firewall foibe data
- Mampiasa Cisco ASA ho vavahadin'ny VPN ianao ary hifehy ny fifamoivoizana miditra amin'ny tambajotrao avy amin'ny mpanjifa lavitra, mampiasa ACL eo an-toerana (amin'ny ASA) ianao.
Ankehitriny, andeha atao hoe asaina manampy fidirana fanampiny amin'ny mpiasa iray ianao. Amin'ity tranga ity, asaina ianao hanampy azy afa-tsy ny fidirana fa tsy misy olon-kafa ao amin'ny vondrona misy azy.
Mba hanaovana izany dia tsy maintsy mamorona vondrona manokana ho an'ity mpiasa ity izahay, izany hoe
- mamorona dobo IP misaraka amin'ny ASA ho an'ity mpiasa ity
- ampio ACL vaovao amin'ny ASA ary afehezo amin'io mpanjifa lavitra io
- mamorona politika fiarovana vaovao amin'ny firewalls birao sy foibe data
Tsara raha tsy fahita firy ity hetsika ity. Saingy tamin'ny fanaoko dia nisy toe-javatra iray izay nandraisan'ny mpiasa anjara tamin'ny tetikasa samihafa, ary niova matetika io tetikasa io ho an'ny sasany amin'izy ireo, ary tsy olona 1-2 izany, fa am-polony. Mazava ho azy fa nisy zavatra nila ovana teto.
Voavaha tamin'ny fomba manaraka izany.
Nanapa-kevitra izahay fa ny LDAP no hany loharanon'ny fahamarinana izay mamaritra ny mety hidiran'ny mpiasa rehetra. Namorona karazana vondrona rehetra izahay izay mamaritra andiana fidirana, ary nomenay vondrona iray na maromaro ny mpampiasa tsirairay.
Eritrereto àry, ohatra, hoe nisy vondrona
- vahiny (Access Internet)
- fidirana iraisana (fidirana amin'ny loharano iombonana: mailaka, toby fahalalana, ...)
- ampamoaka
- tetikasa 1
- tetikasa 2
- mpitantana ny angona
- mpandrindra linux
- ...
Ary raha ny iray amin'ireo mpiasa dia nandray anjara tamin'ny tetikasa 1 sy ny tetikasa 2, ary mila ny fidirana ilaina mba hiasa amin'ireo tetikasa ireo, dia notendrena ho amin'ireto vondrona manaraka ireto ity mpiasa ity:
- vahiny
- fidirana iombonana
- tetikasa 1
- tetikasa 2
Ahoana no ahafahantsika mamadika izany vaovao izany ho fidirana amin'ny fitaovana tambajotra?
Cisco ASA Dynamic Access Policy (DAP) (jereo ) vahaolana dia mety amin'ity asa ity.
Fohy momba ny fampiharana ataontsika, mandritra ny fizotran'ny famantarana/fanomezana alalana, ny ASA dia mandray avy amin'ny LDAP andiana vondrona mifanitsy amin'ny mpampiasa iray ary "manangona" avy amin'ny ACL eo an-toerana maromaro (izay mifanitsy amin'ny vondrona tsirairay) ny ACL mavitrika miaraka amin'ny fidirana ilaina rehetra. , izay mifanaraka tanteraka amin’ny faniriantsika.
Fa ity dia natao ho an'ny fifandraisana VPN ihany. Mba hampitoviana ny toe-javatra ho an'ireo mpiasa mifandray amin'ny VPN sy ireo ao amin'ny birao, dia natao izao dingana manaraka izao.
Rehefa mifandray amin'ny birao, ireo mpampiasa mampiasa ny protocol 802.1x dia nifarana tamin'ny LAN vahiny (ho an'ny vahiny) na LAN iombonana (ho an'ny mpiasan'ny orinasa). Fanampin'izany, mba hahazoana fidirana manokana (ohatra, amin'ny tetikasa ao amin'ny foibe data), ny mpiasa dia tsy maintsy nifandray tamin'ny VPN.
Mba hifandraisana avy any amin'ny birao sy avy any an-trano, vondrona tonelina samihafa no nampiasaina tao amin'ny ASA. Ilaina izany mba tsy handehanan'ny ASA ny fifamoivoizana mankany amin'ny loharanon-karena iombonana (ampiasain'ny mpiasa rehetra, toy ny mailaka, ny servers, ny rafitra tapakila, ny dns, ...) ho an'ireo mifandray amin'ny birao, fa amin'ny alàlan'ny tambajotra eo an-toerana. . Noho izany, tsy nampiditra ny ASA tamin'ny fifamoivoizana tsy ilaina izahay, anisan'izany ny fifamoivoizana mahery vaika.
Voavaha, araka izany, ny olana.
nahazo izahay
- ny fitambaran'ny fidirana ho an'ny fifandraisana avy amin'ny birao sy ny fifandraisana lavitra
- ny tsy fisian'ny fahasimbana amin'ny serivisy rehefa miasa amin'ny birao mifandraika amin'ny fifindran'ny fifamoivoizana mahery vaika amin'ny ASA
Inona no tombony hafa amin'ity fomba fiasa ity?
Ao amin'ny fitantanana ny fidirana. Ny fidirana dia azo ovaina mora foana amin'ny toerana iray.
Ohatra, raha mandao ny orinasa ny mpiasa iray dia esorinao ao amin'ny LDAP fotsiny izy, ary very ho azy ny fidirana rehetra.
Fanamarinana ny mpampiantrano
Miaraka amin'ny mety hisian'ny fifandraisana lavitra, dia atahorana ny hamela ny mpiasan'ny orinasa iray hiditra ao amin'ny tambajotra, fa koa ny rindrambaiko ratsy rehetra izay mety ho hita ao amin'ny solosainy (ohatra, trano), ary ankoatra izany, amin'ny alàlan'ity rindrambaiko ity izahay. mety manome fidirana amin'ny tambajotrantsika amin'ny mpanafika mampiasa an'io mpampiantrano io ho proxy.
Misy dikany ho an'ny mpampiantrano mifandray lavitra ny mampihatra ny fepetra fiarovana mitovy amin'ny mpampiantrano ao amin'ny birao.
Izany koa dia mihevitra ny dikan-teny "marina" an'ny OS, anti-virus, anti-spyware, ary rindrambaiko firewall ary fanavaozana. Amin'ny ankapobeny, io fahaiza-manao io dia misy eo amin'ny vavahadin'ny VPN (ho an'ny ASA jereo, ohatra, ).
Fahendrena ihany koa ny mampihatra ny famakafakana ny fifamoivoizana sy ny teknika fanakanana (jereo ny "Avo fiarovana") izay mihatra amin'ny politikan'ny fiarovanao amin'ny fifamoivoizana any amin'ny birao.
Ara-drariny ny fiheverana fa tsy voafetra amin'ny tranobe birao sy ireo mpampiantrano ao anatiny intsony ny tambajotran'ny biraonao.
ohatra
Ny teknika tsara dia ny fanomezana ny mpiasa tsirairay izay mila fidirana lavitra miaraka amin'ny solosaina finday tsara sy mora ary mitaky azy ireo hiasa, na ao amin'ny birao na ao an-trano, avy amin'izany ihany.
Tsy vitan'ny hoe manatsara ny fiarovana ny tamba-jotrao izy io, fa tena mety koa ary matetika ankasitrahan'ny mpiasa (raha solosaina finday tena tsara sy mora ampiasaina).
Momba ny fahatsapan'ny proportion sy ny fifandanjana
Amin'ny ankapobeny, resaka momba ny vertex fahatelo amin'ny telozorontsika ity - momba ny vidiny.
Andeha isika hijery ohatra hypothetical.
ohatra
Manana birao ho an'ny olona 200 ianao. Nanapa-kevitra ny hanao izany ho mety sy ho azo antoka araka izay azo atao.
Noho izany, nanapa-kevitra ny handalo ny fifamoivoizana rehetra amin'ny firewall ianao ary noho izany ho an'ny subnets birao rehetra dia ny firewall no vavahadin'ny default. Ho fanampin'ny rindrambaiko fiarovana napetraka amin'ny mpampiantrano farany (anti-virus, anti-spyware, ary rindrambaiko firewall), dia nanapa-kevitra ny hampihatra ny fomba fiarovana rehetra amin'ny firewall ihany koa ianao.
Mba hiantohana ny hafainganam-pandehan'ny fifandraisana (ho an'ny fanamorana rehetra), dia nisafidy switch misy seranan-tsambo 10 Gigabit ianao ho switch access, ary firewall NGFW avo lenta ho toy ny firewall, ohatra, andiany Palo Alto 7K (miaraka amin'ny seranana 40 Gigabit), ho azy miaraka amin'ny fahazoan-dàlana rehetra. tafiditra ao ary, mazava ho azy, ny mpivady High Availability.
Ary koa, mazava ho azy, mba hiasa amin'ity fitaovana ity dia mila injeniera fiarovana manam-pahaizana roa farafahakeliny.
Manaraka, nanapa-kevitra ny hanome solosaina finday tsara ho an'ny mpiasa tsirairay ianao.
Total, manodidina ny 10 tapitrisa dolara ho an'ny fampiharana, an'hetsiny dolara (heveriko fa manakaiky ny iray tapitrisa) ho fanohanana isan-taona sy karama ho an'ny injeniera.
Birao, olona 200...
Mahazo aina? Heveriko fa eny izany.Tonga miaraka amin'ity tolo-kevitra ity amin'ny mpitantana anao ianao ...
Angamba misy orinasa maromaro eto amin'izao tontolo izao izay vahaolana azo ekena sy marina. Raha mpiasa amin'ity orinasa ity ianao dia arahabaiko, fa amin'ny ankamaroan'ny tranga dia azoko antoka fa tsy hankasitrahan'ny mpitantana ny fahalalanao.
Manitatra ve ity ohatra ity? Hamaly an’io fanontaniana io ny toko manaraka.
Raha ao amin'ny tambajotrao ianao dia tsy mahita ny iray amin'ireo voalaza etsy ambony, dia izany no fitsipika.
Ho an'ny tranga manokana tsirairay, mila mitady ny marimaritra iraisanao manokana ianao eo amin'ny fahamendrehana, ny vidiny ary ny fiarovana. Matetika ianao dia tsy mila NGFW ao amin'ny biraonao, ary tsy ilaina ny fiarovana L7 amin'ny firewall. Ampy ny manome ny haavon'ny fahitana sy ny fanairana, ary azo atao izany amin'ny fampiasana vokatra open source, ohatra. Eny, ny fihetsikao amin'ny fanafihana dia tsy ho eo no ho eo, fa ny tena zava-dehibe dia ny hahita izany ianao, ary miaraka amin'ny dingana mety ao amin'ny departemantanao, dia ho afaka hanala haingana azy ianao.
Ary mamelà ahy hampahatsiahy anao fa, araka ny hevitr'ity andian-dahatsoratra ity, dia tsy mamolavola tambajotra ianao, fa miezaka manatsara izay azonao ihany.
SAFE fanadihadiana momba ny maritrano birao
Tandremo ity efajoro mena ity izay nametrahako toerana iray amin'ny kisary izay tiako horesahina eto.
Io no iray amin'ireo toerana manan-danja amin'ny maritrano ary iray amin'ireo tsy fahatokisana lehibe indrindra.
fanamarihana
Tsy mbola nanangana na niara-niasa tamin'ny FirePower aho (avy amin'ny tsipika firewall an'ny Cisco - ASA ihany), noho izany dia horaisiko toy ny firewall hafa rehetra izy io, toa an'i Juniper SRX na Palo Alto, raha mihevitra fa mitovy ny fahaizany.
Amin'ireo endrika mahazatra dia tsy hitako afa-tsy safidy 4 azo ampiasaina amin'ny fampiasana firewall miaraka amin'ity fifandraisana ity:
- Ny vavahady default ho an'ny subnet tsirairay dia switch, fa ny firewall dia amin'ny fomba mangarahara (izany hoe mandalo ao daholo ny fifamoivoizana, fa tsy mamorona L3 hop)
- Ny vavahady default ho an'ny subnet tsirairay dia ny sub-interfaces firewall (na ny interface SVI), ny switch dia mitana ny anjara asan'ny L2
- VRF samihafa no ampiasaina amin'ny switch, ary ny fifamoivoizana eo anelanelan'ny VRF dia mandalo amin'ny firewall, ny fifamoivoizana ao anatin'ny VRF iray dia fehezin'ny ACL amin'ny switch.
- ny fifamoivoizana rehetra dia taratra amin'ny firewall ho an'ny fanadihadiana sy fanaraha-maso; tsy mandeha amin'izany ny fifamoivoizana
Fanamarihana 1
Ny fampifangaroana ireo safidy ireo dia azo atao, fa ho an'ny fahatsorana dia tsy hojerentsika izany.
Fanamarihana2
Misy ihany koa ny fahafahana mampiasa PBR (service chain architecture), fa amin'izao fotoana izao, na dia vahaolana tsara tarehy aza, raha ny hevitro, dia somary exotic, noho izany dia tsy mandinika izany eto aho.
Avy amin'ny famaritana ny fikorianan'ny antontan-taratasy dia hitantsika fa mbola mandeha amin'ny firewall ny fifamoivoizana, izany hoe, mifanaraka amin'ny famolavolana Cisco, dia foanana ny safidy fahefatra.
Andeha hojerentsika aloha ireo safidy roa voalohany.
Miaraka amin'ireo safidy ireo, ny fifamoivoizana rehetra dia mandalo amin'ny firewall.
Andeha hojerentsika izao , jereo ary hitantsika fa raha tiantsika ny totalin'ny bandwidth ho an'ny biraontsika dia eo amin'ny 10 - 20 gigabits farafaharatsiny, dia tsy maintsy mividy ny version 4K isika.
fanamarihana
Rehefa miresaka momba ny totalin'ny bandwidth aho dia midika hoe fifamoivoizana eo anelanelan'ny subnets (fa tsy ao anatin'ny vilana iray).
Avy amin'ny GPL dia hitantsika fa ho an'ny HA Bundle miaraka amin'ny Threat Defense, ny vidiny miankina amin'ny modely (4110 - 4150) dia miovaova amin'ny ~ 0,5 - 2,5 tapitrisa dolara.
Izany hoe, manomboka mitovitovy amin'ny ohatra teo aloha ny famolavolanay.
Midika ve izany fa diso io famolavolana io?
Tsia, tsy midika izany. Cisco dia manome anao ny fiarovana tsara indrindra mifototra amin'ny tsipika vokatra ananany. Saingy tsy midika izany fa tsy maintsy ataonao izany.
Amin'ny ankapobeny, fanontaniana mahazatra mipoitra izany rehefa mamolavola birao na foibem-pamokarana, ary midika fotsiny izany fa ilaina ny mitady marimaritra iraisana.
Aza avela handalo firewall, ohatra, ny fifamoivoizana rehetra, ka ny safidy 3 dia toa tsara amiko, na (jereo ny fizarana teo aloha) angamba tsy mila Threat Defense ianao na tsy mila firewall mihitsy amin'izany. fizarana tambajotra, ary mila mametra ny tenanao amin'ny fanaraha-maso mandeha fotsiny ianao amin'ny fampiasana vahaolana karama (tsy lafo) na loharano misokatra, na mila firewall, fa avy amin'ny mpivarotra hafa.
Matetika dia misy foana io fisalasalana io ary tsy misy valiny mazava momba ny fanapahan-kevitra mety aminao.
Izany no fahasarotana sy hatsaran'ity asa ity.
Source: www.habr.com