Компанийг нэр хүнд, санхүүгийн эрсдэлд оруулахгүйгээр, мэдээллийн технологийн хэлтэс болон компанийн удирдлагад нэмэлт бэрхшээл учруулахгүйгээр алсын зайн ажилтнуудыг VPN-ээр холбох хямд, найдвартай арга замын талаар бид танд хэлэх болно.
Мэдээллийн технологи хөгжихийн хэрээр алслагдсан ажилчдыг олон тооны албан тушаалд татах боломжтой болсон.
Хэрэв өмнө нь алслагдсан ажилчдын дунд ихэвчлэн бүтээлч мэргэжлүүдийн төлөөлөгчид, тухайлбал дизайнер, хуулбар зохиогч байсан бол одоо нягтлан бодогч, хуулийн зөвлөх болон бусад мэргэжлийн олон төлөөлөгчид гэрээсээ хялбархан ажиллаж, зөвхөн шаардлагатай үед оффис дээр очиж ажиллах боломжтой.
Гэхдээ ямар ч тохиолдолд найдвартай сувгаар ажлыг зохион байгуулах шаардлагатай.
Хамгийн энгийн сонголт. Бид сервер дээр VPN-г суулгаж, ажилтанд нэвтрэх нууц үг, VPN сертификатын түлхүүр, түүнчлэн VPN клиентийг компьютер дээрээ хэрхэн тохируулах зааврыг өгдөг. Мэдээллийн технологийн хэлтэс нь даалгавраа дууссан гэж үздэг.
Санаа нь нэг л зүйлийг эс тооцвол муу биш юм шиг санагдаж байна: энэ нь бүх зүйлийг хэрхэн өөрөө тохируулахыг мэддэг ажилтан байх ёстой. Хэрэв бид мэргэшсэн сүлжээний програм хөгжүүлэгчийн тухай ярьж байгаа бол тэр энэ ажлыг даван туулах магадлал өндөр байна.
Гэхдээ нягтлан бодогч, зураач, дизайнер, техникийн зохиолч, архитектор болон бусад олон мэргэжлүүд VPN-ийг тохируулах нарийн төвөгтэй байдлыг ойлгох шаардлагагүй. Нэг бол хэн нэгэн тэдэнтэй алсаас холбогдож туслах хэрэгтэй, эсвэл өөрийн биеэр ирж бүх зүйлийг газар дээр нь тохируулах хэрэгтэй. Үүний дагуу, хэрэв ямар нэгэн зүйл тэдний хувьд ажиллахаа больсон бол, жишээлбэл, хэрэглэгчийн профайл дахь алдаанаас болж, сүлжээний үйлчлүүлэгчийн тохиргоо алдагдсан бол бүх зүйлийг дахин давтах шаардлагатай болно.
Зарим компаниуд аль хэдийн суулгасан програм хангамж бүхий зөөврийн компьютер болон алсаас ажиллахад зориулагдсан VPN програм хангамжийн клиентээр хангадаг. Онолын хувьд энэ тохиолдолд хэрэглэгчид администраторын эрх байх ёсгүй. Ийм байдлаар хоёр асуудал шийдэгдэнэ: ажилчдыг ажилдаа тохирсон лицензтэй программ хангамж, бэлэн харилцааны сувгаар хангах баталгаатай. Үүний зэрэгцээ тэд тохиргоог бие даан өөрчлөх боломжгүй бөгөөд энэ нь дуудлагын давтамжийг бууруулдаг
техникийн дэмжлэг.
Зарим тохиолдолд энэ нь тохиромжтой байдаг. Жишээлбэл, зөөврийн компьютертэй бол та өдрийн цагаар өрөөндөө тухтай сууж, хэнийг ч сэрээхгүйн тулд шөнө гал тогооны өрөөнд чимээгүйхэн ажиллах боломжтой.
Гол сул тал нь юу вэ? Дээрээс нь адилхан - энэ нь зөөвөрлөх боломжтой хөдөлгөөнт төхөөрөмж юм. Хэрэглэгчдийг хоёр төрөлд хуваадаг: ширээний компьютер, том мониторыг илүүд үздэг, зөөвөрлөх дуртай хүмүүс.
Хоёр дахь бүлгийн хэрэглэгчид зөөврийн компьютерын төлөө хоёр гараараа санал өгдөг. Корпорацийн зөөврийн компьютер хүлээн авсны дараа ийм ажилчид баяртайгаар кафе, ресторанд очиж, байгальд очиж, тэндээс ажиллахыг хичээдэг. Хүлээн авсан төхөөрөмжийг нийгмийн сүлжээ болон бусад зугаа цэнгэлийн зориулалтаар өөрийн компьютер болгон ашиглахгүй л бол энэ нь ажиллах байсан бол.
Эрт орой хэзээ нэгэн цагт корпорацийн зөөврийн компьютер нь хатуу диск дээрх ажлын мэдээлэл төдийгүй тохируулагдсан VPN хандалттай хамт алга болно. Хэрэв VPN клиентийн тохиргоонд "нууц үгээ хадгалах" нүдийг сонговол минутыг тоолно. Алдагдал нэн даруй илрээгүй тохиолдолд тусламжийн үйлчилгээнд нэн даруй мэдэгдээгүй, эсвэл хаах эрхтэй зөв ажилтан нэн даруй олдоогүй тохиолдолд энэ нь том гамшиг болж хувирна.
Заримдаа мэдээлэлд хандах хандалтыг хязгаарлах нь тусалдаг. Гэхдээ хандалтыг хязгаарлана гэдэг нь төхөөрөмжөө алдахтай холбоотой асуудлыг бүрэн шийднэ гэсэн үг биш бөгөөд энэ нь өгөгдөл задрах, эвдэгдэх үед алдагдлыг бууруулах л арга юм.
Та шифрлэлт эсвэл хоёр хүчин зүйлийн баталгаажуулалтыг ашиглаж болно, жишээ нь USB түлхүүрээр. Гаднаас нь харахад энэ санаа сайхан харагдаж байна, гэхдээ одоо зөөврийн компьютер буруу гарт орвол эзэмшигч нь VPN-ээр дамжуулан өгөгдөлд нэвтрэхийн тулд шаргуу ажиллах шаардлагатай болно. Энэ хугацаанд та корпорацийн сүлжээнд нэвтрэх эрхийг хааж болно. Мөн алсын хэрэглэгчдэд шинэ боломжууд нээгдэж байна: зөөврийн компьютер эсвэл нэвтрэх түлхүүр эсвэл бүгдийг нэг дор хакердах. Албан ёсоор хамгаалалтын түвшин нэмэгдсэн ч техникийн дэмжлэг үзүүлэх үйлчилгээ уйдахгүй. Нэмж дурдахад, алсын оператор бүр хоёр хүчин зүйлийн баталгаажуулалтын (эсвэл шифрлэлтийн) иж бүрдэл худалдаж авах шаардлагатай болно.
Тусдаа гунигтай, урт түүх бол алга болсон эсвэл гэмтсэн зөөврийн компьютер (шалан дээр хаягдсан, чихэрлэг цай, кофе болон бусад ослоор асгарсан) болон нэвтрэх түлхүүрээ алдсаны хохирлын цуглуулга юм.
Бусад зүйлсээс гадна зөөврийн компьютер нь гар, USB холбогч, дэлгэцтэй таг гэх мэт механик эд ангиудыг агуулдаг - эдгээр нь бүгд цаг хугацааны явцад ашиглалтын хугацаагаа элэгдэж, гажигтай болж, суларч, засварлах эсвэл солих шаардлагатай (ихэнхдээ) , зөөврийн компьютер бүхэлдээ солигдсон).
Тэгэхээр одоо яах вэ? Орон сууцнаас зөөврийн компьютер авч явахыг хатуу хориглоно
хөдөлж байна уу?
Тэд яагаад зөөврийн компьютер өгсөн юм бэ?
Үүний нэг шалтгаан нь зөөврийн компьютерийг шилжүүлэхэд хялбар байдаг. Өөр бас авсаархан юм бодож олъё.
Та зөөврийн компьютер биш, харин VPN холболтыг аль хэдийн тохируулсан хамгаалагдсан LiveUSB флаш дискийг гаргах боломжтой бөгөөд хэрэглэгч өөрийн компьютерийг ашиглах болно. Гэхдээ энэ нь бас сугалаа юм: програм хангамжийн угсралт хэрэглэгчийн компьютер дээр ажиллах уу, үгүй юу? Асуудал нь шаардлагатай драйверуудын энгийн дутагдал байж магадгүй юм.
Ажилчдын холболтыг алсаас хэрхэн яаж зохион байгуулахаа олж мэдэх хэрэгтэй бөгөөд тухайн хүн корпорацийн зөөврийн компьютертэй хотоор тэнүүчлэх уруу таталтанд автахгүй, харин гэртээ сууж, мартах эрсдэлгүйгээр тайван ажиллах нь зүйтэй юм. түүнд итгэмжлэгдсэн төхөөрөмжийг хаа нэгтээ алдах.
Суурин VPN хандалт
Хэрэв та эцсийн төхөөрөмж, жишээлбэл зөөврийн компьютер, ялангуяа холболт хийх тусдаа флаш диск биш, харин VPN клиент бүхий сүлжээний гарцыг өгвөл яах вэ?
Жишээлбэл, VPN холболтыг аль хэдийн тохируулсан янз бүрийн протоколуудын дэмжлэгийг агуулсан бэлэн чиглүүлэгч. Алсын ажилтан компьютерээ үүнтэй холбож, ажиллаж эхлэхэд л хангалттай.
Энэ нь ямар асуудлыг шийдвэрлэхэд тусалдаг вэ?
- VPN-ээр дамжуулан корпорацийн сүлжээнд нэвтрэх тохиргоотой төхөөрөмжийг гэрээс гаргахгүй.
- Та хэд хэдэн төхөөрөмжийг нэг VPN сувагт холбож болно.
Зөөврийн компьютер ашиглан орон сууцанд шилжих нь сайхан байдаг, гэхдээ ширээний компьютертэй ажиллах нь илүү хялбар бөгөөд илүү тохиромжтой байдаг гэж бид дээр бичсэн.
Мөн та компьютер, зөөврийн компьютер, ухаалаг гар утас, таблет, тэр ч байтугай цахим уншигчийг чиглүүлэгч дээрх VPN-д холбож болно - Wi-Fi эсвэл утастай Ethernet-ээр нэвтрэхийг дэмждэг бүх зүйл.
Хэрэв та нөхцөл байдлыг илүү өргөн хүрээнд авч үзвэл энэ нь жишээлбэл, хэд хэдэн хүн ажиллах боломжтой мини-оффисын холболтын цэг байж болно.
Ийм хамгаалалттай сегментийн хүрээнд холбогдсон төхөөрөмжүүд мэдээлэл солилцож, интернетэд ердийн хандалттай байхдаа файл хуваалцах нөөц гэх мэт зүйлийг зохион байгуулж, гадаад принтер рүү баримт бичгийг хэвлэх гэх мэт зүйлсийг хийх боломжтой.
Байгууллагын утас! Хоолойн хаа нэгтээ сонсогдож байгаа энэ дуунд маш их зүйл бий! Хэд хэдэн төхөөрөмжид зориулсан төвлөрсөн VPN суваг нь Wi-Fi сүлжээгээр ухаалаг утсаа холбож, IP телефонийг ашиглан корпорацийн сүлжээн дэх богино дугаарт дуудлага хийх боломжийг олгодог.
Үгүй бол та гар утасны дуудлага хийх эсвэл WhatsApp гэх мэт гадны програмуудыг ашиглах шаардлагатай болох бөгөөд энэ нь компанийн аюулгүй байдлын бодлоготой үргэлж нийцдэггүй.
Бид аюулгүй байдлын тухай ярьж байгаа тул өөр нэг чухал баримтыг тэмдэглэх нь зүйтэй. Техник хангамжийн VPN гарцын тусламжтайгаар та нэвтрэх гарц дээрх шинэ хяналтын функцуудыг ашиглан аюулгүй байдлаа нэмэгдүүлэх боломжтой. Энэ нь аюулгүй байдлыг нэмэгдүүлэх, замын хөдөлгөөний хамгаалалтын ачааллын хэсгийг сүлжээний гарц руу шилжүүлэх боломжийг олгоно.
Zyxel энэ тохиолдолд ямар шийдлийг санал болгож чадах вэ?
Алсын зайнаас ажиллах боломжтой, ажиллах хүсэлтэй бүх ажилчдад түр хугацаагаар олгох төхөөрөмжийг авч үзэж байна.
Тиймээс ийм төхөөрөмж нь дараахь байх ёстой.
- хямд;
- найдвартай (засвар хийхэд мөнгө, цаг хугацаа алдахгүйн тулд);
- жижиглэнгийн сүлжээнээс худалдан авах боломжтой;
- тохируулахад хялбар (энэ нь тусгайлан дуудахгүйгээр ашиглах зориулалттай
бэлтгэгдсэн мэргэжилтэн).
Бодит сонсогдохгүй байна, тийм ээ?
Гэсэн хэдий ч ийм төхөөрөмж байдаг, энэ нь үнэхээр байдаг бөгөөд үнэ төлбөргүй байдаг
- Zyxel ZyWALL VPN2S
VPN2S нь танд хувийн холболт ашиглах боломжийг олгодог VPN галт хана юм
сүлжээний параметрүүдийн нарийн төвөгтэй тохиргоогүйгээр цэгээс цэг хүртэл.
Зураг 1. Zyxel ZyWALL VPN2S-ийн харагдах байдал
Төхөөрөмжийн товч тодорхойлолт
Техник хангамжийн онцлог
10/100/1000 Mbps RJ-45 портууд
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB портууд
2 х USB 2.0
Фэнгүй
Тийм
Системийн хүчин чадал ба гүйцэтгэл
SPI галт ханын нэвтрүүлэх чадвар (Mbps)
1.5 Gbps
VPN нэвтрүүлэх чадвар (Mbps)
35
Нэг зэрэг сессийн хамгийн их тоо. TCP
50000
IPsec VPN туннелийн хамгийн их тоо [5] 20
Тохиромжтой бүсүүд
Тийм
IPv6 дэмжлэг
Тийм
VLAN-н хамгийн их тоо
16
Програм хангамжийн үндсэн шинж чанарууд
Олон WAN ачааллын үлдэгдэл/Гүйцэтгэл
Тийм
Виртуал хувийн сүлжээ (VPN)
Тийм (IPSec, L2TP гаруй IPSec, PPTP, L2TP, GRE)
VPN үйлчлүүлэгч
IPSec/L2TP/PPTP
Контент шүүлтүүр
1 жил үнэгүй
Галт хана
Тийм
VLAN/Интерфейсийн бүлэг
Тийм
зурвасын өргөнийг удирдах
Тийм
Үйл явдлын бүртгэл, хяналт
Тийм
Үүлэн туслах
Тийм
Алсын удирдлага
Тийм
Анхаарна уу. Хүснэгт дэх өгөгдөл нь OPAL BE микрокодын 1.12 ба түүнээс дээш хувилбар дээр үндэслэсэн болно
дараагийн хувилбар.
ZyWALL VPN2S ямар VPN сонголтуудыг дэмждэг
Үнэн хэрэгтээ ZyWALL VPN2S төхөөрөмж нь үндсэндээ нэрнээс нь тодорхой харагдаж байна
VPN-ээр алслагдсан ажилчид болон мини салбаруудыг холбох зориулалттай.
- L2TP Over IPSec VPN протокол нь эцсийн хэрэглэгчдэд зориулагдсан.
- Мини оффисуудыг холбохын тулд Сайтаас Сайт руу IPSec VPN-ээр дамжуулан холболт хийдэг.
- Мөн ZyWALL VPN2S-ийг ашиглан та L2TP VPN холболт үүсгэж болно
аюулгүй интернетэд нэвтрэх үйлчилгээ үзүүлэгч.
Энэ хуваагдал нь маш болзолтой гэдгийг тэмдэглэх нь зүйтэй. Жишээлбэл, та чадна
алсын цэг нь Сайтаас Сайт руу IPSec VPN холболтыг дангаар тохируулах
периметр доторх хэрэглэгч.
Мэдээжийн хэрэг, энэ бүхэн хатуу VPN алгоритмуудыг (IKEv2 ба SHA-2) ашигладаг.
Олон WAN ашиглах
Алсын ажлын хувьд гол зүйл бол тогтвортой сувагтай байх явдал юм. Харамсалтай нь цорын ганцаар
Үүнийг хамгийн найдвартай үйлчилгээ үзүүлэгчийн холбооны шугамаар ч баталгаажуулж чадахгүй.
Асуудлыг хоёр төрөлд хувааж болно:
- хурд буурах - Multi-WAN ачааллын тэнцвэржүүлэх функц нь үүнд тусална
шаардлагатай хурдаар тогтвортой холболтыг хадгалах; - суваг дээрх бүтэлгүйтэл - энэ зорилгоор Multi-WAN failover функцийг ашигладаг
давхардлын аргыг ашиглан алдаа тэсвэрлэх чадварыг хангах.
Үүнд ямар техник хангамж байдаг вэ:
- Дөрөв дэх LAN портыг нэмэлт WAN порт болгон тохируулах боломжтой.
- USB портыг 3G/4G модемийг холбоход ашиглаж болно
үүрэн холбооны хэлбэрээр нөөц суваг.
Сүлжээний аюулгүй байдлыг нэмэгдүүлсэн
Дээр дурдсанчлан, энэ нь тусгай ашиглах гол давуу талуудын нэг юм
төвлөрсөн төхөөрөмжүүд.
ZyWALL VPN2S нь DoS (Үйлчилгээнээс татгалзах), хуурамч IP хаяг ашиглан халдлага, түүнчлэн системд зөвшөөрөлгүй алсаас хандах, сэжигтэй сүлжээний траффик, багц зэрэг олон төрлийн халдлагыг эсэргүүцэх SPI (Stateful Packet Inspection) галт ханын функцтэй.
Нэмэлт хамгаалалтын хувьд төхөөрөмж нь сэжигтэй, аюултай, гадны контентод хэрэглэгчийн хандалтыг хаах зорилгоор Агуулгын шүүлтүүртэй.
Тохируулах шидтэнтэй хурдан бөгөөд хялбар 5 алхамт тохируулга
Холболтыг хурдан тохируулахын тулд тохиромжтой тохиргооны мастер, график байдаг
хэд хэдэн хэл дээрх интерфейс.
Зураг 2. Тохируулах шидтэн дэлгэцүүдийн нэг жишээ.
Хурдан бөгөөд үр дүнтэй удирдахын тулд Zyxel нь VPN2S-ийг хялбархан тохируулж, хянах боломжтой алсаас удирдах хэрэгслүүдийн иж бүрэн багцыг санал болгодог.
Тохиргоог хуулбарлах чадвар нь олон ZyWALL VPN2S төхөөрөмжийг алсын ажилчдад шилжүүлэхэд бэлтгэх ажлыг ихээхэн хялбаршуулдаг.
VLAN дэмжлэг
ZyWALL VPN2S нь алсаас ажиллахад зориулагдсан хэдий ч VLAN-г дэмждэг. Энэ нь сүлжээний аюулгүй байдлыг нэмэгдүүлэх боломжийг олгодог, жишээлбэл, хувийн бизнес эрхлэгчийн оффис холбогдсон бол зочин Wi-Fi-тай. Өргөн нэвтрүүлгийн домайныг хязгаарлах, дамжуулагдсан траффикийг багасгах, аюулгүй байдлын бодлогыг хэрэгжүүлэх зэрэг стандарт VLAN функцууд нь корпорацийн сүлжээнд эрэлт хэрэгцээтэй байдаг ч зарчмын хувьд жижиг бизнесүүдэд ч ашиглагдаж болно.
VLAN-ийн дэмжлэг нь тусдаа сүлжээг зохион байгуулахад, жишээлбэл, IP утасны хувьд ашигтай байдаг.
VLAN-тай ажиллахын тулд ZyWALL VPN2S төхөөрөмж нь IEEE 802.1Q стандартыг дэмждэг.
Дуусгах
Тохируулсан VPN суваг бүхий хөдөлгөөнт төхөөрөмжөө алдах эрсдэл нь корпорацийн зөөврийн компьютерийг түгээхээс өөр шийдлүүдийг шаарддаг.
Авсаархан, хямд VPN гарцыг ашиглах нь алслагдсан ажилчдын ажлыг хялбархан зохион байгуулах боломжийг олгодог.
ZyWALL VPN2S загвар нь анх алслагдсан ажилчид болон жижиг оффисуудыг холбоход зориулагдсан.
Ашигтай холбоосууд
→
→
→
→
→
Эх сурвалж: www.habr.com