Banyak organisasi menggunakan perkhidmatan awan atau memindahkan peralatan ke
Pusat data. Apakah yang masuk akal untuk ditinggalkan di bilik pelayan, dan apakah cara terbaik untuk melindungi perimeter rangkaian pejabat dalam situasi ini?
Suatu ketika dahulu, semuanya ada di pelayan.
Pada permulaan pembangunan RuNet, kebanyakan syarikat menyelesaikan isu infrastruktur IT mereka menggunakan pendekatan yang hampir sama: mereka memperuntukkan ruang di mana mereka memasang penghawa dingin dan di mana hampir semua peralatan rangkaian dan pelayan tertumpu.
Pentadbir sistem menyediakan satu atau lebih pelayan pada FreeBSD, Linux, atau OpenSolaris, dsb. Dan kemudian di "ladang" ini saya melancarkan perkhidmatan yang diperlukan: daripada pelayan web, mel korporat, sehinggalah perkongsian fail.
Apabila syarikat berkembang dan berkembang, ia pasti menghadapi situasi di mana bilik pelayannya tidak lagi memenuhi keperluannya. Jika anda mempunyai dana, anda boleh membina pusat data anda sendiri. Menyewa rak di pusat data komersial mungkin lebih menjimatkan kos. Bekalan kuasa berkualiti tinggi dengan DRUPS, sistem penghawa dingin berkekuatan industri dan kakitangan penuh pakar yang sangat khusus—perkara ini tidak mungkin tersedia di bilik pelayan pejabat.
Mengikuti jejak perniagaan besar, pengurusan syarikat sederhana dan kecil secara beransur-ansur beralih daripada mentaliti "Saya membawa segala-galanya bersama saya" dan "rumah saya adalah istana saya" kepada "memberinya kepada orang lain dan jangan risau mengenainya."
Untuk perniagaan kecil, penyedia awan telah menjadi pilihan penyumberan luar. Walaupun mempunyai pelayan mel dalaman pernah diberikan untuk syarikat 40 orang, hari ini perkhidmatan daripada Google, contohnya, menarik mereka yang sebelum ini tidak dapat membayangkan bekerja tanpa Sendmail atau Postfix mereka sendiri.
Sistem maya telah banyak membantu dalam jenis "penghijrahan" ini. Sedangkan sebelum kemunculan mereka, adalah perlu untuk memindahkan keseluruhan pelayan fizikal atau mengkonfigurasi segala-galanya pada perkakasan baharu, kini sudah cukup untuk memindahkan imej mesin maya.
Apa yang akan kekal di dalam bilik kecil dengan penghawa dingin itu?
Pertama sekali, ini adalah peralatan rangkaian, aktif dan pasif. Selalunya, nama hebat "bilik pelayan" digunakan untuk merujuk kepada bilik sambungan silang dengan sisa peralatan rangkaian. Dan kes sedemikian tidak memerlukan bilik khusus dengan sistem penghawa dingin yang berkuasa, bekalan kuasa dan sebagainya.
Kumpulan kedua peralatan yang sukar dikeluarkan pada masa ini dari bilik pelayan ialah pintu masuk
keselamatan.
Tetapi apakah jenis pintu masuk ini? Seperti yang dinyatakan di atas, walaupun pada masa lalu yang tidak begitu jauh, pentadbir sistem mungkin mempunyai satu atau lebih pelayan yang boleh digunakannya di mana dia boleh menggunakan apa sahaja yang dia mahu, hari ini kemewahan sedemikian mungkin tidak lagi wujud.
Tetapi keperluan untuk melindungi daripada ancaman luar masih belum hilang. Sudah tentu mungkin untuk memindahkan semua perkhidmatan dan peralatan yang diperlukan sepenuhnya ke pusat data dan mengarahkan trafik dari pintu masuk sedemikian ke pejabat sambung silang melalui saluran selamat, seperti VPN.
Skim ini kelihatan menarik pada pandangan pertama, jika bukan kerana peningkatan beban pada saluran sedia ada. Jika anda tidak mahu membayar untuk saluran yang "lebih tebal", ini bukanlah penyelesaian yang tepat.
Pilihan lain ialah membeli peranti perlindungan trafik khusus, yang seni binanya, disebabkan fokusnya yang sempit, membolehkan seseorang melakukannya tanpa komponen berkuasa, intensif tenaga dan penjanaan haba.
"Zoo" tidak diperlukan
Tanpa bilik pelayan tradisional, adalah lebih baik untuk mempunyai beberapa perkhidmatan dalam satu kotak daripada membuat "zoo" di dalam bilik kecil, atau malah hanya kabinet sambung silang kecil. Selain itu, penyelesaiannya harus berpatutan, terbukti, dan mempunyai sokongan yang mencukupi dalam bahasa Rusia.
Nota: Kami sedang membincangkan pejabat yang sangat kecil, sederhana dan lebih besar. Kami belum lagi mempertimbangkan syarikat besar untuk membina pusat data mereka sendiri—adalah mustahil untuk merangkumi segala-galanya dalam satu artikel.
Dan Zyxel sudah mempunyai penyelesaian untuk setiap keperluan, dalam satu barisan produk. Pendek kata, tidak ada keperluan untuk "zoo."
Gerbang Keselamatan ATP ZyWALL
Kami sebelum ini telah membincangkan prinsip operasi peranti sedemikian menggunakan contoh Ciri utama mereka ialah gabungan tembok api dengan perkhidmatan keselamatan Zyxel Cloud. Terima kasih kepada pemisahan tanggungjawab ini, ATP ZyWALL menangani pelbagai keperluan keselamatan perimeter tanpa memerlukan sumber perkakasan tambahan.
Senarai fungsi perlindungan agak luas (lihat Jadual 1), termasuk alat analisis SecuReporter dan Kotak Pasir – "kotak pasir" untuk analisis awal kandungan yang dimuat turun.
Perlu ditekankan sekali lagi bahawa dalam kes ini, kami hanya memindahkan perkhidmatan dari pejabat di premis kami ke awan. Zyxel Cloud mengendalikan yang lain tanpa nama. Selain kemudahan, pendekatan ini memastikan perlindungan berkesan terhadap ancaman sifar hari berkat pembelajaran mesin dan pertukaran maklumat antara gerbang ATP di seluruh dunia. Rangkaian saraf yang lengkap telah dibina untuk perlindungan ini.
Apabila fail yang tidak diketahui dikesan, Cloud Query dengan cepat (dalam beberapa saat) menyemak kod cincangnya terhadap pangkalan data awan dan menentukan sama ada ia berbahaya atau tidak. Perkhidmatan ini memerlukan sumber rangkaian yang minimum dan oleh itu tidak menjejaskan prestasi peranti. Perlindungan ancaman yang berkesan dipastikan dengan penggunaan pangkalan data awan yang sentiasa dikemas kini yang mengandungi data mengenai berbilion-bilion ancaman. Cloud Query juga mempercepatkan pengesanan pintar ancaman baharu dalam Zyxel Security Cloud, meningkatkan perlindungan perisian hasad setiap tembok api ATP.
Jadual 1. Ciri teknikal siri ATP ZyWALL.
Nota:
(1) Prestasi sebenar sangat berbeza bergantung pada keadaan rangkaian dan aplikasi aktif.
(2) Daya tampung maksimum adalah berdasarkan RFC 2544 (paket UDP 1,518 bait).
(3) Daya tampung VPN yang diukur adalah berdasarkan RFC 2544 (paket UDP 1,424 bait).
(4) Metrik throughput AV dan IDP menggunakan ujian prestasi HTTP standard industri (paket HTTP 1,460 bait). Ujian dilakukan dalam mod berbilang benang.
(5) Apabila mengukur bilangan sesi maksimum yang mungkin, alat standard industri, alat ujian IXIA IxLoad, telah digunakan.
(6) Keputusan ujian kelajuan sambungan WAN 1Gbps dijalankan dalam keadaan dunia sebenar dan mungkin mempunyai sedikit perbezaan bergantung pada kualiti saluran.
(7): Selepas Pek Emas tamat tempoh, hanya 2 AP akan disokong.
(8): Kefungsian boleh didayakan atau dikembangkan dengan membeli lesen perkhidmatan Zyxel tambahan.
Beri perhatian kepada set perkhidmatan VPN yang disokong. Hampir semua yang anda perlukan untuk menyambung ke ibu pejabat atau pejabat rumah disertakan, jadi peranti ini boleh disyorkan dengan yakin sebagai titik akhir untuk pejabat cawangan dan untuk menyokong kerja jauh.
Penyelesaian untuk pejabat kecil
Pejabat kecil boleh dibahagikan secara kasar kepada dua kumpulan: perusahaan bebas dan cawangan syarikat besar.
Perniagaan bebas ialah perniagaan yang baru bermula dan yang ditakdirkan untuk kekal kecil. Contohnya, firma reka bentuk, studio seni bina, pejabat editorial saluran media kecil, dan sebagainya. Perniagaan sedemikian sering menggunakan perkhidmatan awan, sekurang-kurangnya, perkongsian e-mel dan fail.
Cawangan organisasi yang lebih besar—bagi mereka, perkara yang paling penting ialah mempunyai hubungan yang stabil dengan pejabat pusat. Semua yang lain terletak di "Pusat."
Selalunya, "lelaki kecil" ini memerlukan antara muka pengurusan yang mudah. Pentadbir rangkaian di ibu pejabat selalunya tidak mempunyai kemewahan untuk bergegas ke lokasi yang jauh untuk menyelesaikan masalah di pejabat cawangan baharu. Syarikat tempatan kecil tidak mempunyai pilihan sedemikian sama sekali. Mereka perlu menggunakan perkhidmatan juruteknik "melawat".
admin." Untuk kes sedemikian, pengurusan berdasarkan prinsip "lebih mudah, lebih dipercayai" adalah perlu.
Untuk pejabat kecil, adalah wajar untuk menggunakan model ZyWALL ATP100 dan ZyWALL ATP200.
Gerbang rangkaian muncul agak baru-baru ini, tetapi telah pun masuk .
Perbezaan utama dari abangnya () — ia direka untuk beban yang lebih ringan dan tidak mempunyai pelekap rak 19 inci. Ia disyorkan untuk pejabat rumah, perniagaan kecil, pejabat cawangan dan sebagainya.
Rajah 1. ZyWALL ATP100.
Ciri reka bentuk: ATP100 dan ATP200 adalah model tanpa kipas. Ini berfaedah: pertama, tiada bunyi bising, dan kedua, tidak perlu menggantikan kipas. Dalam situasi di mana "pentadbir pelawat" diperlukan, ini merupakan faktor penting.
Rajah 2. ZyWALL ATP200.
Model ATP200 menyokong dua port WAN dan boleh disambungkan kepada dua talian bebas, contohnya, daripada pembekal yang berbeza.
Seperti yang dinyatakan di atas, perkara yang paling penting untuk pejabat kecil, selepas bekalan kuasa yang stabil, adalah sambungan yang boleh dipercayai. Malangnya, pembekal tempatan tidak selalu dapat menjamin operasi yang lancar. Jadi, pilihan sandaran sering diperlukan.
PENTING! Selain port WAN khusus, model ATP juga mempunyai port USB yang boleh digunakan sebagai port WAN untuk modem USB. Ciri ini tersedia untuk semua model ATP.
Jika peranti mempunyai port SFP, ia juga boleh digunakan sebagai port WAN. Ciri ini tersedia untuk semua ATP.
Berikut ialah hack hayat daripada Zyxel.
Syarikat bersaiz sederhana
Untuk syarikat bersaiz sederhana, Zyxel mempunyai perkakasan baiknya sendiri -
Ini adalah pintu masuk generasi akan datang dengan perlindungan lanjutan terhadap ancaman yang berkembang.
Ciri-ciri menarik:
Tujuh port boleh dikonfigurasikan membenarkan konfigurasi fleksibel, seperti dua WAN, dua DMZ dan tiga port LAN apabila menyambungkan tiga VLAN berasingan untuk kegunaan dalaman. Terdapat juga satu port SFP.
Rajah 3. ZyWALL ATP500.
Dua ZyWALL ATP500 boleh digunakan dalam kelompok ketersediaan tinggi Device HA Pro. Jika satu tidak berfungsi, satu lagi masih akan menyediakan sambungan.
Dengan menggunakan fungsi penuh ATP500, anda boleh mencapai fleksibel,
komunikasi yang sangat dipercayai dan selamat dengan dunia luar atau satu nod, contohnya,
ibu pejabat.
Pejabat yang lebih besar
Bagi mereka, versi paling berkuasa bagi talian ini, ATP800, disyorkan.
Model ini mempunyai bilangan port yang baik: 12 RJ-45 dan 2 SFP, semuanya boleh dikonfigurasikan dalam mod WAN, LAN atau DNZ, membenarkan berbilang WLAN, berbilang DMZ, dan masih mempunyai keupayaan untuk menyediakan akses rangkaian luaran untuk infrastruktur dalaman yang kompleks. Ia sesuai untuk pejabat yang lebih besar dengan rangkaian yang luas dan keselamatan yang tinggi serta keperluan kawalan akses.
Rajah 4. ZyWALL ATP800.
Perlu juga diperhatikan bahawa model ini disyorkan untuk pembelian dengan ruang untuk pertumbuhan. Jika syarikat anda bercadang untuk berkembang, contohnya, dengan membangunkan rangkaian kedai tempatan, adalah wajar untuk membeli model yang lebih berkuasa dengan segera untuk mengelakkan pembaziran wang dua kali.
Seperti yang dapat kita lihat, walaupun dalam keadaan yang paling sederhana, adalah mungkin untuk memastikan tahap perlindungan yang baik, toleransi kesalahan dan fleksibiliti operasi.
Sokongan teknikal, nasihat, perbincangan, berita, promosi dan pengumuman — sertai kami di Telegram!
Pautan berguna
Sumber: www.habr.com
