ဤဆောင်းပါးသည် "သင်၏ကွန်ရက်အခြေခံအဆောက်အအုံကိုမည်သို့ထိန်းချုပ်ရမည်နည်း" ဆောင်းပါးစီးရီး၏တတိယမြောက်ဆောင်းပါးဖြစ်သည်။ စီးရီးနှင့် လင့်ခ်များရှိ ဆောင်းပါးအားလုံး၏ အကြောင်းအရာများကို တွေ့နိုင်သည်။ ဒီမှာ.

လုံခြုံရေးအန္တရာယ်များကို လုံးလုံးလျားလျား ဖယ်ရှားရေးနှင့်ပတ်သက်၍ ပြောစရာအကြောင်းမရှိပါ။ မူအရတော့ အဲဒါတွေကို သုညအထိ လျှော့ချလို့ မရဘူး။ ကွန်ရက်ကို ပိုမိုလုံခြုံစေရန် ကျွန်ုပ်တို့ ကြိုးပမ်းလာသည်နှင့်အမျှ ကျွန်ုပ်တို့၏ဖြေရှင်းချက်များသည် ပိုမိုစျေးကြီးလာသည်ကို နားလည်ရန်လိုပါသည်။ သင့်ကွန်ရက်အတွက် အဓိပ္ပာယ်ရှိစေမည့် ကုန်ကျစရိတ်၊ ရှုပ်ထွေးမှုနှင့် လုံခြုံရေးတို့ကြား အပေးအယူကို ရှာဖွေရန် လိုအပ်သည်။

ဟုတ်ပါတယ်၊ လုံခြုံရေးဒီဇိုင်းသည် အလုံးစုံဗိသုကာပညာတွင် သဘာဝကျကျ ပေါင်းစပ်ထားပြီး အသုံးပြုထားသော လုံခြုံရေးဖြေရှင်းချက်များသည် ကွန်ရက်အခြေခံအဆောက်အအုံ၏ scalability၊ ယုံကြည်စိတ်ချရမှု၊ စီမံခန့်ခွဲနိုင်မှု၊ ... တို့ကိုလည်း ထည့်သွင်းစဉ်းစားရမည်ဖြစ်သည်။

သို့သော် ယခု ကျွန်ုပ်တို့သည် ကွန်ရက်တစ်ခု ဖန်တီးခြင်းအကြောင်း ပြောနေခြင်းမဟုတ်ကြောင်း သတိပေးပါရစေ။ ကျွန်ုပ်တို့၏အဆိုအရ၊ ကနဦးအခြေအနေများ ကျွန်ုပ်တို့သည် ဒီဇိုင်းကို ရွေးချယ်ထားပြီး၊ စက်ကိရိယာများကို ရွေးချယ်ကာ အခြေခံအဆောက်အအုံကို ဖန်တီးထားပြီးဖြစ်ပြီး၊ ဖြစ်နိုင်ပါက၊ ကျွန်ုပ်တို့သည် ယခင်ရွေးချယ်ထားသော ချဉ်းကပ်မှု၏အခြေအနေတွင် “အသက်ရှင်” ကာ ဖြေရှင်းချက်များကို ရှာဖွေသင့်သည်။

ကျွန်ုပ်တို့၏တာဝန်မှာ ကွန်ရက်အဆင့်တွင် လုံခြုံရေးနှင့်ဆက်စပ်နေသော အန္တရာယ်များကို ဖော်ထုတ်ရန်နှင့် ၎င်းတို့ကို သင့်လျော်သောအဆင့်သို့ လျှော့ချရန်ဖြစ်သည်။

ကွန်ရက်လုံခြုံရေးစစ်ဆေးမှု

အကယ်၍ သင့်အဖွဲ့အစည်းသည် ISO 27k လုပ်ငန်းစဉ်များကို အကောင်အထည်ဖော်ခဲ့ပါက၊ လုံခြုံရေးစစ်ဆေးမှုများနှင့် ကွန်ရက်ပြောင်းလဲမှုများသည် ဤချဉ်းကပ်မှုအတွင်းရှိ အလုံးစုံလုပ်ငန်းစဉ်များတွင် ချောမွေ့စွာ ကိုက်ညီသင့်ပါသည်။ သို့သော် ဤစံနှုန်းများသည် တိကျသောဖြေရှင်းနည်းများအကြောင်းမဟုတ်သေးပါ၊ ဖွဲ့စည်းမှုပုံစံအကြောင်းမဟုတ်၊ ဒီဇိုင်းအကြောင်းမဟုတ်ပါ... ရှင်းလင်းပြတ်သားသောအကြံဉာဏ်များမရှိပါ၊ သင်၏ကွန်ရက်သည် မည်သို့မည်ပုံဖြစ်သင့်သည်ကို အသေးစိတ်ဖော်ပြသည့်စံနှုန်းများမရှိပါ၊ ဤအရာသည် ဤလုပ်ငန်း၏ ရှုပ်ထွေးမှုနှင့် လှပမှုပင်ဖြစ်သည်။

ဖြစ်နိုင်ချေရှိသော ကွန်ရက်လုံခြုံရေးစစ်ဆေးမှုများစွာကို ကျွန်ုပ်ဖော်ပြပါမည်-

• စက်ပစ္စည်းဖွဲ့စည်းပုံစစ်ဆေးခြင်း (တင်းမာခြင်း)
• လုံခြုံရေးဒီဇိုင်းစစ်ဆေးမှု
• ဝင်ရောက်စစ်ဆေးမှု
• လုပ်ငန်းစဉ်စာရင်းစစ်

စက်ပစ္စည်း ဖွဲ့စည်းမှုဆိုင်ရာ စစ်ဆေးခြင်း (တင်းမာခြင်း)

အခြေအနေအများစုတွင် ၎င်းသည် သင့်ကွန်ရက်၏လုံခြုံရေးကို စစ်ဆေးခြင်းနှင့် ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ခြင်းအတွက် အကောင်းဆုံးအစမှတ်ဖြစ်ပုံရသည်။ ဘာမှမထူးပါဘူး၊ ဒါက Pareto ရဲ့ ဥပဒေရဲ့ ကောင်းမွန်တဲ့ သရုပ်ပြမှုပါပဲ (ကြိုးစားအားထုတ်မှုရဲ့ 20% က ရလဒ် 80% ကို ထုတ်ပေးပြီး ကျန်တဲ့ 80% က ရလဒ်ရဲ့ 20% ကိုသာ ထုတ်ပေးပါတယ်)။

အဓိကအချက်မှာ ပစ္စည်းကိရိယာများကို ပြင်ဆင်သတ်မှတ်ရာတွင် လုံခြုံရေးအတွက် "အကောင်းဆုံးအလေ့အကျင့်များ" နှင့် ပတ်သက်သည့် ရောင်းချသူများထံမှ အကြံပြုချက်များ ရှိတတ်သည်။ ဒါကို "တင်းမာခြင်း" လို့ခေါ်တယ်။

ဤအကြံပြုချက်များအပေါ်အခြေခံ၍ သင့်စက်ပစ္စည်း၏ဖွဲ့စည်းပုံဖွဲ့စည်းပုံသည် ဤ "အကောင်းဆုံးအလေ့အကျင့်များ" နှင့်အညီ မည်မျှကောင်းမွန်ကြောင်းဆုံးဖြတ်ရန် ကူညီပေးမည့် ဤအကြံပြုချက်များအပေါ် အခြေခံ၍ မေးခွန်းလွှာတစ်ခု (သို့မဟုတ် ကိုယ်တိုင်ဖန်တီးပါ) ကို မကြာခဏရှာဖွေနိုင်ပြီး ရလဒ်နှင့်အညီ သင့်ကွန်ရက်တွင် အပြောင်းအလဲများပြုလုပ်ပါ . ၎င်းသည် သင့်အား ကုန်ကျစရိတ်လုံးဝနီးပါးမရှိဘဲ လုံခြုံရေးအန္တရာယ်များကို သိသိသာသာ အလွယ်တကူ လျှော့ချနိုင်မည်ဖြစ်သည်။

Cisco လည်ပတ်မှုစနစ်အချို့အတွက် ဥပမာများစွာ။

Cisco IOS Configuration Hardening
Cisco IOS-XR Configuration Hardening
Cisco NX-OS Configuration Hardening
Cisco Baseline လုံခြုံရေးစစ်ဆေးမှုစာရင်း

ဤစာရွက်စာတမ်းများအပေါ်အခြေခံ၍ စက်ကိရိယာအမျိုးအစားတစ်ခုစီအတွက် ဖွဲ့စည်းမှုလိုအပ်ချက်စာရင်းကို ဖန်တီးနိုင်သည်။ ဥပမာအားဖြင့်၊ Cisco N7K VDC အတွက် ဤလိုအပ်ချက်များနှင့်တူနိုင်သည်။ ဒါကြောင့်.

ဤနည်းအားဖြင့်၊ သင်၏ကွန်ရက်အခြေခံအဆောက်အအုံရှိ တက်ကြွသောစက်ပစ္စည်းအမျိုးအစားအမျိုးမျိုးအတွက် ဖွဲ့စည်းမှုပုံစံဖိုင်များကို ဖန်တီးနိုင်သည်။ ထို့နောက်၊ လူကိုယ်တိုင် သို့မဟုတ် အလိုအလျောက်စနစ်သုံး၍ ဤဖွဲ့စည်းပုံဖိုင်များကို "အပ်လုဒ်လုပ်ခြင်း" လုပ်နိုင်ပါသည်။ ဤလုပ်ငန်းစဉ်ကို အလိုအလျောက်လုပ်နည်းအား ကြိုးကိုင်ခြင်းနှင့် အလိုအလျောက်လုပ်ဆောင်ခြင်းဆိုင်ရာ အခြားဆောင်းပါးတွဲများတွင် အသေးစိတ် ဆွေးနွေးပါမည်။

လုံခြုံရေးဒီဇိုင်းစစ်ဆေးမှု

ပုံမှန်အားဖြင့်၊ လုပ်ငန်းကွန်ရက်တစ်ခုတွင် အောက်ပါအပိုင်းများကို ပုံစံတစ်ခု သို့မဟုတ် အခြားတစ်ခုတွင်ပါရှိသည်-

• DC (အများပြည်သူဝန်ဆောင်မှုများ DMZ နှင့် Intranet ဒေတာစင်တာ)
• အင်တာနက်
• အဝေးမှဝင်ရောက်ခွင့် VPN
• WAN အစွန်း
• ဘဏ်ခွဲအ
• ကျောင်းဝင်း (ရုံး)၊
• core

ခေါင်းစဉ်များမှ ယူသည်။ Cisco သည် ဘေးကင်းသည်။ မော်ဒယ်၊ သို့သော်၊ ဤအမည်များနှင့် ဤမော်ဒယ်တွင် အတိအကျတွဲထားရန် မလိုအပ်ပါ။ သို့တိုင် အနှစ်သာရကို ပြောပြချင်ပြီး လုပ်ထုံးလုပ်နည်းများတွင် နစ်မွန်းမနေပါနှင့်။

ဤအပိုင်းတစ်ခုစီအတွက်၊ လုံခြုံရေးလိုအပ်ချက်များ၊ ဘေးအန္တရာယ်များနှင့် လျော်ညီစွာ ဖြေရှင်းနည်းများသည် ကွဲပြားပါမည်။

လုံခြုံရေးဒီဇိုင်းရှုထောင့်မှ သင်ကြုံတွေ့ရနိုင်သည့် ပြဿနာများအတွက် ၎င်းတို့တစ်ခုစီကို သီးခြားစီကြည့်ကြပါစို့။ ဟုတ်ပါတယ်၊ ဒီဆောင်းပါးဟာ အမှန်တကယ် နက်နဲပြီး ဘက်စုံသုံးတဲ့ အကြောင်းအရာမှာ အောင်မြင်ဖို့ မလွယ်ဘူး (မဖြစ်နိုင်ဘူးဆိုရင်) ဒီဆောင်းပါးဟာ ဘယ်နည်းနဲ့မှ ပြီးပြည့်စုံသွားအောင် ဟန်ဆောင်မနေဘူးလို့ ထပ်ခါတလဲလဲ ထပ်ခါတလဲလဲ ထပ်ခါထပ်ခါ ထပ်ခါတလဲလဲ ပြောချင်ပါတယ်။

ပြီးပြည့်စုံတဲ့ ဖြေရှင်းချက်ဆိုတာ မရှိပါဘူး (အနည်းဆုံးတော့ မဖြစ်သေးပါဘူး)။ ဒါဟာ အမြဲတမ်း အပေးအယူပါပဲ။ သို့သော် ချဉ်းကပ်မှုတစ်ခု သို့မဟုတ် အခြားတစ်ခုကို အသုံးပြုရန် ဆုံးဖြတ်ချက်သည် ၎င်း၏ ကောင်းကျိုးနှင့် ဆိုးကျိုးများကို နားလည်မှုဖြင့် သတိရှိရှိ ပြုလုပ်ရန် အရေးကြီးပါသည်။

ဒေတာကိုရေးစင်တာ

ဘေးကင်းရေးအမြင်မှ အရေးကြီးဆုံးအပိုင်း။
ထုံးစံအတိုင်း၊ ဤနေရာတွင်လည်း universal solution မရှိပါ။ ၎င်းအားလုံးသည် ကွန်ရက်လိုအပ်ချက်များပေါ်တွင် များစွာမူတည်ပါသည်။

Firewall တစ်ခု လိုအပ်သလား၊ မရှိဘူးလား။

အဖြေက ရှင်းနေပုံရပေမယ့် အရာအားလုံးက ထင်သလောက် မရှင်းလင်းပါဘူး။ ပြီးတော့ မင်းရဲ့ရွေးချယ်မှုဟာ မသာမယာလွှမ်းမိုးနိုင်တယ်။ စြေး.

ဥပမာ 1 ။ နှောင့်နှေးခြင်း။

latency နည်းပါးခြင်းသည် အချို့သော network segments များအကြား မရှိမဖြစ်လိုအပ်သော လိုအပ်ချက်ဖြစ်သည်၊ ဥပမာအားဖြင့်၊ ဥပမာအားဖြင့်၊ လဲလှယ်မှုတစ်ခုတွင် မှန်ပါက၊ ထိုအပိုင်းများကြားတွင် firewalls များကို ကျွန်ုပ်တို့အသုံးပြုနိုင်မည်မဟုတ်ပါ။ Firewalls များတွင် latency ဆိုင်ရာ လေ့လာမှုများကို ရှာဖွေရန် ခက်ခဲသော်လည်း အနည်းငယ်သော switch model များသည် 1 mksec ထက်နည်းသော latency ကို ပေးစွမ်းနိုင်သောကြောင့် microseconds သည် သင့်အတွက် အရေးကြီးပါက firewalls များသည် သင့်အတွက် မဟုတ်ပါ။

ဥပမာ 2 ။ performance ။

ထိပ်တန်း L3 ခလုတ်များ၏ ဖြတ်သန်းစီးဆင်းမှုသည် အများအားဖြင့် အားကောင်းသော firewalls များ၏ ဖြတ်သန်းမှုထက် ပြင်းအား ပိုများသည်။ ထို့ကြောင့်၊ ပြင်းထန်မှုမြင့်မားသောအသွားအလာကိစ္စတွင်၊ သင်သည် firewalls များကို ကျော်လွှားရန် ဤလမ်းကြောင်းကို ခွင့်ပြုရန် ဖြစ်နိုင်ခြေများပါသည်။

ဥပမာ 3 ။ ယုံကြည်စိတ်ချရ။

အထူးသဖြင့် ခေတ်မီ NGFW (Next-Generation FW) Firewall များသည် ရှုပ်ထွေးသော ကိရိယာများဖြစ်သည်။ ၎င်းတို့သည် L3/L2 ခလုတ်များထက် ပိုမိုရှုပ်ထွေးပါသည်။ ၎င်းတို့သည် ဝန်ဆောင်မှုများနှင့် ဖွဲ့စည်းမှုဆိုင်ရာ ရွေးချယ်စရာအများအပြားကို ပံ့ပိုးပေးသောကြောင့် ၎င်းတို့၏ယုံကြည်စိတ်ချရမှုသည် များစွာနိမ့်ကျနေခြင်းမှာ အံ့သြစရာမဟုတ်ပါ။ ဝန်ဆောင်မှုဆက်နွှယ်မှုသည် ကွန်ရက်အတွက် အရေးကြီးပါက၊ ပိုမိုကောင်းမွန်သောရရှိနိုင်မှုကို ဦးတည်စေမည့်အရာကို သင်ရွေးချယ်ရနိုင်သည် - firewall ဖြင့် လုံခြုံရေး သို့မဟုတ် ပုံမှန် ACLs များကို အသုံးပြု၍ switches များပေါ်တွင် တည်ဆောက်ထားသော ကွန်ရက်၏ရိုးရှင်းမှု (သို့မဟုတ် အမျိုးမျိုးသောအထည်များ) ကို ရွေးချယ်ရပါမည်။

အထက်ဖော်ပြပါ ဥပမာများတွင်၊ သင်သည် အပေးအယူလုပ်ရန် (ပုံမှန်အတိုင်း) ဖြစ်နိုင်ချေများပါသည်။ အောက်ပါဖြေရှင်းချက်များကို ကြည့်ပါ။

• အကယ်၍ သင်သည် ဒေတာစင်တာအတွင်း firewalls များကို အသုံးမပြုရန် ဆုံးဖြတ်ပါက၊ ပတ်၀န်းကျင်တစ်ဝိုက်တွင် ဝင်ရောက်ခွင့်ကို တတ်နိုင်သမျှ ကန့်သတ်ရန် စဉ်းစားရန် လိုအပ်ပါသည်။ ဥပမာအားဖြင့်၊ သင်သည် အင်တာနက်မှ လိုအပ်သော port များကိုသာ (ဖောက်သည်အသွားအလာအတွက်) နှင့် jump host များမှသာလျှင် data center သို့ စီမံခန့်ခွဲရေးဝင်ရောက်ခွင့်ရှိသည်။ jump hosts တွင် လိုအပ်သောစစ်ဆေးမှုများအားလုံးကို လုပ်ဆောင်ပါ (စစ်မှန်ကြောင်းအထောက်အထား/ခွင့်ပြုချက်၊ ဗိုင်းရပ်စ်နှိမ်နင်းရေး၊ မှတ်တမ်းသွင်းခြင်း၊ ...)
• PSEFABRIC တွင်ဖော်ပြထားသော အစီအစဉ်နှင့်ဆင်တူသော ဒေတာစင်တာကွန်ရက်၏ ယုတ္တိအပိုင်းပိုင်းကို အပိုင်းများအဖြစ် သင်အသုံးပြုနိုင်သည် ဥပမာ p002. ဤကိစ္စတွင်၊ နှောင့်နှေး-ထိလွယ်ရှလွယ် သို့မဟုတ် ပြင်းထန်မှုမြင့်မားသောလမ်းကြောင်းသည် အပိုင်းတစ်ခုအတွင်း (p002၊ VRF တွင်) နှင့် firewall ကိုဖြတ်သန်းမသွားသည့်နည်းလမ်းဖြင့် လမ်းကြောင်းသတ်မှတ်ခြင်းကို ပြုပြင်ရပါမည်။ မတူညီသော အပိုင်းများအကြား လမ်းကြောင်းသည် firewall မှတဆင့် ဆက်လက်သွားနေပါမည်။ Firewall မှတဆင့် လမ်းကြောင်းပြန်ညွှန်းခြင်းကို ရှောင်ရှားရန် VRFs များကြားတွင် ပေါက်ကြားနေသည့် လမ်းကြောင်းကိုလည်း အသုံးပြုနိုင်သည်။
• ဤအချက်များ (latency/performance) သည် သိသာထင်ရှားခြင်းမရှိသော အဆိုပါ VLAN များအတွက်သာ firewall ကို ဖောက်ထွင်းမြင်နိုင်သောမုဒ်တွင် အသုံးပြုနိုင်သည်။ ဒါပေမယ့် ရောင်းချသူတိုင်းအတွက် ဒီ mod ကိုအသုံးပြုမှုနဲ့ဆက်စပ်တဲ့ ကန့်သတ်ချက်တွေကို သေချာလေ့လာဖို့လိုပါတယ်။
• ဝန်ဆောင်မှုကွင်းဆက်ဗိသုကာကို အသုံးပြုရန် သင်စဉ်းစားလိုပေမည်။ ၎င်းသည် firewall မှတဆင့် လိုအပ်သော အသွားအလာများကိုသာ ခွင့်ပြုပါမည်။ သီအိုရီအရ ကြည့်ကောင်းပေမယ့် ဒီအဖြေကို ထုတ်လုပ်ရေးမှာ တစ်ခါမှ မတွေ့ဖူးပါဘူး။ ကျွန်ုပ်တို့သည် လွန်ခဲ့သော 5 နှစ်ခန့်က Cisco ACI/Juniper SRX/F3 LTM အတွက် ဝန်ဆောင်မှုကွင်းဆက်ကို စမ်းသပ်ခဲ့သော်လည်း ထိုအချိန်က ဤဖြေရှင်းချက်သည် ကျွန်ုပ်တို့အတွက် "ရိုင်းစိုင်းပုံ" ဖြစ်ပုံရသည်။

ကာကွယ်မှုအဆင့်

ယခုအခါတွင် ယာဉ်အသွားအလာကို စစ်ထုတ်ရန် သင်အသုံးပြုလိုသည့် ကိရိယာများ ၏မေးခွန်းကို ယခုဖြေဆိုရန် လိုအပ်ပါသည်။ ဤသည်မှာ NGFW တွင် အများအားဖြင့် ပါရှိသည့် အင်္ဂါရပ်အချို့ (ဥပမာ၊ ဒီမှာ):

• stateful firewalling (မူလ)
• လျှောက်လွှာ firewalling
• ခြိမ်းခြောက်မှုကာကွယ်ခြင်း (အင်တီဗိုင်းရပ်စ်၊ Spyware နှင့် အားနည်းချက်)
• URL စစ်ထုတ်ခြင်း။
• ဒေတာစစ်ထုတ်ခြင်း (အကြောင်းအရာ စစ်ထုတ်ခြင်း)
• ဖိုင်ပိတ်ဆို့ခြင်း (ဖိုင်အမျိုးအစားများကို ပိတ်ဆို့ခြင်း)
• အကာအကွယ်ပြုသည်။

ပြီးတော့ အရာအားလုံးက ရှင်းရှင်းလင်းလင်းတော့ မဟုတ်ဘူး။ ကာကွယ်မှုအဆင့်မြင့်လေလေ ပိုကောင်းလေဖြစ်မှာပါ။ ဒါပေမယ့် အဲဒါကိုလည်း ထည့်သွင်းစဉ်းစားဖို့ လိုပါတယ်။

• အထက်ဖော်ပြပါ firewall လုပ်ဆောင်ချက်များကို သင်ပိုမိုအသုံးပြုလေ၊ ၎င်းသည် သဘာဝအတိုင်း (လိုင်စင်များ၊ အပို module များ) စျေးကြီးလေဖြစ်သည်။
• အချို့သော algorithms များကိုအသုံးပြုခြင်းသည် firewall ဖြတ်သန်းမှုကို သိသိသာသာ လျှော့ချနိုင်ပြီး နှောင့်နှေးမှုများလည်း တိုးလာနိုင်သည်၊ ဥပမာ ကြည့်ပါ။ ဒီမှာ
• ရှုပ်ထွေးသောဖြေရှင်းချက်ကဲ့သို့ပင်၊ ရှုပ်ထွေးသောကာကွယ်မှုနည်းလမ်းများကိုအသုံးပြုခြင်းသည် သင့်ဖြေရှင်းချက်၏ယုံကြည်စိတ်ချရမှုကိုလျှော့ချနိုင်သည်၊ ဥပမာအားဖြင့်၊ အပလီကေးရှင်း firewalling ကိုအသုံးပြုသည့်အခါ၊ ပုံမှန်အလုပ်လုပ်နေသောအက်ပ်လီကေးရှင်းအချို့ကိုပိတ်ဆို့ခြင်း (dns၊ smb) ကိုကြုံတွေ့ခဲ့ရသည်။

အမြဲလိုလို၊ သင့်ကွန်ရက်အတွက် အကောင်းဆုံးအဖြေကို သင်ရှာရန်လိုအပ်သည်။

ဘယ်လိုကာကွယ်မှုလုပ်ဆောင်ချက်တွေ လိုအပ်နိုင်သလဲဆိုတဲ့ မေးခွန်းကို အတိအကျဖြေဖို့ မဖြစ်နိုင်ပါဘူး။ ပထမဦးစွာ၊ ၎င်းသည် သင်ပေးပို့သော သို့မဟုတ် သိမ်းဆည်းပြီး ကာကွယ်ရန် ကြိုးစားနေသည့် ဒေတာပေါ်တွင် မူတည်သောကြောင့်ဖြစ်သည်။ ဒုတိယအချက်မှာ၊ အမှန်တကယ်တွင်၊ လုံခြုံရေးကိရိယာများရွေးချယ်မှုသည် စျေးရောင်းသူအပေါ် ယုံကြည်ခြင်းနှင့် ယုံကြည်ခြင်းဆိုင်ရာ ကိစ္စရပ်ဖြစ်သည်။ အယ်လဂိုရီသမ်များကို သင်မသိပါ၊ ၎င်းတို့သည် မည်မျှထိရောက်သည်ကို သင်မသိသည့်အပြင် ၎င်းတို့ကို အပြည့်အ၀ မစမ်းသပ်နိုင်ပါ။

ထို့ကြောင့်၊ အရေးကြီးသောအပိုင်းများတွင်၊ ကွဲပြားခြားနားသောကုမ္ပဏီများမှကမ်းလှမ်းချက်များကိုအသုံးပြုရန် ကောင်းမွန်သောဖြေရှင်းချက်ဖြစ်နိုင်သည်။ ဥပမာအားဖြင့်၊ သင်သည် firewall တွင် antivirus ကိုဖွင့်နိုင်သည်၊ သို့သော် hosts တွင် local တွင် antivirus protection (အခြားထုတ်လုပ်သူထံမှ) ကိုသုံးနိုင်သည်။

ပိုင်းခြားခြင်း။

ကျွန်ုပ်တို့သည် ဒေတာစင်တာကွန်ရက်၏ ယုတ္တိနည်းကျကျခွဲဝေမှုအကြောင်း ပြောနေပါသည်။ ဥပမာအားဖြင့်၊ VLAN များနှင့် subnets များကို ပိုင်းခြားခြင်းသည်လည်း ယုတ္တိကျကျ ခွဲခြမ်းခြင်းဖြစ်သည်၊ သို့သော် ၎င်း၏ ရှင်းလင်းပြတ်သားမှုကြောင့် ၎င်းကို ကျွန်ုပ်တို့ ထည့်သွင်းစဉ်းစားမည်မဟုတ်ပါ။ FW လုံခြုံရေးဇုန်များ၊ VRF (အမျိုးမျိုးသောရောင်းချသူများနှင့်ဆက်စပ်သော၎င်းတို့၏ analogues များ)၊ ယုတ္တိရှိသောကိရိယာများ (PA VSYS၊ Cisco N7K VDC၊ Cisco ACI Tenant၊ ... ) ကဲ့သို့သော အကြောင်းအရာများကို ထည့်သွင်းစဉ်းစားရန် စိတ်ဝင်စားဖွယ်အပိုင်းခွဲခြင်း။

ထိုကဲ့သို့သော ယုတ္တိနည်းကျကျ ခွဲခြမ်းခြင်း၏ ဥပမာတစ်ခုနှင့် လက်ရှိဝယ်လိုအားရှိသော ဒေတာစင်တာ ဒီဇိုင်းကို ပေးထားပါသည်။ PSEFABRIC ပရောဂျက်၏ p002.

သင့်ကွန်ရက်၏ ယုတ္တိကျသော အစိတ်အပိုင်းများကို သတ်မှတ်လိုက်ခြင်းဖြင့်၊ စက်ပစ္စည်းများကို စစ်ထုတ်ခြင်းအား မည်သည့်နည်းလမ်းဖြင့် လုပ်ဆောင်မည်ကို ကွဲပြားသော အပိုင်းများကြားတွင် အသွားအလာ မည်ကဲ့သို့ ရွေ့လျားကြောင်း ဖော်ပြနိုင်ပါသည်။

သင့်ကွန်ရက်တွင် ရှင်းလင်းပြတ်သားသော ယုတ္တိအပိုင်းပိုင်းမရှိပါက၊ မတူညီသောဒေတာစီးဆင်းမှုအတွက် လုံခြုံရေးမူဝါဒများကျင့်သုံးခြင်းဆိုင်ရာ စည်းမျဉ်းများကို တရားဝင်မထုတ်ပြန်ပါက၊ ဆိုလိုသည်မှာ သင်ဤ သို့မဟုတ် ထိုဝင်ရောက်ခွင့်ကိုဖွင့်သည့်အခါ၊ သင်သည် ဤပြဿနာကို ဖြေရှင်းရန်အတင်းအကျပ်ခိုင်းစေပြီး ဖြစ်နိုင်ခြေများသောအားဖြင့်၊ အချိန်တိုင်း မတူအောင် ဖြေရှင်းပေးပါလိမ့်မယ်။

မကြာခဏ အပိုင်းခွဲခြင်းသည် FW လုံခြုံရေးဇုန်များပေါ်တွင်သာ အခြေခံသည်။ ထို့နောက် အောက်ပါမေးခွန်းများကို ဖြေရန် လိုအပ်ပါသည်။

• ဘာလုံခြုံရေးဇုန်တွေလိုလဲ။
• ဤဇုန်တစ်ခုစီအတွက် မည်သည့်ကာကွယ်မှုအဆင့်ကို ကျင့်သုံးလိုပါသလဲ။
• ဇုန်အတွင်း အသွားအလာကို မူရင်းအတိုင်း ခွင့်ပြုမည်လား။
• မဟုတ်ပါက၊ ဇုန်တစ်ခုစီအတွင်း မည်သည့်ယာဉ်ကြောပိတ်ဆို့ခြင်းမူဝါဒကို ကျင့်သုံးမည်နည်း။
• ဇုန်အတွဲတစ်ခုစီအတွက် မည်သည့်ယာဉ်အသွားအလာ စစ်ထုတ်ခြင်းမူဝါဒကို ကျင့်သုံးမည် (အရင်းအမြစ်/ခရီးဆုံးနေရာ)

TCAM

အဖြစ်များသောပြဿနာမှာ လမ်းကြောင်းတင်ခြင်းအတွက်ရော ဝင်ခွင့်အတွက်ရော TCAM (Ternary Content Addressable Memory) မလုံလောက်ပါ။ ဘာမှလည်းမဟုတ်၊ ဒါက စက်ကိရိယာကိုရွေးချယ်တဲ့အခါ အရေးကြီးဆုံးပြဿနာတစ်ခုပါ၊ ဒါကြောင့် ဒီပြဿနာကို သင့်လျော်တဲ့ အတိုင်းအတာနဲ့ ကုသဖို့ လိုပါတယ်။

ဥပမာ 1. Forwarding Table TCAM။

ကိုကြည့်ကြရအောင် Palo Alto 7k firewall
IPv4 ထပ်ဆင့်ပို့ခြင်းဇယားအရွယ်အစား* = 32K ကို ကျွန်ုပ်တို့တွေ့မြင်ရပါသည်။
ထို့အပြင်၊ ဤလမ်းကြောင်းအရေအတွက်သည် VSYS အားလုံးအတွက်သာမန်ဖြစ်သည်။

မင်းရဲ့ ဒီဇိုင်းအရ 4 VSYS ကို သုံးဖို့ ဆုံးဖြတ်တယ်လို့ ယူဆကြပါစို့။
ဤ VSYS တစ်ခုစီသည် BB အဖြစ် သင်အသုံးပြုသည့် cloud ၏ MPLS PE နှစ်ခုသို့ BGP မှတစ်ဆင့် ချိတ်ဆက်ထားသည်။ ထို့ကြောင့် 4 VSYS သည် သီးခြားလမ်းကြောင်းများအားလုံးကို တစ်ခုနှင့်တစ်ခု ဖလှယ်ပြီး ခန့်မှန်းခြေအားဖြင့် တူညီသောလမ်းကြောင်းများ (သို့သော်လည်း မတူညီသော NHs) နှင့် forwarding table တစ်ခုရှိသည်။ ဘာဖြစ်လို့လဲဆိုတော့ VSYS တစ်ခုစီတွင် BGP စက်ရှင် 2 ခု (တူညီသောဆက်တင်များနှင့်အတူ) ရှိပြီး၊ ထို့နောက် MPLS မှရရှိသောလမ်းကြောင်းတစ်ခုစီတွင် 2 NH ရှိပြီး၊ ထို့ကြောင့် Forwarding Table တွင် FIB 2 ခုပါဝင်ပါသည်။ ၎င်းသည် ဒေတာစင်တာရှိ တစ်ခုတည်းသော firewall ဖြစ်သည်ဟု ကျွန်ုပ်တို့ ယူဆပါက၊ ၎င်းသည် လမ်းကြောင်းများအားလုံးကို သိထားရမည်ဆိုလျှင်၊ ကျွန်ုပ်တို့၏ဒေတာစင်တာရှိ လမ်းကြောင်းစုစုပေါင်း အရေအတွက်သည် 32K/(4*2) = 4K ထက် မပိုနိုင်ဟု ဆိုလိုပါသည်။

ယခု ကျွန်ုပ်တို့တွင် ဒေတာစင်တာ 2 ခု (တူညီသောဒီဇိုင်းဖြင့်) ရှိသည်ဟုယူဆပါက၊ ကျွန်ုပ်တို့သည် ဒေတာစင်တာများကြားတွင် "ဆန့်ထုတ်ထားသော" VLANs ကိုအသုံးပြုလိုသည် (ဥပမာ vMotion အတွက်) ထို့နောက် လမ်းကြောင်းပြပြဿနာကိုဖြေရှင်းရန်၊ ကျွန်ုပ်တို့သည် host လမ်းကြောင်းများကို အသုံးပြုရပါမည်။ . သို့သော် ဆိုလိုသည်မှာ ဒေတာစင်တာ 2 ခုအတွက် ဖြစ်နိုင်ချေရှိသော host ပေါင်း 4096 ထက်မပိုစေဘဲ၊ ၎င်းသည် လုံလောက်မည်မဟုတ်ပါ။

ဥပမာ 2. ACL TCAM ။

အကယ်၍ သင်သည် L3 ခလုတ်များ (သို့မဟုတ် L3 ခလုတ်များ ဥပမာ Cisco ACI ကိုသုံးသည့် အခြားဖြေရှင်းနည်းများ) တွင် အသွားအလာကို စစ်ထုတ်ရန် စီစဉ်ထားပါက စက်ပစ္စည်းကို ရွေးချယ်သည့်အခါ TCAM ACL ကို အာရုံစိုက်သင့်သည်။

Cisco Catalyst 4500 ၏ SVI အင်တာဖေ့စ်တွင် ဝင်ရောက်ခွင့်ကို သင်ထိန်းချုပ်လိုသည်ဆိုပါစို့။ ထို့နောက်တွင် တွေ့မြင်နိုင်သကဲ့သို့၊ ဤဆောင်ပါးအင်တာဖေ့စ်များရှိ အထွက် (အပြင် အဝင်) အသွားအလာကို ထိန်းချုပ်ရန်၊ သင်သည် 4096 TCAM လိုင်းများကိုသာ အသုံးပြုနိုင်သည်။ TCAM3 ကိုအသုံးပြုသည့်အခါ သင့်အား ACEs (ACL လိုင်းပေါင်း 4000) ခန့် ပေးမည်ဖြစ်ပါသည်။

အကယ်၍ သင်သည် TCAM မလုံလောက်သည့် ပြဿနာနှင့် ရင်ဆိုင်နေရပါက၊ ပထမဦးစွာ၊ သင့်အနေဖြင့် optimization ဖြစ်နိုင်ခြေကို ထည့်သွင်းစဉ်းစားရန် လိုအပ်ပါသည်။ ထို့ကြောင့်၊ Forwarding Table ၏အရွယ်အစားနှင့် ပြဿနာတစ်ခုရှိပါက၊ လမ်းကြောင်းများကို ပေါင်းစည်းရန် ဖြစ်နိုင်ခြေကို ထည့်သွင်းစဉ်းစားရန် လိုအပ်ပါသည်။ ဝင်ရောက်ခွင့်အတွက် TCAM အရွယ်အစားနှင့် ပြဿနာရှိသည့်အခါ၊ စာရင်းစစ်ဝင်ရောက်မှုများ၊ ခေတ်မမီတော့သော နှင့် ထပ်နေသည့် မှတ်တမ်းများကို ဖယ်ရှားပြီး ဝင်ရောက်အသုံးပြုခွင့်အတွက် လုပ်ထုံးလုပ်နည်းကို ပြန်လည်ပြင်ဆင်နိုင်သည် (စာရင်းစစ်ဝင်ရောက်ခွင့်ဆိုင်ရာ အခန်းတွင် အသေးစိတ် ဆွေးနွေးပါမည်)။

မြင့်မားသောရရှိနိုင်

မေးခွန်းမှာ- firewalls များအတွက် HA ကို သုံးသင့်သလား သို့မဟုတ် သီးခြားလွတ်လပ်သော box နှစ်ခု "အပြိုင်" ကို install လုပ်သင့်ပြီး ၎င်းတို့ထဲမှ တစ်ခု အဆင်မပြေပါက၊ ဒုတိယမှတဆင့် traffic ကို လမ်းကြောင်းပေးပါ။

အဖြေက ရှင်းနေပုံရသည် - HA ကိုသုံးပါ။ ဤမေးခွန်း ပေါ်ပေါက်လာရခြင်း၏ အကြောင်းရင်းမှာ ကံမကောင်းစွာပဲ၊ သီအိုရီနှင့် ကြော်ငြာ 99 နှင့် လက်တွေ့တွင် သုံးစွဲနိုင်မှု၏ ဒဿမရာခိုင်နှုန်းများစွာသည် နှင်းဆီပန်းပွင့်နှင့် ဝေးကွာသွားသောကြောင့် ဖြစ်သည်။ HA သည် ယုတ္တိနည်းအရ အတော်လေး ရှုပ်ထွေးသော အရာဖြစ်ပြီး မတူညီသော စက်ကိရိယာများနှင့် မတူညီသော ရောင်းချသူများ (ခြွင်းချက်မရှိ) ဖြင့် ပြဿနာများနှင့် ချွတ်ယွင်းချက်များနှင့် ဝန်ဆောင်မှုများကို ရပ်တန့်လိုက်ပါသည်။

အကယ်၍ သင်သည် HA ကိုအသုံးပြုပါက၊ ဝန်ဆောင်မှုကို မရပ်ဘဲ တစ်ခုချင်းစီကို ပိတ်ရန်၊ ၎င်းတို့ကြားတွင် ပြောင်းရန် အခွင့်အရေးရလိမ့်မည်၊ ဥပမာ၊ အဆင့်မြှင့်တင်မှုများ ပြုလုပ်သည့်အခါတွင် အရေးကြီးသည်၊ သို့သော် တစ်ချိန်တည်းတွင် သင့်တွင် node နှစ်ခုလုံး ဖြစ်နိုင်ခြေ သုညနှင့် ဝေးပါသည်။ တစ်ချိန်တည်းမှာပင် ပျက်သွားမည်ဖြစ်ပြီး၊ နောက်တစ်ကြိမ် အဆင့်မြှင့်တင်မှုသည် ရောင်းချသူကတိပြုထားသည့်အတိုင်း ချောမွေ့မည်မဟုတ်ကြောင်း (ဓာတ်ခွဲခန်းသုံးပစ္စည်းများတွင် အဆင့်မြှင့်တင်စမ်းသပ်ရန် အခွင့်အရေးရှိပါက ဤပြဿနာကို ရှောင်ရှားနိုင်သည်)။

အကယ်၍ သင်သည် HA ကိုအသုံးမပြုပါက၊ နှစ်ဆပျက်ကွက်မှု၏ရှုထောင့်မှကြည့်လျှင်သင်၏အန္တရာယ်များ (သင့်တွင်လွတ်လပ်သော firewalls 2 ခုရှိသောကြောင့်) သို့ပေမယ့်... sessions များကို synchronized မလုပ်ထားပါ၊ ထို့နောက် ဤ firewalls များကြားတွင် သင်ပြောင်းလိုက်တိုင်း traffic ဆုံးရှုံးပါမည်။ သေချာပါတယ်၊ သင်သည် နိုင်ငံမဲ့ firewalling ကိုသုံးနိုင်သည်၊ သို့သော် ထို့နောက် firewall ကိုအသုံးပြုခြင်း၏အချက်မှာ အလွန်ဆုံးရှုံးသွားပါသည်။

ထို့ကြောင့် စစ်ဆေးမှုရလဒ်အနေဖြင့် သင်သည် အထီးကျန် firewalls များကို ရှာဖွေတွေ့ရှိပြီး သင့်ကွန်ရက်၏ ယုံကြည်စိတ်ချရမှုကို တိုးမြှင့်ရန် စဉ်းစားနေပါက HA သည် အကြံပြုထားသော ဖြေရှင်းနည်းများထဲမှ တစ်ခုဖြစ်သော်လည်း၊ ဆက်စပ်နေသော အားနည်းချက်များကိုလည်း ထည့်သွင်းစဉ်းစားသင့်ပါသည်။ ဤချဉ်းကပ်မှုဖြင့်၊ အထူးသဖြင့် သင့်ကွန်ရက်အတွက်၊ အခြားဖြေရှင်းချက်သည် ပို၍သင့်လျော်မည်ဖြစ်သည်။

စီမံခန့်ခွဲနိုင်မှု

မူအရ၊ HA သည် ထိန်းချုပ်နိုင်စွမ်းနှင့် ပတ်သက်သည်။ အကွက် 2 ခုကို သီးခြားစီဖွဲ့စည်းပြီး ချိန်ကိုက်ဖွဲ့စည်းမှုများကို ထိန်းညှိခြင်းပြဿနာကို ဖြေရှင်းမည့်အစား၊ သင့်တွင် စက်တစ်ခုရှိသကဲ့သို့ ၎င်းတို့ကို သင်စီမံခန့်ခွဲပါ။

သို့သော် သင့်တွင် ဒေတာစင်တာများစွာနှင့် firewalls များစွာရှိကောင်းရှိနိုင်သည်၊ ထို့နောက် ဤမေးခွန်းသည် အဆင့်သစ်တစ်ခုတွင် ပေါ်ပေါက်လာပါသည်။ မေးခွန်းသည် ဖွဲ့စည်းမှုပုံစံနှင့် ပတ်သက်သည်သာမက၊

• အရန်ဖွဲ့စည်းပုံများ
• အပ်ဒိတ်များ
• အဆင့်မြှင့်တင်မှုများ
• စောင့်ကြည့်ရေး
• သစ်ခုတ်ခြင်း။

ဒါကို ဗဟိုက ချုပ်ကိုင်ထားတဲ့ စီမံခန့်ခွဲမှုစနစ်တွေနဲ့ ဖြေရှင်းနိုင်ပါတယ်။

ဥပမာအားဖြင့်၊ သင်သည် Palo Alto firewalls ကိုအသုံးပြုနေပါက၊ မြင်ကွင်းကျယ် အဲဒီလိုဖြေရှင်းချက်တစ်ခုပါ။

ဆက်ခံရဖို့။

source: www.habr.com