á€áá±á¬ááºážáá«ážááẠâáááºáááœááºáááºá¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááᯠáááºááá¯á·ááááºážáá»á¯ááºááááºáááºážâ á
á®ážáá®ážá ááá¹á
áááŒá±á¬ááºáá±á¬ááºážáá«ážááŒá
áºáááºá á
á®ážáá®ážááŸáá·áº ááá·áºááºáá»á¬ážááŸá áá±á¬ááºážáá«ážá¡á¬ážáá¯á¶ážá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááœá±á·ááá¯ááºáááºá
á€á¡ááá¯ááºážááᯠCampus (Office) ááŸáá·áº Remote Access VPN á¡ááá¯ááºážáá»á¬ážááœáẠááŒáŸá¯ááºááŸá¶áá«áááºá
áá¯á¶ážááœááºáááºáá®ááá¯ááºážááẠááœááºáá°áá¯á¶ááááºá
á¡ááŸááºááŸá¬á áá»áœááºá¯ááºááá¯á·ááẠL2/L3 ááá¯ááºáá»á¬ážááá¯áá°ááŒá®áž áááºážááá¯á·ááᯠáá
áºáá¯ááŸáá·áºáá
áºáᯠáá»áááºáááºáá«á ááá¯á·áá±á¬ááºá áá»áœááºá¯ááºááá¯á·ááẠvilans ááŸáá·áº default gateways áá»á¬ážá á¡ááŒá±áᶠsetup ááᯠáá¯ááºáá±á¬ááºááŒá®ážá ááá¯ážááŸááºážáá±á¬ áááºážááŒá±á¬ááºážááᯠá
áá
áºááá·áºááœááºážáááºá WiFi controllers áá»á¬ážááᯠáá»áááºáááºáááºá access point áá»á¬ážá remote access á¡ááœáẠASA ááᯠááá·áºááœááºážááŒá®áž configure áá¯ááºáááºáá á¡áá¬á¡á¬ážáá¯á¶áž á¡áááºááŒá±ááœá¬ážááá·áºá¡ááœáẠáááºážáá¬áá«áááºá á¡ááŒá±áá¶á¡á¬ážááŒáá·áºáá±á¬á· áá»áœááºáá±á¬áº á¡áááºáá²á áá
áºáá¯áá±ážáá¬ážááŒá®ážáá¬ážáá«á
áá«áá±ááá·áº ááẠááá¯áá±á·áá¬áá±á áá®á¡áá¯ááºá ááá¯ážááŸááºážááŸá¯ áááºážáá±áá±áá«áá²á áá»áœááºá¯ááºá¡ááœááºá á€á¡ááŒá±á¬ááºážá¡áá¬á áá¯á¶ážááœááºáááºáá®ááá¯ááºážááá¯ááºáᬠáá±á«ááºážá ááºááẠáá¯á¶ážáááá¯ážááŸááºážáá¯á¶ááá±á«áºáá«á á€áá±á¬ááºážáá«ážááœáẠáá»áœááºá¯ááºáá¬ááŒá±á¬áá·áº ááŸááºážááŒáááºááŒáá¯ážá á¬ážáá«áááºá
á¡ááá¯áá»á¯ááºááŒá±á¬ááá»áŸáẠá
ááºážá
á¬ážáááá·áºá¡áá»áẠá¡áááºážáááºááŸááá«áááºá áááŒá¬ááááá¯áááᯠá€á¡áá»ááºáá»á¬ážááẠáá
áºáá¯ááŸáá·áºáá
áºáᯠáááááá¹áááŒá
áºáá±ááŒá®áž áá»áá¯ážááŒá±á¬ááºážáá®áá»á±á¬áºáá±á¬ á¡áá±ážá¡áá°áá¯ááºááẠááá¯á¡ááºáááºá
á€ááá±áá»á¬ááŸá¯ááẠá¡áááá¡áááºá¡áá²ááŒá
áºáááºá ááá¯á·ááŒá±á¬áá·áº áá¯á¶ááŒá¯á¶áá±ážá¡ááŒá±á¬ááºážááŒá±á¬ááá»áŸáẠáá»áœááºá¯ááºááá¯á·ááœáẠáá¯á¶ááŒá¯á¶áá±ážá áááºáááºážáá»á¬ážá¡ááœáẠá¡áááºááŒá±ááŸá¯á ááŒá±ááŸááºážáá»ááºáá
á»á±ážááŸá¯ááºážá
ááŒá®ážáá±á¬á· áá®áá¯á¶ážáá»áá¯ážááŒá¬ážá á¡áá±ážá¡áá°áá¯ááºáá²á·á¡áá»áááºááá¯ááºáž ááŸá¬ááááºá
áááá¯áá¬á¡áááºááá¬
ááááºáá±á¬ááºážáá«ážáá»á¬ážááœááºáá²á·ááá¯á· á€á¡ááá¯ááºážááŸá
áºáá¯á¡ááœáẠáááá¯áá¬áá
áºáá¯á á¥ááá¬áá
áºáá¯á¡áá±ááŒáá·áº áá»áœááºá¯ááºá¡ááŒá¶ááŒá¯ááá¯áá«áááºá
á€á¡áá¬áá»á¬ážááẠáá±ááºááá®áá±á¬ á
á¬ááœááºá
á¬áááºážáá»á¬ážááŒá
áºáááºá á¡ááŒá±áá¶á¡á
á®á¡á
á¥áºáá»á¬ážááŸáá·áº áá»ááºážáááºáá¯á¶áá»á¬ážááẠáááŒá±á¬ááºážáá²áá±á¬ááŒá±á¬áá·áº á€áá±áá¬ááœáẠáááºááŒááá¯ááºááá«áááºá
Cisco ááŒá±ááŸááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááẠááá·áºá¡á¬áž áááá¯ááºááœááºážáá²á á€áá®ááá¯ááºážááᯠááá¯áá áá¯ááºáá±á·áá¬ááŒááºážááẠá¡áá¯á¶ážáááºáááºáᯠáá»áœááºá¯ááºáááºááŒááºáááá±ážáááºá
á€áá±á¬ááºážáá«ážááẠáá«ááá¯ááºážáá²á·ááá¯á·ááẠááŒá®ážááŒáá·áºá á¯á¶áááºáᯠáááºáá±á¬ááºááŒááºážáááŸááá±á¬áºáááºážá á€á¡áá»ááºá¡áááºá¡ááœáẠá¡ááá¯áá áºáá¯ááŒá áºáááºá
áá±á¬ááºážáá«ážáá¡áá¯á¶ážááœááºá Cisco SAFE áá¯á¶ážáááºážáá®ááá¯ááºážááᯠá€áá±áá¬ááœááºáá±á¬áºááŒáá¬ážáá±á¬ ááá±á¬ááá¬ážáá»á¬ážááŸáá·áºáááºáááºá ááá¯ááºážááŒá¬ážá áááºááŒá¬áá«áááºá
á¡ááœá±ááœá±á¡ááŒá±áá¶áá°
áá¯á¶ážááœááºáááºá áá®ááá¯ááºážááẠááœá±ážááœá±ážáá¬ážáá±á¬ áá±áá°áá»ááá¯á¡ááºáá»ááºáá»á¬ážááᯠááŒáá·áºáááºážáá±ážááááºááŒá
áºáááºá
- áá»áœááºážáá»ááºááŸá¯
- á¡áá¯á¶ážááŒá¯áááœááºáá°ááŸá¯ (á á®áá¶ááá·áºááœá²ááá¯ááºááŸá¯)
- áááŸáááá¯ááºááŸá¯
ááœá±ážááœá±ážáá²á·áá¬ááœá± á¡áá»á¬ážááŒá®ážáá²á
ááá¯á·áá±á¬áºáááºáž áá¯á¶ážáááºážá¡ááá¯ááºážááœáẠáá¯á¶ááŒá¯á¶áá±ážá¡ááŒááºá¡á á¡áá±ážáá«ááá·áº áá®ážááŒá¬ážá¡áá»ááºáá»á¬áž ááŸááá±ážáááºá á€áá°ážááŒá¬ážááŸá¯á á¡ááŸá áºáá¬áááŸá¬ áá¯áá¹ááá®á áááºáááºážáá»á¬áž (á¡ááŒáẠáá¯ááºáá±á¬áºááá¯ááºáááºáá»á¬ážááŸáá·áº á§áá·áºáááºáá»á¬áž) á¡ááœáẠááœááºáááºáááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáá±ážáá±á¬ááºááẠá€á¡ááá¯ááºážááᯠáááºáá®ážáá¬ážááŒááºážááŒá áºááŒá®áž ááááºá¡áá±ááŒáá·áº ááŒá¿áá¬á á¡ááŒáá·áºáá¯á¶ážá¡ááá·áºááœáẠáá»áœááºá¯ááºááá¯á·ááœáẠá¡áá¯ááºááŸá áºáá¯ááŸááááº-
- áááºáááºážáá»á¬áž (á§áá·áºáááºáá»á¬ážá áá¯ááºáá±á¬áºááá¯ááºáááºáá»á¬áž) ááŸáá·áº áááºážááá¯á·á¡áá¯á¶ážááŒá¯ááá·áº áá±á¬á·ááºáá²ááºááŸáá¬áá±á¬ á¡áá¹ááá¬ááºááŸááá±á¬ áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá០áá¯áá¹ááá®á¡áááºážá¡ááŒá áºáá»á¬ážááᯠáá¬ááœááºáá«á áááºážááœáẠááœááºáááºááá¯á· ááœáá·áºááŒá¯áá»ááºáááŸááá² áá»áááºáááºááŸá¯á០á¡áá¬á¡ááœááºáá»á¬ážáááºáž áá«áááºáááºá
- á áá áºáá»á¬ážááŸáá·áº á¡áá¯á¶ážááŒá¯áá°áá±áá¬ááᯠáá¬ááœááºáá«á
á€áááºááŸá¬ ááŒá¿áá¬á áá áºáááºáááºáž (ááá¯á·ááá¯ááºá ááŒááá¶á á¡ááœááºáá áºáá¯) ááŒá áºáááºá á¡ááŒá¬ážáá áºáááºááœáẠá¡áá¯á¶ážááŒá¯áá° á¡áááºááŒá±ááŸá¯ááŸáá·áº á¡áá¯á¶ážááŒá¯ááá·áº ááŒá±ááŸááºážáááºážáá»á¬ážá áá±ážááŸá¯ááºážáá»á¬ážááŒá áºáááºá
áá±ááºáá®áá¯á¶ážááœááºáááºáá áºáá¯á០áá¯á¶ážá áœá²áá°áá áºáŠáž áá»áŸá±á¬áºááá·áºáá¬ážáááºááᯠááŒáá·áºááŒááºážááŒáá·áº á áááºááŒáá«á áá¯á·á
á¡áááºááá·áºááŒááºáž
á€áááºááŸá¬ áá»áœááºá¯ááºáá¡ááŒááºá¡á áá¯á¶ážáááºážá¡áá¯á¶ážááŒá¯áá°áá áºáŠážá¡ááœáẠ"ááœááºáááºáá¬áá¬á¡áááºááŒá±ááŸá¯áá»á¬áž" ááẠáááºááá¯á·áá±á¬áá¯á¶á á¶ááŒá áºáááº-
- ááœá±á¬áá»ážááŸá±á·ááŸáá»ááœáá»áž
- áááºážááŸá®ážááŒá®ážáá¬áž á ááºáááááá¬áá»á¬ážááŸáá·áº áááºáááºááŸá¯á áá áºáá»á¬áž á¡ááŒáá·áºá¡á á¯á¶ááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºááŒááºážá
- ááá¯á¡ááºáá±á¬ áá¯áá¹ááá®á¡áááºážá¡ááŒá áºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠááœááºáá°á áœá¬ á¡áá¯á¶ážááŒá¯ááá¯ááºááŒááºážá
- á¡áá»áá¯ážáá»áá¯ážáá±á¬ cloud áááºáá±á¬ááºááŸá¯áá»á¬ážá¡áá«á¡ááẠá¡ááºáá¬áááºá¡áááºážá¡ááŒá áºáá»á¬áž áááŸáááá¯ááºááŒááºážá
- ááœááºáááºá "ááŒááºáááºáá±á¬áááºáááºááŸá¯"
á€á¡áá¬á¡á¬ážáá¯á¶ážááẠáááºáááºážáá»á¬ážááŸáá·áº á§áá·áºáááºáá»á¬áž (ááá¯á·ááá¯áẠááááºáááºáá»á¬áž) ááŸáá·áº áááºááá¯ááºááŒá®áž ááœáá·áºááŒá¯áá»ááºá¡áá±á«áºá¡ááŒá±áá¶á ááá°áá®áá±á¬á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬ážá¡ááœáẠá¡áá¯á¶ážááŒá¯ááœáá·áºááᯠááœá²ááŒá¬ážáááºááŸááºáááºááŸá¬ áá¯áá¹ááá®á á¡ááºáá»ááºáá®áá¬áá»á¬ážá áá¬áááºááŒá áºáááºá
áá®á¡áá»ááºááœá±áá²á áá áºáá¯áá»ááºážá á®ááᯠá¡áá±ážá áááºá¡áá±ážá ááẠáá±á·áá¬ááŒáá·áºáá¡á±á¬ááºá
ááœá±á¬áá»ážááŸá±á·ááŸáá»ááœáá»áž
áá»áœááºá¯ááºááá¯á·ááẠááá¹áá¬áá±á«áºááŸá áááºááá·áºáá±áá¬ááŸáááᯠááá¯á¡ááºáá±á¬ áá¯áá¹ááá®á¡áááºážá¡ááŒá áºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠá¡áá¯ááºáá¯ááºáááºááŸáá·áº á¡áá¯á¶ážááŒá¯ááẠá¡ááœáá·áºá¡áá±ážá¡ááŒá±á¬ááºáž ááŒá±á¬áá±ááŒááºážááŒá áºááẠ(áá¯ááºáá«áááºá á¡ááºáá¬áááºáááá¯ááºááá·áºáá±áá¬)á
áááºážááẠáá¯á¶ážááŸáá·áº á¡ááŒáá·áºá¡ááááºááá¯ááºáá«áááºá áá¯á¶ážááœáẠáááºááá·áºáá±áá¬á០áááºáááºáá¯ááºááá¯ááºááœáá·áº ááá±á¬á¡áá«ááœáẠá¡áááºááŒá±áááºá á¥ááá¬- áá±ážááºáááºáá¶ááŒááºážá áá±á¬áºááá¯áááẠmessenger ááœáẠáááºááœááºááŒááºážá áá®áá®ááá¯áá±á«áºááá¯ááŸá¯ ááŒá¯áá¯ááºááá¯ááºááŒááºážá ... ááá¯á·ááŒá±á¬áá·áº á€á¡áá¬á ááá·áºááᯠááááºááœááºá á¡áá»áá¯á·áá±á¬ááŒá¿áá¬áá»á¬ážááá¯ááŒá±ááŸááºážááẠ"ááá¯ááºááá¯ááº" áááºááœááºáá±áž (á¥ááá¬á á á¯áá±ážááŸá¯áá»á¬ážááœááºáá«áááºáá«)á á¡ááŒá¬ážáá áºáááºááœááºá á¡ááŒá²á¡áœááºááá¯ááºážáá±áá«á ááá·áºáááºáá»á±á¬ááºážááᯠááœá±ážáá¯ááºááŸá¯ááºážáá±á«áºá á±ááŒá®áž á¡áá±ážáááŒá®ážáŠážá á¬ážáá±ážáá¯ááºáá±á¬ááºá áá¬á¡áá»áá¯á·ááᯠá¡ááŒááºááŒá±ááŸááºážáá«á áááºážááẠá¡ááœááºá¡áááºááŒá±ááŒá®áž áááºááœááºáá±ážá¡áááºá¡ááœá±ážááᯠá¡ááŸááºááááºááá¯ážáááºá á±áááºá
áááºážááᯠááá·áºáá»á±á¬áºáá±á¬ WiFi ááœááºáááºáá®ááá¯ááºážááŒáá·áº áááŸááááºá
ááœá±á¬ááá¯
á€áá±áá¬ááœáẠáá±ážá áá¬ááŸááá¬áááº- WiFi áá áºáá¯áááºážáá¯á¶ážááẠáá¯á¶áá±á¬ááºáá«ááá¬ážá áááºážááẠáá¯á¶ážááœáẠEthernet áá±á«ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááᯠáááºááá·áºááá¯ááºáááºáᯠááá¯ááá¯áá«ááá¬ážá á¡áááºá áá»áœááºá¯ááºááá¯á·ááẠáá¯á¶ááŸáẠEthernet áá±á«ááºááŸáá·áº áá»áááºáááºááẠáá»áá¯ážááŒá±á¬ááºážáá®áá»á±á¬áºá áœá¬ áá»áááºáááºááá¯ááºááá·áº áá¬áá¬áá»á¬ážá¡ááŒá±á¬ááºážááá¯ááºáá² áá¯á¶ážá áœá²áá°áá»á¬ážá¡ááŒá±á¬ááºážáᬠááŒá±á¬áá±áá«áá áá±áá°áá»á¡á¬ážááŒáá·áº á¡ááŒá±ááŸá¬- áá¯ááºáááºá áááºááẠááá·áºááá¯ááºááẠWiFi ááá¯áᬠááá·áºáááºááá¯ááºáááºá áá«áá±ááá·áº nuances ááœá±ááŸááááºá
áá®ážááŒá¬ážáá»ááºážáááºááŸá¯ááá¯á¡ááºáá±á¬ á¡áá±ážááŒá®ážáá±á¬ á¡áá¯á¶ážááŒá¯áá°á¡á¯ááºá á¯áá»á¬áž ááŸááá«áááºá áá«ááœá±á á á®áá¶ááá·áºááœá²áá°ááœá±áá«á áá°á¡áá WiFi áá»áááºáááºááŸá¯ááẠáá¯á¶ááŒááºá áááºáá»áááŸá¯áááºážááẠ(á¡ááœá¬ážá¡áᬠáá¯á¶ážááŸá¯á¶ážááŒááºážá¡ááœááº) ááŸáá·áº áá¯á¶ááŸáẠEthernet á¡áá±á«ááºááẠááŸá±ážááœá±ážáááºá áááºážááẠá á®áá¶ááá·áºááœá²áá°áá»á¬ážá¡ááœáẠá¡áá±ážáá«ááá¯ááºáááºá ááá¯á·á¡ááŒááºá á¥ááá¬á¡á¬ážááŒáá·áºá ááœááºáááºá á®áá¶ááá·áºááœá²áá°áá»á¬ážááẠáá°á¡áá ááŸáá¯ááºážááŒááºááá»áááºáááºááŸá¯áá»á¬ážá¡ááœáẠáááºážááá¯á·áááá¯ááºááá¯ááºáá®ážááá·áº Ethernet ááœááºáááºááᯠááŸáááá¯ááºáááºá
á€á¡áá»ááºáá»á¬ážáááºáááºáž á¡áá±ážááŒá®ážááá·áºá¡ááœáẠááá·áºáá¯áá¹ááá®ááœáẠá¡ááŒá¬ážá¡á¯ááºá á¯áá»á¬áž/áá¬ááá»á¬áž ááŸáááá¯ááºáá«áááºá
áá±á¬ááºá¡áá±ážááŒá®ážáá²á·á¡áá»ááºáá áºáá¯á áááºáá®áá¯ááºážá á¡ááŒá±á¬ááºážáá áºáá¯áá¯ááŒá±á¬áá·áº áááºááẠWireless VoIP ááá¯á¶ážáá»ááºáá² áá¯á¶ááŸáẠEthernet áá»áááºáááºááŸá¯ááŒáá·áº IP áá¯ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááŒááºážááŒá áºááá¯ááºáááºá
áá±áá°áá»á¡á¬ážááŒáá·áºá áá»áœááºáá±á¬áºá¡áá¯ááºáá¯ááºáá²á· áá¯áá¹ááá®ááœá±ááŸá¬ á¡áá»á¬ážá¡á¬ážááŒáá·áº WiFi áá»áááºáááºááŸá¯áá²á· Ethernet port ááŸá áºáá¯áá¯á¶ážááŸáááŒáá«áááºá
áá¯á¶ážááŸá¬áᬠááœá¬ážáá¬ááŸá¯ááºááŸá¬ážáá±ááá¯á· ááá¯áá«áááºá
á¡áááºááŸá¡áá¯ááºáá¯ááºááá¯ááºááŸá¯áá±áá»á¬á á±ááẠ(ááá¯á·ááá¯áẠá¡áá¯á¶ážááŒá¯ááá¯ááºáá±á¬á¡ááºáá¬áááºááŸááá±á¬á¡ááŒá¬ážáá±áá¬) VPN áá»áááºáááºááŸá¯ááá¯á¡áá¯á¶ážááŒá¯áá«áááºá áá áºáá»áááºáááºážááŸá¬áááºá áá°áá®áá±á¬áááºáá±á¬ááºááœáá·áºáá¯áá°áááá·áºá¡áááºááŸá¡áá¯ááºáá¯ááºááŒááºážááŸáá·áºá¡áá±ážá¡áá¯ááºá¡ááŒá¬ážááŒá¬ážáá¬ážáá»ááºááᯠá ááºáááºážáá»á¬ážáááá¶á á¬ážáá á±áááºááŸá áºááá¯ááœááºááŸááááºá âá á¯á ááºážáá¬ážáá±á¬ áááá¯á á áºááŸááºááŒá±á¬ááºážááŸáá·áº ááœáá·áºááŒá¯áá»ááºá áá áºâ á¡áááºážááœáẠáááºážááᯠáááºáá²á·ááá¯á· á á¯á ááºážááááºáááºážá
ááœá±á¬ááá¯
ááŒá áºááá¯ááºáááºááŸá¬á áááºááẠáá¯á¶ážááœááºááŸááá±á¬ á¡áá±ážááááºážá¡áá¯ááºá¡ááœáẠáá°áá®áá±á¬ áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡ááŒáá·áºá¡á áá±ážáá±á¬ááºááá¯ááºáááºááá¯ááºáá±á áááºááẠCisco ASA 5520 ááᯠáááºá VPN áá¶áá«ážáá±á«ááºá¡ááŒá Ạá¡áá¯á¶ážááŒá¯áá±áááºáᯠáá°áááŒáá«á áá¯á·á
á¡áá»ááºá¡áááºá á¬ááœáẠá€á ááºáá á¹á ááºážááẠVPN á¡ááœá¬ážá¡áᬠ225 Mbit ááá¯áᬠâáá»á±áá»ááºâ ááá¯ááºáááºá ááá¯ááá¯áááºááŸá¬á bandwidth á¡á VPN ááŸáááá·áºáá»áááºáááºááŒááºážáááºáá¯á¶ážááŸá¡áá¯ááºáá¯ááºááŒááºážááŸáá·áºá¡ááœááºááœá¬ááŒá¬ážáááºá ááá¯á·á¡ááŒááºá á¡ááŒá±á¬ááºážáá áºáá¯áá¯ááŒá±á¬áá·áºá ááŒá¬ááŒáá·áºáá»áááºá áá¯á¶ážááŸá¯á¶ážááŸá¯á áá¯ááºááŸá¯ááºááŒááºáž (á¥ááá¬á áááºáááœááºáááºáááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááœáẠOffice IP áááºáá®áá¯ááºážá¡áá¯á¶ážááŒá¯ááá¯áá±á¬) ááẠá¡áá±ážáá«áá«áá áááºááẠáá¯á¶ážááœááºááŸáááá²á·ááá¯á· á¡áá¬ážáá°á¡áááºá¡ááœá±ážááá¯áááºáž áááŸááááºááá¯ááºáá«á ááá¯á·ááŒá±á¬áá·áº ááœá±á·áá»á¬ážááá¯ááºááŸá¯á¡ááŒá±á¬ááºáž ááŒá±á¬áá±á¬á¡áá«ááœáẠááŒá áºááá¯ááºáá»á±ááŸááá±á¬ ááá·áºáááºáá»ááºáá»á¬ážááᯠáááááŒá¯ááá«áááºá
áá¯áá¹ááá® á¡áááºážá¡ááŒá áºá¡á¬ážáá¯á¶ážááᯠá¡ááœááºááá° ááá°ááá¯ááºáááºá
á€áá¬áááºááᯠá¡ááŒá¬ážáááºážááá¬áá¬ááá»á¬ážááŸáá·áº áá°ážáá±á«ááºážááŒá±ááŸááºážááá·áºáááºá
á
á¶ááŒá¡ááŒá±á¡áá±ááŸá¬ á¡áá¯á¶ážááŒá¯áá°ááẠáá
áºááŒáááºáᬠá
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááẠááá¯á¡ááºááŒá®áž áááºážáá±á¬ááºááœáẠááá¯á¡ááºáá±á¬ á¡áááºážá¡ááŒá
áºáá»á¬ážá¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºáááŸáááá·áºá¡áá«ááŒá
áºáááºá
áá¯á¶ááŒá¯á¶áá±ážááᯠáá
áœáá·áºááœááºáá² ááœááºáá°á
áœá¬áááºáá±á¬ááºááœáá·áºáá±ážááŒááºážááẠáá¯ááºáá¯ááºá
áœááºážá¡á¬ážááᯠáááááá¬áá¬ááá¯ážáááºá
á±ááŒá®áž ááá·áºáá¯ááºáá±á¬áºááá¯ááºáááºáá»á¬ážááŒá¬ážááœáẠá
áááºááá
á®ážááŸá¯ááᯠáá»áŸá±á¬á·áá»ááá¯ááºáááºá
ááŸááºáá»áẠá
áááºáá±á¬ááºáááœááºáá°ááŒááºážááŸá¬ á áá¬ážááŸááºááᯠá¡ááŒáááºáááºáá»áŸááá·áºááááºáᯠáááá¯áá¬áá«á á¥ááá¬á¡á¬ážááŒáá·áºá áááºááá¯á¶ááŒá¯á¶áá±ážáá°áá«áááŸáá·áºá¡áá®á áá¯á¶ážááŸáá±áá¬á ááºáá¬ááá¯á·áá»áááºáááºáááºá¡ááœááºá áááºááẠVPN ááááºáá±ážááá¯á· áŠážá áœá¬áá»áááºáááºááááºááŒá áºááŒá®ážá áá áºáá»áááºáááºážááœáẠáááºááẠáá¯á¶ážáááºážááŒá áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºáá¯á¶ážááŸá¯á¶ážááœá¬ážáá«áá áááºážáááºáááºáž á¡ááœááºá¡áá±ážááŒá®ážáá«áááºá ááááºá¡áááºáááŒá±áá°ážá
ááŸááºáá»áẠá
áá»áœááºá¯ááºááá¯á·ááœáẠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº áá»áœááºá¯ááºááá¯á·áááá¯ááºááá¯ááºáá®ážááá·áº AAA áá¬áá¬áá»á¬ážááŸáááá·áº áááºáá±á¬ááºááŸá¯áá»á¬áž (á¥ááá¬á ááœááºáááºá ááºáá á¹á ááºážáá»á¬ážááá¯á· áááºáá±á¬ááºááŒááºáž) ááŸáááŒá®áž á€ááá á¹á ááœáẠáá»áœááºá¯ááºááá¯á·á¡ááŒáááºáá±á«ááºážáá»á¬ážá áœá¬ á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáááá·áºá¡áá« á€á á¶ááŸá¯ááºážááŒá áºáááºá
á¡ááºáá¬ááẠá¡áááºážá¡ááŒá áºáá»á¬áž áááŸáááá¯ááºááŸá¯
á¡ááºáá¬áááºááẠáá»á±á¬áºááŒá±áá±ážáá¬áá á¡áá¯ááºá¡ááœááºáá« á¡ááœááºá¡áá¯á¶ážáááºáá±á¬ áááºáá±á¬ááºááŸá¯áá áºáá¯áááºážááŒá áºáááºá á áááºááá¯ááºážááá¯ááºáᬠáááºááẠá¡áá»ááºááœá±áááºáž ááŸááá«áááºá áá±ááºáá áºáá°áá áºáŠážááẠá¡ááºáá¬áááºááŸáá áºááá·áº á¡ááŒá¬ážáá°áá»á¬ážááŸáá·áº áá»áááºáááºááŸá¯áá»á¬ážá áœá¬ááᯠvirtual thread áá»á¬ážááŒáá·áº áá»áááºáááºáá¬ážááŒá®ážá áá»áœááºá¯ááºáá¡ááŒááºá¡áá áá°ááẠá¡áá¯ááºáá¯ááºáá±á ááºááœááºááẠá€áá»áááºáááºááŸá¯ááᯠáááºáááºáá¶á á¬ážááá«á á¡ááŸá¬ážá¡ááœááºážáááŸááá±á
á¡áá»áááºááŒá¯ááºážááŒááºážáá¡ááŒááºá¡áá á¥ááá¬á¡á¬ážááŒáá·áº áááºáááºážáá áºáŠážááẠSkype áááºáááºáá±ááŒá®áž ááá¯á¡ááºáá«á áá»á áºááá°ááŸáá·áº áááºááœááºááŒá±á¬ááá¯áá¬ááœáẠá áááá áºááŒá¬áá«á á¡ááŸá¬ážá¡ááœááºážáááŸááá±á
á¡ááºáá¬áááºá¡ááŒá²ááŸáááá·áºáááºáᯠááá¯ááá¯ááá±á¬á áááºáááºážáá»á¬ážááẠá¡áááºážá¡ááŒá áºá¡á¬ážáá¯á¶ážááᯠáááºáá±á¬ááºááŒáá·áºááŸá¯ááá¯ááºááŒá®áž áááºážááá¯á·ááᯠáááºááá·áºáááºážááŒáá·áºáá»áŸ ááááºážáá»á¯ááºááŒááºážáááŒá¯ááá¯ááºáᯠááá¯ááá¯áá«ááá¬ážá
ááá¯ááºáá°ážááá¯á· áááá¯ááá¯áá«áá°ážá ááŒá®ážááŒáá·áºá á¯á¶áá±á¬ ááááºááŒááºážá០ááŒá®ážááŒáá·áºá á¯á¶áá±á¬ ááœáá·áºáááºážááŸá¯á¡áá áá¯áá¹ááá®á¡áá»áá¯ážáá»áá¯ážá¡ááœáẠá¡ááºáá¬áááºá ááœáá·áºáááºážááŸá¯á¡ááá·áºááẠááœá²ááŒá¬ážááá¯ááºáááºá áá¯á¶ááŒá¯á¶áá±ážá¡á á®á¡áá¶áá»á¬ážááá¯ááºáᬠááá¹ááá»á¬ážááœáẠáá±á¬ááºááá¯ááºážááœáẠáá¬ááºááŒá±á¬ááááºááá¯á·ááŸá¯ááᯠááááºážáá»á¯ááºááẠáááºážáááºážáá»á¬ážááᯠááœá±ážááœá±ážáá«áááºá
á¡áá»áœááºážááááºááŸááá±á¬ á ááºáááááá¬áá»á¬áž á¡ááŒáá·áºá¡á á¯á¶ááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
á¥ááá¬á¡á¬ážááŒáá·áºá áááºááẠáá¯ááºáááºážááœááºááœáẠáááºá¡áá¯á¶ážááŒá¯áá±á·ááŸááá±á¬ áááºááœááºááŸá¯á¡á¬ážáá¯á¶ážááᯠáááºáááºá¡áá¯á¶ážááŒá¯ááẠá¡ááœáá·áºá¡áá±ážááá±á¬á¡áá«ááœáẠá¡áááºááŒá±áá«áááºá áá«ááᯠáááºážááá¬ááá¯ááºážá¡á á¡áá±á¬ááºá¡áááºáá±á¬áºáá¬ááŸá¬ á¡áááºá¡áá²áááŸááá«áá°ážá áááºážá¡ááœáẠáááºááẠWiFi ááŸáá·áº á§áá·áºááẠwilan ááá¯á¡ááºáááºá
áááºá¡áá¯á¶ážááŒá¯áá±áá» operating system ááá¯á¡áá¯á¶ážááŒá¯áááºá¡ááœáá·áºá¡áá±ážááá»áŸááºáááºážáá±á¬ááºážáá«áááºá ááá¯á·áá±á¬áº áá»áœááºá¯ááºá áá±á·áá¬ááœá±á·ááŸááá»ááºá¡á áááºážááᯠáááºáá±áá»á¬áá»á¬ážá á á®áá¶ááá·áºááœá²áá°áá»á¬ážááŸáá·áº áá±á¬á·ááºáá²áá±ážáá¬ážáá°áá»á¬ážááá¯áᬠááœáá·áºááŒá¯áá±á·ááŸááááºá
ááá°áá¬
áá¬ážááŒá áºáá»ááºáá»á¬áž áááºážááŒá±á¬ááºážá¡ááá¯ááºáž ááá¯ááºáá¬ááá¯ááºáááºá á¡áá±ážá០áááºáá±á¬ááºááœáá·áºááᯠáá¬ážááŒá áºááá¯ááºáááºá ááá¯ááá¯ááºážáá á¹á ááºážáá»á¬ážá០áá»áááºáááºááŒááºážááᯠáá¬ážááŒá áºááá¯ááºáááºá áááºááŒáááºáá±á¬ Ethernet áá»áááºáááºááŸá¯áá»á¬ážááᯠááá·áºáááºáááºá á¡ááºáá¬ááẠá¡áá¯á¶ážááŒá¯ááœáá·áºááᯠááá·áºáááºáááºá á á áºáá±ážáá±ážááááºááœáẠáá²ááºáá¯ááºážáá»á¬ážááŸáá·áº gadget áá»á¬ážááᯠá¡áááºážá¡ááŒáẠááááºážáá°ááá¯ááºáááº... ááŸáá·áº á€áááºážááŒá±á¬ááºáž á¡áá»áá¯á·áá±á¬á¡ááœá²á·á¡á ááºážáá»á¬ážááẠá¡ááŸááºááááºááœáẠáá¯á¶ááŒá¯á¶áá±ážááá¯á¡ááºáá»ááºáá»á¬áž ááá¯ážááŒáá·áºáá¬áááŒáá·áº á¡áá»áá¯á·áá±á¬ááá á¹á áá»á¬ážááœáẠáááºážááẠááá¬ážáá»áŸáááŸá¯ááŸáááá¯ááºáááºá ááá¯á·áá±á¬áº... á€á¡áá¬ááẠá¡ááœá²á·á¡á ááºážáá áºáá¯áááºážááœáẠááá¯ážáááºááŸá¯ááá¯áááºááá·áºááẠááŒáá¯ážáááºážááŸá¯áá áºáá¯ááŒá áºááŒá±á¬ááºáž áááºááá±á¬áá°ááá«áááºá áá¯ááºáá«áááºá áá±ááºáá®áááºážááá¬ááœá±á áá¯á¶áá±á¬ááºáá²á· áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºáá²á· áá±ážá áœááºážááá¯ááºáá²á· á¡ááœáá·áºá¡áá±ážááœá±ááᯠáá±á«ááºážá ááºáá»ááºáá«áááºá
ááœááºáááºá "ááŒááºáááºáá±á¬áááºáááºááŸá¯"
áááºážááá¬á¡á áá±áá¬ááœáŸá²ááŒá±á¬ááºážááŸá¯ ááŒááºáááºááŸá¯ááœáẠá¡áá»ááºáá»á¬ážá áœá¬ áá«áááºáá«áááºá áááºááá»áááºáááºááŸá¯á¡ááŒááºááŸá¯ááºážááẠáá»á¬ážáá±á¬á¡á¬ážááŒáá·áº á¡áá±ážá¡ááŒá®ážáá¯á¶ážááá¯ááºáá±á á¡ááºááá®áá±ážááŸááºážáá áºáá¯ááááºáááºááŸá¯ááŸá±ážááœá±ážááŒááºážááẠááœááºáááºááŒá¿áá¬áá»á¬ážááŸáá·áº á¡ááŒá²áááºá ááºááŸá¯áááŸááá±á¬áºáááºáž ááá¯á¡áá»áááºááœáẠáá»áœááºá¯ááºááá¯á·ááẠááœááºáááºá¡ááá¯ááºážááá¯áᬠá áááºáááºá á¬ážáá«áááºá áá±áááœááºáž ááœááºááẠ"ááŸá±ážááœá±ážááŒááºáž" ááœáẠá¡ááŒá áºá¡áá»á¬ážáá¯á¶áž ááŒá¿áá¬ááŸá¬ áááºáááºáá¯á¶ážááŸá¯á¶ážááŸá¯ááŸáá·áº áááºááá¯ááºáá«áááºá ááááºááá¯á·ááŸá¯áá»á¬áž ááá¯á·ááá¯áẠL1 (OSI) ááŒá¿áá¬áá»á¬ážááŸáááá·áºá¡áá« áááºážááẠáá»á¬ážáá±á¬á¡á¬ážááŒáá·áº ááŒá áºáá±á«áºáááºáááºá ááŸá¬ážááŸá¬ážáá«ážáá«ážá á¡áá»áá¯á·áá±á¬ áá®ááá¯ááºážáá»á¬ážááŒáá·áº (á¥ááá¬á ááá·áº subnet áá»á¬ážááœáẠáá¯á¶áá±áá¶áá«ážáá±á«ááºá¡ááŒá Ạfirewall áá áºáá¯ááŸáá á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááẠáááºážááá¯ááŒááºáááºážááœá¬ážááá·áºá¡áá«) áá¬á·ááºáá²á áœááºážáá±á¬ááºááẠá¡á¬ážáááºážááœá¬ážááá¯ááºáááºá
ááá¯á·ááŒá±á¬áá·áºá á ááºáá á¹á ááºážááŸáá·áº áááá¯áá¬ááá¬ááᯠááœá±ážáá»ááºááá·áºá¡áá«á áááºááẠá¡áá¯á¶ážáá±á«ááºáá±á«ááºáá»á¬ážá á ááºáá»á¬ážááŸáá·áº á ááºáá á¹á ááºážá áœááºážáá±á¬ááºáááºáá»á¬ážá á¡ááŒááºááŸá¯ááºážáá»á¬ážááᯠáááºá ááºááẠááá¯á¡ááºáááºá
ááá°áá¬
access layer ááá¯ááºáá»á¬ážá¡ááŒá ẠáááºááẠ1 gigabit ports áá»á¬ážáá«ááŸááá±á¬ switches ááᯠá¡áá¯á¶ážááŒá¯áá±áááºáᯠáá°áááŒáá«á áá¯á·á áááºážááá¯á·ááᯠEtherchannel 2 x 10 gigabits ááŸáá áºááá·áº á¡áá»ááºážáá»ááºáž áá»áááºáááºáá¬ážáááºá áá¯á¶áá±áááºáá±á«ááºáá áºáá¯á¡áá±ááŒáá·áº áááºááẠEtherchannel áá áºáá¯ááá¯á· áá±á«ááºážá ááºáá¬ážáá±á¬ gigabit ports 2 áá¯ááá¯á¡áá¯á¶ážááŒá¯ááá·áº L2 office network ááá¯á·áá»áááºáááºáááºá¡ááœáẠgigabit ports áá»á¬ážáá«ááŸááá±á¬ firewall ááá¯á¡áá¯á¶ážááŒá¯áá«áááºá
áá®áááá¯áá¬áááºáá¬áᬠáá¯ááºáá±á¬ááºáá»áẠááŸá¯áá±á¬áá·áºá¡á á¡áá±á¬áºáá±áž á¡áááºááŒá±áá¬ááŒá±á¬áá·áº... á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠFirewall ááŸáááá·áºááŒááºáááºážááá¯ááºááŒá®áž áááºáá±á¬ááºááœáá·áºáá°áá«ááá»á¬ážááᯠá¡áááºááŒá±ááŒá±á á®áá¶ááá·áºááœá²ááá¯ááºááŒá®áž áá¬ááºá¡ááœá¬ážá¡áá¬ááᯠááááºážáá»á¯ááºáááºááŸáá·áº ááŒá áºááá¯ááºáá±á¬ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠáá¬ááœááºááẠááŸá¯ááºááœá±ážáá±á¬ á¡ááºáááá¯áá®áááºáá»á¬ážááᯠá¡áá¯á¶ážáá»ááá¯ááºááẠ(á¡á±á¬ááºááœááºááŒáá·áºáá«)á ááá¯á·áá±á¬áº ááŒááºáááºážááŸá¯ááŸáá·áº á áœááºážáá±á¬ááºáááºááŸá¯áá±á¬áá·áºááŸááŒáá·áºáá»áŸáẠá€áá®ááá¯ááºážááœáẠááŒá¿áá¬áá»á¬ážááŸááá¬ááá¯ááºáááºá ááá¯á·ááŒá±á¬áá·áº á¥ááá¬á¡á¬ážááŒáá·áºá áá±áá¬áá±á«ááºážáá¯ááºáá¯ááºááá·áº host 2 áᯠ(1 gigabit ááŸááá±á¬ port speed ááŒáá·áº) ááẠfirewall ááá¯á· 2 gigabit connection ááᯠá¡ááŒáá·áºá¡ááááºááá¯ááºááŒá®ážá ááá¯á·ááŒá±á¬áá·áº office á¡ááá¯ááºážáá áºáá¯áá¯á¶ážá¡ááœáẠservice degradation ááŒá áºáá±á«áºá á±áá«áááºá
áá»áœááºá¯ááºááá¯á·ááẠááŒááá¶á á¡ááœááºá¡ááááºáá áºáá¯ááᯠááŒáá·áºááŒá®ážááŒá®á ááᯠáá»áœááºá¯ááºááá¯á·ááẠáá¯á¶ááŒá¯á¶áá±ážááᯠáááºááá¯á·á¡á¬ááá¶ááá¯ááºáááºááᯠááŒáá·áºááŒáá«á áá¯á·á
áá¯á á¬áž
ááá¯á·ááŒá±á¬áá·áºá áá¯á¶ááŸááºá¡á¬ážááŒáá·áº áá»áœááºá¯ááºááá¯á·áááá¹á (ááá¯á·ááá¯áẠáá»áœááºá¯ááºááá¯á·áá á®áá¶ááá·áºááœá²ááŸá¯áááá¹á) ááẠáááŒá áºááá¯ááºáá±á¬á¡áá¬ááᯠá¡á±á¬ááºááŒááºáááºááŒá áºáááºá ááá¯ááá¯áááºááŸá¬á á¡ááŒáá·áºáá¯á¶ážáá¯á¶ááŒá¯á¶áá±ážááŸáá·áº á¡áááºážáá¯á¶ážáá¯ááºáá»á ááááºááŒáá·áº á¡ááŒáá·áºáá¯á¶ážá¡áááºááŒá±ááŸá¯áá±ážáááºááŒá áºáááºá
áááºááá¯áááºážááœá±áá²á· áá¬ááœááºáááá²ááá¯áᬠááŒáá·áºáá¡á±á¬ááºá
áá¯á¶ážáááºážá¡ááœááºá á¡á±á¬ááºáá«ááá¯á·ááᯠáá®ážáá±á¬ááºážááá¯ážááŒáá«áááºá
- zero trust approach ááᯠáá®ááá¯ááºážáá¯ááºáááºá
- ááŒáá·áºáá¬ážáá±á¬áá¬ááœááºááŸá¯á¡ááá·áº
- ááœááºááẠááŒááºááá¯ááºá áœááºáž
- á á¯á ááºážáá¬ážáá±á¬ áááá¯á á áºááŸááºááŒá±á¬ááºážááŸáá·áº ááœáá·áºááŒá¯áá»ááºá áá áº
- á¡áááºááŸááºá á áºáá±ážááŒááºážá
áááºáááºá á€ááŸá¯áá±á¬áá·áºáá áºáá¯á á®á¡ááœáẠá¡áááºážáááºá¡áá±ážá áááºáá±á¬áºááŒáá«áááºá
áá¯ááá¯á¶ááŒááºááŸá¯
á¡áá¯ááºáá®áá±á¬áááẠá¡ááœááºáá»ááºááŒááºá áœá¬ ááŒá±á¬ááºážáá²áá±áááºá ááœááºáá²á·ááá·áº 10 ááŸá áºá¡ááœááºážááœáẠáááºážááá¬ááŸáá·áº áá¯ááºáá¯ááºá¡áá áºáá»á¬áž áá±á«áºáá±á«ááºáá¬ááŒááºážááŒá±á¬áá·áº áá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠá¡áá°á¡ááá»á¬ážááᯠááŒá®ážááŒá®ážáá¬ážáá¬áž ááŒááºáááºááŒááºáááºáá¬áá²á·áááºá ááœááºáá²á·ááá·áº áááºááŸá áºáá áá¯á¶ááŒá¯á¶áá±ážááŸá¯áá±á¬áá·áºá០áá»áœááºá¯ááºááá¯á·ááẠááœááºáááºá¡á¬áž áá¯á¶ááŒááºááŸá¯á dmz ááŸáá·áº ááá¯á¶ááŒááºáá±á¬áá¯ááºáá»á¬ážá¡ááŒá Ạááá¯ááºážááŒááºááŒá®áž áá¬ááœááºáá±ážááá¯ááºáž 2 ááá¯ááºážáá«ááŸáááá·áº "áááºáááºážáá»ááºáá¬ááœááºáá±áž" áá¯áá±á«áºáá±á¬ áá¬ááœááºáá±ážááá¯ááºáž 3 áá¯ááŒá áºáá±á¬ untrust -> dmz ááŸáá·áº dmz -> áá¯á¶ááŒááºááŸá¯ ááá¯á·á¡ááŒááºá á¡áá¬á¡ááœááºááẠL4/L7 (OSI) áá±á«ááºážá á®ážáá»á¬áž (IPá TCP/UDP áá±á«ááºáá»á¬ážá TCP á¡áá¶áá»á¬áž) á¡áá±á«áºá¡ááŒá±áá¶ááá·áº á á¬áááºážáá»á¬ážááᯠáááºáá±á¬ááºááŒáá·áºááŸá¯ááẠááá·áºáááºáá¬ážáááºá LXNUMX á¡áá«á¡ááẠá¡ááá·áºááŒáá·áºá¡ááá·áºáá»á¬ážááŸáá·áº áááºááá¯ááºááá·áºá¡áá¬á¡á¬ážáá¯á¶ážááᯠOS ááŸáá·áº end host áá»á¬ážááœáẠááá·áºááœááºážáá¬ážááá·áº áá¯á¶ááŒá¯á¶áá±ážáá¯ááºáá¯ááºáá»á¬ážááœáẠáá¬ážáá²á·áááºá
á¡áá¯á¡ááŒá±á¡áá±á áááááá¬áᬠááŒá±á¬ááºážáá²ááœá¬ážááŒá®á áá±ááºáá®á¡áá°á¡á
á¡ááºáá¬áááºááá¯ááºážááœá±á¡ááŒáẠáá»áœááºáá±á¬áºááá¯á·áá®ááŸá¬áááºáž ááŸááá«áááºá
- á¡áá±ážá០VPN á¡áá¯á¶ážááŒá¯áá°áá»á¬áž áááºáá±á¬ááºááŒáá·áºááŸá¯áá«á
- á¡áá»áá¯ážáá»áá¯ážáá±á¬ ááá¯ááºáá±ážááá¯ááºáá¬áá á¹á ááºážáá»á¬ážá áááºááºáá±á¬á·áá»á¬áž áá°áá±á¬ááºáá¬áᬠáá¯á¶ážááá¯ááºááá¯ááºááŒáá·áº áá»áááºáááºáá¬ážáááºá
- á¡ááŒá¬áž (áá¯á¶ážááœá²)
- cloud á¡ááŒá±áá¶á¡áá±á¬ááºá¡á¡á¯á¶ááŸáá·áº áá±á«ááºážá ááºááŒááºážá
Zero Trust áá»ááºážáááºáá¯á¶ááẠáááºááœá±á·ááœáẠáááºááá¯á·ááŸáááááºážá
á¡áá±á¬ááºážáá¯á¶ážááá±á¬á·á ááá¯á¡ááºáá±á¬ traffic ááá¯áᬠááœáá·áºááŒá¯ááá·áºááŒá®ážá áá»áœááºá¯ááºááá¯á·ááẠá á¶ááŒáá áºáá¯á¡ááŒá±á¬ááºážááŒá±á¬áá±áá»áŸáẠááááºážáá»á¯ááºááŸá¯ááẠL3/L4 á¡ááá·áºááœááºáá¬áá áá»áŸá±á¬ááºááœáŸá¬á¡ááá·áºááœááºáᬠááŒá áºááá·áºáááºá
á¥ááá¬á¡á¬ážááŒáá·áºá ááá·áºááœáẠfirewall ááŸáááá·áº traffic á¡á¬ážáá¯á¶ážááᯠáá»á±á¬áºááŒááºááá¯ááºá áœááºážááŸááá«áá ááá¯á·áá±á¬áẠá á¶ááá°áá¬ááŸáá·áº ááá¯ááá¯áá®ážá ááºááẠááŒáá¯ážá á¬ážááá¯ááºáááºá ááá¯á·áá±á¬áº á€áááºážáááºážááẠááá·áºááœááºáááºá á á¯á á¯áá±á«ááºáž bandwidth ááᯠáááááá¬áᬠáá»áŸá±á¬á·áá»ááá¯ááºááŒá®áž ááá¯á·á¡ááŒááºá á¡ááá®áá±ážááŸááºážááŒáá·áº á á áºáá¯ááºááŒááºážááŸá¬ á¡ááŒá²áááºáž áá±á¬ááºážááœááºá áœá¬ á¡áá¯ááºááá¯ááºáá«á
Router ááá¯á·ááá¯áẠL3 ááá¯áẠ(Standard ACLs ááᯠá¡áá¯á¶ážááŒá¯á) áááºážááŒá±á¬ááºážááᯠááááºážáá»á¯ááºáá±á¬á¡áá«ááœáẠáááºááẠá¡ááŒá¬ážááŒá¿áá¬áá»á¬ážááᯠááŒá¯á¶ááœá±á·áááá¯ááºáááº-
- áááºážááẠL3/L4 á á áºáá¯ááºááŒááºážáá¬ááŒá áºáááºá ááá¯ááºááá¯ááºáá°ááẠáááºážááá¯á·á á¡ááá®áá±ážááŸááºážá¡ááœáẠááœáá·áºááŒá¯áá¬ážáá±á¬ ááááºáááºážáá»á¬áž (á¥ááᬠTCP 80) ááᯠá¡áá¯á¶ážááŒá¯ááŒááºáž (http ááá¯ááºáá«) ááᯠáááºááá·áºá¡áá¬á០áá¬ážáá®ážáá¬ážááŒááºážáááŸááá«á
- ááŸá¯ááºááœá±ážáá±á¬ ACL á á®áá¶ááá·áºááœá²ááŸá¯ (ACL ááœá²ááŒááºážá áááºááŒá¬ááẠáááºáá²áááº)
- áááºážááẠstateful firewall ááá¯ááºáá«á ááá¯ááá¯áááºááŸá¬ áááºááẠááŒá±á¬ááºážááŒááºá¡ááœá¬ážá¡áá¬ááᯠááŒááºáá¬ážá áœá¬ ááœáá·áºááŒá¯ááẠááá¯á¡ááºáá«áááºá
- ááá¯ááºáá»á¬ážááŸáá·áºá¡áá° áááºááẠTCAM á á¡ááœááºá¡á á¬ážá¡á¬ážááŒáá·áº á¡áá±á¬áºáá±áž áááºážáá»ááºá áœá¬ ááá·áºáááºáá¬ážáá±á·ááŸááááºá áááºážááẠ"áááºááá¯á¡ááºáá±á¬á¡áá¬ááá¯áᬠááœáá·áºááŒá¯áá«" áá»ááºážáááºááŸá¯á¡á¬áž áááºá¡áá¯á¶ážááŒá¯áá«á áá»ááºááŒááºá áœá¬ ááŒá¿áá¬ááŒá áºáá¬ááá¯ááºáááºá
ááœá±á¬ááá¯
áááºážááŒá±á¬ááºážááŒááºá¡ááœá¬ážá¡áá¬á¡ááŒá±á¬ááºážááŒá±á¬áá»áŸáẠáá»áœááºá¯ááºááá¯á·ááœáẠá¡á±á¬ááºáá«á¡ááœáá·áºá¡áá±ážáá»á¬áž (Cisco) ááŸáááŒá±á¬ááºáž ááŸááºáá¬ážáá¬ážááá«áááºá
áááºááá·áº tcp ááá¯áááᯠááœáá·áºááŒá¯áá«á
ááá¯á·áá±á¬áº á€á á¬ááŒá±á¬ááºážááẠáá»ááºážááŸá áºááŒá±á¬ááºážááŸáá·áº áá®áá»áŸááŒá±á¬ááºáž áá¬ážáááºááẠááá¯á¡ááºáááº-
áááºááá·áº ack ááá¯áááᯠtcp ááá¯ááœáá·áºááŒá¯áá«á
áááºááá·áº tcp ááá¯áááᯠááœáá·áºááŒá¯áá«áááá¯ááá¯áááºááŸá¬ SYN á¡áá¶ááŸáá·áº áááŠáž TCP á¡ááá¯ááºážáááŸááá²á·áá»áŸááºááẠ(ááá¯ááá¯áááºááŸá¬ TCP á ááºááŸááºááẠá áááºáááºáá±á¬ááºááŒááºážáááºááá¯ááºáá«)á ဠACL ááẠááá¯ááºááá¯ááºáá°á០áá±áá¬ááœáŸá²ááŒá±á¬ááºážááẠá¡áá¯á¶ážááŒá¯ááá¯ááºááá·áº ACK á¡áá¶áá«ááá·áº packet áá áºáá¯ááᯠááœáá·áºááŒá¯áááºááŒá áºáááºá
ááá¯ááá¯áááºááŸá¬á á€ááá¯ááºážááẠáááºá router ááá¯á·ááá¯áẠL3 switch ááᯠstateful firewall á¡ááŒá áºááá¯á· áááºááá¯á·áá»áŸ áááŒá áºá á±áá«á
ááŒáá·áºáá¬ážáá±á¬áá¬ááœááºááŸá¯á¡ááá·áº
Ð
- stateful firewalling (áá°á)
- ddos/dos áá¬ááœááºááŸá¯
- áá»áŸá±á¬ááºááœáŸá¬ firewalling
- ááŒáááºážááŒá±á¬ááºááŸá¯áá¬ááœááºááŒááºáž (á¡ááºáá®ááá¯ááºážáááºá áºá Spyware ááŸáá·áº á¡á¬ážáááºážáá»ááº)
- URL á á áºáá¯ááºááŒááºážá
- áá±áá¬á á áºáá¯ááºááŒááºáž (á¡ááŒá±á¬ááºážá¡áᬠá á áºáá¯ááºááŒááºáž)
- ááá¯ááºááááºááá¯á·ááŒááºáž (ááá¯ááºá¡áá»áá¯ážá¡á á¬ážáá»á¬ážááᯠááááºááá¯á·ááŒááºáž)
áá¯á¶ážáááºážáá
áºáá¯ááœáẠá¡ááŒá±á¡áá±áá°áá±á¬áºáááºáž áŠážá
á¬ážáá±ážááŸá¯ á¡áááºážáááºááœá²ááŒá¬ážáááºá áá¯á¶ážáááŸáááá¯ááºááŸá¯ (áááŸáááá¯ááºááŸá¯) ááẠá¡áá»á¬ážá¡á¬ážááŒáá·áº áá±áá¬á
ááºáá¬áá
áºáá¯ááœááºáá²á·ááá¯á· á¡áá±ážááŒá®ážáááºááá¯ááºáá±á¬áºáááºáž âá¡ááœááºážááá¯ááºážâ á¡áá¹ááá¬ááºááŸááá±á¬ áá¬ááºááŒá±á¬á¡ááœá¬ážá¡áá¬ááŒá
áºááá¯ááºááŒá±ááŸá¬ ááá¬áááá¯ááá¯áá»á¬ážááŒá¬ážáááºá
ááá¯á·ááŒá±á¬áá·áºá á€á¡ááá¯ááºážá¡ááœáẠá¡á±á¬ááºáá«áá¬ááœááºááŸá¯áááºážáááºážáá»á¬ážááẠá¡áá±ážááŒá®ážáá¬áá«áááºá
- áá»áŸá±á¬ááºááœáŸá¬ firewalling
- ááŒáááºážááŒá±á¬ááºááŸá¯ áá¬ááœááºáá±áž (ááá¯ááºážáááºá Ạááá¯ááºáá»ááºáá±ážá áá±á¬ááºááŸááºážáá±áž áá±á¬á·ááºáá²ááŸáá·áº á¡á¬ážáááºážáá»ááº)
- URL á á áºáá¯ááºááŒááºážá
- áá±áá¬á á áºáá¯ááºááŒááºáž (á¡ááŒá±á¬ááºážá¡áᬠá á áºáá¯ááºááŒááºáž)
- ááá¯ááºááááºááá¯á·ááŒááºáž (ááá¯ááºá¡áá»áá¯ážá¡á á¬ážáá»á¬ážááᯠááááºááá¯á·ááŒááºáž)
á¡ááá®áá±ážááŸááºáž firewalling ááŸááœá²á á€áá¬ááœááºááŸá¯áááºážáááºážá¡á¬ážáá¯á¶ážááẠá¡á ááºá¡áá¬á¡ááá¯ááºážááŒá áºááŒá®áž end hosts (á¥ááá¬á ááá¯ááºážáááºá áºááŸáááºáááºážáá±ážáááá¯ááááºáá»á¬ážááá¯ááá·áºááœááºážááŒááºážááŒáá·áº) ááŸáá·áº proxies áá»á¬ážááá¯á¡áá¯á¶ážááŒá¯áá±á¬áºáááºážá áá±ááºáá® NGFW áá»á¬ážáááºáááºáž á¡ááá¯áá«áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáá±ážáá±á¬ááºáá«áááºá
áá¯á¶ááŒá¯á¶áá±ážáá
á¹á
ááºážáá±á¬ááºážáá»áá°áá»á¬ážááẠááŒá®ážááŒáá·áºá
á¯á¶áá±á¬á¡áá¬á¡ááœááºááá¯áááºáá®ážááẠááŒáá¯ážáááºážááŒáááºá ááá¯á·ááŒá±á¬áá·áº áá±áááœááºážáá¬ááœááºááŸá¯ááŸáá·áºá¡áá°á áááºážááá¯á·ááẠhosts á¡ááœáẠcloud áááºážááá¬áá»á¬ážááŸáá·áº client software á¡áá»áá¯ážáá»áá¯áž (end point protection/EPP) ááᯠáá±ážáá«áááºá áá®áá±á¬á· á¥ááá¬ááá±
ááá·áº firewall ááœáẠá€á¡áá¬á¡ááœááºáá»á¬áž (áá»á¬ážáá±á¬á¡á¬ážááŒáá·áº ááá¯ááºá ááºáá»á¬ážáááºáá°ááŒááºážááŒáá·áº) ááá¯ááœáá·áºááŒááºážááẠáááŒá áºááá±áááŒá áºááá± (áááºááá¯ážááá¯ážáááºážááŒá±á¬ááºážá¡ááá¯ááºážááœá¬ážááá¯ááºáááº)á ááá¯á·áá±á¬áº áááºážááẠá¡áá»áá¯ážáá»á±ážáá°ážá¡áá»áá¯á·ááᯠáá±ážáá±á¬ááºáááº-
- á€ááá á¹á ááœááºá ááŒááºááá¯ááºá áœááºážááᯠááá¯ážáááºá á±ááá·áº á¡áá¬á¡ááœááºáááºážáááºážáá»á¬ážááᯠá¡áá¯á¶ážáá»ááŒááºážá áá áºáá¯áááºážáá±á¬á¡áá»áẠááŸááá«áááºá (áá±á¬ááºá¡ááŒá±á¬ááºážá¡áá¬ááᯠááŒáá·áºáá«)á
- ááá·áºááœááºáááºáá±á«áºááœáẠá¡áá¬á¡ááœááºáá²á·á ááºáá á¹á ááºážáá áºáá¯ááŸááá±áá«áá áááºážááẠfirewall áá¬ááœááºááŸá¯á "áá®áž" á¡á±á¬ááºááœááºááŸááá±áá«áá±ážáááºá
- end-host áá¬ááœááºááŸá¯ááŸáá·áºá¡áá° firewall áá¬ááœááºáá±ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áºá áá»áœááºá¯ááºááá¯á·ááẠá¡áá¹ááá¬ááºááŸááá±á¬ á¡ááœá¬ážá¡áá¬áá»á¬ážááᯠááŸá¬ááœá±ááœá±á·ááŸáááá¯ááºááŒá±ááᯠááá¯ážááŒáá·áºá á±áááºá á¥ááá¬á¡á¬ážááŒáá·áºá áá±áááœááºáž hosts áá»á¬ážááŸáá·áº firewall ááœáẠááŒáááºážááŒá±á¬ááºááŸá¯ááŒáá¯áááºáá¬ááœááºáá±ážááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááẠáá±á¬ááºááŸááºážááá¯ááºááŒá±ááᯠááá¯ážá á±ááẠ(á¡ááŸááºáááºá á€ááŒá±ááŸááºážáá»ááºáá»á¬ážááẠááá°áá®áá±á¬áá±á¬á·ááºáá²ááºáá¯ááºáá¯ááºáá»á¬ážá¡áá±á«áºá¡ááŒá±áá¶áááºáᯠáá±á¬áºááŒáá¬ážáááº)
ááœá±á¬ááá¯
á¥ááá¬á¡á¬ážááŒáá·áºá áááºááẠKaspersky ááᯠfirewall ááŸáá·áº end hosts áá»á¬ážááœáẠantivirus áá áºáá¯á¡ááŒá áºá¡áá¯á¶ážááŒá¯áá«áá áááºážáááºáááºá network ááœááºááá¯ááºážáááºá áºááá¯ááºááá¯ááºááŸá¯ááá¯áá¬ááœááºáááºááá·áºá¡á¬ážá¡ááœáá·áºá¡áááºážáá»á¬ážá áœá¬ááá¯ážá á±áááºááá¯ááºáá«á
ááœááºááẠááŒááºááá¯ááºá áœááºáž
ဠ"áá°áá«áá¯á¶" ááᯠá¡á¯ááºá á¯ááŸá áºá á¯ááœá²á
á¡ááœá²á·áá áºááœá²á·- ááá·áºá á±á¬áá·áºááŒáá·áºáá±ážá áá áºá ááá·áºá¡á¬áž áá±ážáá±á¬ááºáá±á·ááŸááá±á¬ á¡áá¬áá»á¬ážá
- á ááºáá á¹á ááºážáá»á¬ážááᯠáááºááŒááºážá
- áá»ááºáááºáá»á¬ážááá¯ááœáá·áºááŒááºážá
- ááŸááºáá¬ááºá¡áá¯á¶ážááŒá¯ááŸá¯
- disk á¡áá¯á¶ážááŒá¯ááŸá¯
- áááºážááŒá±á¬ááºážááá¬ážááá¯ááŒá±á¬ááºážáá²ááŒááºážá
- ááá·áºááºá¡ááŒá±á¡áá±
- á ááºáááááá¬áá»á¬áž áááŸáááá¯ááºááŸá¯ (ááá¯á·ááá¯áẠá¡áááºááŸááºáá»á¬áž)
- ...
á¡á¯ááºá á¯ááŸá áº: áá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠá¡áá»ááºá¡áááºá
- á¡áá»áá¯ážáá»áá¯ážáá±á¬ á á¬áááºážááá¬ážá¡áá»áá¯ážá¡á á¬ážáá»á¬áž (á¥ááá¬á á¡ááá®áá±ážááŸááºážá¡ááá¯ááºá URL á¡ááœá¬ážá¡áá¬á áááºááá·áºáá±áá¬á¡áá»áá¯ážá¡á á¬ážáá»á¬ážá á¡áá¯á¶ážááŒá¯áá°áá±áá¬)
- áá¯á¶ááŒá¯á¶áá±áž áá°áá«áááœá±á áá¬ááœá± ááááºááá¯á·áá¬ážááá²á áá¬á¡ááŒá±á¬ááºážááŒá±á¬áá·áº áá«áá²á
- áá¬ážááŒá áºáá¬ážáá±á¬áá»áŸá±á¬ááºááœáŸá¬
- ip/protocol/port/flags/zones áá»á¬ážá¡áá±á«áº á¡ááŒá±áá¶á áá¬ážááŒá áºáá¬ážáááºá
- ááŒáááºážááŒá±á¬ááºááŸá¯áá¬ááœááºáá±áž
- url á á áºáá¯ááºááŒááºážá
- áá±áá¬á á áºáá¯ááºááŒááºážá
- ááá¯ááºááááºááá¯á·ááŒááºážá
- ...
- DOS/DDOS ááá¯ááºááá¯ááºááŸá¯áá»á¬ážá¡ááœáẠá á¬áááºážá¡ááºážáá»á¬áž
- á¡áá±á¬ááºá¡áá¬ážááŸáá·áº ááœáá·áºááŒá¯áá»áẠááŒáá¯ážáááºážááŸá¯ áá¡á±á¬ááºááŒááºáá«á
- á¡áááºáá« áá¯á¶ááŒá¯á¶áá±ážáá°áá«ááá»áá¯ážáá±á¬ááºááŸá¯ááŒá áºáááºáá»á¬ážá¡á¬ážáá¯á¶ážá¡ááœáẠá á¬áááºážááá¬ážáá»á¬áž
- ...
áá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠá€á¡áááºážááœáẠáá»áœááºá¯ááºááá¯á·ááẠáá¯áááá¡ááá¯ááºážááᯠá áááºáááºá á¬ážáá«áááºá
áá±ááºáá® firewalls á¡áá»áá¯á· (áá»áœááºá¯ááºá Palo Alto á¡ááœá±á·á¡ááŒá¯á¶ááŸ) ááẠáá±á¬ááºážááœááºáá±á¬ ááŒááºááá¯ááºá áœááºážááᯠáá±ážá áœááºážáááºá ááá¯á·áá±á¬áºá áááºá áááºáááºá á¬ážáá±á¬áááºážááŒá±á¬ááºážááẠဠfirewall ááŸáááá·áºááœá¬ážáááẠ(ááá¯á¡ááŒá±á¡áá±ááœáẠááá·áºááœáẠtraffic ááá¯ááááºááá¯á·ááá¯ááºá áœááºážááŸááááº) ááá¯á·ááá¯áẠfirewall (á á±á¬áá·áºááŒáá·áºááŒááºážááŸáá·áºááœá²ááŒááºážá áááºááŒá¬áááºá¡ááœááºáá¬á¡áá¯á¶ážááŒá¯áááº) ááá¯á·áááºáááºááŒááŒá®ážá¡á¬ážáá¯á¶ážááœáá·áºáááºááá·áºááœááºááá¯ááºá ááºááŸáááá«áááºá á€áááºáá±á¬ááºááŸá¯áá»á¬áž
á¥ááá¬á á¡ááŒá¬ážáááºážáááºážáá áºáᯠááá¯á·ááá¯áẠááá¯ážáá¬áááºážáááºážáá áºáᯠááŸááááºá
- Session ááááºážááááºážáá»á¬ážááᯠnetflow ááŸáááá·áº á á¯áá±á¬ááºážááá¯ááºááŒá®áž á¡áá»ááºá¡áááºááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŸáá·áº áá±áá¬ááᯠáá¯á¶áá±á¬áºááŒááºážá¡ááœáẠá¡áá°ážá¡áá¯á¶ážá¡áá±á¬ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
- ááŒáááºážááŒá±á¬ááºááŸá¯ááŒáá¯áááºáá¬ááœááºááŒááºáž - end hosts ááŸá á¡áá°ážáááá¯ááááºáá»á¬áž (ááá¯ááºážáááºá áºááŸáááºáááºážáá±ážá áá±á¬ááºááŸááºážáá±ážá áá±á¬á·ááºáá²á ááá¯ááºážáá±á«ááº)
- URL á á áºáá¯ááºááŒááºážá áá±áá¬á á áºáá¯ááºááŒááºážá ááá¯ááºááááºááá¯á·ááŒááºáž - ááá±á¬ááºá á®ááœááº
- á¥ááá¬á¡á¬ážááŒáá·áº tcpdump ááá¯ááœá²ááŒááºážá
áááºááŒá¬áááºáááºážááŒá
áºááá¯ááºáááºá
ááá±á¬ááºá¡áááº
á€áá»ááºážáááºáááºážááŸá áºáá¯ááᯠáá±á«ááºážá ááºááá¯ááºáááºá áá»á±á¬ááºáá¯á¶ážáá±áá±á¬á¡ááºá¹áá«áááºáá»á¬ážááᯠááŒáá·áºá áœááºááŒááºáž ááá¯á·ááá¯áẠááá¯ááºááá¯ááºááŸá¯áá áºáá¯á¡á¬áž ááŸá¬ááœá±ááœá±á·ááŸáááá¯ááºááŒá±ááᯠááá¯ážááŒáá·áºáá¬á á±áááºá¡ááœáẠáááºážááá¯á·ááᯠááœá¬ážááá¯ááºáááºá
áááºááá·áºáááºážáááºážááᯠáááºááœá±ážáá»ááºááá·áºááááºážá
ááá·áºá¡ááœá²á·á á¡áááºá¡áá»ááºážáá»á¬ážááŸáá·áº ááŸá
áºáááºááŸá¯áá»á¬ážáá±á«áºááœáẠáá»á¬ážá
áœá¬áá°áááºáá«áááºá
á¡á²áá®ááŸá¬áá±á¬ á¡á¬ážáá¬áá»áẠá¡á¬ážáááºážáá»ááºááœá± ááŸááááºá
á
á¯á
ááºážáá¬ážáá±á¬ áááá¯á
á
áºááŸááºááŒá±á¬ááºážááŸáá·áº ááœáá·áºááŒá¯áá»ááºá
áá
áº
áá±á¬ááºážááœááºá
áœá¬ áá®ááá¯ááºážáá¯ááºáá±á¬á¡áá«á á€áá±á¬ááºážáá«ážááœáẠááœá±ážááœá±ážáá¬ážáá±á¬ ááœá±á·áá»á¬ážááá¯ááºááŸá¯ááẠáá¯á¶ážá០ááá¯á·ááá¯áẠá¡áááºááŸááŒá
áºá
á±á áá±ááááºá áá±á¬áºáá®ááá¯áẠááá¯á·ááá¯áẠá¡ááŒá¬ážáá±áá¬áá»á¬ážááœááºááŒá
áºá
á± (á¡áááºááœááºáá±á¬áºááŒáá¬ážáá±á¬ ááá·áºáááºáá»ááºáá»á¬ážááŸáá·áºá¡áá°) ááá·áºááœáẠáá°áá®áá±á¬áááºáá±á¬ááºááœáá·áºááŸááááºáᯠáá°ááá«áááºá ááŒá¿áá¬á áá¬áá²á
á€áá¯ááºáááºážá ááŸá¯ááºááœá±ážááŸá¯ááᯠááá¯ááá¯áá¬ážáááºáááºá áá¯á¶ááŸááºáá®ááá¯ááºážááᯠááŒáá·áºááŒáá«á
áá¯á·á
ááá°áá¬
- áááºáááºážá¡á¬ážáá¯á¶ážááᯠá¡á¯ááºá á¯áá»á¬ážá¡ááŒá Ạááœá²áá¬ážáááºá á¡ááœá²á·áá»á¬ážá¡ááá¯áẠáááºáá¯á¶ážááœáá·áºáá±ážááẠáááºáá¯á¶ážááŒááºááá¯ááºáá«ááŒá®á
- áá¯á¶ážáááºážá¡ááœááºážááœááºá áááºááẠáá¯á¶ážáááºáž firewall ááœáẠáááºáá±á¬ááºááŸá¯ááᯠááááºážáá»á¯ááºááá¯ááºáááºá
- áááºááẠáá¯á¶ážá០áá±áá¬á ááºáá¬ááá¯á· áá±áá¬á ááºáᬠfirewall ááŸá áááºážááŒá±á¬ááºážááᯠááááºážáá»á¯ááºááá¯ááºáááºá
- áááºááẠCisco ASA ááᯠVPN áá¶áá«ážáá±á«ááºá¡ááŒá Ạá¡áá¯á¶ážááŒá¯ááŒá®áž á¡áá±ážá០áá±á¬ááºáááºáá»á¬ážáá¶á០ááá·áºááœááºáááºá¡ááœááºážááá¯á· áááºáá±á¬ááºáá¬ááá·áº á¡ááœá¬ážá¡áá¬ááᯠááááºážáá»á¯ááºáááºá áááºááẠáá±áááœááºáž (ASA) ACLs áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áááºá
ááá¯á áááºááẠáááºáááºážáá áºáŠážáᶠáááºáá±á¬ááºážáááºáá±á¬ááºááœáá·áºááᯠááá·áºááá¯ááºážáááºááá¯ááŒáá«á áá¯á·á á€ááá á¹á ááœááºá áááºááẠáá°á·áá¶ááá¯á·áᬠáááºáá±á¬ááºááœáá·áºááᯠááá·áºááá¯ááºážááŒá®áž áá°áá¡ááœá²á·á០á¡ááŒá¬ážáááºáá°áá»áŸ áááŸáá á±áá
á¡á²áá«á¡ááœáẠáá»áœááºáá±á¬áºááá¯á·á áá®áááºáááºážá¡ááœáẠáá®ážááŒá¬ážá¡ááœá²á·áá áºáᯠáááºáá®ážáááŸá¬áá±á«á·á
- á€áááºáááºážá¡ááœáẠASA ááœáẠáá®ážááŒá¬áž IP pool áá áºáá¯ááᯠáááºáá®ážáá«á
- ASA ááœáẠACL á¡áá áºáá áºáá¯ááᯠááá·áºááŒá®áž áááºážááᯠá¡áá±ážááááºáž áááá¯ááºážááá·áºááŸáá·áº áá»áááºáá«á
- áá¯á¶ážááŸáá·áº áá±áá¬á ááºáᬠfirewalls áá»á¬ážááœáẠáá¯á¶ááŒá¯á¶áá±ážáá°áá«áá¡áá áºáá»á¬ážááᯠáááºáá®ážáá«á
áá®ááœá²á ááŸá¬ážáá±á¬á· áá±á¬ááºážáá«áááºá áá«áá±ááá·áº áá»áœááºáá±á¬á·áºáááºááœá±á·ááŸá¬áá±á¬á· ááá°áá®áá²á·ááá±á¬áá»ááºááœá±ááŸá¬ áááºáááºážááœá±áá«áááºáá²á·á¡áá« á¡ááŒá±á¡áá±áá áºáá¯ááŸááá²á·ááŒá®áž áá°ááá¯á·áá²á á¡áá»áá¯á·á¡ááœáẠáá®ááá±á¬áá»ááºááœá±á áááŒá¬ááááŒá±á¬ááºážáá²ááœá¬ážáá²á·ááŒá®áž áá° 1-2 áá±á¬ááºááá¯ááºáá±ááá·áº áá«áááºáá²á·áá»á®áá«áááºá áá¯ááºáá«áááºá áá®áá±áá¬ááŸá¬ áá áºáá¯áá¯ááᯠááŒá±á¬ááºážáá²ááá¯á· ááá¯áá«áááºá
áááºážááᯠá¡á±á¬ááºáá«áááºážáááºážááŒáá·áº ááŒá±ááŸááºážáá²á·áááºá
LDAP ááẠááŒá áºááá¯ááºááá»áŸ áááºáááºážáááºáá±á¬ááºááœáá·áºá¡á¬ážáá¯á¶ážááᯠáá¯á¶ážááŒááºáá±ážááá·áº áá áºáá¯áááºážáá±á¬ á¡ááŸááºááá¬ážá¡áááºážá¡ááŒá áºááŒá áºáááºáᯠáá»áœááºá¯ááºááá¯á· áá¯á¶ážááŒááºáá²á·áááºá á¡áá¯á¶ážááŒá¯ááœáá·áº á¡á á¯á¶á¡áááºááᯠáááºááŸááºááá·áº á¡á¯ááºá ᯠá¡áá»áá¯ážá¡á á¬áž á¡á¬ážáá¯á¶ážááᯠáááºáá®ážáá²á·ááŒá®áž á¡áá¯á¶ážááŒá¯áá° áá áºáŠážá á®ááᯠá¡ááœá²á· áá áºáᯠááá¯á·ááá¯áẠáá áºáá¯áááºááá¯áá±á¬ á¡ááœá²á·áá»á¬ážááá¯á· áá¬áááºáá±ážá¡ááºáá²á·áááºá
áá®áá±á¬á· á¥ááá¬á¡á¬ážááŒáá·áº á¡ááœá²á·ááœá±ááŸááááºááá¯áá«á áá¯á·
- á§áá·áºááẠ(á¡ááºáá¬áááºá¡áá¯á¶ážááŒá¯ááœáá·áº)
- áá¯á¶áááºáá±á¬ááºááœáá·áº (áá»áŸáá±áá¬ážáá±á¬á¡áááºážá¡ááŒá áºáá»á¬áž- áá±ážááºá á¡ááááá¬á¡ááŒá±áá¶á ...)
- á á¬áááºážááá¯ááº
- á á®áá¶ááááºáž 1
- á á®áá¶ááááºáž 2
- áá±áá¬á¡ááŒá±áá¶á á®áá¶ááá·áºááœá²áá°
- linux á á®áá¶ááá·áºááœá²áá°
- ...
ááá±á¬áá»áẠ1 ááŸáá·áº ááá±á¬áá»áẠ2 ááŸá áºáá¯á áá¯á¶ážááœáẠáááºáááºážáá áºáŠážá០áá«áááºáá²á·ááŒá®áž áááºážááẠá€ááá±á¬áá»ááºáá»á¬ážááœáẠá¡áá¯ááºáá¯ááºááẠááá¯á¡ááºáá±á¬áááºáá±á¬ááºááœáá·áºááᯠááá¯á¡ááºáá«áá á€áááºáááºážá¡á¬áž á¡á±á¬ááºáá«á¡ááœá²á·áá»á¬ážááá¯á· áá¬áááºáá±ážá¡ááºááŒááºážáá¶ááááº-
- á§áá·áºáááº
- áá¯á¶áááºáá±á¬ááºááœáá·áº
- á á®áá¶ááááºáž 1
- á á®áá¶ááááºáž 2
ááᯠá€á¡áá»ááºá¡áááºááᯠááœááºáááºá ááºáá á¹á ááºážáá»á¬ážááœáẠáááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááœáá·áºá¡ááŒá Ạáááºááá¯á·ááŒá±á¬ááºážáá²ááá¯ááºáááºáááºážá
Cisco ASA Dynamic Access Policy (DAP) (ááŒáá·áºááŸá¯áá«á
www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html ) ááŒá±ááŸááºážáá»ááºááẠá€áá¯ááºáááºážá¡ááœáẠááŸááºáááºáá«áááºááá»áœááºá¯ááºááá¯á·á á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯ááŸáá·áº áááºáááºá á¡áá»ááºážáá»á¯ááºá¡á¬ážááŒáá·áºá ááœá²ááŒá¬ážáááºááŸááºááŒááºáž/ááœáá·áºááŒá¯áá»áẠáá¯ááºáááºážá ááºá¡ááœááºážá ASA ááẠáá±ážáá¬ážáá±á¬á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááŸáá·áº áááºááá¯ááºááá·áº á¡ááœá²á·áá áºááœá²á·ááᯠLDAP áá¶á០áááºáá¶áááŸáááŒá®áž áá±áááá¯ááºáᬠACL á¡áá»á¬ážá¡ááŒá¬áž (áá áºáá¯á á®ááẠá¡ááœá²á·áá áºáá¯ááŸáá·áº áááºááá¯ááºáá±á¬) ááá¯á¡ááºáá±á¬áááºáá±á¬ááºááœáá·áºá¡á¬ážáá¯á¶ážáá«áááºááá·áº áááºááŒáœáá±á¬ ACL ááᯠ"á á¯áá±á¬ááºážáááº" áá»áœááºá¯ááºááá¯á·áááá¹ááá»á¬ážááŸáá·áº á¡ááŒáá·áºá¡áááá¯ááºáá®áá±á¬á
ááá¯á·áá±á¬áºáááºážááẠVPN áá»áááºáááºááŸá¯áá»á¬ážá¡ááœááºáá¬ááŒá áºáááºá VPN ááŸáá áºááá·áº áá»áááºáááºáá¬ážáá±á¬ áááºáááºážáá»á¬ážááŸáá·áº áá¯á¶ážááœááºážááŸá áááºáááºážáá»á¬ážá¡ááœáẠá¡ááŒá±á¡áá±ááᯠáá°áá®á á±áááºá¡ááœáẠá¡á±á¬ááºáá«á¡ááá·áºááᯠáá¯ááºáá±á¬ááºáá²á·áááºá
áá¯á¶ážá០áá»áááºáááºááá·áºá¡áá« 802.1x áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááẠá§áá·áºááẠLAN (á§áá·áºáááºáá»á¬ážá¡ááœááº) ááá¯á·ááá¯áẠáá»áŸáá±áá¬ážáá±á¬ LAN (áá¯áá¹ááá®áááºáááºážáá»á¬ážá¡ááœááº) ááŒáá·áº á¡áá¯á¶ážáááºáááºá ááá¯á·á¡ááŒáẠáá®ážááŒá¬ážáááºáá±á¬ááºááœáá·áº (á¥ááá¬á áá±áá¬á ááºáá¬ááŸá ááá±á¬áá»ááºáá»á¬ážá¡ááœááº) áááºáááºážáá»á¬ážááẠVPN ááŸáá áºááá·áº áá»áááºáááºááááºááŒá áºáá«áááºá
áá¯á¶ážááŸáá·áº á¡áááºá០áá»áááºáááºáááºá¡ááœáẠASA ááœáẠááá°áá®áá±á¬ á¥áááºááá¯ááºáá±á«ááºážá¡á¯ááºá á¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá áá¯á¶ážááŸáá»áááºáááºáá°áá»á¬ážá¡ááœááºá áá»áŸáá±áá¬ážáá±á¬á¡áááºážá¡ááŒá áºáá»á¬áž (áááºáááºážá¡á¬ážáá¯á¶ážá¡áá¯á¶ážááŒá¯áá±á¬ mailá ááá¯ááºáá¬áá¬áá»á¬ážá áááºááŸááºá áá áºá dnsá ... áá²á·ááá¯á·áá±á¬) ááẠASA ááŸáááá·áºáááœá¬ážááá¯ááºáá±á¬áºáááºáž áá±áááœááºážááœááºáááºááŸáááá·áºá . ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠASA á¡á¬áž ááŒááºážáááºááŸá¯ááŒáá·áºáá¬ážáá±á¬ á¡ááœá¬ážá¡áᬠá¡áá«á¡ááẠáááá¯á¡ááºáá±á¬ á¡ááœá¬ážá¡áá¬áá»á¬ážááŒáá·áº ááááºáá²á·áá«á
ááá¯á·ááŒá±á¬áá·áº ááŒá¿áá¬ááᯠááŒá±ááŸááºážááá¯ááºáá²á·áááºá
áá»áœááºáá±á¬áºááá¯
- áá¯á¶ážááŸáá·áºáá±ážáá¶áá±á«ááºáá®áá±á¬áá»áááºáááºááŸá¯ááŸá áºáá¯áá¯á¶ážá¡ááœááºáá°áá®áá±á¬á¡áá¯á¶ážááŒá¯ááœáá·áºá¡á á¯á¶
- ASA ááŸáááá·áº ááŒááºážáááºááŸá¯ ááŒáá·áºáá¬ážáá±á¬ á¡ááœá¬ážá¡áᬠáá¯ááºááœáŸáá·áºááŒááºážááŸáá·áº áááºá ááºáá±á¬ áá¯á¶ážá០á¡áá¯ááºáá¯ááºáá±á¬á¡áá« áááºáá±á¬ááºááŸá¯ áá»áááºážááŒááºáž áááŸáááŒááºážá
á€áá»ááºážáááºááŸá¯á á¡ááŒá¬ážá¡á¬ážáá¬áá»ááºáá»á¬ážáá¬áž á¡áááºáááºážá
áááºááŸááºážáá®áá±á¬ á¡á¯ááºáá»á¯ááºáá±ážááœááºá á¡áá¯á¶ážááŒá¯ááœáá·áºáá»á¬ážááᯠáá áºáá±áá¬áááºážááœáẠá¡ááœááºááá° ááŒá±á¬ááºážáá²ááá¯ááºáááºá
á¥ááá¬á¡á¬ážááŒáá·áºá áááºáááºážáá áºáŠážááẠáá¯áá¹ááá®á០ááœááºááœá¬ážáá«áá áááºááẠáá°á·ááᯠLDAP á០áááºááŸá¬ážááá¯ááºáá¯á¶ááŒáá·áº áá°ááẠáááºáá±á¬ááºááœáá·áºá¡á¬ážáá¯á¶ážááᯠá¡ááá¯á¡áá»á±á¬áẠáá¯á¶ážááŸá¯á¶ážááœá¬ážáááºááŒá áºáááºá
á¡áááºááŸááºá á áºáá±ážááŒááºážá
á¡áá±ážááŸáá»áááºáááºááŸá¯ááŒá áºááá¯ááºááŒá±ááŒáá·áºá áá»áœááºá¯ááºááá¯á·ááẠáá¯áá¹ááá®áááºáááºážáá áºáŠážááᯠááœááºáááºáá²ááá¯á·áá¬áá áááºážáááœááºáá»á°áᬠ(á¥ááá¬á á¡áááº) ááœááºáá«ááŸáááá·áº á¡áá¹ááá¬ááºááŸááá±á¬áá±á¬á·ááºáá²ááºá¡á¬ážáá¯á¶ážááá¯áááºáž ááœáá·áºááŒá¯ááá¯ááºááá·áºá¡ááŒáẠá€áá±á¬á·ááºáá²ááŸáá áºááá·áº áá»áœááºá¯ááºááá¯á·á á€á¡áááºááŸááºááᯠááá±á¬ááºá á®á¡ááŒá Ạá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºáá°á¡á¬áž áá»áœááºá¯ááºááá¯á·áááœááºáááºááá¯á· áááºáá±á¬ááºááœáá·áº áá±ážááá¯ááºáá«áááºá
áá¯á¶ážááœááºážááŸáá¡áááºááŸááºá¡ááŒá Ạáá°áá®áá±á¬áá¯á¶ááŒá¯á¶áá±ážááá¯á¡ááºáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááẠá¡áá±ážááŸáá»áááºáááºáá¬ážáá±á¬ host ááẠá¡áááá¹áá¬ááºááŸáá á±áááºá
áááºážááẠOSá ááá¯ááºážáááºá
Ạááá¯ááºáá»ááºáá±ážá áá±á¬ááºááŸááºážáá±áž áá±á¬á·ááºáá²ááŸáá·áº firewall áá±á¬á·ááºáá²ááŸáá·áº á¡ááºááááºáá»á¬áž á "ááŸááºáááºáá±á¬" áá¬ážááŸááºážááá¯áááºáž áá°ááááºá áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá á€á
áœááºážáááºááẠVPN ááááºáááœááºáááºááŸáááẠ(á¥ááá¬á ASA á¡ááœááºááŒáá·áºáá«á
áááºááá¯á¶ááŒá¯á¶áá±ážáá°áá«áááẠáá¯á¶ážá¡ááœá¬ážá¡áá¬ááŸáá·áº áááºááá¯ááºááá·áº á¡áá¬ážáá°á¡ááœá¬ážá¡áá¬ááœá²ááŒááºážá áááºááŒá¬ááŒááºážááŸáá·áº ááááºááá¯á·ááŒááºážáááºážááá¬áá»á¬áž (âáá¬ááœááºááŸá¯á¡ááá·áºááŒáá·áºâ ááá¯ááŒáá·áºáá«) ááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááẠááá¬ááŸááá¬áá±á¬ááºáá«áááºá
ááá·áºáá¯á¶ážáááºážááœááºáááºááẠáá¯á¶ážá¡áá±á¬ááºá¡á¡á¯á¶ááŸáá·áº áááºážá¡ááœááºážááŸáá¡áááºááŸááºáá»á¬ážá¡ááœáẠá¡ááá·áºá¡áááºáááŸááᯠáá°áááẠáá»áá¯ážááŒá±á¬ááºážáá®áá»á±á¬áºáá«áááºá
ááá°áá¬
áááºážá áá áºáá±á¬ááºážáá áºáá¯ááẠáá±á¬ááºážááœááºááŒá®áž á¡áááºááŒá±áá±á¬ áááºááºáá±á¬á·áá áºáá¯á¶ážááᯠá¡áá±ážááŸáááºáá±á¬ááºá¡áá¯á¶ážááŒá¯áááºááá¯á¡ááºáá±á¬ áááºáááºážáá áºáŠážá á®á¡á¬áž áá¯á¶ážááœááºážáá±á¬ á¡áááºááŸáá« áá±ážáá±á¬ááºááẠááá¯á¡ááºáá«áááºá
áááºážááẠááá·áºááœááºáááºááá¯á¶ááŒá¯á¶áá±ážááᯠááŒáŸáá·áºáááºáá±ážáá¯á¶áá¬áááá² á¡ááŸááºááááºáááºáž á¡áááºááŒá±ááŒá®áž áááºáááºážáá»á¬ážá á¡áá»á¬ážá¡á¬ážááŒáá·áº ááŸá áºáááºááá±á¬áá»ááŒááẠ(áááºážááẠá¡ááŸááºáááẠá¡áá¯á¶ážááŒá¯áááœááºáá°áá±á¬ áááºááºáá±á¬á·áá áºáá¯á¶ážááŒá áºáá»áŸááº)á
á¡áá»áá¯ážá¡á á¬ážáá²á· áá»áááºááœááºáá»áŸá¬ á¡á¬áá¯á¶áá áºáá¯á¡ááŒá±á¬ááºáž
á¡ááŒá±áá¶á¡á¬ážááŒáá·áºá á€áááºááŸá¬ áá»áœááºá¯ááºááá¯á·ááŒááá¶áááááááŒá±á¬ááºá¡á
áœááºáž - á
á»á±ážááŸá¯ááºážá¡ááŒá±á¬ááºáž á
áá¬ážááá¯ááºážáá
áºáá¯ááŒá
áºáááºá
áááºáá»ááºáá®áá±á¬ á¥ááá¬ááᯠááŒáá·áºááŒáá«á
áá¯á·á
ááá°áá¬
áá° 200 á¡ááœáẠááá·áºááœáẠáá¯á¶ážáááºážááŸááááºá á¡áááºááá¯ááºáá¯á¶áž á¡áááºááŒá±ááŒá®áž áá±ážáááºážá¡á±á¬áẠáá¯ááºáááºááá¯á· áá¯á¶ážááŒááºáá¬ážáááºá
ááá¯á·ááŒá±á¬áá·áºá áááºááẠfirewall ááŸáááá·áº traffic á¡á¬ážáá¯á¶ážááᯠáá»á±á¬áºááŒááºááẠáá¯á¶ážááŒááºáá²á·ááŒá®ážá ááá¯á·ááŒá±á¬áá·áº office subnets á¡á¬ážáá¯á¶ážá¡ááœáẠfirewall ááẠdefault gateway ááŒá áºáááºá end host áá áºáá¯á á®ááœáẠááá·áºááœááºážáá¬ážááá·áº áá¯á¶ááŒá¯á¶áá±ážáá±á¬á·ááºáá²ááºá¡ááŒáẠ(ááá¯ááºážáááºá áºááá·áºáá»ááºáá±ážá áá±á¬ááºááŸááºážáá±ážáá±á¬á·ááºáá²ááŸáá·áº ááá¯ááºáá±á«ááºáá±á¬á·ááºáá²ááº) ááá¯áááºáž firewall ááœáẠááŒá áºááá¯ááºááá·áº á¡áá¬á¡ááœááºáááºážáááºážá¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážááŒá¯ááẠáá¯á¶ážááŒááºáá²á·áááºá
ááŒáá·áºáá¬ážáá±á¬áá»áááºáááºááŸá¯á¡ááŒááºááŸá¯ááºážááá¯áá±áá»á¬á á±ááẠ(á¡á¬ážáá¯á¶ážá¡áááºááŒá±á á±áááº) áááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááŸá¯ááá¯ááºáá»á¬ážá¡ááŒá Ạ10 Gigabit áááºáá±á«ááºáá±á«ááºáá»á¬ážáá«ááá·áº ááá¯ááºáá»á¬ážááᯠáááºááœá±ážáá»ááºáá²á·ááŒá®ážá á¥ááá¬á Palo Alto 7K á á®ážáá®ážáá»á¬ážááᯠááá¯ááºá ááºá¡á¬ážáá¯á¶ážááŒáá·áº ááá¬ááá»áá»ááŒáá·áº ááá¯ááºá ááºá¡á¬ážáá¯á¶ážááŒáá·áº á áœááºážáá±á¬ááºáááºááŒáá·áº NGFW firewalls áá»á¬ážááᯠááœá±ážáá»ááºáá²á·ááẠáá«áááºááŒá®áž ááá¬áá¡ááá¯ááºážá áááŸáááá¯ááºááŸá¯ ááŒáá·áºáá¬ážáá±á¬á¡ááœá²á
ááá¯á·á¡ááŒááºá á€á ááºáá á¹á ááºážáááááá¬áá»á¬ážááŸáá·áºá¡áá¯ááºáá¯ááºááẠáá»áœááºá¯ááºááá¯á·ááẠá¡áááºá¡áá»ááºážááŒáá·áºáá®áá±á¬ áá¯á¶ááŒá¯á¶áá±ážá¡ááºáá»ááºáá®áá¬ááŸá áºáŠáž á¡áááºážáá¯á¶áž ááá¯á¡ááºáá«áááºá
áá±á¬ááºáá áºáá¯á áááºáááºážááá¯ááºážááᯠLaptop áá±á¬ááºážáá±á¬ááºážáá áºáá¯á¶áž áá±ážáááºááá¯á· áá¯á¶ážááŒááºááá¯ááºáááºá
á á¯á á¯áá±á«ááºážá á¡áá±á¬ááºá¡áááºáá±á¬áºááẠáá±á«áºáᬠáá áááºážááá·áºá ááŸá áºá ááºáá±á¬ááºáá¶á·ááŸá¯ááŸáá·áº á¡ááºáá»ááºáá®áá¬áá»á¬ážá¡ááœáẠáá á¬áá±á«áºáᬠáá±á¬ááºáá±á«ááºážáá»á¬ážá áœá¬ (áá áºáááºážáá®ážáá«áž) ááŸááááºá
áá¯á¶ážááŸá¬ áá° ááá...
á¡áááºááŒá±áá¬áž? áá¯ááºáááºáááºáááºááá®á¡ááá¯ááŒá¯áá»ááºáá²á·á¡áá° áááºážáá²á· á á®áá¶ááá·áºááœá²áá±ážáá®ááᯠáááºážáá¬áá²á·áááº...
á€á¡áá¬ááẠáááºáá¶ááá¯ááºááœááºááŸáááŒá®áž ááŸááºáááºáá±á¬ááŒá±ááŸááºážáá»ááºááŒá áºááá·áº ááá¹áá¬áá±á«áºááœáẠáá¯áá¹ááá®áá»á¬ážá áœá¬ ááŸááá±á¬ááºážááŸáááá¯ááºáááºá á¡áááºá áááºááẠá€áá¯áá¹ááá®á áááºáááºážáá áºáŠážááŒá áºáá«á áá»áœááºá¯ááºá¡á¬áž áá¯ááºáá°áá«áááºá ááá¯á·áá±á¬áº ááá á¹á á¡áá»á¬ážá á¯ááœáẠáááºáá¡ááááá¬ááᯠá á®áá¶ááá·áºááœá²ááŸá¯á០áááºááá¯ážáá¬ážáááá·áºáááºááá¯ááºááŒá±á¬ááºáž áá»áœááºá¯ááºáá±áá»á¬áá«áááºá
á€á¥ááá¬ááẠáá»á²á·áá¬ážáá±áá«ááá¬ážá áá±á¬ááºá¡áááºážááœáẠá€áá±ážááœááºážááᯠááŒá±áá«áááºá
ááá·áºááœááºáááºááœáẠá¡áááºáá«á¡áá¬áá»á¬ážááᯠáááºáááœá±á·áá«áá á€áááºááŸá¬ á
á¶ááŸá¯ááºážááŒá
áºáááºá
áá®ážááŒá¬ážááá
á¹á
áá
áºáá¯á
á®á¡ááœááºá á¡áááºááŒá±ááŸá¯á á
á»á±ážááŸá¯ááºážááŸáá·áº áá±ážáááºážááŸá¯á¡ááŒá¬áž ááá·áºááá¯ááºááá¯áẠáá»áá¯ážááŒá±á¬ááºážáá®áá»á±á¬áºáá±á¬ á¡áá±ážá¡áá°ááᯠááŸá¬ááœá±ááẠááá¯á¡ááºáááºá áááŒá¬áá ááá·áºáá¯á¶ážáááºážááœáẠNGFW áááá¯á¡ááºáá² firewall áá±á«áºááŸá L7 áá¬ááœááºááŸá¯ áááá¯á¡ááºáá«á ááŒááºááá¯ááºá
áœááºážááŸáá·áº ááááá±ážáá»ááºáá»á¬áž á¡ááá·áºáá±á¬ááºážáá±á¬ááºáž áá±ážá
áœááºážááẠáá¯á¶áá±á¬ááºáááºá á¥ááá¬á á¥ááá¬á¡á¬ážááŒáá·áº open source áá¯ááºáá¯ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºáá±á¬ááºááá¯ááºáááºá áá¯ááºáááºá ááá¯ááºááá¯ááºááŸá¯áá
áºáá¯á¡áá±á«áº áááºážáá²á·áá¯á¶á·ááŒááºááŸá¯á áá»ááºáá»ááºážááŒá
áºááŸá¬ááá¯ááºáá°ážá áá«áá±ááá·áº á¡áááá¡áá»ááºá á¡á²áá«ááᯠáááºážááŒááºáááŸá¬ááŒá
áºááŒá®ážá áááºážáá²á·áá¬áááŸá¬ ááŸááºáááºáá²á·áá¯ááºáááºážá
ááºááœá±áá²á·á áááºážáᬠááŒááºááŒááºáá»ááºááŒááºááœá¬ážáááá·áºáááºá
á€áá±á¬ááºážáá«ážááœá²áá»á¬ážá á¡áá°á¡áá¡á áááºááẠááœááºáááºáá áºáá¯ááᯠáá®ááá¯ááºážáá¯ááºáá±ááŒááºážááá¯ááºáá² áááºáááŸááá±á¬á¡áá¬áá»á¬ážááᯠááá¯ážáááºá á±áááºáᬠááŒáá¯ážá á¬ážáá±ááŒááºážááŒá áºááŒá±á¬ááºáž áá»áœááºá¯ááºá¡á¬áž ááááá±ážáá«áá á±á
áá¯á¶ážáááá¯áá¬á áá±ážáááºážáá±á¬ ááœá²ááŒááºážá áááºááŒá¬ááŸá¯
áá¯á¶ááŸá¬ááŒáá¬ážáá²á·áá±áá¬ááᯠáá»áœááºáá±á¬áºááœá²áá±áá±ážáá²á·áá²á· áá®á¡áá®áá±á¬ááºáá±ážáá±á¬áá·áºááᯠá¡á¬áá¯á¶á
áá¯ááºáá«á
á€áááºááŸá¬ áááá¯áá¬ááá¬á á¡ááááá±áá¬áá»á¬ážáá²á០áá
áºáá¯ááŒá
áºááŒá®áž á¡áá±ážááŒá®ážáá¯á¶ážáá±á¬ ááá±áá¬ááŸá¯áá»á¬ážáá²á០áá
áºáá¯ááŒá
áºáááºá
ááœá±á¬ááá¯
FirePower (Cisco á firewall ááá¯ááºážá០ASA áá áºáá¯áááºážáá¬) ááᯠset up ááá¯á·ááá¯áẠááá¯ááºáá°ážáá±á¬ááŒá±á¬áá·áº Juniper SRX ááá¯á·ááá¯áẠPalo Alto áá²á·ááá¯á·áá±á¬ á¡ááŒá¬áž firewall áá»á¬ážáá²á·ááá¯á· áááºáá¶áááºá áááºážááœáẠáá°áá®áá±á¬á áœááºážáááºáá»á¬ážááŸááááºáᯠáá°ááá«áááºá
áá¯á¶ááŸááºáá®ááá¯ááºážáá»á¬ážáá²ááŸá á€áá»áááºáááºááŸá¯ááŸáá·áºá¡áá° firewall ááá¯á¡áá¯á¶ážááŒá¯ááẠááŒá áºááá¯ááºááŒá±ááŸááá±á¬ ááœá±ážáá»ááºá áᬠá áá¯ááá¯áᬠáá»áœááºá¯ááºááœá±á·ááŒááºááááº-
- subnet áá áºáá¯á á®á¡ááœáẠáá¯á¶áá±áá¶áá«ážáá±á«ááºááẠááá¯ááºáá áºáá¯ááŒá áºááŒá®áž firewall ááẠtransparent mode ááœááºááŸááá±ááẠ(ááá¯ááá¯áááºááŸá¬á á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááẠáááºážááá¯ááŒááºáááºážááœá¬ážáá±á¬áºáááºáž áááºážááẠL3 hop áá¯á¶á á¶ááá¯ááºáá«)
- subnet áá áºáá¯á á®á¡ááœáẠáá°áááºážáá¶áá«ážáá±á«ááºááẠfirewall sub-interfaces (ááá¯á·ááá¯áẠSVI interface) ááŒá áºáááº)á switch ááẠL2 á á¡áááºážááá¹áá០áá«áááºáá«áááºá
- ááá°áá®áá±á¬ VRF áá»á¬ážááᯠswitch ááœááºá¡áá¯á¶ážááŒá¯ááŒááŒá®áž VRFs áá»á¬ážááŒá¬ážá¡ááœá¬ážá¡áá¬ááᯠfirewall ááŸáááá·áºááœá¬ážáááºá VRF áá áºáá¯á¡ááœááºážá¡ááœá¬ážá¡áá¬ááᯠswitch áá±á«áºááŸá ACL ááŸááááºážáá»á¯ááºáááº
- á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠááœá²ááŒááºážá áááºááŒá¬áááºááŸáá·áº á á±á¬áá·áºááŒáá·áºáááºá¡ááœáẠfirewall ááœáẠáááºáááºáá±áá«áááºá
ááŸááºáá»áẠá
á€ááœá±ážáá»ááºááŸá¯áá»á¬ážá áá±á«ááºážá ááºááŸá¯áá»á¬ážááẠááŒá áºááá¯ááºáá±á¬áºáááºáž ááá¯ážááá¯ážááŸááºážááŸááºážá¡á¬ážááŒáá·áº áááºážááá¯á·ááᯠáá»áœááºá¯ááºááá¯á· ááá·áºááœááºážá ááºážá á¬ážáááºááá¯ááºáá«á
ááŸááºáá»áẠá
PBR (áááºáá±á¬ááºááŸá¯ááœááºážáááºáááá¯áá¬) ááá¯á¡áá¯á¶ážááŒá¯áááºááŒá áºááá¯ááºááŒá±áááºážááŸááá±á¬áºáááºážááá¯á¡áá»áááºááœááºáááºážáááºáá»áœááºá¯ááºááááºááŒááºáá»ááºááœááºááŸááá±á¬ááŒá±ááŸááºážáá»ááºáááºá¡ááœááºáááºážááŒá¬ážáá±á¬áºáááºážá á€áá±áá¬ááœááºáá»áœááºá¯ááºáá ááºážá á¬ážáá«á
á á¬ááœááºá á¬áááºážááŸáá á®ážáááºážááŸá¯áá»á¬ážááá±á¬áºááŒáá»ááºááŸá á¡ááœá¬ážá¡áá¬áá»á¬ážááẠFirewall ááá¯ááŒááºáááºážáá±áá²ááŒá áºáááºá ááá¯ááá¯áááºááŸá¬ Cisco áá®ááá¯ááºážááŸáá·áºá¡áá® á áá¯áá¹áááœá±ážáá»ááºááŸá¯ááᯠáááºááŸá¬ážááá¯ááºáááºááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºááá«áááºá
ááááá¯á¶ážááœá±ážáá»ááºááŸá¯ááŸá
áºáá¯ááᯠá¡áááºááŒáá·áºáá¡á±á¬ááºá
á€ááœá±ážáá»ááºááŸá¯áá»á¬ážááŒáá·áºá á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠfirewall ááŸáááá·áºááœá¬ážáá«áááºá
áá² ááŒáá·áºááŒáá¡á±á¬ááº
ááœá±á¬ááá¯
á á¯á á¯áá±á«ááºáž bandwidth á¡ááŒá±á¬ááºážááŒá±á¬áá±á¬á¡áá«á subnets áá»á¬ážááŒá¬áž traffic (áá®áá¬áá¬áá áºáá¯á¡ááœááºážááá¯ááºáá²) ááá¯ááá¯ááá¯áááºá
GPL á០Threat Defense áá«áá±á¬ HA Bundle á¡ááœááºá áá±á¬áºáááºáá±á«áºáá°áááºá áá±ážááŸá¯ááºážááẠ(4110 - 4150) áá±á«áºáᬠ~ 0,5 á០2,5 áááºážá¡áá ááœá¬ááŒá¬ážáááºááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŒááºááá«áááºá
ááá¯ááá¯áááºááŸá¬á áá»áœááºá¯ááºááá¯á·á áá®ááá¯ááºážááẠááááºááá°áá¬ááŸáá·áº áááºáá°áá«áááºá
áá«á áá®áá®ááá¯ááºáž ááŸá¬ážáá±áááºááá¯á· ááá¯ááá¯áá¬áá¬ážá
ááá¯ááºáá°ážá á¡á²áá«ááᯠáááá¯ááá¯áá«áá°ážá Cisco ááẠááá·áºá¡á¬áž áááºážááá¯ááºáá¯ááºááá¯ááºážáá±á«áºá¡ááŒá±áá¶á ááŒá
áºááá¯ááºááá»áŸ á¡áá±á¬ááºážáá¯á¶ážáá¬ááœááºááŸá¯áá±ážáá«áááºá áá«áá±ááá·áº áá«áᬠáááºážá¡ááœáẠáá¯ááºá
áá¬ááá¯á· áááá¯ááá¯áá«áá°ážá
áá°á¡áá á€áááºááŸá¬ áá¯á¶ážáááºáž ááá¯á·ááá¯áẠáá±áá¬á ááºáá¬ááᯠáá®ááá¯ááºážááœá²ááá·áºá¡áá«ááœáẠáá±á«áºáá±á«ááºáá±á·ááŸáááá·áº áá±ážááœááºážááŒá áºááŒá®áž áááºážááẠá¡áá±ážá¡áá°áá¯ááºááẠááá¯á¡ááºáááºáá¯áᬠááá¯ááá¯áááºá
á¥ááá¬á¡á¬ážááŒáá·áºá á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠfirewall ááá¯ááŒááºáááºážááœáá·áºáááŒá¯áá«ááŸáá·áºá ááá¯á¡ááŒá±á¡áá±ááœáẠoption 3 áááºáá»áœááºá¯ááºá¡ááœááºáá±á¬áºáá±á¬áºáá±á¬ááºážáá¯á¶áááẠ(ááá¯á·) (ááááºá¡ááá¯ááºážááá¯ááŒáá·áºáá«) Threat Defense áááá¯á¡ááºáá« ááá¯á·ááá¯áẠfirewall áá¯á¶ážááááá¯á¡ááºáá«á ááœááºááẠá¡ááá¯ááºážá á¡ááá±áž (á á»á±ážáááŒá®áž) ááá¯á·ááá¯áẠopen source ááŒá±ááŸááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á passive monitoring ááœáẠááá·áºááá¯ááºááẠááá·áºáááºáá¬ážááẠááá¯á¡ááºáááºá ááá¯á·ááá¯áẠáááºááẠfirewall áá áºáᯠááá¯á¡ááºáá±á¬áºáááºáž ááá°áá®áá±á¬ áá±á¬ááºážáá»áá°áá¶á០ááŒá áºáááºá
áá»á¬ážáá±á¬á¡á¬ážááŒáá·áº áá®ááá±áá»á¬ááá±áá¬ááŸá¯ááœá± á¡ááŒá²ááŸááá±áááºááŒá®áž áááºáá¯á¶ážááŒááºáá»ááºá ááá·áºá¡ááœáẠá¡áá±á¬ááºážáá¯á¶ážáá²ááá¯áᬠááŸááºážááŸááºážáááºážáááºáž á¡ááŒá±áááŸááá«áá°ážá
á€áááºááŸá¬ á€á¡áá¯ááºá ááŸá¯ááºááœá±ážááŸá¯ááŸáá·áº ááŸáááŸá¯áááºááŒá
áºáááºá
source: www.habr.com