🥇 သင့်ကွန်ရက်အခြေခံအဆောက်အအုံကို ဘယ်လိုထိန်းချုပ်မလဲ။ အခန်းသုံး။ ကွန်ရက်လုံခြုံရေး။ အပိုင်းသုံး

ဤဆောင်းပါးသည် “သင်၏ကွန်ရက်အခြေခံအဆောက်အအုံကို မည်သို့ထိန်းချုပ်ရမည်နည်း” စီးရီး၏ ပဉ္စမမြောက်ဆောင်းပါးဖြစ်သည်။ စီးရီးနှင့် လင့်ခ်များရှိ ဆောင်းပါးအားလုံး၏ အကြောင်းအရာများကို တွေ့နိုင်သည်။ ဒီမှာ.

ဤအပိုင်းကို Campus (Office) နှင့် Remote Access VPN အပိုင်းများတွင် မြှုပ်နှံပါမည်။

ရုံးကွန်ရက်ဒီဇိုင်းသည် လွယ်ကူပုံရသည်။

အမှန်မှာ၊ ကျွန်ုပ်တို့သည် L2/L3 ခလုတ်များကိုယူပြီး ၎င်းတို့ကို တစ်ခုနှင့်တစ်ခု ချိတ်ဆက်ပါ။ ထို့နောက်၊ ကျွန်ုပ်တို့သည် vilans နှင့် default gateways များ၏ အခြေခံ setup ကို လုပ်ဆောင်ပြီး၊ ရိုးရှင်းသော လမ်းကြောင်းကို စနစ်ထည့်သွင်းရန်၊ WiFi controllers များကို ချိတ်ဆက်ရန်၊ access point များ၊ remote access အတွက် ASA ကို ထည့်သွင်းပြီး configure လုပ်သည်၊၊ အရာအားလုံး အဆင်ပြေသွားသည့်အတွက် ဝမ်းသာပါသည်။ အခြေခံအားဖြင့်တော့ ကျွန်တော် အရင်ထဲက တစ်ခုရေးထားပြီးသားပါ။ ဆောင်းပါးများ ဤစက်ဝန်းတွင်၊ တယ်လီကွန်းသင်တန်းနှစ် semester ကိုတက်ရောက် (သင်ယူပြီး) ကျောင်းသားတိုင်းနီးပါးသည် "တစ်နည်းနည်းနဲ့ အလုပ်လုပ်နိုင်စေရန်" ရုံးခန်းကွန်ရက်တစ်ခုကို ဒီဇိုင်းရေးဆွဲပြီး ပြင်ဆင်သတ်မှတ်နိုင်ပါသည်။

ဒါပေမယ့် သင် ပိုလေ့လာလေ၊ ဒီအလုပ်က ရိုးရှင်းမှု နည်းလေလေပါပဲ။ ကျွန်ုပ်အတွက်၊ ဤအကြောင်းအရာ၊ ရုံးကွန်ရက်ဒီဇိုင်းဆိုင်ရာ ခေါင်းစဉ်သည် လုံးဝရိုးရှင်းပုံမပေါ်ပါ၊ ဤဆောင်းပါးတွင် ကျွန်ုပ်ဘာကြောင့် ရှင်းပြရန်ကြိုးစားပါမည်။

အတိုချုပ်ပြောရလျှင် စဉ်းစားရမည့်အချက် အနည်းငယ်ရှိပါသည်။ မကြာခဏဆိုသလို ဤအချက်များသည် တစ်ခုနှင့်တစ်ခု ပဋိပက္ခဖြစ်နေပြီး ကျိုးကြောင်းဆီလျော်သော အပေးအယူလုပ်ရန် လိုအပ်သည်။
ဤမသေချာမှုသည် အဓိကအခက်အခဲဖြစ်သည်။ ထို့ကြောင့် လုံခြုံရေးအကြောင်းပြောရလျှင် ကျွန်ုပ်တို့တွင် လုံခြုံရေး၊ ဝန်ထမ်းများအတွက် အဆင်ပြေမှု၊ ဖြေရှင်းချက်၏စျေးနှုန်း၊
ပြီးတော့ ဒီသုံးမျိုးကြားက အပေးအယူလုပ်တဲ့အချိန်တိုင်း ရှာရမယ်။

ဗိသုကာအတတ်ပညာ

ယခင်ဆောင်းပါးများတွင်ကဲ့သို့ ဤအပိုင်းနှစ်ခုအတွက် ဗိသုကာတစ်ခု၏ ဥပမာတစ်ခုအနေဖြင့် ကျွန်ုပ်အကြံပြုလိုပါသည်။ Cisco သည် ဘေးကင်းသည်။ မော်ဒယ်: Enterprise Campus, လုပ်ငန်းအင်တာနက်အစွန်း.

ဤအရာများသည် ခေတ်မမီသော စာရွက်စာတမ်းများဖြစ်သည်။ အခြေခံအစီအစဥ်များနှင့် ချဉ်းကပ်ပုံများသည် မပြောင်းလဲသောကြောင့် ဤနေရာတွင် တင်ပြလိုက်ရပါသည်။ စာရွက်စာတမ်းအသစ်.

Cisco ဖြေရှင်းချက်များကို အသုံးပြုရန် သင့်အား မတိုက်တွန်းဘဲ၊ ဤဒီဇိုင်းကို ဂရုတစိုက်လေ့လာခြင်းသည် အသုံးဝင်သည်ဟု ကျွန်ုပ်ထင်မြင်မိသေးသည်။

ဤဆောင်းပါးသည် ခါတိုင်းကဲ့သို့ပင် ပြီးပြည့်စုံသည်ဟု ဟန်ဆောင်ခြင်းမရှိသော်လည်း၊ ဤအချက်အလက်အတွက် အပိုတစ်ခုဖြစ်သည်။

ဆောင်းပါး၏အဆုံးတွင်၊ Cisco SAFE ရုံးခန်းဒီဇိုင်းကို ဤနေရာတွင်ဖော်ပြထားသော သဘောတရားများနှင့်ပတ်သက်၍ ပိုင်းခြားစိတ်ဖြာပါမည်။

အထွေထွေအခြေခံမူ

ရုံးကွန်ရက်၏ ဒီဇိုင်းသည် ဆွေးနွေးထားသော ယေဘူယျလိုအပ်ချက်များကို ဖြည့်ဆည်းပေးရမည်ဖြစ်သည်။ ဒီမှာ အခန်းတွင် “ဒီဇိုင်းအရည်အသွေးကို အကဲဖြတ်ရန် သတ်မှတ်ချက်”။ ဤဆောင်းပါးတွင် ဆွေးနွေးရန် ရည်ရွယ်ထားသည့် စျေးနှုန်းနှင့် ဘေးကင်းရေးအပြင်၊ ဒီဇိုင်းရေးဆွဲခြင်း (သို့မဟုတ် အပြောင်းအလဲများ ပြုလုပ်သည့်အခါတွင် ထည့်သွင်းစဉ်းစားရမည့် အချက်သုံးချက်ပါရှိသည်)။

ကျွမ်းကျင်မှု
အသုံးပြုရလွယ်ကူမှု (စီမံခန့်ခွဲနိုင်မှု)
ရရှိနိုင်မှု

ဆွေးနွေးခဲ့တာတွေ အများကြီးပဲ။ ဒေတာစင်တာများ ဒါက ရုံးအတွက်လည်း မှန်ပါတယ်။

သို့သော်လည်း ရုံးခန်းအပိုင်းတွင် လုံခြုံရေးအမြင်အရ အရေးပါသည့် သီးခြားအချက်များ ရှိသေးသည်။ ဤထူးခြားမှု၏ အနှစ်သာရမှာ ကုမ္ပဏီ၏ ၀န်ထမ်းများ (အပြင် လုပ်ဖော်ကိုင်ဖက်များနှင့် ဧည့်သည်များ) အတွက် ကွန်ရက်ဝန်ဆောင်မှုများကို ပေးဆောင်ရန် ဤအပိုင်းကို ဖန်တီးထားခြင်းဖြစ်ပြီး ရလဒ်အနေဖြင့် ပြဿနာ၏ အမြင့်ဆုံးအဆင့်တွင် ကျွန်ုပ်တို့တွင် အလုပ်နှစ်ခုရှိသည်-

ဝန်ထမ်းများ (ဧည့်သည်များ၊ လုပ်ဖော်ကိုင်ဖက်များ) နှင့် ၎င်းတို့အသုံးပြုသည့် ဆော့ဖ်ဝဲလ်မှလာသော အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များမှ ကုမ္ပဏီအရင်းအမြစ်များကို ကာကွယ်ပါ။ ၎င်းတွင် ကွန်ရက်သို့ ခွင့်ပြုချက်မရှိဘဲ ချိတ်ဆက်မှုမှ အကာအကွယ်များလည်း ပါဝင်သည်။
စနစ်များနှင့် အသုံးပြုသူဒေတာကို ကာကွယ်ပါ။

ဤသည်မှာ ပြဿနာ၏ တစ်ဖက်တည်း (သို့မဟုတ်၊ တြိဂံ၏ အထွတ်တစ်ခု) ဖြစ်သည်။ အခြားတစ်ဖက်တွင် အသုံးပြုသူ အဆင်ပြေမှုနှင့် အသုံးပြုသည့် ဖြေရှင်းနည်းများ၏ ဈေးနှုန်းများဖြစ်သည်။

ခေတ်မီရုံးကွန်ရက်တစ်ခုမှ သုံးစွဲသူတစ်ဦး မျှော်လင့်ထားသည်ကို ကြည့်ခြင်းဖြင့် စတင်ကြပါစို့။

အဆင်သင့်ခြင်း

ဤသည်မှာ ကျွန်ုပ်၏အမြင်အရ ရုံးခန်းအသုံးပြုသူတစ်ဦးအတွက် "ကွန်ရက်သာယာအဆင်ပြေမှုများ" သည် မည်သို့သောပုံစံဖြစ်သည်-

ပွောငျးရှေ့လှယျခွငျး
ရင်းနှီးပြီးသား စက်ကိရိယာများနှင့် လည်ပတ်မှုစနစ်များ အပြည့်အစုံကို အသုံးပြုနိုင်ခြင်း။
လိုအပ်သော ကုမ္ပဏီအရင်းအမြစ်များအားလုံးကို လွယ်ကူစွာ အသုံးပြုနိုင်ခြင်း။
အမျိုးမျိုးသော cloud ဝန်ဆောင်မှုများအပါအဝင် အင်တာနက်အရင်းအမြစ်များ ရရှိနိုင်ခြင်း။
ကွန်ရက်၏ "မြန်ဆန်သောလည်ပတ်မှု"

ဤအရာအားလုံးသည် ဝန်ထမ်းများနှင့် ဧည့်သည်များ (သို့မဟုတ် မိတ်ဖက်များ) နှင့် သက်ဆိုင်ပြီး ခွင့်ပြုချက်အပေါ်အခြေခံ၍ မတူညီသောအသုံးပြုသူအုပ်စုများအတွက် အသုံးပြုခွင့်ကို ခွဲခြားသတ်မှတ်ရန်မှာ ကုမ္ပဏီ၏ အင်ဂျင်နီယာများ၏ တာဝန်ဖြစ်သည်။

ဒီအချက်တွေထဲက တစ်ခုချင်းစီကို အသေးစိတ်အသေးစိတ် လေ့လာကြည့်ရအောင်။

ပွောငျးရှေ့လှယျခွငျး

ကျွန်ုပ်တို့သည် ကမ္ဘာပေါ်ရှိ မည်သည့်နေရာမှမဆို လိုအပ်သော ကုမ္ပဏီအရင်းအမြစ်များအားလုံးကို အလုပ်လုပ်ရန်နှင့် အသုံးပြုရန် အခွင့်အရေးအကြောင်း ပြောနေခြင်းဖြစ်သည် (ဟုတ်ပါတယ်၊ အင်တာနက်ရနိုင်သည့်နေရာ)။

၎င်းသည် ရုံးနှင့် အပြည့်အဝသက်ဆိုင်ပါသည်။ ရုံးတွင် မည်သည့်နေရာမှ ဆက်လက်လုပ်ကိုင်ခွင့် ရသောအခါတွင် အဆင်ပြေသည်၊ ဥပမာ- မေးလ်လက်ခံခြင်း၊ ကော်ပိုရိတ် messenger တွင် ဆက်သွယ်ခြင်း၊ ဗီဒီယိုခေါ်ဆိုမှု ပြုလုပ်နိုင်ခြင်း၊ ... ထို့ကြောင့် ဤအရာက သင့်ကို တဖက်တွင်၊ အချို့သောပြဿနာများကိုဖြေရှင်းရန် "တိုက်ရိုက်" ဆက်သွယ်ရေး (ဥပမာ၊ စုဝေးမှုများတွင်ပါဝင်ပါ)၊ အခြားတစ်ဖက်တွင်၊ အမြဲအွန်လိုင်းနေပါ၊ သင့်လက်ချောင်းကို သွေးခုန်နှုန်းပေါ်စေပြီး အရေးတကြီးဦးစားပေးလုပ်ဆောင်စရာအချို့ကို အမြန်ဖြေရှင်းပါ။ ၎င်းသည် အလွန်အဆင်ပြေပြီး ဆက်သွယ်ရေးအရည်အသွေးကို အမှန်တကယ်တိုးတက်စေသည်။

၎င်းကို သင့်လျော်သော WiFi ကွန်ရက်ဒီဇိုင်းဖြင့် ရရှိသည်။

ပွောဆို

ဤနေရာတွင် မေးစရာရှိလာသည်- WiFi တစ်ခုတည်းသုံးရန် လုံလောက်ပါသလား။ ၎င်းသည် ရုံးတွင် Ethernet ပေါက်များကို အသုံးပြုခြင်းကို ရပ်တန့်နိုင်သည်ဟု ဆိုလိုပါသလား။ အကယ်၍ ကျွန်ုပ်တို့သည် ပုံမှန် Ethernet ပေါက်နှင့် ချိတ်ဆက်ရန် ကျိုးကြောင်းဆီလျော်စွာ ချိတ်ဆက်နိုင်သည့် ဆာဗာများအကြောင်းမဟုတ်ဘဲ သုံးစွဲသူများအကြောင်းသာ ပြောနေပါက၊ ယေဘူယျအားဖြင့် အဖြေမှာ- ဟုတ်သည်၊ သင်သည် သင့်ကိုယ်သင် WiFi ကိုသာ ကန့်သတ်နိုင်သည်။ ဒါပေမယ့် nuances တွေရှိတယ်။

သီးခြားချဉ်းကပ်မှုလိုအပ်သော အရေးကြီးသော အသုံးပြုသူအုပ်စုများ ရှိပါသည်။ ဒါတွေက စီမံခန့်ခွဲသူတွေပါ။ မူအရ၊ WiFi ချိတ်ဆက်မှုသည် ယုံကြည်စိတ်ချရမှုနည်းသည် (အသွားအလာ ဆုံးရှုံးခြင်းအတွက်) နှင့် ပုံမှန် Ethernet အပေါက်ထက် နှေးကွေးသည်။ ၎င်းသည် စီမံခန့်ခွဲသူများအတွက် အရေးပါနိုင်သည်။ ထို့အပြင်၊ ဥပမာအားဖြင့်၊ ကွန်ရက်စီမံခန့်ခွဲသူများသည် မူအရ၊ လှိုင်းပြင်ပချိတ်ဆက်မှုများအတွက် ၎င်းတို့၏ကိုယ်ပိုင်သီးသန့် Ethernet ကွန်ရက်ကို ရှိနိုင်သည်။

ဤအချက်များသည်လည်း အရေးကြီးသည့်အတွက် သင့်ကုမ္ပဏီတွင် အခြားအုပ်စုများ/ဌာနများ ရှိနိုင်ပါသည်။

နောက်အရေးကြီးတဲ့အချက်တစ်ခုက တယ်လီဖုန်း။ အကြောင်းတစ်ခုခုကြောင့် သင်သည် Wireless VoIP မသုံးချင်ဘဲ ပုံမှန် Ethernet ချိတ်ဆက်မှုဖြင့် IP ဖုန်းများကို အသုံးပြုလိုခြင်းဖြစ်နိုင်သည်။

ယေဘူယျအားဖြင့်၊ ကျွန်တော်အလုပ်လုပ်တဲ့ ကုမ္ပဏီတွေမှာ အများအားဖြင့် WiFi ချိတ်ဆက်မှုနဲ့ Ethernet port နှစ်ခုလုံးရှိကြပါတယ်။

ရုံးမှာသာ သွားလာလှုပ်ရှားနေဖို့ လိုပါတယ်။

အိမ်မှအလုပ်လုပ်နိုင်မှုသေချာစေရန် (သို့မဟုတ် အသုံးပြုနိုင်သောအင်တာနက်ရှိသောအခြားနေရာ) VPN ချိတ်ဆက်မှုကိုအသုံးပြုပါသည်။ တစ်ချိန်တည်းမှာပင်၊ တူညီသောဝင်ရောက်ခွင့်ဟုယူဆသည့်အိမ်မှအလုပ်လုပ်ခြင်းနှင့်အဝေးအလုပ်အကြားခြားနားချက်ကို ၀ န်ထမ်းများကမခံစားရစေရန်နှစ်လိုဖွယ်ရှိသည်။ “စုစည်းထားသော ဗဟိုစစ်မှန်ကြောင်းနှင့် ခွင့်ပြုချက်စနစ်” အခန်းတွင် ၎င်းကို မည်ကဲ့သို့ စုစည်းရမည်နည်း။

ပွောဆို

ဖြစ်နိုင်သည်မှာ၊ သင်သည် ရုံးတွင်ရှိသော အဝေးထိန်းအလုပ်အတွက် တူညီသော ဝန်ဆောင်မှုများကို အပြည့်အဝ ပေးဆောင်နိုင်မည်မဟုတ်ပေ။ သင်သည် Cisco ASA 5520 ကို သင်၏ VPN တံခါးပေါက်အဖြစ် အသုံးပြုနေသည်ဟု ယူဆကြပါစို့။ အချက်အလက်စာရွက် ဤစက်ပစ္စည်းသည် VPN အသွားအလာ 225 Mbit ကိုသာ “ချေဖျက်” နိုင်သည်။ ဆိုလိုသည်မှာ၊ bandwidth အရ VPN မှတဆင့်ချိတ်ဆက်ခြင်းသည်ရုံးမှအလုပ်လုပ်ခြင်းနှင့်အလွန်ကွာခြားသည်။ ထို့အပြင်၊ အကြောင်းတစ်ခုခုကြောင့်၊ ကြာမြင့်ချိန်၊ ဆုံးရှုံးမှု၊ တုန်လှုပ်ခြင်း (ဥပမာ၊ သင်၏ကွန်ရက်ဝန်ဆောင်မှုများအတွက် Office IP တယ်လီဖုန်းအသုံးပြုလိုသော) သည် အရေးပါပါက၊ သင်သည် ရုံးတွင်ရှိသကဲ့သို့ အလားတူအရည်အသွေးကိုလည်း ရရှိမည်မဟုတ်ပါ။ ထို့ကြောင့် ရွေ့လျားနိုင်မှုအကြောင်း ပြောသောအခါတွင် ဖြစ်နိုင်ချေရှိသော ကန့်သတ်ချက်များကို သတိပြုရပါမည်။

ကုမ္ပဏီ အရင်းအမြစ်အားလုံးကို အလွယ်တကူ ရယူနိုင်သည်။

ဤတာဝန်ကို အခြားနည်းပညာဌာနများနှင့် ပူးပေါင်းဖြေရှင်းသင့်သည်။
စံပြအခြေအနေမှာ အသုံးပြုသူသည် တစ်ကြိမ်သာ စစ်မှန်ကြောင်းအထောက်အထားပြရန် လိုအပ်ပြီး ၎င်းနောက်တွင် လိုအပ်သော အရင်းအမြစ်များအားလုံးကို အသုံးပြုခွင့်ရရှိသည့်အခါဖြစ်သည်။
လုံခြုံရေးကို မစွန့်လွတ်ဘဲ လွယ်ကူစွာဝင်ရောက်ခွင့်ပေးခြင်းသည် ကုန်ထုတ်စွမ်းအားကို သိသိသာသာတိုးတက်စေပြီး သင့်လုပ်ဖော်ကိုင်ဖက်များကြားတွင် စိတ်ဖိစီးမှုကို လျှော့ချနိုင်သည်။

မှတ်ချက် ၁

ဝင်ရောက်ရလွယ်ကူခြင်းမှာ စကားဝှက်ကို အကြိမ်မည်မျှထည့်ရမည်ဟု မဆိုသာပါ။ ဥပမာအားဖြင့်၊ သင်၏လုံခြုံရေးမူဝါဒနှင့်အညီ၊ ရုံးမှဒေတာစင်တာသို့ချိတ်ဆက်ရန်အတွက်၊ သင်သည် VPN ဂိတ်ဝေးသို့ ဦးစွာချိတ်ဆက်ရမည်ဖြစ်ပြီး၊ တစ်ချိန်တည်းတွင် သင်သည် ရုံးရင်းမြစ်များကို အသုံးပြုခွင့်ဆုံးရှုံးသွားပါက၊ ၎င်းသည်လည်း အလွန်အရေးကြီးပါသည်။ သိပ်အဆင်မပြေဘူး။

မှတ်ချက် ၁

ကျွန်ုပ်တို့တွင် ပုံမှန်အားဖြင့် ကျွန်ုပ်တို့၏ကိုယ်ပိုင်သီးသန့် AAA ဆာဗာများရှိသည့် ဝန်ဆောင်မှုများ (ဥပမာ၊ ကွန်ရက်စက်ပစ္စည်းများသို့ ဝင်ရောက်ခြင်း) ရှိပြီး ဤကိစ္စတွင် ကျွန်ုပ်တို့အကြိမ်ပေါင်းများစွာ စစ်မှန်ကြောင်းအထောက်အထားပြရသည့်အခါ ဤစံနှုန်းဖြစ်သည်။

အင်တာနက် အရင်းအမြစ်များ ရရှိနိုင်မှု

အင်တာနက်သည် ဖျော်ဖြေရေးသာမက အလုပ်အတွက်ပါ အလွန်အသုံးဝင်သော ဝန်ဆောင်မှုတစ်ခုလည်းဖြစ်သည်။ စိတ်ပိုင်းဆိုင်ရာ သက်သက် အချက်တွေလည်း ရှိပါတယ်။ ခေတ်သစ်လူတစ်ဦးသည် အင်တာနက်မှတစ်ဆင့် အခြားလူများနှင့် ချိတ်ဆက်မှုများစွာကို virtual thread များဖြင့် ချိတ်ဆက်ထားပြီး၊ ကျွန်ုပ်၏အမြင်အရ၊ သူသည် အလုပ်လုပ်နေစဉ်တွင်ပင် ဤချိတ်ဆက်မှုကို ဆက်လက်ခံစားရပါက အမှားအယွင်းမရှိပေ။

အချိန်ဖြုန်းခြင်း၏အမြင်အရ၊ ဥပမာအားဖြင့် ဝန်ထမ်းတစ်ဦးသည် Skype လည်ပတ်နေပြီး လိုအပ်ပါက ချစ်ရသူနှင့် ဆက်သွယ်ပြောဆိုရာတွင် ၅ မိနစ်ကြာပါက အမှားအယွင်းမရှိပေ။

အင်တာနက်အမြဲရှိသင့်သည်ဟု ဆိုလိုသလော၊ ဝန်ထမ်းများသည် အရင်းအမြစ်အားလုံးကို ဝင်ရောက်ကြည့်ရှုနိုင်ပြီး ၎င်းတို့ကို မည်သည့်နည်းဖြင့်မျှ ထိန်းချုပ်ခြင်းမပြုနိုင်ဟု ဆိုလိုပါသလား။

မဟုတ်ဘူးလို့ မဆိုလိုပါဘူး။ ပြီးပြည့်စုံသော ပိတ်ခြင်းမှ ပြီးပြည့်စုံသော ပွင့်လင်းမှုအထိ ကုမ္ပဏီအမျိုးမျိုးအတွက် အင်တာနက်၏ ပွင့်လင်းမှုအဆင့်သည် ကွဲပြားနိုင်သည်။ လုံခြုံရေးအစီအမံများဆိုင်ရာ ကဏ္ဍများတွင် နောက်ပိုင်းတွင် ယာဉ်ကြောပိတ်ဆို့မှုကို ထိန်းချုပ်ရန် နည်းလမ်းများကို ဆွေးနွေးပါမည်။

အကျွမ်းတဝင်ရှိသော စက်ကိရိယာများ အပြည့်အစုံကို အသုံးပြုနိုင်သည်။

ဥပမာအားဖြင့်၊ သင်သည် လုပ်ငန်းခွင်တွင် သင်အသုံးပြုလေ့ရှိသော ဆက်သွယ်မှုအားလုံးကို ဆက်လက်အသုံးပြုရန် အခွင့်အရေးရသောအခါတွင် အဆင်ပြေပါသည်။ ဒါကို နည်းပညာပိုင်းအရ အကောင်အထည်ဖော်ရာမှာ အခက်အခဲမရှိပါဘူး။ ၎င်းအတွက် သင်သည် WiFi နှင့် ဧည့်သည် wilan လိုအပ်သည်။

သင်အသုံးပြုနေကျ operating system ကိုအသုံးပြုရန်အခွင့်အရေးရလျှင်လည်းကောင်းပါတယ်။ သို့သော် ကျွန်ုပ်၏ လေ့လာတွေ့ရှိချက်အရ ၎င်းကို မန်နေဂျာများ၊ စီမံခန့်ခွဲသူများနှင့် ဆော့ဖ်ဝဲရေးသားသူများကိုသာ ခွင့်ပြုလေ့ရှိသည်။

နမူနာ

တားမြစ်ချက်များ လမ်းကြောင်းအတိုင်း လိုက်နာနိုင်သည်၊ အဝေးမှ ဝင်ရောက်ခွင့်ကို တားမြစ်နိုင်သည်၊ မိုဘိုင်းပစ္စည်းများမှ ချိတ်ဆက်ခြင်းကို တားမြစ်နိုင်သည်၊ တည်ငြိမ်သော Ethernet ချိတ်ဆက်မှုများကို ကန့်သတ်ရန်၊ အင်တာနက် အသုံးပြုခွင့်ကို ကန့်သတ်ရန်၊ စစ်ဆေးရေးဂိတ်တွင် ဆဲလ်ဖုန်းများနှင့် gadget များကို အတင်းအကြပ် သိမ်းယူနိုင်သည်... နှင့် ဤလမ်းကြောင်း အချို့သောအဖွဲ့အစည်းများသည် အမှန်တကယ်တွင် လုံခြုံရေးလိုအပ်ချက်များ တိုးမြင့်လာသဖြင့် အချို့သောကိစ္စများတွင် ၎င်းသည် တရားမျှတမှုရှိနိုင်သည်၊ သို့သော်... ဤအရာသည် အဖွဲ့အစည်းတစ်ခုတည်းတွင် တိုးတက်မှုကိုရပ်တန့်ရန် ကြိုးပမ်းမှုတစ်ခုဖြစ်ကြောင်း သင်သဘောတူရပါမည်။ ဟုတ်ပါတယ်၊ ခေတ်မီနည်းပညာတွေက လုံလောက်တဲ့ လုံခြုံရေးအဆင့်နဲ့ ပေးစွမ်းနိုင်တဲ့ အခွင့်အရေးတွေကို ပေါင်းစပ်ချင်ပါတယ်။

ကွန်ရက်၏ "မြန်ဆန်သောလည်ပတ်မှု"

နည်းပညာအရ ဒေတာလွှဲပြောင်းမှု မြန်ဆန်မှုတွင် အချက်များစွာ ပါဝင်ပါသည်။ သင်၏ချိတ်ဆက်မှုအမြန်နှုန်းသည် များသောအားဖြင့် အရေးအကြီးဆုံးမဟုတ်ပေ။ အက်ပလီကေးရှင်းတစ်ခု၏လည်ပတ်မှုနှေးကွေးခြင်းသည် ကွန်ရက်ပြဿနာများနှင့် အမြဲဆက်စပ်မှုမရှိသော်လည်း ယခုအချိန်တွင် ကျွန်ုပ်တို့သည် ကွန်ရက်အပိုင်းကိုသာ စိတ်ဝင်စားပါသည်။ ဒေသတွင်း ကွန်ရက် "နှေးကွေးခြင်း" တွင် အဖြစ်အများဆုံး ပြဿနာမှာ ပက်ကတ်ဆုံးရှုံးမှုနှင့် သက်ဆိုင်ပါသည်။ ပိတ်ဆို့မှုများ သို့မဟုတ် L1 (OSI) ပြဿနာများရှိသည့်အခါ ၎င်းသည် များသောအားဖြင့် ဖြစ်ပေါ်တတ်သည်။ ရှားရှားပါးပါး၊ အချို့သော ဒီဇိုင်းများဖြင့် (ဥပမာ၊ သင့် subnet များတွင် ပုံသေတံခါးပေါက်အဖြစ် firewall တစ်ခုရှိ၍ အသွားအလာအားလုံးသည် ၎င်းကိုဖြတ်သန်းသွားသည့်အခါ) ဟာ့ဒ်ဝဲစွမ်းဆောင်ရည် အားနည်းသွားနိုင်သည်။

ထို့ကြောင့်၊ စက်ပစ္စည်းနှင့် ဗိသုကာပညာကို ရွေးချယ်သည့်အခါ၊ သင်သည် အဆုံးပေါက်ပေါက်များ၊ စည်များနှင့် စက်ပစ္စည်းစွမ်းဆောင်ရည်များ၏ အမြန်နှုန်းများကို ဆက်စပ်ရန် လိုအပ်သည်။

နမူနာ

access layer ခလုတ်များအဖြစ် သင်သည် 1 gigabit ports များပါရှိသော switches ကို အသုံးပြုနေသည်ဟု ယူဆကြပါစို့။ ၎င်းတို့ကို Etherchannel 2 x 10 gigabits မှတစ်ဆင့် အချင်းချင်း ချိတ်ဆက်ထားသည်။ ပုံသေဝင်ပေါက်တစ်ခုအနေဖြင့် သင်သည် Etherchannel တစ်ခုသို့ ပေါင်းစပ်ထားသော gigabit ports 2 ခုကိုအသုံးပြုသည့် L2 office network သို့ချိတ်ဆက်ရန်အတွက် gigabit ports များပါရှိသော firewall ကိုအသုံးပြုပါသည်။

ဒီဗိသုကာလက်ရာဟာ လုပ်ဆောင်ချက် ရှုထောင့်အရ အတော်လေး အဆင်ပြေတာကြောင့်... အသွားအလာအားလုံးကို Firewall မှတဆင့်ဖြတ်သန်းနိုင်ပြီး ဝင်ရောက်ခွင့်မူဝါဒများကို အဆင်ပြေပြေစီမံခန့်ခွဲနိုင်ပြီး ယာဉ်အသွားအလာကို ထိန်းချုပ်ရန်နှင့် ဖြစ်နိုင်သောတိုက်ခိုက်မှုများကို ကာကွယ်ရန် ရှုပ်ထွေးသော အယ်လဂိုရီသမ်များကို အသုံးချနိုင်သည် (အောက်တွင်ကြည့်ပါ)၊ သို့သော် ဖြတ်သန်းမှုနှင့် စွမ်းဆောင်ရည်ရှုထောင့်မှကြည့်လျှင် ဤဒီဇိုင်းတွင် ပြဿနာများရှိလာနိုင်သည်။ ထို့ကြောင့် ဥပမာအားဖြင့်၊ ဒေတာဒေါင်းလုဒ်လုပ်သည့် host 2 ခု (1 gigabit ရှိသော port speed ဖြင့်) သည် firewall သို့ 2 gigabit connection ကို အပြည့်အ၀တင်နိုင်ပြီး၊ ထို့ကြောင့် office အပိုင်းတစ်ခုလုံးအတွက် service degradation ဖြစ်ပေါ်စေပါသည်။

ကျွန်ုပ်တို့သည် တြိဂံ၏ အထွတ်အထိပ်တစ်ခုကို ကြည့်ပြီးပြီ၊ ယခု ကျွန်ုပ်တို့သည် လုံခြုံရေးကို မည်သို့အာမခံနိုင်သည်ကို ကြည့်ကြပါစို့။

ကုစား

ထို့ကြောင့်၊ ပုံမှန်အားဖြင့် ကျွန်ုပ်တို့၏ဆန္ဒ (သို့မဟုတ် ကျွန်ုပ်တို့၏စီမံခန့်ခွဲမှု၏ဆန္ဒ) သည် မဖြစ်နိုင်သောအရာကို အောင်မြင်ရန်ဖြစ်သည်၊ ဆိုလိုသည်မှာ၊ အမြင့်ဆုံးလုံခြုံရေးနှင့် အနည်းဆုံးကုန်ကျစရိတ်ဖြင့် အမြင့်ဆုံးအဆင်ပြေမှုပေးရန်ဖြစ်သည်။

ဘယ်လိုနည်းတွေနဲ့ ကာကွယ်ရမလဲဆိုတာ ကြည့်ရအောင်။

ရုံးခန်းအတွက်၊ အောက်ပါတို့ကို မီးမောင်းထိုးပြပါမည်။

zero trust approach ကို ဒီဇိုင်းထုတ်သည်။
မြင့်မားသောကာကွယ်မှုအဆင့်
ကွန်ရက် မြင်နိုင်စွမ်း
စုစည်းထားသော ဗဟိုစစ်မှန်ကြောင်းနှင့် ခွင့်ပြုချက်စနစ်
အိမ်ရှင်စစ်ဆေးခြင်း။

ဆက်လက်၍ ဤရှုထောင့်တစ်ခုစီအတွက် အနည်းငယ်အသေးစိတ်ဖော်ပြပါမည်။

သုညယုံကြည်မှု

အိုင်တီလောကသည် အလွန်လျင်မြန်စွာ ပြောင်းလဲနေသည်။ လွန်ခဲ့သည့် 10 နှစ်အတွင်းတွင် နည်းပညာနှင့် ထုတ်ကုန်အသစ်များ ပေါ်ပေါက်လာခြင်းကြောင့် လုံခြုံရေးဆိုင်ရာ အယူအဆများကို ကြီးကြီးမားမား ပြန်လည်ပြင်ဆင်လာခဲ့သည်။ လွန်ခဲ့သည့် ဆယ်နှစ်က၊ လုံခြုံရေးရှုထောင့်မှ ကျွန်ုပ်တို့သည် ကွန်ရက်အား ယုံကြည်မှု၊ dmz နှင့် မယုံကြည်သောဇုန်များအဖြစ် ပိုင်းဖြတ်ပြီး ကာကွယ်ရေးလိုင်း 2 လိုင်းပါရှိသည့် "ပတ်၀န်းကျင်ကာကွယ်ရေး" ဟုခေါ်သော ကာကွယ်ရေးလိုင်း 3 ခုဖြစ်သော untrust -> dmz နှင့် dmz -> ယုံကြည်မှု ထို့အပြင်၊ အကာအကွယ်သည် L4/L7 (OSI) ခေါင်းစီးများ (IP၊ TCP/UDP ပေါက်များ၊ TCP အလံများ) အပေါ်အခြေခံသည့် စာရင်းများကို ဝင်ရောက်ကြည့်ရှုရန် ကန့်သတ်ထားသည်။ LXNUMX အပါအဝင် အဆင့်မြင့်အဆင့်များနှင့် သက်ဆိုင်သည့်အရာအားလုံးကို OS နှင့် end host များတွင် ထည့်သွင်းထားသည့် လုံခြုံရေးထုတ်ကုန်များတွင် ထားခဲ့သည်။

အခုအခြေအနေက သိသိသာသာ ပြောင်းလဲသွားပြီ။ ခေတ်မီအယူအဆ လုံးဝယုံကြည်မှု ယုံကြည်ရသည့်အတိုင်း အတွင်းပိုင်းစနစ်များကို ထည့်သွင်းစဉ်းစားရန် မဖြစ်နိုင်တော့သည့်အချက်မှ ထွက်ပေါ်လာခြင်းဖြစ်ပြီး၊ ဆိုလိုသည်မှာ ပတ်၀န်းကျင်အတွင်း၌ရှိသော အရာများကို ယုံကြည်ရပြီး ပတ်၀န်းကျင်၏ သဘောတရားသည် မှုန်ဝါးလာသည်။
အင်တာနက်လိုင်းတွေအပြင် ကျွန်တော်တို့ဆီမှာလည်း ရှိပါတယ်။

အဝေးမှ VPN အသုံးပြုသူများ ဝင်ရောက်ကြည့်ရှုပါ။
အမျိုးမျိုးသော ကိုယ်ရေးကိုယ်တာပစ္စည်းများ၊ လက်ပ်တော့များ ယူဆောင်လာကာ ရုံးဝိုင်ဖိုင်ဖြင့် ချိတ်ဆက်ထားသည်။
အခြား (ရုံးခွဲ)
cloud အခြေခံအဆောက်အအုံနှင့် ပေါင်းစပ်ခြင်း။

Zero Trust ချဉ်းကပ်ပုံသည် လက်တွေ့တွင် မည်သို့ရှိသနည်း။

အကောင်းဆုံးကတော့၊ လိုအပ်သော traffic ကိုသာ ခွင့်ပြုသင့်ပြီး၊ ကျွန်ုပ်တို့သည် စံပြတစ်ခုအကြောင်းပြောနေလျှင် ထိန်းချုပ်မှုသည် L3/L4 အဆင့်တွင်သာမက လျှောက်လွှာအဆင့်တွင်သာ ဖြစ်သင့်သည်။

ဥပမာအားဖြင့်၊ သင့်တွင် firewall မှတဆင့် traffic အားလုံးကို ကျော်ဖြတ်နိုင်စွမ်းရှိပါက၊ ထို့နောက် စံနမူနာနှင့် ပိုမိုနီးစပ်ရန် ကြိုးစားနိုင်သည်။ သို့သော် ဤနည်းလမ်းသည် သင့်ကွန်ရက်၏ စုစုပေါင်း bandwidth ကို သိသိသာသာ လျှော့ချနိုင်ပြီး ထို့အပြင်၊ အပလီကေးရှင်းဖြင့် စစ်ထုတ်ခြင်းမှာ အမြဲတမ်း ကောင်းမွန်စွာ အလုပ်မလုပ်ပါ။

Router သို့မဟုတ် L3 ခလုတ် (Standard ACLs ကို အသုံးပြု၍) လမ်းကြောင်းကို ထိန်းချုပ်သောအခါတွင် သင်သည် အခြားပြဿနာများကို ကြုံတွေ့ရနိုင်သည်-

၎င်းသည် L3/L4 စစ်ထုတ်ခြင်းသာဖြစ်သည်။ တိုက်ခိုက်သူသည် ၎င်းတို့၏ အပလီကေးရှင်းအတွက် ခွင့်ပြုထားသော ဆိပ်ကမ်းများ (ဥပမာ TCP 80) ကို အသုံးပြုခြင်း (http မဟုတ်ပါ) ကို မည်သည့်အရာမှ တားဆီးထားခြင်းမရှိပါ။
ရှုပ်ထွေးသော ACL စီမံခန့်ခွဲမှု (ACL ခွဲခြမ်းစိတ်ဖြာရန် ခက်ခဲသည်)
၎င်းသည် stateful firewall မဟုတ်ပါ။ ဆိုလိုသည်မှာ သင်သည် ပြောင်းပြန်အသွားအလာကို ပြတ်သားစွာ ခွင့်ပြုရန် လိုအပ်ပါသည်။
ခလုတ်များနှင့်အတူ သင်သည် TCAM ၏ အရွယ်အစားအားဖြင့် အတော်လေး တင်းကျပ်စွာ ကန့်သတ်ထားလေ့ရှိသည်၊ ၎င်းသည် "သင်လိုအပ်သောအရာကိုသာ ခွင့်ပြုပါ" ချဉ်းကပ်မှုအား သင်အသုံးပြုပါက လျင်မြန်စွာ ပြဿနာဖြစ်လာနိုင်သည်။

ပွောဆို

လမ်းပြောင်းပြန်အသွားအလာအကြောင်းပြောလျှင် ကျွန်ုပ်တို့တွင် အောက်ပါအခွင့်အရေးများ (Cisco) ရှိကြောင်း မှတ်သားထားရပါမည်။

မည်သည့် tcp ကိုမဆို ခွင့်ပြုပါ။

သို့သော် ဤစာကြောင်းသည် မျဉ်းနှစ်ကြောင်းနှင့် ညီမျှကြောင်း နားလည်ရန် လိုအပ်သည်-
မည်သည့် ack ကိုမဆို tcp ကိုခွင့်ပြုပါ။
မည်သည့် tcp ကိုမဆို ခွင့်ပြုပါ။

ဆိုလိုသည်မှာ SYN အလံနှင့် ကနဦး TCP အပိုင်းမရှိခဲ့လျှင်ပင် (ဆိုလိုသည်မှာ TCP စက်ရှင်သည် စတင်တည်ထောင်ခြင်းပင်မဟုတ်ပါ)၊ ဤ ACL သည် တိုက်ခိုက်သူမှ ဒေတာလွှဲပြောင်းရန် အသုံးပြုနိုင်သည့် ACK အလံပါသည့် packet တစ်ခုကို ခွင့်ပြုမည်ဖြစ်သည်။

ဆိုလိုသည်မှာ၊ ဤလိုင်းသည် သင်၏ router သို့မဟုတ် L3 switch ကို stateful firewall အဖြစ်သို့ မည်သို့မျှ မဖြစ်စေပါ။

မြင့်မားသောကာကွယ်မှုအဆင့်

В ဆောင်းပါး ဒေတာစင်တာများဆိုင်ရာကဏ္ဍတွင်၊ ကျွန်ုပ်တို့သည် အောက်ပါကာကွယ်မှုနည်းလမ်းများကို ထည့်သွင်းစဉ်းစားခဲ့သည်။

stateful firewalling (မူလ)
ddos/dos ကာကွယ်မှု
လျှောက်လွှာ firewalling
ခြိမ်းခြောက်မှုကာကွယ်ခြင်း (အင်တီဗိုင်းရပ်စ်၊ Spyware နှင့် အားနည်းချက်)
URL စစ်ထုတ်ခြင်း။
ဒေတာစစ်ထုတ်ခြင်း (အကြောင်းအရာ စစ်ထုတ်ခြင်း)
ဖိုင်ပိတ်ဆို့ခြင်း (ဖိုင်အမျိုးအစားများကို ပိတ်ဆို့ခြင်း)

ရုံးခန်းတစ်ခုတွင် အခြေအနေတူသော်လည်း ဦးစားပေးမှု အနည်းငယ်ကွဲပြားသည်။ ရုံးရရှိနိုင်မှု (ရရှိနိုင်မှု) သည် အများအားဖြင့် ဒေတာစင်တာတစ်ခုတွင်ကဲ့သို့ အရေးကြီးသည်မဟုတ်သော်လည်း “အတွင်းပိုင်း” အန္တရာယ်ရှိသော ယာဉ်ကြောအသွားအလာဖြစ်နိုင်ခြေမှာ ပမာဏပိုမိုများပြားသည်။
ထို့ကြောင့်၊ ဤအပိုင်းအတွက် အောက်ပါကာကွယ်မှုနည်းလမ်းများသည် အရေးကြီးလာပါသည်။

လျှောက်လွှာ firewalling
ခြိမ်းခြောက်မှု ကာကွယ်ရေး (ဗိုင်းရပ်စ် တိုက်ဖျက်ရေး၊ ထောက်လှမ်းရေး ဆော့ဖ်ဝဲနှင့် အားနည်းချက်)
URL စစ်ထုတ်ခြင်း။
ဒေတာစစ်ထုတ်ခြင်း (အကြောင်းအရာ စစ်ထုတ်ခြင်း)
ဖိုင်ပိတ်ဆို့ခြင်း (ဖိုင်အမျိုးအစားများကို ပိတ်ဆို့ခြင်း)

အပလီကေးရှင်း firewalling မှလွဲ၍ ဤကာကွယ်မှုနည်းလမ်းအားလုံးသည် အစဉ်အလာအတိုင်းဖြစ်ပြီး end hosts (ဥပမာ၊ ဗိုင်းရပ်စ်နှိမ်နင်းရေးပရိုဂရမ်များကိုထည့်သွင်းခြင်းဖြင့်) နှင့် proxies များကိုအသုံးပြုသော်လည်း၊ ခေတ်မီ NGFW များသည်လည်း အဆိုပါဝန်ဆောင်မှုများကို ပေးဆောင်ပါသည်။

လုံခြုံရေးပစ္စည်းရောင်းချသူများသည် ပြီးပြည့်စုံသောအကာအကွယ်ကိုဖန်တီးရန် ကြိုးပမ်းကြသည်၊ ထို့ကြောင့် ဒေသတွင်းကာကွယ်မှုနှင့်အတူ၊ ၎င်းတို့သည် hosts အတွက် cloud နည်းပညာများနှင့် client software အမျိုးမျိုး (end point protection/EPP) ကို ပေးပါသည်။ ဒီတော့ ဥပမာကနေ 2018 Gartner Magic Quadrant Palo Alto နှင့် Cisco တို့တွင် ၎င်းတို့၏ကိုယ်ပိုင် EPPs (PA: Traps၊ Cisco: AMP) ရှိသည်ကို ကျွန်ုပ်တို့တွေ့မြင်ရသော်လည်း ခေါင်းဆောင်များနှင့် ဝေးကွာသည်။

သင့် firewall တွင် ဤအကာအကွယ်များ (များသောအားဖြင့် လိုင်စင်များဝယ်ယူခြင်းဖြင့်) ကိုဖွင့်ခြင်းသည် မဖြစ်မနေမဖြစ်မနေ (သင်ရိုးရိုးလမ်းကြောင်းအတိုင်းသွားနိုင်သည်)၊ သို့သော် ၎င်းသည် အကျိုးကျေးဇူးအချို့ကို ပေးဆောင်သည်-

ဤကိစ္စတွင်၊ မြင်နိုင်စွမ်းကို တိုးတက်စေသည့် အကာအကွယ်နည်းလမ်းများကို အသုံးချခြင်း၏ တစ်ခုတည်းသောအချက် ရှိပါသည်။ (နောက်အကြောင်းအရာကို ကြည့်ပါ)။
သင့်ကွန်ရက်ပေါ်တွင် အကာအကွယ်မဲ့စက်ပစ္စည်းတစ်ခုရှိနေပါက၊ ၎င်းသည် firewall ကာကွယ်မှု၏ "ထီး" အောက်တွင်ရှိနေပါသေးသည်။
end-host ကာကွယ်မှုနှင့်အတူ firewall ကာကွယ်ရေးကို အသုံးပြုခြင်းဖြင့်၊ ကျွန်ုပ်တို့သည် အန္တရာယ်ရှိသော အသွားအလာများကို ရှာဖွေတွေ့ရှိနိုင်ခြေကို တိုးမြင့်စေသည်။ ဥပမာအားဖြင့်၊ ဒေသတွင်း hosts များနှင့် firewall တွင် ခြိမ်းခြောက်မှုကြိုတင်ကာကွယ်ရေးကိုအသုံးပြုခြင်းသည် ထောက်လှမ်းနိုင်ခြေကို တိုးစေသည် (အမှန်ပင်၊ ဤဖြေရှင်းချက်များသည် မတူညီသောဆော့ဖ်ဝဲလ်ထုတ်ကုန်များအပေါ်အခြေခံသည်ဟု ဖော်ပြထားသည်)

ပွောဆို

ဥပမာအားဖြင့်၊ သင်သည် Kaspersky ကို firewall နှင့် end hosts များတွင် antivirus တစ်ခုအဖြစ်အသုံးပြုပါက၊ ၎င်းသည်သင်၏ network တွင်ဗိုင်းရပ်စ်တိုက်ခိုက်မှုကိုကာကွယ်ရန်သင့်အားအခွင့်အလမ်းများစွာတိုးစေမည်မဟုတ်ပါ။

ကွန်ရက် မြင်နိုင်စွမ်း

အဓိကရည်ရွယ်ချက် ရိုးရှင်းသည် - သင့်ကွန်ရက်ပေါ်တွင်ဖြစ်ပျက်နေသည့်အရာများကို အချိန်နှင့်တစ်ပြေးညီ သမိုင်းအချက်အလက် နှစ်ခုလုံးတွင် “ကြည့်ရှု” ပါ။

ဤ "ရူပါရုံ" ကို အုပ်စုနှစ်စုခွဲ၍

အဖွဲ့တစ်ဖွဲ့- သင့်စောင့်ကြည့်ရေးစနစ်က သင့်အား ပေးဆောင်လေ့ရှိသော အရာများ။

စက်ပစ္စည်းများကို တင်ခြင်း။
ချန်နယ်များကိုဖွင့်ခြင်း။
မှတ်ဉာဏ်အသုံးပြုမှု
disk အသုံးပြုမှု
လမ်းကြောင်းဇယားကိုပြောင်းလဲခြင်း။
လင့်ခ်အခြေအနေ
စက်ကိရိယာများ ရရှိနိုင်မှု (သို့မဟုတ် အိမ်ရှင်များ)
...

အုပ်စုနှစ်: လုံခြုံရေးဆိုင်ရာ အချက်အလက်။

အမျိုးမျိုးသော စာရင်းဇယားအမျိုးအစားများ (ဥပမာ၊ အပလီကေးရှင်းအလိုက်၊ URL အသွားအလာ၊ မည်သည့်ဒေတာအမျိုးအစားများ၊ အသုံးပြုသူဒေတာ)
လုံခြုံရေး မူဝါဒတွေက ဘာတွေ ပိတ်ဆို့ထားသလဲ၊ ဘာအကြောင်းကြောင့် ပါလဲ။
- တားမြစ်ထားသောလျှောက်လွှာ
- ip/protocol/port/flags/zones များအပေါ် အခြေခံ၍ တားမြစ်ထားသည်။
- ခြိမ်းခြောက်မှုကာကွယ်ရေး
- url စစ်ထုတ်ခြင်း။
- ဒေတာစစ်ထုတ်ခြင်း။
- ဖိုင်ပိတ်ဆို့ခြင်း။
- ...
DOS/DDOS တိုက်ခိုက်မှုများအတွက် စာရင်းအင်းများ
အထောက်အထားနှင့် ခွင့်ပြုချက် ကြိုးပမ်းမှု မအောင်မြင်ပါ။
အထက်ပါ လုံခြုံရေးမူဝါဒချိုးဖောက်မှုဖြစ်ရပ်များအားလုံးအတွက် စာရင်းဇယားများ
...

လုံခြုံရေးဆိုင်ရာ ဤအခန်းတွင် ကျွန်ုပ်တို့သည် ဒုတိယအပိုင်းကို စိတ်ဝင်စားပါသည်။

ခေတ်မီ firewalls အချို့ (ကျွန်ုပ်၏ Palo Alto အတွေ့အကြုံမှ) သည် ကောင်းမွန်သော မြင်နိုင်စွမ်းကို ပေးစွမ်းသည်။ သို့သော်၊ သင်စိတ်ဝင်စားသောလမ်းကြောင်းသည် ဤ firewall မှတဆင့်သွားရမည် (ထိုအခြေအနေတွင် သင့်တွင် traffic ကိုပိတ်ဆို့နိုင်စွမ်းရှိသည်) သို့မဟုတ် firewall (စောင့်ကြည့်ခြင်းနှင့်ခွဲခြမ်းစိတ်ဖြာရန်အတွက်သာအသုံးပြုသည်) သို့ထင်ဟပ်ပြပြီးအားလုံးဖွင့်ရန်သင့်တွင်လိုင်စင်ရှိရပါမည်။ ဤဝန်ဆောင်မှုများ

ဥပမာ၊ အခြားနည်းလမ်းတစ်ခု သို့မဟုတ် ရိုးရာနည်းလမ်းတစ်ခု ရှိသည်၊

Session ကိန်းဂဏန်းများကို netflow မှတဆင့် စုဆောင်းနိုင်ပြီး အချက်အလက်ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် ဒေတာကို ပုံဖော်ခြင်းအတွက် အထူးအသုံးအဆောင်များကို အသုံးပြုနိုင်သည်။
ခြိမ်းခြောက်မှုကြိုတင်ကာကွယ်ခြင်း - end hosts ရှိ အထူးပရိုဂရမ်များ (ဗိုင်းရပ်စ်နှိမ်နင်းရေး၊ ထောက်လှမ်းရေး၊ ဆော့ဖ်ဝဲ၊ ဖိုင်းဝေါလ်)
URL စစ်ထုတ်ခြင်း၊ ဒေတာစစ်ထုတ်ခြင်း၊ ဖိုင်ပိတ်ဆို့ခြင်း - ပရောက်စီတွင်
ဥပမာအားဖြင့် tcpdump ကိုခွဲခြမ်းစိတ်ဖြာရန်လည်းဖြစ်နိုင်သည်။ ကလောင်အမည်

ဤချဉ်းကပ်နည်းနှစ်ခုကို ပေါင်းစပ်နိုင်သည်၊ ပျောက်ဆုံးနေသောအင်္ဂါရပ်များကို ဖြည့်စွက်ခြင်း သို့မဟုတ် တိုက်ခိုက်မှုတစ်ခုအား ရှာဖွေတွေ့ရှိနိုင်ခြေကို တိုးမြင့်လာစေရန်အတွက် ၎င်းတို့ကို ပွားနိုင်သည်။

မည်သည့်နည်းလမ်းကို သင်ရွေးချယ်သင့်သနည်း။
သင့်အဖွဲ့၏ အရည်အချင်းများနှင့် နှစ်သက်မှုများပေါ်တွင် များစွာမူတည်ပါသည်။
အဲဒီမှာရော အားသာချက် အားနည်းချက်တွေ ရှိတယ်။

စုစည်းထားသော ဗဟိုစစ်မှန်ကြောင်းနှင့် ခွင့်ပြုချက်စနစ်

ကောင်းမွန်စွာ ဒီဇိုင်းထုတ်သောအခါ၊ ဤဆောင်းပါးတွင် ဆွေးနွေးထားသော ရွေ့လျားနိုင်မှုသည် ရုံးမှ သို့မဟုတ် အိမ်မှဖြစ်စေ၊ လေဆိပ်၊ ကော်ဖီဆိုင် သို့မဟုတ် အခြားနေရာများတွင်ဖြစ်စေ (အထက်တွင်ဖော်ပြထားသော ကန့်သတ်ချက်များနှင့်အတူ) သင့်တွင် တူညီသောဝင်ရောက်ခွင့်ရှိသည်ဟု ယူဆပါသည်။ ပြဿနာက ဘာလဲ၊
ဤလုပ်ငန်း၏ ရှုပ်ထွေးမှုကို ပိုမိုနားလည်ရန်၊ ပုံမှန်ဒီဇိုင်းကို ကြည့်ကြပါစို့။

နမူနာ

ဝန်ထမ်းအားလုံးကို အုပ်စုများအဖြစ် ခွဲထားသည်။ အဖွဲ့များအလိုက် ဝင်သုံးခွင့်ပေးရန် သင်ဆုံးဖြတ်လိုက်ပါပြီ။

ရုံးခန်းအတွင်းတွင်၊ သင်သည် ရုံးခန်း firewall တွင် ဝင်ရောက်မှုကို ထိန်းချုပ်နိုင်သည်။

သင်သည် ရုံးမှ ဒေတာစင်တာသို့ ဒေတာစင်တာ firewall ရှိ လမ်းကြောင်းကို ထိန်းချုပ်နိုင်သည်။

သင်သည် Cisco ASA ကို VPN တံခါးပေါက်အဖြစ် အသုံးပြုပြီး အဝေးမှ ဖောက်သည်များထံမှ သင့်ကွန်ရက်အတွင်းသို့ ဝင်ရောက်လာသည့် အသွားအလာကို ထိန်းချုပ်ရန်၊ သင်သည် ဒေသတွင်း (ASA) ACLs များကို အသုံးပြုသည်။

ယခု၊ သင်သည် ဝန်ထမ်းတစ်ဦးထံ ထပ်လောင်းဝင်ရောက်ခွင့်ကို ထည့်ခိုင်းသည်ဆိုကြပါစို့။ ဤကိစ္စတွင်၊ သင်သည် သူ့ထံသို့သာ ဝင်ရောက်ခွင့်ကို ထည့်ခိုင်းပြီး သူ၏အဖွဲ့မှ အခြားမည်သူမျှ မရှိစေရ။

အဲဒါအတွက် ကျွန်တော်တို့က ဒီဝန်ထမ်းအတွက် သီးခြားအဖွဲ့တစ်ခု ဖန်တီးရမှာပေါ့။

ဤဝန်ထမ်းအတွက် ASA တွင် သီးခြား IP pool တစ်ခုကို ဖန်တီးပါ။

ASA တွင် ACL အသစ်တစ်ခုကို ထည့်ပြီး ၎င်းကို အဝေးထိန်း ကလိုင်းယင့်နှင့် ချိတ်ပါ။

ရုံးနှင့် ဒေတာစင်တာ firewalls များတွင် လုံခြုံရေးမူဝါဒအသစ်များကို ဖန်တီးပါ။

ဒီပွဲက ရှားတော့ ကောင်းပါတယ်။ ဒါပေမယ့် ကျွန်တော့်လက်တွေ့မှာတော့ မတူညီတဲ့ပရောဂျက်တွေမှာ ဝန်ထမ်းတွေပါဝင်တဲ့အခါ အခြေအနေတစ်ခုရှိခဲ့ပြီး သူတို့ထဲက အချို့အတွက် ဒီပရောဂျက်တွေက မကြာခဏပြောင်းလဲသွားခဲ့ပြီး လူ 1-2 ယောက်မဟုတ်ပေမယ့် ဒါဇင်နဲ့ချီပါတယ်။ ဟုတ်ပါတယ်၊ ဒီနေရာမှာ တစ်ခုခုကို ပြောင်းလဲဖို့ လိုပါတယ်။

ယင်းကို အောက်ပါနည်းလမ်းဖြင့် ဖြေရှင်းခဲ့သည်။

LDAP သည် ဖြစ်နိုင်သမျှ ဝန်ထမ်းဝင်ရောက်ခွင့်အားလုံးကို ဆုံးဖြတ်ပေးသည့် တစ်ခုတည်းသော အမှန်တရားအရင်းအမြစ်ဖြစ်မည်ဟု ကျွန်ုပ်တို့ ဆုံးဖြတ်ခဲ့သည်။ အသုံးပြုခွင့် အစုံအလင်ကို သတ်မှတ်သည့် အုပ်စု အမျိုးအစား အားလုံးကို ဖန်တီးခဲ့ပြီး အသုံးပြုသူ တစ်ဦးစီကို အဖွဲ့ တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော အဖွဲ့များသို့ တာဝန်ပေးအပ်ခဲ့သည်။

ဒီတော့ ဥပမာအားဖြင့် အဖွဲ့တွေရှိတယ်ဆိုပါစို့

ဧည့်သည် (အင်တာနက်အသုံးပြုခွင့်)

ဘုံဝင်ရောက်ခွင့် (မျှဝေထားသောအရင်းအမြစ်များ- မေးလ်၊ အသိပညာအခြေခံ၊ ...)

စာရင်းကိုင်

စီမံကိန်း 1

စီမံကိန်း 2

ဒေတာအခြေခံစီမံခန့်ခွဲသူ

linux စီမံခန့်ခွဲသူ

...

ပရောဂျက် 1 နှင့် ပရောဂျက် 2 နှစ်ခုစလုံးတွင် ဝန်ထမ်းတစ်ဦးမှ ပါဝင်ခဲ့ပြီး ၎င်းသည် ဤပရောဂျက်များတွင် အလုပ်လုပ်ရန် လိုအပ်သောဝင်ရောက်ခွင့်ကို လိုအပ်ပါက၊ ဤဝန်ထမ်းအား အောက်ပါအဖွဲ့များသို့ တာဝန်ပေးအပ်ခြင်းခံရသည်-

ဧည့်သည်

ဘုံဝင်ရောက်ခွင့်

စီမံကိန်း 1

စီမံကိန်း 2

ယခု ဤအချက်အလက်ကို ကွန်ရက်စက်ပစ္စည်းများတွင် ဝင်ရောက်အသုံးပြုခွင့်အဖြစ် မည်သို့ပြောင်းလဲနိုင်မည်နည်း။

Cisco ASA Dynamic Access Policy (DAP) (ကြည့်ရှုပါ။ www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) ဖြေရှင်းချက်သည် ဤလုပ်ငန်းအတွက် မှန်ကန်ပါသည်။

ကျွန်ုပ်တို့၏ အကောင်အထည်ဖော်မှုနှင့် ပတ်သက်၍ အကျဉ်းချုပ်အားဖြင့်၊ ခွဲခြားသတ်မှတ်ခြင်း/ခွင့်ပြုချက် လုပ်ငန်းစဉ်အတွင်း၊ ASA သည် ပေးထားသောအသုံးပြုသူတစ်ဦးနှင့် သက်ဆိုင်သည့် အဖွဲ့တစ်ဖွဲ့ကို LDAP ထံမှ လက်ခံရရှိပြီး ဒေသဆိုင်ရာ ACL အများအပြား (တစ်ခုစီသည် အဖွဲ့တစ်ခုနှင့် သက်ဆိုင်သော) လိုအပ်သောဝင်ရောက်ခွင့်အားလုံးပါဝင်သည့် တက်ကြွသော ACL ကို "စုဆောင်းသည်" ကျွန်ုပ်တို့၏ဆန္ဒများနှင့် အပြည့်အဝကိုက်ညီသော၊

သို့သော်၎င်းသည် VPN ချိတ်ဆက်မှုများအတွက်သာဖြစ်သည်။ VPN မှတစ်ဆင့် ချိတ်ဆက်ထားသော ဝန်ထမ်းများနှင့် ရုံးတွင်းရှိ ဝန်ထမ်းများအတွက် အခြေအနေကို တူညီစေရန်အတွက် အောက်ပါအဆင့်ကို လုပ်ဆောင်ခဲ့သည်။

ရုံးမှ ချိတ်ဆက်သည့်အခါ 802.1x ပရိုတိုကောကို အသုံးပြုသူများသည် ဧည့်သည် LAN (ဧည့်သည်များအတွက်) သို့မဟုတ် မျှဝေထားသော LAN (ကုမ္ပဏီဝန်ထမ်းများအတွက်) ဖြင့် အဆုံးသတ်သည်။ ထို့အပြင် သီးခြားဝင်ရောက်ခွင့် (ဥပမာ၊ ဒေတာစင်တာရှိ ပရောဂျက်များအတွက်) ဝန်ထမ်းများသည် VPN မှတစ်ဆင့် ချိတ်ဆက်ရမည်ဖြစ်ပါသည်။

ရုံးနှင့် အိမ်မှ ချိတ်ဆက်ရန်အတွက် ASA တွင် မတူညီသော ဥမင်လိုဏ်ခေါင်းအုပ်စုများကို အသုံးပြုခဲ့သည်။ ရုံးမှချိတ်ဆက်သူများအတွက်၊ မျှဝေထားသောအရင်းအမြစ်များ (ဝန်ထမ်းအားလုံးအသုံးပြုသော mail၊ ဖိုင်ဆာဗာများ၊ လက်မှတ်စနစ်၊ dns၊ ... ကဲ့သို့သော) သည် ASA မှတဆင့်မသွားနိုင်သော်လည်း ဒေသတွင်းကွန်ရက်မှတဆင့်၊ . ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ASA အား ပြင်းထန်မှုမြင့်မားသော အသွားအလာ အပါအဝင် မလိုအပ်သော အသွားအလာများဖြင့် မတင်ခဲ့ပါ။

ထို့ကြောင့် ပြဿနာကို ဖြေရှင်းနိုင်ခဲ့သည်။
ကျွန်တော်တို

ရုံးနှင့်ဝေးလံခေါင်သီသောချိတ်ဆက်မှုနှစ်ခုလုံးအတွက်တူညီသောအသုံးပြုခွင့်အစုံ

ASA မှတဆင့် ပြင်းထန်မှု မြင့်မားသော အသွားအလာ ထုတ်လွှင့်ခြင်းနှင့် ဆက်စပ်သော ရုံးမှ အလုပ်လုပ်သောအခါ ဝန်ဆောင်မှု ကျဆင်းခြင်း မရှိခြင်း။

ဤချဉ်းကပ်မှု၏ အခြားအားသာချက်များကား အဘယ်နည်း။
လက်လှမ်းမီသော အုပ်ချုပ်ရေးတွင်၊ အသုံးပြုခွင့်များကို တစ်နေရာတည်းတွင် အလွယ်တကူ ပြောင်းလဲနိုင်သည်။
ဥပမာအားဖြင့်၊ ဝန်ထမ်းတစ်ဦးသည် ကုမ္ပဏီမှ ထွက်သွားပါက၊ သင်သည် သူ့ကို LDAP မှ ဖယ်ရှားလိုက်ရုံဖြင့် သူသည် ဝင်ရောက်ခွင့်အားလုံးကို အလိုအလျောက် ဆုံးရှုံးသွားမည်ဖြစ်သည်။

အိမ်ရှင်စစ်ဆေးခြင်း။

အဝေးမှချိတ်ဆက်မှုဖြစ်နိုင်ခြေဖြင့်၊ ကျွန်ုပ်တို့သည် ကုမ္ပဏီဝန်ထမ်းတစ်ဦးကို ကွန်ရက်ထဲသို့သာမက ၎င်း၏ကွန်ပျူတာ (ဥပမာ၊ အိမ်) တွင်ပါရှိသည့် အန္တရာယ်ရှိသောဆော့ဖ်ဝဲလ်အားလုံးကိုလည်း ခွင့်ပြုနိုင်သည့်အပြင် ဤဆော့ဖ်ဝဲမှတစ်ဆင့် ကျွန်ုပ်တို့၊ ဤအိမ်ရှင်ကို ပရောက်စီအဖြစ် အသုံးပြု၍ တိုက်ခိုက်သူအား ကျွန်ုပ်တို့၏ကွန်ရက်သို့ ဝင်ရောက်ခွင့် ပေးနိုင်ပါသည်။

ရုံးတွင်းရှိအိမ်ရှင်အဖြစ် တူညီသောလုံခြုံရေးလိုအပ်ချက်များကို အသုံးပြုရန် အဝေးမှချိတ်ဆက်ထားသော host သည် အဓိပ္ပာယ်ရှိစေသည်။

၎င်းသည် OS၊ ဗိုင်းရပ်စ် တိုက်ဖျက်ရေး၊ ထောက်လှမ်းရေး ဆော့ဖ်ဝဲနှင့် firewall ဆော့ဖ်ဝဲနှင့် အပ်ဒိတ်များ ၏ "မှန်ကန်သော" ဗားရှင်းကိုလည်း ယူဆသည်။ ပုံမှန်အားဖြင့်၊ ဤစွမ်းရည်သည် VPN ဂိတ်ဝတွင်တည်ရှိသည် (ဥပမာ၊ ASA အတွက်ကြည့်ပါ၊ ဒီမှာ).

သင်၏လုံခြုံရေးမူဝါဒသည် ရုံးအသွားအလာနှင့် သက်ဆိုင်သည့် အလားတူအသွားအလာခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် ပိတ်ဆို့ခြင်းနည်းပညာများ (“ကာကွယ်မှုအဆင့်မြင့်” ကိုကြည့်ပါ) ကိုအသုံးပြုခြင်းသည် ပညာရှိရာရောက်ပါသည်။

သင့်ရုံးခန်းကွန်ရက်သည် ရုံးအဆောက်အအုံနှင့် ၎င်းအတွင်းရှိအိမ်ရှင်များအတွက် အကန့်အသတ်မရှိဟု ယူဆရန် ကျိုးကြောင်းဆီလျော်ပါသည်။

နမူနာ

နည်းစနစ်ကောင်းတစ်ခုသည် ကောင်းမွန်ပြီး အဆင်ပြေသော လက်ပ်တော့တစ်လုံးကို အဝေးမှဝင်ရောက်အသုံးပြုရန်လိုအပ်သော ဝန်ထမ်းတစ်ဦးစီအား ရုံးတွင်းရော အိမ်မှပါ ပေးဆောင်ရန် လိုအပ်ပါသည်။

၎င်းသည် သင့်ကွန်ရက်၏လုံခြုံရေးကို မြှင့်တင်ပေးရုံသာမကဘဲ အမှန်တကယ်လည်း အဆင်ပြေပြီး ဝန်ထမ်းများက အများအားဖြင့် နှစ်သက်သဘောကျကြသည် (၎င်းသည် အမှန်တကယ် အသုံးပြုရလွယ်ကူသော လက်ပ်တော့တစ်လုံးဖြစ်လျှင်)။

အချိုးအစားနဲ့ ချိန်ခွင်လျှာ အာရုံတစ်ခုအကြောင်း

အခြေခံအားဖြင့်၊ ဤသည်မှာ ကျွန်ုပ်တို့တြိဂံ၏တတိယမြောက်အစွန်း - စျေးနှုန်းအကြောင်း စကားဝိုင်းတစ်ခုဖြစ်သည်။
ဟန်ချက်ညီသော ဥပမာကို ကြည့်ကြပါစို့။

နမူနာ

လူ 200 အတွက် သင့်တွင် ရုံးခန်းရှိသည်။ အတတ်နိုင်ဆုံး အဆင်ပြေပြီး ဘေးကင်းအောင် လုပ်မယ်လို့ ဆုံးဖြတ်ထားတယ်။

ထို့ကြောင့်၊ သင်သည် firewall မှတဆင့် traffic အားလုံးကို ကျော်ဖြတ်ရန် ဆုံးဖြတ်ခဲ့ပြီး၊ ထို့ကြောင့် office subnets အားလုံးအတွက် firewall သည် default gateway ဖြစ်သည်။ end host တစ်ခုစီတွင် ထည့်သွင်းထားသည့် လုံခြုံရေးဆော့ဖ်ဝဲလ်အပြင် (ဗိုင်းရပ်စ်ဆန့်ကျင်ရေး၊ ထောက်လှမ်းရေးဆော့ဖ်ဝဲနှင့် ဖိုင်ဝေါလ်ဆော့ဖ်ဝဲလ်) ကိုလည်း firewall တွင် ဖြစ်နိုင်သည့် အကာအကွယ်နည်းလမ်းအားလုံးကို အသုံးပြုရန် ဆုံးဖြတ်ခဲ့သည်။

မြင့်မားသောချိတ်ဆက်မှုအမြန်နှုန်းကိုသေချာစေရန် (အားလုံးအဆင်ပြေစေရန်) ဝင်ရောက်အသုံးပြုမှုခလုတ်များအဖြစ် 10 Gigabit ဝင်ပေါက်ပေါက်များပါသည့် ခလုတ်များကို သင်ရွေးချယ်ခဲ့ပြီး၊ ဥပမာ၊ Palo Alto 7K စီးရီးများကို လိုင်စင်အားလုံးဖြင့် သဘာဝကျကျဖြင့် လိုင်စင်အားလုံးဖြင့် စွမ်းဆောင်ရည်မြင့် NGFW firewalls များကို ရွေးချယ်ခဲ့သည် ပါဝင်ပြီး သဘာဝအတိုင်း၊ ရရှိနိုင်မှု မြင့်မားသောအတွဲ။

ထို့အပြင်၊ ဤစက်ပစ္စည်းကိရိယာများနှင့်အလုပ်လုပ်ရန် ကျွန်ုပ်တို့သည် အရည်အချင်းပြည့်မီသော လုံခြုံရေးအင်ဂျင်နီယာနှစ်ဦး အနည်းဆုံး လိုအပ်ပါသည်။

နောက်တစ်ခုက ဝန်ထမ်းတိုင်းကို Laptop ကောင်းကောင်းတစ်လုံး ပေးမယ်လို့ ဆုံးဖြတ်လိုက်တယ်။

စုစုပေါင်း၊ အကောင်အထည်ဖော်ရန် ဒေါ်လာ ၁၀ သန်းခန့်၊ နှစ်စဉ်ထောက်ပံ့မှုနှင့် အင်ဂျင်နီယာများအတွက် လစာဒေါ်လာ ထောင်ပေါင်းများစွာ (တစ်သန်းနီးပါး) ရှိသည်။

ရုံးမှာ လူ ၂၀၀...
အဆင်ပြေလား? ဟုတ်မယ်ထင်တယ်။

ဒီအဆိုပြုချက်နဲ့အတူ မင်းရဲ့ စီမံခန့်ခွဲရေးဆီကို မင်းလာခဲ့တယ်...
ဤအရာသည် လက်ခံနိုင်ဖွယ်ရှိပြီး မှန်ကန်သောဖြေရှင်းချက်ဖြစ်သည့် ကမ္ဘာပေါ်တွင် ကုမ္ပဏီများစွာ ရှိကောင်းရှိနိုင်သည်။ အကယ်၍ သင်သည် ဤကုမ္ပဏီ၏ ဝန်ထမ်းတစ်ဦးဖြစ်ပါက ကျွန်ုပ်အား ဂုဏ်ယူပါသည်၊ သို့သော် ကိစ္စအများစုတွင် သင်၏အသိပညာကို စီမံခန့်ခွဲမှုမှ တန်ဖိုးထားလိမ့်မည်မဟုတ်ကြောင်း ကျွန်ုပ်သေချာပါသည်။

ဤဥပမာသည် ချဲ့ကားနေပါသလား။ နောက်အခန်းတွင် ဤမေးခွန်းကို ဖြေပါမည်။

သင့်ကွန်ရက်တွင် အထက်ပါအရာများကို သင်မတွေ့ပါက၊ ဤသည်မှာ စံနှုန်းဖြစ်သည်။
သီးခြားကိစ္စတစ်ခုစီအတွက်၊ အဆင်ပြေမှု၊ စျေးနှုန်းနှင့် ဘေးကင်းမှုအကြား သင့်ကိုယ်ပိုင် ကျိုးကြောင်းဆီလျော်သော အပေးအယူကို ရှာဖွေရန် လိုအပ်သည်။ မကြာခဏ သင့်ရုံးခန်းတွင် NGFW မလိုအပ်ဘဲ firewall ပေါ်ရှိ L7 ကာကွယ်မှု မလိုအပ်ပါ။ မြင်နိုင်စွမ်းနှင့် သတိပေးချက်များ အဆင့်ကောင်းကောင်း ပေးစွမ်းရန် လုံလောက်သည်၊ ဥပမာ၊ ဥပမာအားဖြင့် open source ထုတ်ကုန်များကို အသုံးပြု၍ လုပ်ဆောင်နိုင်သည်။ ဟုတ်တယ်၊ တိုက်ခိုက်မှုတစ်ခုအပေါ် မင်းရဲ့တုံ့ပြန်မှုက ချက်ချင်းဖြစ်မှာမဟုတ်ဘူး၊ ဒါပေမယ့် အဓိကအချက်က အဲဒါကို မင်းမြင်ရမှာဖြစ်ပြီး၊ မင်းရဲ့ဌာနမှာ မှန်ကန်တဲ့လုပ်ငန်းစဉ်တွေနဲ့၊ မင်းဟာ မြန်မြန်ပျက်ပြယ်သွားလိမ့်မယ်။

ဤဆောင်းပါးတွဲများ၏ အယူအဆအရ သင်သည် ကွန်ရက်တစ်ခုကို ဒီဇိုင်းထုတ်နေခြင်းမဟုတ်ပဲ သင်ရရှိသောအရာများကို တိုးတက်စေရန်သာ ကြိုးစားနေခြင်းဖြစ်ကြောင်း ကျွန်ုပ်အား သတိပေးပါရစေ။

ရုံးဗိသုကာ၏ ဘေးကင်းသော ခွဲခြမ်းစိတ်ဖြာမှု

ပုံမှာပြထားတဲ့နေရာကို ကျွန်တော်ခွဲဝေပေးခဲ့တဲ့ ဒီအနီရောင်လေးထောင့်ကို အာရုံစိုက်ပါ။ SAFE Secure Campus ဗိသုကာလမ်းညွှန်ဒီနေရာမှာ ဆွေးနွေးလိုပါတယ်။

ဤသည်မှာ ဗိသုကာပညာ၏ အဓိကနေရာများထဲမှ တစ်ခုဖြစ်ပြီး အရေးကြီးဆုံးသော မရေရာမှုများထဲမှ တစ်ခုဖြစ်သည်။

ပွောဆို

FirePower (Cisco ၏ firewall လိုင်းမှ ASA တစ်ခုတည်းသာ) ကို set up သို့မဟုတ် မလုပ်ဖူးသောကြောင့် Juniper SRX သို့မဟုတ် Palo Alto ကဲ့သို့သော အခြား firewall များကဲ့သို့ ဆက်ဆံမည်၊ ၎င်းတွင် တူညီသောစွမ်းရည်များရှိသည်ဟု ယူဆပါသည်။

ပုံမှန်ဒီဇိုင်းများထဲမှ၊ ဤချိတ်ဆက်မှုနှင့်အတူ firewall ကိုအသုံးပြုရန် ဖြစ်နိုင်ခြေရှိသော ရွေးချယ်စရာ ၄ ခုကိုသာ ကျွန်ုပ်တွေ့မြင်ရသည်-

subnet တစ်ခုစီအတွက် ပုံသေတံခါးပေါက်သည် ခလုတ်တစ်ခုဖြစ်ပြီး firewall သည် transparent mode တွင်ရှိနေသည် (ဆိုလိုသည်မှာ၊ အသွားအလာအားလုံးသည် ၎င်းကိုဖြတ်သန်းသွားသော်လည်း ၎င်းသည် L3 hop ပုံစံမဟုတ်ပါ)
subnet တစ်ခုစီအတွက် မူရင်းတံခါးပေါက်သည် firewall sub-interfaces (သို့မဟုတ် SVI interface) ဖြစ်သည်)၊ switch သည် L2 ၏ အခန်းကဏ္ဍမှ ပါဝင်ပါသည်။
မတူညီသော VRF များကို switch တွင်အသုံးပြုကြပြီး VRFs များကြားအသွားအလာကို firewall မှတဆင့်သွားသည်၊ VRF တစ်ခုအတွင်းအသွားအလာကို switch ပေါ်ရှိ ACL မှထိန်းချုပ်သည်
အသွားအလာအားလုံးကို ခွဲခြမ်းစိတ်ဖြာရန်နှင့် စောင့်ကြည့်ရန်အတွက် firewall တွင် ထင်ဟပ်နေပါသည်။

မှတ်ချက် ၁

ဤရွေးချယ်မှုများ၏ ပေါင်းစပ်မှုများသည် ဖြစ်နိုင်သော်လည်း ရိုးရိုးရှင်းရှင်းအားဖြင့် ၎င်းတို့ကို ကျွန်ုပ်တို့ ထည့်သွင်းစဉ်းစားမည်မဟုတ်ပါ။

မှတ်ချက် ၂

PBR (ဝန်ဆောင်မှုကွင်းဆက်ဗိသုကာ) ကိုအသုံးပြုရန်ဖြစ်နိုင်ခြေလည်းရှိသော်လည်းယခုအချိန်တွင်၎င်းသည်ကျွန်ုပ်၏ထင်မြင်ချက်တွင်လှပသောဖြေရှင်းချက်သည်အလွန်ဆန်းပြားသော်လည်း၊ ဤနေရာတွင်ကျွန်ုပ်မစဉ်းစားပါ။

စာရွက်စာတမ်းရှိစီးဆင်းမှုများ၏ဖော်ပြချက်မှ၊ အသွားအလာများသည် Firewall ကိုဖြတ်သန်းနေဆဲဖြစ်သည်၊ ဆိုလိုသည်မှာ Cisco ဒီဇိုင်းနှင့်အညီ စတုတ္ထရွေးချယ်မှုကို ဖယ်ရှားလိုက်သည်ကို ကျွန်ုပ်တို့တွေ့မြင်ရပါသည်။

ပထမဆုံးရွေးချယ်မှုနှစ်ခုကို အရင်ကြည့်ရအောင်။
ဤရွေးချယ်မှုများဖြင့်၊ အသွားအလာအားလုံးကို firewall မှတဆင့်သွားပါသည်။

ကဲ ကြည့်ကြရအောင် အချက်အလက်စာရွက်ကြည့် Cisco GPL ကျွန်ုပ်တို့၏ရုံးခန်းအတွက် စုစုပေါင်း bandwidth ကို အနည်းဆုံး 10 - 20 gigabits ဝန်းကျင်ရှိစေလိုလျှင် 4K ဗားရှင်းကို ဝယ်ရပါမည်။

ပွောဆို

စုစုပေါင်း bandwidth အကြောင်းပြောသောအခါ၊ subnets များကြား traffic (ဗီလာနာတစ်ခုအတွင်းမဟုတ်ဘဲ) ကိုဆိုလိုသည်။

GPL မှ Threat Defense ပါသော HA Bundle အတွက်၊ မော်ဒယ်ပေါ်မူတည်၍ ဈေးနှုန်းသည် (4110 - 4150) ဒေါ်လာ ~ 0,5 မှ 2,5 သန်းအထိ ကွာခြားသည်ကို ကျွန်ုပ်တို့တွေ့မြင်ရပါသည်။

ဆိုလိုသည်မှာ၊ ကျွန်ုပ်တို့၏ ဒီဇိုင်းသည် ယခင်နမူနာနှင့် ဆင်တူပါသည်။

ဒါက ဒီဒီဇိုင်း မှားနေတယ်လို့ ဆိုလိုတာလား။
မဟုတ်ဘူး၊ အဲဒါကို မဆိုလိုပါဘူး။ Cisco သည် သင့်အား ၎င်း၏ထုတ်ကုန်လိုင်းပေါ်အခြေခံ၍ ဖြစ်နိုင်သမျှ အကောင်းဆုံးကာကွယ်မှုပေးပါသည်။ ဒါပေမယ့် ဒါဟာ မင်းအတွက် လုပ်စရာလို့ မဆိုလိုပါဘူး။

မူအရ၊ ဤသည်မှာ ရုံးခန်း သို့မဟုတ် ဒေတာစင်တာကို ဒီဇိုင်းဆွဲသည့်အခါတွင် ပေါ်ပေါက်လေ့ရှိသည့် မေးခွန်းဖြစ်ပြီး ၎င်းသည် အပေးအယူလုပ်ရန် လိုအပ်သည်ဟုသာ ဆိုလိုသည်။

ဥပမာအားဖြင့်၊ အသွားအလာအားလုံးကို firewall ကိုဖြတ်သန်းခွင့်မပြုပါနှင့်၊ ထိုအခြေအနေတွင် option 3 သည်ကျွန်ုပ်အတွက်တော်တော်ကောင်းပုံရသည် (သို့) (ယခင်အပိုင်းကိုကြည့်ပါ) Threat Defense မလိုအပ်ပါ သို့မဟုတ် firewall လုံးဝမလိုအပ်ပါ။ ကွန်ရက် အပိုင်း၊ အခပေး (စျေးမကြီး) သို့မဟုတ် open source ဖြေရှင်းချက်များကို အသုံးပြု၍ passive monitoring တွင် သင့်ကိုယ်သင် ကန့်သတ်ထားရန် လိုအပ်သည်၊ သို့မဟုတ် သင်သည် firewall တစ်ခု လိုအပ်သော်လည်း မတူညီသော ရောင်းချသူထံမှ ဖြစ်သည်။

များသောအားဖြင့် ဒီမသေချာမရေရာမှုတွေ အမြဲရှိနေတတ်ပြီး ဘယ်ဆုံးဖြတ်ချက်က သင့်အတွက် အကောင်းဆုံးလဲဆိုတာ ရှင်းရှင်းလင်းလင်း အဖြေမရှိပါဘူး။
ဤသည်မှာ ဤအလုပ်၏ ရှုပ်ထွေးမှုနှင့် လှပမှုပင်ဖြစ်သည်။

source: www.habr.com