دا مقاله د مقالو په لړۍ کې دریمه برخه ده "څنګه ستاسو د شبکې زیربنا کنټرول کړئ." په لړۍ او لینکونو کې د ټولو مقالو مینځپانګه موندل کیدی شي .
په بشپړه توګه د امنیتي خطرونو د له منځه وړلو په اړه خبرې کول هیڅ معنی نلري. په اصل کې، موږ نشو کولی دوی صفر ته راټیټ کړو. موږ باید پدې هم پوه شو چې څنګه چې موږ هڅه کوو چې شبکه نوره هم خوندي کړو، زموږ حلونه ورځ تر بلې ګران کیږي. تاسو اړتیا لرئ د لګښت، پیچلتیا، او امنیت تر منځ د سوداګرۍ بند ومومئ چې ستاسو د شبکې لپاره معنی لري.
البته، د امنیت ډیزاین په ټولیز جوړښت کې په منظمه توګه مدغم شوی او کارول شوي امنیتي حلونه د شبکې زیربنا د توزیع، اعتبار، مدیریت، ... اغیزه کوي، کوم چې باید په پام کې ونیول شي.
مګر اجازه راکړئ تاسو ته یادونه وکړم چې اوس موږ د شبکې جوړولو په اړه خبرې نه کوو. زموږ په وینا موږ لا دمخه ډیزاین غوره کړی ، تجهیزات یې غوره کړي او زیربناوې مو رامینځته کړي ، او پدې مرحله کې ، که امکان ولري ، موږ باید "ژوندی" او د مخکینۍ غوره شوي طرزالعمل په شرایطو کې حلونه ومومئ.
اوس زموږ دنده دا ده چې د شبکې په کچه د امنیت سره تړلي خطرونه وپیژنو او مناسبې کچې ته یې راکم کړو.
د شبکې امنیت پلټنه
که ستاسو سازمان د ISO 27k پروسې پلي کړي، نو بیا د امنیت پلټنې او د شبکې بدلونونه باید په دې طریقه کې په ټولیز ډول پروسو کې په بشپړ ډول فټ شي. مګر دا معیارونه لاهم د ځانګړو حلونو په اړه ندي، نه د ترتیب په اړه، نه د ډیزاین په اړه ... دلته هیڅ روښانه مشوره شتون نلري، هیڅ معیارونه په تفصیل سره تشریح کوي چې ستاسو شبکه باید څه ډول وي، دا د دې کار پیچلتیا او ښکلا ده.
زه به د شبکې ډیری احتمالي امنیت پلټنې روښانه کړم:
- د تجهیزاتو ترتیب پلټنه (سخت کول)
- د امنیت ډیزاین پلټنه
- د لاسرسي پلټنې
- د پروسې پلټنې
د تجهیزاتو ترتیب پلټنه (سخت کول)
داسې ښکاري چې په ډیری قضیو کې دا ستاسو د شبکې امنیت د پلټنې او ښه کولو لپاره غوره پیل ټکی دی. IMHO، دا د پارټو د قانون یوه ښه مظاهره ده (20٪ هڅې 80٪ پایله تولیدوي، او پاتې 80٪ هڅې یوازې 20٪ پایله تولیدوي).
اصلي کرښه دا ده چې موږ معمولا د تجهیزاتو تنظیم کولو پرمهال د امنیت لپاره د "غوره کړنو" په اړه د پلورونکو څخه وړاندیزونه لرو. دې ته "سختی" ویل کیږي.
تاسو اکثرا د دې سپارښتنو پراساس پوښتنلیک هم موندلی شئ (یا پخپله یو جوړ کړئ) ، کوم چې به تاسو سره مرسته وکړي دا معلومه کړي چې ستاسو د تجهیزاتو ترتیب د دې "غوره عملونو" سره څومره ښه مطابقت لري او د پایلې سره سم ، ستاسو په شبکه کې بدلونونه رامینځته کړئ. . دا به تاسو ته اجازه درکړي چې د پام وړ امنیتي خطرونه په اسانۍ سره کم کړئ، په حقیقت کې هیڅ لګښت نه.
د ځینې سیسکو عملیاتي سیسټمونو لپاره څو مثالونه.
د دې سندونو پراساس ، د هر ډول تجهیزاتو لپاره د تشکیلاتو اړتیاو لیست رامینځته کیدی شي. د مثال په توګه، د سیسکو N7K VDC لپاره دا اړتیاوې ممکن ښکاري .
پدې توګه ، ستاسو د شبکې زیربنا کې د مختلف ډوله فعال تجهیزاتو لپاره د ترتیب فایلونه رامینځته کیدی شي. بیا ، په لاسي ډول یا د اتوماتیک کارولو سره ، تاسو کولی شئ دا تشکیلاتي فایلونه "اپلوډ" کړئ. د دې پروسې اتومات کولو څرنګوالی به په تفصیل سره د آرکیسټریشن او اتوماتیک مقالو په بله لړۍ کې بحث وشي.
د امنیت ډیزاین پلټنه
عموما، د تصدۍ شبکه په یوه بڼه یا بل ډول لاندې برخې لري:
- DC (د عامه خدماتو DMZ او د انټرانیټ ډیټا مرکز)
- انټرنیټ لاسرسي
- ریموټ لاسرسی VPN
- د WAN څنډه
- څانګه
- کیمپس (دفتر)
- د اصلي
له څخه اخیستل شوي عنوانونه ماډل، مګر دا اړینه نده، البته، د دې نومونو او دې ماډل سره په سمه توګه وصل شي. بیا هم، زه غواړم د ماهیت په اړه خبرې وکړم او په رسمياتو کې ډوب نه شم.
د دې هرې برخې لپاره، امنیتي اړتیاوې، خطرونه او په وینا، حلونه به توپیر ولري.
راځئ چې هر یو په جلا توګه د هغه ستونزو لپاره وګورو چې تاسو یې د امنیت ډیزاین نقطه نظر سره مخ کیدی شئ. البته، زه یو ځل بیا تکراروم چې دا مقاله په هیڅ صورت کې د بشپړیدو ښکارندويي نه کوي، کوم چې په دې ریښتینې ژورې او څو اړخیزه موضوع کې ترلاسه کول اسانه ندي (که ناممکن نه وي)، مګر دا زما شخصي تجربه منعکس کوي.
هیڅ بشپړ حل شتون نلري (لږترلږه تر اوسه نه). دا تل یو جوړجاړی دی. مګر دا مهمه ده چې د یوې یا بلې لارې کارولو پریکړه په شعوري توګه ترسره شي، د هغې د دواړو ګټو او زیانونو په پوهیدو سره.
د معلوماتو مرکز
د خوندیتوب له نظره ترټولو مهمه برخه.
او، د معمول په څیر، دلته هم هیڅ نړیوال حل شتون نلري. دا ټول د شبکې اړتیاوو پورې اړه لري.
ایا د فایر وال اړین دی که نه؟
داسې بریښي چې ځواب څرګند دی ، مګر هرڅه دومره روښانه ندي لکه څنګه چې ښکاري. او ستاسو انتخاب نه یوازې اغیزمن کیدی شي نرخ.
مثال 1. ځنډونه.
که ټیټ ځنډ د ځینې شبکې برخو ترمینځ لازمي اړتیا وي ، کوم چې د مثال په توګه ، د تبادلې په حالت کې ریښتیا وي ، نو موږ به ونه شو کولی د دې برخو ترمینځ فایر وال وکاروو. په فایروالونو کې د ځنډ په اړه مطالعات موندل ګران دي ، مګر ځینې سویچ ماډلونه کولی شي د 1 mksec څخه لږ یا لږ ځنډ چمتو کړي ، نو زه فکر کوم که مایکرو ثانوي ستاسو لپاره مهم وي ، نو فایر وال ستاسو لپاره ندي.
مثال 2. فعالیت.
د پورتنۍ L3 سویچونو له لارې پټول معمولا د خورا ځواکمن فایر والونو له لارې د لوړوالي ترتیب دی. له همدې امله ، د لوړ شدت ترافیک په حالت کې ، تاسو به ډیری احتمال هم دا ټرافیک ته اجازه ورکړئ چې د اور وژنې څخه تیر شي.
مثال 3. باور
فائر والونه، په ځانګړې توګه عصري NGFW (د راتلونکي نسل FW) پیچلي وسایل دي. دوی د L3/L2 سویچونو په پرتله خورا پیچلي دي. دوی لوی شمیر خدمات او د ترتیب کولو اختیارونه وړاندې کوي، نو دا د حیرانتیا خبره نده چې د دوی اعتبار خورا ټیټ دی. که د خدماتو دوام د شبکې لپاره مهم وي، نو تاسو باید هغه څه غوره کړئ چې د ښه شتون لامل شي - د فایر وال سره امنیت یا د شبکې سادگي په سویچونو (یا مختلف ډوله فابریکو) کې د منظم ACLs په کارولو سره جوړ شوی.
د پورته مثالونو په صورت کې، تاسو به ډیری احتمال (د معمول په څیر) باید جوړجاړی ومومئ. لاندې حلونو ته پام وکړئ:
- که تاسو پریکړه وکړئ چې د معلوماتو مرکز کې دننه د اور وژونکي ونه کاروئ ، نو تاسو اړتیا لرئ د دې په اړه فکر وکړئ چې څنګه د امکان تر حده د احاطې شاوخوا لاسرسی محدود کړئ. د مثال په توګه ، تاسو کولی شئ یوازې د انټرنیټ څخه اړین بندرونه خلاص کړئ (د پیرودونکي ترافیک لپاره) او یوازې د کود کوربه څخه ډیټا مرکز ته اداري لاسرسی. په کود کوربه کې، ټول اړین چکونه ترسره کړئ (تصدیق/تصدیق، انټي ویروس، لاګنګ، ...)
- تاسو کولی شئ د ډیټا سنټر شبکې منطقي ویش په برخو کې وکاروئ، د PSEFABRIC کې بیان شوي سکیم سره ورته . په دې حالت کې، روټینګ باید په داسې ډول ترتیب شي چې د ځنډ حساس یا د لوړ شدت ټرافيک د یوې برخې (د p002، VRF په حالت کې) "دننه" ځي او د اور وژنې له لارې نه ځي. د بیلابیلو برخو ترمنځ ترافیک به د اور وژنې له لارې تیریږي. تاسو کولی شئ د VRFs تر مینځ د لیک کیدو لارې هم وکاروئ ترڅو د اور وژنې له لارې د ترافیک ریډیریټ کیدو مخه ونیسئ
- تاسو کولی شئ په شفاف حالت کې فایروال هم وکاروئ او یوازې د هغه VLANs لپاره چیرې چې دا فکتورونه (ترتیب/کارکردګي) د پام وړ ندي. مګر تاسو اړتیا لرئ د هر پلورونکي لپاره د دې ماډل کارولو پورې اړوند محدودیتونه په دقت سره مطالعه کړئ
- تاسو ممکن د خدماتو سلسلې جوړښت کارولو په اړه فکر وکړئ. دا به یوازې اړین ترافیک ته اجازه ورکړي چې د اور وژنې له لارې تیر شي. په تیوري کې ښه ښکاري، مګر ما هیڅکله دا حل په تولید کې نه دی لیدلی. موږ شاوخوا 5 کاله دمخه د Cisco ACI/Juniper SRX/F3 LTM لپاره د خدماتو سلسله ازموینه وکړه ، مګر په هغه وخت کې دا حل موږ ته "خام" ښکاري.
د ساتنې کچه
اوس تاسو اړتیا لرئ دې پوښتنې ته ځواب ووایاست چې کوم وسیلې تاسو غواړئ د ترافیک فلټر کولو لپاره وکاروئ. دلته ځینې ځانګړتیاوې دي چې معمولا په NGFW کې شتون لري (د بیلګې په توګه، ):
- ریاستي فایروالینګ (ډیفالټ)
- د اور وژنې غوښتنلیک
- د ګواښ مخنیوی (انټي ویروس، د سپایویر ضد، او زیانمنتیا)
- د URL فلټر کول
- د معلوماتو فلټر کول (د مینځپانګې فلټر کول)
- د فایل بلاک کول (د فایل ډولونه بلاک کول)
- د ساتنې
او هر څه هم روښانه نه دي. داسې ښکاري چې د ساتنې کچه لوړه وي، ښه. مګر تاسو باید دا هم په پام کې ونیسئ
- د پورته فایر وال افعال څخه چې تاسو یې کاروئ، په طبیعي توګه به ډیر ګران وي (لایسنسونه، اضافي ماډلونه)
- د ځینو الګوریتمونو کارول کولی شي د پام وړ د فایروال انټرپټ کم کړي او ځنډونه هم زیات کړي، د مثال په توګه وګورئ
- د هر پیچلي حل په څیر، د پیچلي محافظت میتودونو کارول کولی شي ستاسو د حل اعتبار کم کړي، د بیلګې په توګه، کله چې د اپلیکیشن فایروالینګ کاروئ، زه د ځینو معیاري کاري غوښتنلیکونو (dns، smb) د بندولو سره مخ شوم.
د تل په څیر، تاسو اړتیا لرئ د خپلې شبکې لپاره غوره حل ومومئ.
دا ناشونې ده چې په دقیق ډول د دې پوښتنې ځواب ووایو چې کوم محافظت دندې ته اړتیا لیدل کیدی شي. لومړی ، ځکه چې دا البته په هغه معلوماتو پورې اړه لري چې تاسو یې لیږدئ یا زیرمه کوئ او د ساتنې هڅه یې کوئ. دوهم، په واقعیت کې، ډیری وختونه د امنیتي وسیلو انتخاب په پلورونکي باندې د باور او باور مسله ده. تاسو الګوریتم نه پیژنئ، تاسو نه پوهیږئ چې دوی څومره اغیزمن دي، او تاسو نشئ کولی په بشپړه توګه ازموینه وکړئ.
له همدې امله، په مهمو برخو کې، یو ښه حل ممکن د مختلفو شرکتونو وړاندیزونو څخه کار واخلي. د مثال په توګه ، تاسو کولی شئ په فایر وال کې انټي ویروس فعال کړئ ، مګر په کوربه کې ځایی ډول د انټي ویروس محافظت (د بل تولید کونکي څخه) هم وکاروئ.
قطع کول
موږ د معلوماتو مرکز شبکې منطقي برخې په اړه خبرې کوو. د مثال په توګه، په VLANs او فرعي نټونو ویشل هم منطقي قطعه ده، مګر موږ به د دې د څرګندتیا له امله په پام کې ونیسو. په زړه پورې طبقه بندي د داسې ادارو په پام کې نیولو سره لکه د FW امنیتي زونونه، VRFs (او د مختلف پلورونکو په تړاو د دوی انلاګونه)، منطقي وسایل (PA VSYS، Cisco N7K VDC، Cisco ACI کرایه دار، ...)، ...
د دې ډول منطقي برخې کولو یوه بیلګه او اوس مهال د غوښتنې ډیټا مرکز ډیزاین کې ورکړل شوی .
ستاسو د شبکې منطقي برخو تعریف کولو سره ، تاسو بیا کولی شئ تشریح کړئ چې ترافیک څنګه د مختلف برخو ترمینځ حرکت کوي ، په کومو وسیلو کې فلټر کول به ترسره کیږي او په کوم وسیله.
که ستاسو شبکه روښانه منطقي برخه ونلري او د مختلف ډیټا جریانونو لپاره د امنیت پالیسیو پلي کولو قواعد رسمي نه وي ، نو دا پدې معنی ده چې کله تاسو دا یا هغه لاسرسی خلاص کړئ ، تاسو مجبور یاست چې دا ستونزه حل کړئ ، او د لوړ احتمال سره تاسو دا به هر وخت په مختلف ډول حل کړي.
ډیری وختونه قطع کول یوازې د FW امنیتي زونونو پراساس دي. بیا تاسو اړتیا لرئ لاندې پوښتنو ته ځواب ووایاست:
- تاسو کوم امنیتي زونونو ته اړتیا لرئ
- تاسو د دې هر زون لپاره د کومې کچې محافظت پلي کول غواړئ
- ایا د زون دننه ترافیک به د ډیفالټ لخوا اجازه ورکړل شي؟
- که نه، په هر زون کې به د ټرافیک فلټر کولو کوم پالیسي پلي شي
- د هرې جوړې زون لپاره به د ټرافیک فلټر کولو پالیسي پلي شي (سرچینه / منزل)
TCAM
یوه عامه ستونزه ناکافي TCAM (Ternary Content Addressable Memory) ده، دواړه د روټینګ او لاسرسي لپاره. IMHO، دا یو له خورا مهم مسلو څخه دی کله چې د تجهیزاتو غوره کول، نو تاسو اړتیا لرئ چې دا مسله د مناسبې درجې پاملرنې سره درملنه وکړئ.
بېلګه 1. د وړاندې کولو جدول TCAM.
راځئ چې وګورو فایروال
موږ ګورو چې د IPv4 فارورډینګ میز اندازه * = 32K
سربیره پردې، د لارو دا شمیر د ټولو VSYSs لپاره عام دی.راځئ چې فرض کړو چې ستاسو د ډیزاین سره سم تاسو د 4 VSYS کارولو پریکړه وکړه.
د دې VSYSs هر یو د BGP له لارې د بادل دوه MPLS PEs سره وصل دی چې تاسو د BB په توګه کاروئ. په دې توګه، 4 VSYS ټولې مشخصې لارې له یو بل سره تبادله کوي او د نږدې ورته ورته لارو سره (مګر مختلف NHs) سره د لیږلو میز لري. ځکه هر VSYS 2 BGP ناستې لري (د ورته ترتیباتو سره)، بیا د MPLS له لارې ترلاسه شوې هره لاره 2 NH لري او په دې اساس، د 2 FIB داخلې په فارورډینګ جدول کې. که موږ فرض کړو چې دا د ډیټا مرکز کې یوازینی فایر وال دی او دا باید د ټولو لارو په اړه پوه شي، نو دا به پدې معنی وي چې زموږ د ډیټا مرکز کې د ټولو لارو شمیر له 32K / (4 * 2) = 4K څخه ډیر نشي کیدی.اوس، که موږ فرض کړو چې موږ د 2 ډیټا مرکزونه لرو (د ورته ډیزاین سره)، او موږ غواړو چې د VLANs "پراخ شوي" د ډیټا مرکزونو ترمنځ وکاروو (د مثال په توګه، د vMotion لپاره)، نو د روټینګ ستونزې حل کولو لپاره، موږ باید د کوربه لارو څخه کار واخلو. . مګر د دې معنی دا ده چې د 2 ډیټا مرکزونو لپاره به موږ له 4096 څخه ډیر احتمالي کوربه ونه لرو او البته ، دا ممکن کافي نه وي.
بېلګه 2. ACL TCAM.
که تاسو پلان لرئ چې په L3 سویچونو کې ترافیک فلټر کړئ (یا نور حلونه چې د L3 سویچونه کاروي ، د مثال په توګه ، سیسکو ACI) ، نو کله چې د تجهیزاتو غوره کول تاسو باید TCAM ACL ته پاملرنه وکړئ.
فرض کړئ چې تاسو غواړئ د سیسکو کتلست 4500 SVI انټرفیس ته لاسرسی کنټرول کړئ. بیا، لکه څنګه چې لیدل کیدی شي ، په انٹرفیسونو کې د وتلو (او همدارنګه راتلونکی) ترافیک کنټرول لپاره ، تاسو کولی شئ یوازې 4096 TCAM لاینونه وکاروئ. کوم چې د TCAM3 کارولو په وخت کې به تاسو ته شاوخوا 4000 زره ACEs (ACL لینونه) درکړي.
که تاسو د ناکافي TCAM ستونزې سره مخ یاست، نو لومړی، البته، تاسو اړتیا لرئ چې د اصلاح کولو امکانات په پام کې ونیسئ. نو، د فارورډینګ جدول د اندازې سره د ستونزې په صورت کې، تاسو اړتیا لرئ چې د راټولولو لارو امکانات په پام کې ونیسئ. د لاسرسي لپاره د TCAM اندازې سره د ستونزې په صورت کې، د پلټنې لاسرسي، زاړه او ډیر شوي ریکارډونه لرې کړئ، او ممکن د لاسرسي پرانیستلو لپاره طرزالعمل بیاکتنه وکړئ (د پلټنې لاسرسي په څپرکي کې به په تفصیل سره بحث وشي).
لوړ شتون
پوښتنه دا ده: ایا زه باید د فایر والونو لپاره HA وکاروم یا دوه خپلواک بکسونه "په موازي ډول" نصب کړم او که یو له دوی څخه ناکام شي، د دویمې لارې ټرافيک ته لاره هواره کړم؟
داسې ښکاري چې ځواب روښانه دی - HA وکاروئ. دلیل چې ولې دا پوښتنه لاهم راپورته کیږي دا دی چې له بده مرغه ، نظریاتي او اعلاناتو 99 او په عمل کې د لاسرسي څو لسیزې سلنه له خورا ګلابي څخه لرې دي. HA په منطقي توګه خورا پیچلی شی دی ، او په مختلف تجهیزاتو کې ، او د مختلف پلورونکو سره (هیڅ استثنا نه وه) ، موږ ستونزې او کیګونه نیولي او د خدماتو مخه نیسي.
که تاسو HA کاروئ، تاسو به د دې فرصت ولرئ چې انفرادي نوډونه بند کړئ، د خدماتو بندولو پرته د دوی ترمنځ تیر کړئ، کوم چې مهم دی، د بیلګې په توګه، کله چې اپ گریڈ کول، مګر په ورته وخت کې تاسو د صفر احتمال څخه لرې لرئ چې دواړه نوډونه. په ورته وخت کې به مات شي ، او دا هم چې راتلونکی اپ گریډ به د پلورونکي ژمنې په څیر په اسانۍ سره پرمخ نه ځي (د دې ستونزې مخه نیول کیدی شي که تاسو د لابراتوار تجهیزاتو کې د نوي کولو ازموینې فرصت ولرئ).
که تاسو HA نه کاروئ، نو د دوه ګوني ناکامۍ له نظره ستاسو خطرونه خورا ټیټ دي (ځکه چې تاسو 2 خپلواک فایروالونه لرئ)، مګر وروسته له دې ... سیشنونه همغږي شوي ندي ، نو هرکله چې تاسو د دې فایر والونو ترمینځ تیر کړئ تاسو به ترافیک له لاسه ورکړئ. تاسو کولی شئ ، البته ، د بې ریاسته فایر والنګ وکاروئ ، مګر بیا د فایر وال کارولو نقطه په پراخه کچه له لاسه ورکړې.
له همدې امله ، که د پلټنې په پایله کې تاسو یوازینۍ فایروالونه ومومئ ، او تاسو د خپلې شبکې اعتبار ډیرولو په اړه فکر کوئ ، نو HA ، البته ، یو له وړاندیز شوي حلونو څخه دی ، مګر تاسو باید اړوند زیانونه هم په پام کې ونیسئ. د دې طریقې سره او شاید، په ځانګړې توګه ستاسو د شبکې لپاره، بل حل به ډیر مناسب وي.
مدیریت
په اصولو کې، HA د کنټرول په اړه هم دی. د دې پرځای چې 2 بکسونه په جلا توګه تنظیم کړئ او په ترکیب کې د ترتیبونو ساتلو ستونزې سره معامله وکړئ ، تاسو دوی دومره اداره کوئ لکه څنګه چې تاسو یوه وسیله درلوده.
مګر شاید تاسو ډیری ډیټا مرکزونه او ډیری فایروالونه لرئ ، نو دا پوښتنه په نوې کچه راپورته کیږي. او پوښتنه نه یوازې د ترتیب په اړه ده، بلکې په اړه هم
- بیک اپ تشکیلات
- تازه معلومات
- لوړول
- څارنه
- ننوتل
او دا ټول د مرکزي مدیریت سیسټمونو لخوا حل کیدی شي.
نو، د مثال په توګه، که تاسو د پالو الټو فایروالونه کاروئ، بیا دا ډول حل دی.
دوام ته دوام ورکول.
سرچینه: www.habr.com