دا ټول په کارمندانو او میلمنو (یا شریکانو) باندې تطبیق کیږي، او دا د شرکت انجنیرانو دنده ده چې د واک پر بنسټ د مختلف کاروونکو ګروپونو لپاره د لاسرسي توپیر وکړي.
راځئ چې د دغو اړخونو هر یو په لږ تفصیل سره وګورو.
خوځیدنه
موږ د کار کولو فرصت په اړه خبرې کوو او د نړۍ له هر ځای څخه د شرکت ټولې اړین سرچینې وکاروو (البته ، چیرې چې انټرنیټ شتون لري).
دا په بشپړه توګه په دفتر کې تطبیق کیږي. دا مناسب دی کله چې تاسو فرصت لرئ چې په دفتر کې له هر ځای څخه کار ته دوام ورکړئ، د بیلګې په توګه، بریښنالیک ترلاسه کړئ، په کارپوریټ میسنجر کې اړیکه ونیسئ، د ویډیو کال لپاره شتون ولرئ، ... پدې توګه، دا تاسو ته اجازه درکوي، له یوې خوا، د ځینو مسلو د حل لپاره "ژوندۍ" اړیکه (د بیلګې په توګه، په لاریونونو کې برخه واخلئ)، او له بلې خوا، تل آنلاین اوسئ، خپل ګوتې په نبض کې وساتئ او په چټکۍ سره ځینې لوړ لومړیتوبونه حل کړئ. دا خورا اسانه دی او واقعیا د مخابراتو کیفیت ښه کوي.
دا د مناسب وائی فای شبکې ډیزاین لخوا ترلاسه کیږي.
یادونه
دلته معمولا پوښتنه راپورته کیږي: ایا دا یوازې د وائی فای کارول کافي دي؟ ایا دا پدې معنی ده چې تاسو کولی شئ په دفتر کې د ایترنیټ بندرونو کارولو مخه ونیسئ؟ که موږ یوازې د کاروونکو په اړه وغږیږو ، او نه د سرورونو په اړه ، کوم چې لاهم د منظم ایترنیټ بندر سره وصل کولو لپاره مناسب دي ، نو په عموم کې ځواب دا دی: هو ، تاسو کولی شئ ځان یوازې وائی فای ته محدود کړئ. خو nuances شتون لري.
کیدای شي ستاسو په شرکت کې نورې ډلې / څانګې شتون ولري چې دا فکتورونه هم مهم دي.
بل مهم ټکی دی - ټیلیفوني. شاید د کوم دلیل لپاره تاسو نه غواړئ د بې سیم VoIP وکاروئ او غواړئ د منظم ایترنیټ اتصال سره IP تلیفونونه وکاروئ.
په عموم کې ، هغه شرکتونه چې ما لپاره کار کاوه معمولا دواړه د وائی فای ارتباط او ایترنیټ بندر درلود.
زه غواړم خوځښت یوازې په دفتر پورې محدود نه وي.
د کور څخه د کار کولو وړتیا ډاډ ترلاسه کولو لپاره (یا د لاسرسي وړ انټرنیټ سره کوم بل ځای) ، د VPN اتصال کارول کیږي. په ورته وخت کې، دا د پام وړ ده چې کارمندان د کور څخه د کار کولو او لیرې کار کولو ترمنځ توپیر احساس نکړي، کوم چې ورته ورته لاسرسۍ په غاړه لري. موږ به په دې اړه بحث وکړو چې دا څنګه تنظیم کړو یو څه وروسته په څپرکي کې "متحد مرکزي تصدیق او واک ورکولو سیسټم."
یادونه
ډیری احتمال، تاسو به نشئ کولی په بشپړ ډول د لیرې پرتو کارونو لپاره د ورته کیفیت خدماتو چمتو کړئ چې تاسو په دفتر کې لرئ. راځئ چې فرض کړو چې تاسو د خپل VPN دروازې په توګه د سیسکو ASA 5520 کاروئ. د ډاټا پاڼې دا وسیله د VPN ترافیک یوازې 225 Mbit "هضم" کولو وړتیا لري. دا ، البته ، د بینډ ویت په شرایطو کې ، د VPN له لارې وصل کول د دفتر څخه کار کولو څخه خورا توپیر لري. همچنان ، که د کوم دلیل لپاره ، ستاسو د شبکې خدماتو لپاره ځنډ ، ضایع کول ، جټټر (د مثال په توګه ، تاسو غواړئ د دفتر IP تلیفون وکاروئ) د پام وړ وي ، نو تاسو به ورته کیفیت ترلاسه نه کړئ لکه څنګه چې تاسو په دفتر کې یاست. نو ځکه، کله چې د خوځښت په اړه خبرې کوو، موږ باید د احتمالي محدودیتونو څخه خبر شو.
د شرکت ټولو سرچینو ته اسانه لاسرسی
دا کار باید د نورو تخنیکي څانګو سره په ګډه حل شي.
مثالی حالت هغه وخت دی چې کاروونکي یوازې یو ځل تصدیق کولو ته اړتیا لري، او له هغې وروسته هغه ټولو اړینو سرچینو ته لاسرسی لري.
د امنیت قرباني کولو پرته د اسانه لاسرسي چمتو کول کولی شي د پام وړ محصول ښه کړي او ستاسو د همکارانو ترمینځ فشار کم کړي.
یادونه 1
د لاسرسي اسانتیا یوازې پدې پورې اړه نلري چې تاسو څو ځله پاسورډ داخل کړئ. که ، د مثال په توګه ، ستاسو د امنیت پالیسۍ سره سم ، د دفتر څخه ډیټا مرکز ته د وصل کیدو لپاره ، تاسو باید لومړی د VPN دروازې سره وصل شئ ، او په ورته وخت کې تاسو د دفتر سرچینو ته لاسرسی له لاسه ورکړئ ، نو دا هم خورا ډیر دی. ، ډیر نا آرامه.
یادونه 2
دلته خدمتونه شتون لري (د مثال په توګه ، د شبکې تجهیزاتو ته لاسرسی) چیرې چې موږ معمولا خپل وقف شوي AAA سرورونه لرو او دا نورمال دی کله چې پدې حالت کې موږ باید څو ځله تصدیق وکړو.
د انټرنیټ سرچینو شتون
انټرنیټ نه یوازې تفریحي، بلکې د خدماتو مجموعه هم ده چې د کار لپاره خورا ګټور کیدی شي. خالص رواني عوامل هم شتون لري. یو عصري سړی د ډیری مجازی تارونو له لارې د انټرنیټ له لارې د نورو خلکو سره وصل دی، او زما په اند، هیڅ شی غلط نه دی که چیرې هغه د کار کولو په وخت کې د دې اړیکې احساس ته دوام ورکړي.
د وخت ضایع کولو له نظره، هیڅ غلط نه دی که چیرې یو کارمند، د بیلګې په توګه، سکایپ چلوي او د اړتیا په صورت کې 5 دقیقې د یو عزیز سره اړیکه ونیسي.
ایا دا پدې معنی ده چې انټرنیټ باید تل شتون ولري، ایا دا پدې معنی ده چې کارمندان کولی شي ټولو سرچینو ته لاسرسۍ ولري او په هیڅ ډول یې کنټرول نه کړي؟
نه دا پدې معنی نه ده، البته. د انټرنیټ د خلاصیدو کچه د مختلف شرکتونو لپاره توپیر کولی شي - د بشپړ بندیدو څخه تر بشپړ خلاصیدو پورې. موږ به وروسته د امنیتي تدابیرو په برخو کې د ترافیک کنټرول پر لارو بحث وکړو.
د ریورس ترافیک په اړه خبرې کول ، موږ باید په یاد ولرو چې موږ لاندې فرصت لرو (سیسکو)
اجازه راکړئ tcp هر ډول تاسیس شوی
مګر تاسو باید پوه شئ چې دا کرښه د دوو کرښو سره مساوي ده:
اجازه راکړئ tcp هر ډول ack
اجازه راکړئ tcp هر ډول rst
د دې معنی دا ده چې حتی که چیرې د SYN بیرغ سره د TCP لومړنۍ برخه نه وي (یعنې د TCP سیشن حتی رامینځته کول هم ندي پیل شوي) ، دا ACL به د ACK بیرغ سره یو پاکټ ته اجازه ورکړي ، کوم چې برید کونکی کولی شي د معلوماتو لیږدولو لپاره وکاروي.
دا دی، دا کرښه په هیڅ صورت کې ستاسو روټر یا L3 سویچ په بشپړ فایر وال کې نه بدلوي.
د هر سبنیټ لپاره ډیفالټ ګیټ ویچ یو سویچ دی، پداسې حال کې چې فایر وال په شفاف حالت کې دی (دا دی، ټول ټرافیک له هغې څخه تیریږي، مګر دا د L3 هپ نه جوړوي)
د هر سبنیټ لپاره ډیفالټ ګیټس د فایروال فرعي انٹرفیس (یا SVI انٹرفیس) دی ، سویچ د L2 رول لوبوي
مختلف VRFs په سویچ کې کارول کیږي ، او د VRFs ترمینځ ترافیک د اور وال له لارې تیریږي ، په یوه VRF کې ترافیک په سویچ کې د ACL لخوا کنټرول کیږي
ټول ټرافیک د تحلیل او څارنې لپاره د اور وژنې وال ته منعکس شوی؛ ټرافيک د هغې له لارې نه تیریږي
یادونه 1
د دې اختیارونو ترکیب ممکن دی، مګر د سادگي لپاره موږ به دوی ته پام ونه کړو.
نوټ2
د PBR (د خدماتو سلسلې جوړښت) کارولو امکان هم شتون لري ، مګر د اوس لپاره دا ، که څه هم زما په نظر یو ښکلی حل دی ، بلکه بهرني دی ، نو زه یې دلته په پام کې نه نیسم.
په سند کې د جریانونو توضیحاتو څخه ، موږ ګورو چې ترافیک لاهم د اور وژنې له لارې تیریږي ، دا د سیسکو ډیزاین سره سم ، څلورم اختیار له مینځه وړل شوی.
راځئ چې لومړی لومړی دوه اختیارونه وګورو.
د دې اختیارونو سره، ټول ټرافیک د اور وژنې له لارې تیریږي.
ایا دا پدې معنی ده چې دا ډیزاین غلط دی؟
نه، دا پدې معنی نه ده. سیسکو تاسو ته د محصول لاین پراساس غوره ممکنه محافظت درکوي چې دا یې لري. مګر دا پدې معنی ندي چې دا ستاسو لپاره اړین دی.
په اصولو کې ، دا یوه عامه پوښتنه ده چې د دفتر یا ډیټا مرکز ډیزاین کولو پرمهال راپورته کیږي ، او دا یوازې پدې معنی ده چې جوړجاړي ته اړتیا لري.
د مثال په توګه، اجازه مه ورکوئ چې ټول ټرافیک د فایروال له لارې تیر شي، په دې حالت کې 3 اختیار زما لپاره خورا ښه ښکاري، یا (پخوانۍ برخه وګورئ) شاید تاسو د ګواښ دفاع ته اړتیا نلرئ یا په دې کې هیڅ فایر وال ته اړتیا نلرئ. د شبکې برخه، او تاسو اړتیا لرئ د تادیه شوي (نه ګران) یا خلاصې سرچینې حلونو په کارولو سره غیر فعال نظارت ته ځان محدود کړئ ، یا تاسو فایر وال ته اړتیا لرئ ، مګر د مختلف پلورونکي څخه.
معمولا تل دا ناڅرګندتیا شتون لري او هیڅ روښانه ځواب شتون نلري چې ستاسو لپاره کومه پریکړه غوره ده.
دا د دې کار پیچلتیا او ښکلا ده.