ProHoster > بلاګ > اداره > ستاسو د شبکې زیربنا څنګه کنټرول کړئ. دریم څپرکی. د شبکې امنیت. دریمه برخه

ستاسو د شبکې زیربنا څنګه کنټرول کړئ. دریم څپرکی. د شبکې امنیت. دریمه برخه

دا مقاله د لړۍ پنځمه ده "څنګه ستاسو د شبکې زیربنا کنټرول کړئ." په لړۍ او لینکونو کې د ټولو مقالو مینځپانګه موندل کیدی شي دلته.

دا برخه به د کیمپس (دفتر) او لیرې لاسرسي VPN برخو ته وقف شي.

ستاسو د شبکې زیربنا څنګه کنټرول کړئ. دریم څپرکی. د شبکې امنیت. دریمه برخه

د دفتر شبکې ډیزاین ممکن اسانه ښکاري.

په حقیقت کې، موږ L2 / L3 سویچونه اخلو او یو بل سره یې وصل کوو. بیا ، موږ د ویلانونو او ډیفالټ ګیټیو لومړني تنظیمات ترسره کوو ، ساده روټینګ تنظیم کوو ، د وائی فای کنټرولرونه وصل کړئ ، د لاسرسي نقطې ، د لرې لاسرسي لپاره ASA نصب او تنظیم کړئ ، موږ خوښ یو چې هرڅه کار کوي. اساسا ، لکه څنګه چې ما دمخه په یوه کې لیکلي مقالې د دې دورې په جریان کې، نږدې هر هغه زده کوونکی چې د مخابراتو کورس دوه سمسترونو کې برخه اخیستې (او زده کړې) کولی شي د دفتر شبکه ډیزاین او ترتیب کړي ترڅو دا "په یو ډول کار کوي."

مګر څومره چې تاسو زده کوئ، دا کار لږ ساده ښکاري. زما لپاره په شخصي توګه، دا موضوع، د دفتر شبکې ډیزاین موضوع، په ساده ډول نه ښکاري، او پدې مقاله کې به زه هڅه وکړم چې تشریح کړم چې ولې.

په لنډه توګه، د پام وړ یو څو عوامل شتون لري. ډیری وختونه دا فکتورونه یو له بل سره په ټکر کې وي او یو معقول جوړجاړی ته اړتیا لري.
دا ناڅرګندتیا اصلي ستونزه ده. نو، د امنیت په اړه خبرې کول، موږ یو مثلث لرو چې درې عمودی لري: امنیت، د کارمندانو اسانتیا، د حل قیمت.
او هر وخت تاسو باید د دې دریو ترمینځ جوړجاړی په لټه کې شئ.

معمارۍ

د دې دوو برخو لپاره د معمارۍ مثال په توګه، لکه څنګه چې په تیرو مقالو کې، زه وړاندیز کوم سیسکو سیف ماډل: د تصدۍ کیمپس, د تصدۍ انټرنیټ څنډه.

دا یو څه زاړه اسناد دي. زه یې دلته وړاندې کوم ځکه چې بنسټیز سکیمونه او طریقې نه دي بدل شوي، مګر په ورته وخت کې زه د پریزنټشن په پرتله ډیر خوښوم. نوي اسناد.

پرته لدې چې تاسو د سیسکو حلونو کارولو ته وهڅوئ ، زه لاهم فکر کوم چې دا ګټور دی چې دا ډیزاین په دقت سره مطالعه کړئ.

دا مقاله، د معمول په څیر، په هیڅ ډول د بشپړیدو ښکارندوی نه کوي، بلکه د دې معلوماتو اضافه ده.

د مقالې په پای کې، موږ به د سیسکو SAFE دفتر ډیزاین د هغه مفکورو په اساس تحلیل کړو چې دلته تشریح شوي.

عمومي اصول

د دفتر شبکې ډیزاین باید، البته، عمومي اړتیاوې پوره کړي چې بحث شوي دلته په څپرکي کې "د ډیزاین کیفیت ارزولو معیارونه". د قیمت او خوندیتوب سربیره، کوم چې موږ په دې مقاله کې د بحث کولو اراده لرو، لاهم درې معیارونه شتون لري چې موږ باید د ډیزاین کولو (یا بدلونونو کولو) په وخت کې په پام کې ونیسو:

  • اندازه کولو وړتیا
  • د کارولو اسانتیا (مدیریت)
  • شتون

ډیری د هغه څه لپاره بحث شوی د معلوماتو مرکزونه دا د دفتر لپاره هم ریښتیا ده.

مګر بیا هم، د دفتر برخه خپل ځانګړتیاوې لري، کوم چې د امنیت له نظره مهم دي. د دې ځانګړتیا جوهر دا دی چې دا برخه د شرکت کارمندانو (همدارنګه شریکانو او میلمنو) ته د شبکې خدماتو چمتو کولو لپاره رامینځته شوې ، او د پایلې په توګه ، د ستونزې په لوړه کچه په پام کې نیولو سره موږ دوه دندې لرو:

  • د شرکت سرچینې د ناوړه کړنو څخه خوندي کړئ چې ممکن د کارمندانو (میلمنو، شریکانو) او د هغه سافټویر څخه چې دوی یې کاروي. پدې کې د شبکې سره د غیر مجاز اتصال پروړاندې محافظت هم شامل دی.
  • د سیسټمونو او کاروونکو معلوماتو ساتنه

او دا د ستونزې یوازې یو اړخ دی (یا بلکه د مثلث یو عمودی). له بلې خوا د کارونکي اسانتیا او د کارول شوي حلونو قیمت دی.

راځئ چې د دې په لټه کې پیل وکړو چې یو کاروونکي د عصري دفتر شبکې څخه څه تمه لري.

اسانتیاوې

دلته د "شبکې اسانتیاوې" زما په نظر د دفتر کارونکي لپاره څه ښکاري:

  • خوځیدنه
  • د پیژندل شوي وسیلو او عملیاتي سیسټمونو بشپړ لړۍ کارولو وړتیا
  • د شرکت ټولو اړینو سرچینو ته اسانه لاسرسی
  • د مختلف بادل خدماتو په شمول د انټرنیټ سرچینو شتون
  • د شبکې "چټک عملیات".

دا ټول په کارمندانو او میلمنو (یا شریکانو) باندې تطبیق کیږي، او دا د شرکت انجنیرانو دنده ده چې د واک پر بنسټ د مختلف کاروونکو ګروپونو لپاره د لاسرسي توپیر وکړي.

راځئ چې د دغو اړخونو هر یو په لږ تفصیل سره وګورو.

خوځیدنه

موږ د کار کولو فرصت په اړه خبرې کوو او د نړۍ له هر ځای څخه د شرکت ټولې اړین سرچینې وکاروو (البته ، چیرې چې انټرنیټ شتون لري).

دا په بشپړه توګه په دفتر کې تطبیق کیږي. دا مناسب دی کله چې تاسو فرصت لرئ چې په دفتر کې له هر ځای څخه کار ته دوام ورکړئ، د بیلګې په توګه، بریښنالیک ترلاسه کړئ، په کارپوریټ میسنجر کې اړیکه ونیسئ، د ویډیو کال لپاره شتون ولرئ، ... پدې توګه، دا تاسو ته اجازه درکوي، له یوې خوا، د ځینو مسلو د حل لپاره "ژوندۍ" اړیکه (د بیلګې په توګه، په لاریونونو کې برخه واخلئ)، او له بلې خوا، تل آنلاین اوسئ، خپل ګوتې په نبض کې وساتئ او په چټکۍ سره ځینې لوړ لومړیتوبونه حل کړئ. دا خورا اسانه دی او واقعیا د مخابراتو کیفیت ښه کوي.

دا د مناسب وائی فای شبکې ډیزاین لخوا ترلاسه کیږي.

یادونه

دلته معمولا پوښتنه راپورته کیږي: ایا دا یوازې د وائی فای کارول کافي دي؟ ایا دا پدې معنی ده چې تاسو کولی شئ په دفتر کې د ایترنیټ بندرونو کارولو مخه ونیسئ؟ که موږ یوازې د کاروونکو په اړه وغږیږو ، او نه د سرورونو په اړه ، کوم چې لاهم د منظم ایترنیټ بندر سره وصل کولو لپاره مناسب دي ، نو په عموم کې ځواب دا دی: هو ، تاسو کولی شئ ځان یوازې وائی فای ته محدود کړئ. خو nuances شتون لري.

د کاروونکو مهمې ډلې شتون لري چې جلا طریقې ته اړتیا لري. دا، البته، مدیران دي. په اصولو کې، د وائی فای اتصال لږ د اعتبار وړ دی (د ټرافیک له لاسه ورکولو په شرایطو کې) او د منظم ایترنیټ بندر په پرتله ورو دی. دا د مدیرانو لپاره د پام وړ کیدی شي. برسېره پردې، د شبکې مدیران، د بیلګې په توګه، کولی شي، په اصولو کې، د بډ څخه بهر اړیکو لپاره خپل وقف ایترنیټ شبکه ولري.

کیدای شي ستاسو په شرکت کې نورې ډلې / څانګې شتون ولري چې دا فکتورونه هم مهم دي.

بل مهم ټکی دی - ټیلیفوني. شاید د کوم دلیل لپاره تاسو نه غواړئ د بې سیم VoIP وکاروئ او غواړئ د منظم ایترنیټ اتصال سره IP تلیفونونه وکاروئ.

په عموم کې ، هغه شرکتونه چې ما لپاره کار کاوه معمولا دواړه د وائی فای ارتباط او ایترنیټ بندر درلود.

زه غواړم خوځښت یوازې په دفتر پورې محدود نه وي.

د کور څخه د کار کولو وړتیا ډاډ ترلاسه کولو لپاره (یا د لاسرسي وړ انټرنیټ سره کوم بل ځای) ، د VPN اتصال کارول کیږي. په ورته وخت کې، دا د پام وړ ده چې کارمندان د کور څخه د کار کولو او لیرې کار کولو ترمنځ توپیر احساس نکړي، کوم چې ورته ورته لاسرسۍ په غاړه لري. موږ به په دې اړه بحث وکړو چې دا څنګه تنظیم کړو یو څه وروسته په څپرکي کې "متحد مرکزي تصدیق او واک ورکولو سیسټم."

یادونه

ډیری احتمال، تاسو به نشئ کولی په بشپړ ډول د لیرې پرتو کارونو لپاره د ورته کیفیت خدماتو چمتو کړئ چې تاسو په دفتر کې لرئ. راځئ چې فرض کړو چې تاسو د خپل VPN دروازې په توګه د سیسکو ASA 5520 کاروئ. د ډاټا پاڼې دا وسیله د VPN ترافیک یوازې 225 Mbit "هضم" کولو وړتیا لري. دا ، البته ، د بینډ ویت په شرایطو کې ، د VPN له لارې وصل کول د دفتر څخه کار کولو څخه خورا توپیر لري. همچنان ، که د کوم دلیل لپاره ، ستاسو د شبکې خدماتو لپاره ځنډ ، ضایع کول ، جټټر (د مثال په توګه ، تاسو غواړئ د دفتر IP تلیفون وکاروئ) د پام وړ وي ، نو تاسو به ورته کیفیت ترلاسه نه کړئ لکه څنګه چې تاسو په دفتر کې یاست. نو ځکه، کله چې د خوځښت په اړه خبرې کوو، موږ باید د احتمالي محدودیتونو څخه خبر شو.

د شرکت ټولو سرچینو ته اسانه لاسرسی

دا کار باید د نورو تخنیکي څانګو سره په ګډه حل شي.
مثالی حالت هغه وخت دی چې کاروونکي یوازې یو ځل تصدیق کولو ته اړتیا لري، او له هغې وروسته هغه ټولو اړینو سرچینو ته لاسرسی لري.
د امنیت قرباني کولو پرته د اسانه لاسرسي چمتو کول کولی شي د پام وړ محصول ښه کړي او ستاسو د همکارانو ترمینځ فشار کم کړي.

یادونه 1

د لاسرسي اسانتیا یوازې پدې پورې اړه نلري چې تاسو څو ځله پاسورډ داخل کړئ. که ، د مثال په توګه ، ستاسو د امنیت پالیسۍ سره سم ، د دفتر څخه ډیټا مرکز ته د وصل کیدو لپاره ، تاسو باید لومړی د VPN دروازې سره وصل شئ ، او په ورته وخت کې تاسو د دفتر سرچینو ته لاسرسی له لاسه ورکړئ ، نو دا هم خورا ډیر دی. ، ډیر نا آرامه.

یادونه 2

دلته خدمتونه شتون لري (د مثال په توګه ، د شبکې تجهیزاتو ته لاسرسی) چیرې چې موږ معمولا خپل وقف شوي AAA سرورونه لرو او دا نورمال دی کله چې پدې حالت کې موږ باید څو ځله تصدیق وکړو.

د انټرنیټ سرچینو شتون

انټرنیټ نه یوازې تفریحي، بلکې د خدماتو مجموعه هم ده چې د کار لپاره خورا ګټور کیدی شي. خالص رواني عوامل هم شتون لري. یو عصري سړی د ډیری مجازی تارونو له لارې د انټرنیټ له لارې د نورو خلکو سره وصل دی، او زما په اند، هیڅ شی غلط نه دی که چیرې هغه د کار کولو په وخت کې د دې اړیکې احساس ته دوام ورکړي.

د وخت ضایع کولو له نظره، هیڅ غلط نه دی که چیرې یو کارمند، د بیلګې په توګه، سکایپ چلوي او د اړتیا په صورت کې 5 دقیقې د یو عزیز سره اړیکه ونیسي.

ایا دا پدې معنی ده چې انټرنیټ باید تل شتون ولري، ایا دا پدې معنی ده چې کارمندان کولی شي ټولو سرچینو ته لاسرسۍ ولري او په هیڅ ډول یې کنټرول نه کړي؟

نه دا پدې معنی نه ده، البته. د انټرنیټ د خلاصیدو کچه د مختلف شرکتونو لپاره توپیر کولی شي - د بشپړ بندیدو څخه تر بشپړ خلاصیدو پورې. موږ به وروسته د امنیتي تدابیرو په برخو کې د ترافیک کنټرول پر لارو بحث وکړو.

د پیژندل شوي وسیلو بشپړ لړۍ کارولو وړتیا

دا مناسبه ده کله چې، د مثال په توګه، تاسو فرصت لرئ چې د اړیکو د ټولو وسیلو کارولو ته دوام ورکړئ چې تاسو په کار کې عادت یاست. په تخنیکي توګه د دې پلي کولو کې کومه ستونزه نشته. د دې لپاره تاسو وائی فای او میلمه ویلان ته اړتیا لرئ.

دا هم ښه ده که تاسو د هغه عملیاتي سیسټم کارولو فرصت ولرئ چې تاسو یې عادت یاست. مګر، زما په مشاهده کې، دا معمولا یوازې مدیرانو، مدیرانو او پراختیا کونکو ته اجازه ورکول کیږي.

بېلګه:

تاسو کولی شئ، البته، د ممنوعیت لاره تعقیب کړئ، د ریموټ لاسرسي منع کول، د ګرځنده وسیلو سره نښلول منع کړئ، هر څه په جامد ایترنیټ اتصالاتو پورې محدود کړئ، انټرنیټ ته لاسرسی محدود کړئ، په پوسته کې ګرځنده تلیفونونه او وسایل په اجباري ډول ضبط کړئ ... او دا لاره په حقیقت کې د ځینو سازمانونو لخوا تعقیب کیږي چې د امنیتي اړتیاو زیاتوالی لري، او شاید په ځینو مواردو کې دا توجیه وي، مګر ... تاسو باید موافقه وکړئ چې دا په یوه اداره کې د پرمختګ مخه نیولو هڅه ښکاري. البته، زه غواړم هغه فرصتونه یوځای کړم چې عصري ټیکنالوژي د کافي کچې امنیت سره چمتو کوي.

د شبکې "چټک عملیات".

د ډیټا لیږد سرعت تخنیکي پلوه ډیری فاکتورونه لري. او ستاسو د اتصال بندر سرعت معمولا ترټولو مهم ندی. د غوښتنلیک ورو عملیات تل د شبکې ستونزو سره تړاو نلري ، مګر د اوس لپاره موږ یوازې د شبکې برخې سره علاقه لرو. د محلي شبکې "سست" سره ترټولو عام ستونزه د پیکټ له لاسه ورکولو سره تړاو لري. دا معمولا واقع کیږي کله چې د خنډ یا L1 (OSI) ستونزې شتون ولري. په ندرت سره ، د ځینې ډیزاینونو سره (د مثال په توګه ، کله چې ستاسو فرعي سایټونه د ډیفالټ دروازې په توګه فایر وال لري او پدې توګه ټول ترافیک له هغې څخه تیریږي) ، د هارډویر فعالیت ممکن کم وي.

له همدې امله ، کله چې د تجهیزاتو او معمارۍ غوره کول ، تاسو اړتیا لرئ د پای بندرونو سرعت ، تنې او تجهیزاتو فعالیت سره اړیکه ونیسئ.

بېلګه:

راځئ فرض کړئ چې تاسو د 1 ګیګابایټ بندرونو سره سویچونه د لاسرسي پرت سویچونو په توګه کاروئ. دوی د Etherchannel 2 x 10 ګیګابایټ له لارې یو له بل سره وصل دي. د ډیفالټ دروازې په توګه ، تاسو د ګیګابایټ بندرونو سره فایر وال کاروئ ، ترڅو د L2 دفتر شبکې سره وصل شئ چې تاسو 2 ګیګابایټ بندرونه په ایترچینل کې ګډ کړئ.

دا جوړښت د فعالیت له نظره خورا مناسب دی، ځکه چې ... ټول ټرافیک د فایر وال له لارې تیریږي، او تاسو کولی شئ په آرامۍ سره د لاسرسي پالیسۍ اداره کړئ، او د ټرافیک کنټرول او د احتمالي بریدونو مخنیوي لپاره پیچلي الګوریتمونه پلي کړئ (لاندې وګورئ)، مګر دا ډیزاین، البته، احتمالي ستونزې لري. نو، د مثال په توګه، د 2 کوربه ډیټا ډاونلوډ کول (د 1 ګیګابایټ پورټ سرعت سره) کولی شي په بشپړ ډول د 2 ګیګابایټ اتصال فایر وال ته پورته کړي ، او پدې توګه د ټولې دفتر برخې لپاره د خدماتو تخریب لامل کیږي.

موږ د مثلث یوه څنډه لیدلې، اوس راځئ چې وګورو چې څنګه موږ کولی شو امنیت ډاډمن کړو.

درملنې

نو، البته، معمولا زموږ هیله (یا بلکه، زموږ د مدیریت هیله) د ناممکن لاسته راوړلو لپاره، د بیلګې په توګه، د اعظمي امنیت او لږترلږه لګښت سره اعظمي اسانتیا چمتو کول.

راځئ وګورو چې موږ د محافظت چمتو کولو لپاره کوم میتودونه لرو.

د دفتر لپاره، زه به لاندې روښانه کړم:

  • د ډیزاین لپاره د صفر باور لاره
  • د ساتنې لوړه کچه
  • د شبکې لید
  • متحد مرکزي شوي تصدیق او واک ورکولو سیسټم
  • کوربه چک کول

بیا، موږ به د دې هر اړخ په اړه یو څه نور تفصیل په پام کې ونیسو.

د صفر باور

د معلوماتي ټکنالوجۍ نړۍ په چټکۍ سره بدلیږي. یوازې په تیرو 10 کلونو کې، د نویو ټیکنالوژیو او محصولاتو ظهور د امنیتي مفکورو لوی بیاکتنې لامل شوی. لس کاله دمخه، د امنیت له نظره، موږ شبکه د اعتماد، dmz او بې باورۍ په زونونو ویشله، او د "پریمیټ محافظت" په نوم یې کارولې، چیرې چې د دفاع دوه کرښې وې: بې باوري -> dmz او dmz -> باور همدارنګه، محافظت معمولا د L2/L3 (OSI) سرلیکونو (IP، TCP/UDP بندرونو، TCP بیرغونو) پراساس لیستونو ته لاسرسی محدود و. د لوړې کچې پورې اړوند هرڅه، د L4 په شمول، د OS او امنیت محصولاتو ته پاتې شوي چې په پای کې کوربه نصب شوي.

اوس وضعیت په ډراماتیک ډول بدل شوی دی. عصري مفهوم صفر باور د دې حقیقت څخه راځي چې دا نور امکان نلري چې داخلي سیسټمونه په پام کې ونیول شي، دا هغه څوک دي چې د احاطې دننه موقعیت لري، د باور په توګه، او پخپله د احاطې مفهوم تیاره شوی.
د انټرنیټ اتصال سربیره موږ هم لرو

  • لیرې لاسرسي VPN کاروونکي
  • مختلف شخصي وسایل، لپټاپونه راوړل، د دفتر وائی فای له لارې وصل شوي
  • نور (څانګې) دفترونه
  • د بادل زیربنا سره ادغام

د صفر اعتماد چلند په عمل کې څه ښکاري؟

په عین حال کې، یوازې هغه ټرافیک چې اړین وي باید اجازه ورکړل شي او، که موږ د مثال په اړه خبرې کوو، نو کنټرول باید نه یوازې د L3 / L4 په کچه وي، مګر د غوښتنلیک په کچه.

که د مثال په توګه، تاسو د دې وړتیا لرئ چې ټول ټرافیک د اور وژونکي له لارې تیر کړئ، نو تاسو کوالی شئ مثالی ته نږدې شئ. مګر دا طریقه کولی شي ستاسو د شبکې ټول بینډ ویت د پام وړ کم کړي، او سربیره پردې، د غوښتنلیک لخوا فلټر کول تل ښه کار نه کوي.

کله چې په روټر یا L3 سویچ کې ترافیک کنټرول کړئ (د معیاري ACLs په کارولو سره) ، تاسو د نورو ستونزو سره مخ شئ:

  • دا یوازې L3/L4 فلټر کول دي. هیڅ شی شتون نلري چې برید کونکي د دوی غوښتنلیک لپاره اجازه ورکړل شوي بندرونو (د مثال په توګه TCP 80) کارولو مخه ونیسي (نه http)
  • پیچلي ACL مدیریت (د ACLs تجزیه کول مشکل)
  • دا یو دولتي فایر وال ندی، پدې معنی چې تاسو اړتیا لرئ په واضح ډول د ریورس ټرافیک ته اجازه ورکړئ
  • د سویچونو سره تاسو معمولا د TCAM اندازې لخوا خورا سخت محدود یاست ، کوم چې په چټکۍ سره ستونزه رامینځته کیدی شي که تاسو "یوازې هغه څه ته اجازه ورکړئ چې تاسو ورته اړتیا لرئ" چلند وکړئ.

یادونه

د ریورس ترافیک په اړه خبرې کول ، موږ باید په یاد ولرو چې موږ لاندې فرصت لرو (سیسکو)

اجازه راکړئ tcp هر ډول تاسیس شوی

مګر تاسو باید پوه شئ چې دا کرښه د دوو کرښو سره مساوي ده:
اجازه راکړئ tcp هر ډول ack
اجازه راکړئ tcp هر ډول rst

د دې معنی دا ده چې حتی که چیرې د SYN بیرغ سره د TCP لومړنۍ برخه نه وي (یعنې د TCP سیشن حتی رامینځته کول هم ندي پیل شوي) ، دا ACL به د ACK بیرغ سره یو پاکټ ته اجازه ورکړي ، کوم چې برید کونکی کولی شي د معلوماتو لیږدولو لپاره وکاروي.

دا دی، دا کرښه په هیڅ صورت کې ستاسو روټر یا L3 سویچ په بشپړ فایر وال کې نه بدلوي.

د ساتنې لوړه کچه

В مقالې د معلوماتو مرکزونو په برخه کې، موږ د ساتنې لاندې میتودونه په پام کې نیولي.

  • ریاستي فایروالینګ (ډیفالټ)
  • ddos/dos محافظت
  • د اور وژنې غوښتنلیک
  • د ګواښ مخنیوی (انټي ویروس، د سپایویر ضد، او زیانمنتیا)
  • د URL فلټر کول
  • د معلوماتو فلټر کول (د مینځپانګې فلټر کول)
  • د فایل بلاک کول (د فایل ډولونه بلاک کول)

د دفتر په قضیه کې، وضعیت ورته دی، مګر لومړیتوبونه یو څه توپیر لري. د دفتر شتون (موجودیت) معمولا د ډیټا مرکز په قضیه کې دومره مهم ندي ، پداسې حال کې چې د "داخلي" ناوړه ترافیک احتمال د لوړ مقدار امر دی.
له همدې امله، د دې برخې لپاره د ساتنې لاندې میتودونه مهم دي:

  • د اور وژنې غوښتنلیک
  • د ګواښ مخنیوی (د ویروس ضد، د سپایویر ضد، او زیانمنتیا)
  • د URL فلټر کول
  • د معلوماتو فلټر کول (د مینځپانګې فلټر کول)
  • د فایل بلاک کول (د فایل ډولونه بلاک کول)

که څه هم د ساتنې دا ټولې میتودونه، د اپلیکیشن فایروالینګ استثنا سره، په دودیز ډول د پای کوربه کې حل شوي او دوام لري (د مثال په توګه، د انټي ویروس پروګرامونو نصبولو سره) او د پراکسي په کارولو سره، عصري NGFWs هم دا خدمتونه وړاندې کوي.

د امنیتي تجهیزاتو پلورونکي هڅه کوي هراړخیز محافظت رامینځته کړي ، نو د ځایی محافظت سره سره ، دوی د کوربه لپاره مختلف کلاوډ ټیکنالوژي او د پیرودونکي سافټویر وړاندیز کوي (د پای ټکی محافظت / EPP). نو، د مثال په توګه، څخه 2018 ګارټینر جادو کواډرینټ موږ ګورو چې پالو الټو او سیسکو خپل EPPs لري (PA: Traps، Cisco: AMP)، مګر د مشرانو څخه لرې دي.

ستاسو په فایروال کې د دې محافظتونو فعالول (عموما د جوازونو اخیستلو له لارې) یقینا لازمي ندي (تاسو کولی شئ دودیزې لارې ته لاړ شئ)، مګر دا ځینې ګټې وړاندې کوي:

  • پدې حالت کې ، د محافظت میتودونو پلي کولو یو واحد ټکی شتون لري ، کوم چې لید ته وده ورکوي (راتلونکې موضوع وګورئ).
  • که ستاسو په شبکه کې غیر خوندي وسیله شتون ولري ، نو دا لاهم د اور وژنې محافظت "چتر" لاندې راځي
  • د پای کوربه محافظت سره په ګډه د فایر وال محافظت کارولو سره ، موږ د ناوړه ترافیک موندلو احتمال ډیروو. د مثال په توګه، په محلي کوربه او د اور وژنې په اړه د ګواښ مخنیوي کارول د کشف احتمال زیاتوي (البته، البته، دا حلونه د مختلف سافټویر محصولاتو پراساس دي)

یادونه

که د مثال په توګه ، تاسو کاسپرسکي د انټي ویروس په توګه کاروئ دواړه په فایر وال او پای کوربه کې ، نو دا به یقینا ستاسو په شبکه کې د ویروس برید مخنیوي امکانات ډیر نه کړي.

د شبکې لید

اصلي مفکوره ساده دی - "وګورئ" ستاسو په شبکه کې څه پیښیږي ، دواړه په ریښتیني وخت او تاریخي معلوماتو کې.

زه به دا "لید" په دوه ډلو وویشم:

لومړۍ ډله: هغه څه چې ستاسو د څارنې سیسټم معمولا تاسو ته درکوي.

  • د تجهیزاتو بار کول
  • د چینلونو بارول
  • د حافظې کارول
  • د ډیسک کارول
  • د روټینګ جدول بدلول
  • د لینک حالت
  • د تجهیزاتو شتون (یا کوربه)
  • ...

دوهمه ډله: د خوندیتوب اړوند معلومات.

  • د احصایې مختلف ډولونه (د مثال په توګه، د غوښتنلیک په واسطه، د URL ټرافیک لخوا، کوم ډول ډاټا ډاونلوډ شوي، د کاروونکي ډاټا)
  • د امنیتي پالیسیو لخوا څه بند شوي او د کوم دلیل لپاره، یعنې
    • منع شوی غوښتنلیک
    • د ip/protocol/port/flags/zones پر بنسټ منع شوی
    • د ګواښ مخنیوی
    • یو آر ایل فلټر کول
    • د معلوماتو فلټر کول
    • د فایل بندول
    • ...
  • د DOS/DDOS بریدونو احصایې
  • د پیژندنې او اجازه ورکولو هڅې ناکامې شوې
  • د پورته ټولو امنیتي پالیسۍ سرغړونې پیښو لپاره احصایې
  • ...

د امنیت په اړه د دې څپرکي په دویمه برخه کې لیوالتیا لرو.

ځینې ​​عصري فایروالونه (زما د پالو الټو تجربې څخه) د لید ښه کچه چمتو کوي. مګر، البته، هغه ټرافیک چې تاسو یې لیوالتیا لرئ باید د دې فایروال څخه تیریږي (په کوم حالت کې تاسو د ټرافیک د بندولو وړتیا لرئ) یا د فایر وال ته منعکس شوی (یوازې د څارنې او تحلیل لپاره کارول کیږي)، او تاسو باید د ټولو فعالولو لپاره جواز ولرئ. دغه خدمتونه

البته، یو بدیل لاره شتون لري، یا بلکه دودیزه لاره، د بیلګې په توګه،

  • د سیشن احصایې د نیټ فلو له لارې راټول کیدی شي او بیا د معلوماتو تحلیل او ډیټا لید لپاره ځانګړي اسانتیاوې کارول کیږي
  • د ګواښ مخنیوی - ځانګړي پروګرامونه (اینټي ویروس، د سپایویر ضد، فایر وال) په پای کوربه کې
  • د URL فلټر کول، د ډاټا فلټر کول، د فایل بلاک کول - په پراکسي کې
  • دا هم امکان لري چې د مثال په کارولو سره د tcpdump تحلیل کړئ. خندل

تاسو کولی شئ دا دوه طریقې سره یوځای کړئ، د ورک شوي ځانګړتیاوو بشپړول یا د دوی نقل کول ترڅو د برید کشف کولو احتمال زیات کړي.

کوم روش باید غوره کړئ؟
ستاسو د ټیم په وړتیاوو او غوره توبونو پورې اړه لري.
دواړه هلته او هلته ګټې او زیانونه شتون لري.

متحد مرکزي شوي تصدیق او واک ورکولو سیسټم

کله چې ښه ډیزاین شوی وي، هغه خوځښت چې موږ پدې مقاله کې بحث کړی دا فرض کوي چې تاسو ورته لاسرسی لرئ که تاسو له دفتر څخه کار کوئ یا له کور څخه، د هوایی ډګر څخه، د کافي شاپ څخه یا بل کوم ځای (د محدودیتونو سره چې موږ پورته بحث وکړ). داسې ښکاري چې ستونزه څه ده؟
د دې کار پیچلتیا ښه پوهیدو لپاره، راځئ چې یو عادي ډیزاین وګورو.

بېلګه:

  • تاسو ټول کارمندان په ګروپونو ویشلي دي. تاسو پریکړه کړې چې د ډلو لخوا لاسرسی چمتو کړئ
  • د دفتر دننه، تاسو د دفتر اور وژونکي ته لاسرسی کنټرول کړئ
  • تاسو د ډیټا سنټر فایر وال کې د دفتر څخه ډیټا مرکز ته ترافیک کنټرول کوئ
  • تاسو د سیسکو ASA د VPN دروازې په توګه کاروئ او د لرې پرتو پیرودونکو څخه ستاسو شبکې ته د ترافیک کنټرولولو لپاره ، تاسو محلي (ASA کې) ACLs کاروئ.

اوس، اجازه راکړئ چې تاسو څخه وغوښتل شي چې یو ځانګړي کارمند ته اضافي لاسرسی اضافه کړئ. په دې حالت کې، تاسو څخه غوښتنه کیږي چې یوازې هغه ته لاسرسی اضافه کړئ او د هغه د ډلې څخه بل څوک نه.

د دې لپاره موږ باید د دې کارمند لپاره جلا ګروپ جوړ کړو، دا دی

  • د دې کارمند لپاره په ASA کې یو جلا IP پول جوړ کړئ
  • په ASA کې نوی ACL اضافه کړئ او هغه لیرې پیرودونکي ته یې وتړئ
  • د دفتر او ډیټا سنټر فائر والونو کې نوې امنیتي پالیسۍ رامینځته کړئ

دا ښه ده که چیرې دا پیښه نادره وي. مګر زما په عمل کې داسې وضعیت شتون درلود کله چې کارمندانو په بیلابیلو پروژو کې برخه اخیستې وه، او د ځینو لپاره د پروژو دا سیټ ډیر ځله بدل شو، او دا 1-2 کسان نه وو، مګر لسګونه. البته، دلته یو څه بدلون ته اړتیا ده.

دا په لاندې ډول حل شو.

موږ پریکړه وکړه چې LDAP به د حقیقت یوازینۍ سرچینه وي چې د ټولو ممکنه کارمندانو لاسرسي ټاکي. موږ هر ډول ګروپونه جوړ کړي چې د لاسرسي سیټ تعریفوي، او موږ هر یو کاروونکي یو یا ډیرو ګروپونو ته ګمارلي.

نو، د مثال په توګه، فرض کړئ چې ډلې وې

  • میلمه (انټرنیټ ته لاسرسی)
  • عام لاسرسی (شریک سرچینو ته لاسرسی: بریښنالیک، د پوهې اساس، ...)
  • د محاسبې
  • پروژه 1
  • پروژه 2
  • د ډیټا بیس مدیر
  • د لینکس مدیر
  • ...

او که چیرې یو کارمند د پروژې 1 او پروژه 2 کې ښکیل و، او هغه په ​​دې پروژو کې د کار کولو لپاره اړین لاسرسي ته اړتیا درلوده، نو دا کارمند په لاندې ګروپونو کې ګمارل شوی و:

  • ميلمه
  • عام لاسرسی
  • پروژه 1
  • پروژه 2

اوس څنګه کولی شو دا معلومات د شبکې تجهیزاتو ته لاسرسي ته واړوو؟

د سیسکو ASA متحرک لاسرسي پالیسي (DAP) (وګورئ www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) حل د دې کار لپاره سم دی.

زموږ د پلي کولو په اړه په لنډه توګه، د پیژندنې/اجازت ورکولو پروسې په جریان کې، ASA د LDAP څخه د ورکړل شوي کارونکي سره مطابقت لرونکي ګروپونه ترلاسه کوي او د ډیری محلي ACLs څخه "راټولوي" (چې هر یو یې د یوې ډلې سره مطابقت لري) یو متحرک ACL د ټولو اړینو لاسرسي سره. ، کوم چې زموږ د هیلو سره په بشپړ ډول مطابقت لري.

مګر دا یوازې د VPN اړیکو لپاره دی. د VPN له لارې تړل شوي او په دفتر کې د دواړو کارمندانو لپاره وضعیت ورته کولو لپاره ، لاندې ګام پورته شو.

کله چې د دفتر څخه وصل شي، د 802.1x پروتوکول کاروونکي کاروونکي یا د میلمنو LAN (د میلمنو لپاره) یا یو شریک LAN (د شرکت کارمندانو لپاره) کې پای ته رسیږي. سربیره پردې ، د ځانګړي لاسرسي ترلاسه کولو لپاره (د مثال په توګه ، د معلوماتو مرکز کې پروژو ته) ، کارمندان باید د VPN له لارې وصل شي.

د دفتر او کور څخه د نښلولو لپاره، په ASA کې د تونل بیلابیل ګروپونه کارول شوي. دا اړینه ده چې د هغو کسانو لپاره چې له دفتر څخه وصل کیږي، شریکو سرچینو ته ترافیک (د ټولو کارمندانو لخوا کارول کیږي، لکه میل، فایل سرور، د ټکټ سیسټم، dns، ...) د ASA له لارې نه ځي، مګر د محلي شبکې له لارې. . په دې توګه، موږ د غیر ضروري ټرافیک سره ASA نه دی پورته کړی، په شمول د لوړ شدت ترافیک.

په دې توګه، ستونزه حل شوه.
موږ ترلاسه کړ

  • د دفتر او ریموټ اتصالاتو دواړو اتصالاتو لپاره د لاسرسي ورته سیټ
  • د خدماتو د تخریب نشتوالی کله چې د دفتر څخه کار کول د ASA له لارې د لوړ شدت ترافیک لیږد پورې تړاو لري

د دې طریقې نورې ګټې کومې دي؟
د لاسرسي اداره کې. لاسرسی په اسانۍ سره په یو ځای کې بدلیدلی شي.
د مثال په توګه، که یو کارمند شرکت پریږدي، نو تاسو په ساده ډول هغه د LDAP څخه لیرې کړئ، او هغه په ​​​​اوتومات ډول ټول لاسرسی له لاسه ورکوي.

د کوربه چک کول

د ریموټ اتصال په امکان سره، موږ نه یوازې د شرکت کارمند ته اجازه ورکوو چې شبکې ته اجازه ورکړو، بلکې ټول هغه ناوړه سافټویر هم چې د هغه په ​​​​کمپیوټر کې شتون لري (د مثال په توګه، کور)، او سربیره پردې، د دې سافټویر له لارې موږ کیدای شي زموږ شبکې ته یو بریدګر ته لاسرسی چمتو کړي چې دا کوربه د پراکسي په توګه کاروي.

دا د لیرې تړل شوي کوربه لپاره معنی لري چې د دفتر دننه کوربه په توګه ورته امنیتي اړتیاوې پلي کړي.

دا د OS ، انټي ویروس ، انټي سپی ویئر ، او د فایر وال سافټویر او تازه معلوماتو "سمه" نسخه هم په غاړه لري. عموما، دا وړتیا د VPN دروازې کې شتون لري (د ASA لپاره وګورئ، د بیلګې په توګه، دلته).

دا هم هوښیار دی چې د ورته ترافیک تحلیل او بلاک کولو تخنیکونه پلي کړئ ("د محافظت لوړه کچه" وګورئ) چې ستاسو امنیت پالیسي د دفتر ترافیک باندې پلي کیږي.

دا مناسبه ده چې فرض کړئ چې ستاسو د دفتر شبکه نور د دفتر ودانۍ او د هغې دننه کوربه پورې محدوده نه ده.

بېلګه:

یو ښه تخنیک دا دی چې هر کارمند ته چې لیرې لاسرسي ته اړتیا لري یو ښه، مناسب لپ ټاپ سره چمتو کړي او دوی ته اړتیا لري چې کار وکړي، په دفتر او کور کې، یوازې له هغې څخه.

دا نه یوازې ستاسو د شبکې امنیت ته وده ورکوي، مګر دا واقعیا هم اسانه ده او معمولا د کارمندانو لخوا په ښه توګه لیدل کیږي (که دا واقعیا ښه وي، د کاروونکي دوستانه لیپ ټاپ).

د تناسب او توازن احساس په اړه

اساسا، دا زموږ د مثلث دریم عمودی په اړه خبرې اترې دي - د قیمت په اړه.
راځئ چې یو فرضي مثال وګورو.

بېلګه:

تاسو د 200 کسانو لپاره دفتر لرئ. تاسو پریکړه وکړه چې دا د امکان تر حده اسانه او خوندي کړئ.

له همدې امله ، تاسو پریکړه کړې چې ټول ترافیک د فایر وال له لارې تیر کړئ او پدې توګه د ټولو دفتر سب نیټونو لپاره فایر وال ډیفالټ دروازه ده. په هر پای کوربه کې نصب شوي امنیتي سافټویر برسیره (د ویروس ضد، سپیویر ضد، او فایروال سافټویر)، تاسو دا پریکړه هم وکړه چې د فایروال په اړه د محافظت ټولې ممکنه میتودونه پلي کړئ.

د لوړ اتصال سرعت ډاډ ترلاسه کولو لپاره (ټول د اسانتیا لپاره) ، تاسو د لاسرسي سویچونو په توګه د 10 ګیګابایټ لاسرسي بندرونو سره سویچونه غوره کړل ، او د لوړ فعالیت NGFW فایر وال د فائر وال په توګه ، د مثال په توګه ، د پالو الټو 7K لړۍ (د 40 ګیګابایټ بندرونو سره) ، په طبیعي ډول د ټولو جوازونو سره. شامل او، په طبیعي توګه، د لوړ شتون جوړه.

همچنان ، البته ، د تجهیزاتو دې کرښې سره کار کولو لپاره موږ لږترلږه یو څو لوړ مسلکي امنیتي انجینرانو ته اړتیا لرو.

بیا، تاسو پریکړه وکړه چې هر کارمند ته یو ښه لپ ټاپ ورکړئ.

ټولټال، د پلي کولو لپاره شاوخوا 10 ملیون ډالر، په سلګونو زره ډالر (زه فکر کوم یو ملیون ته نږدې) د کلنۍ ملاتړ او انجینرانو معاشونو لپاره.

دفتر، ۲۰۰ کسان...
راحته؟ زما په اند دا هو.

تاسو د دې وړاندیز سره خپل مدیریت ته ورشئ ...
شاید په نړۍ کې یو شمیر شرکتونه شتون ولري چې دا د منلو وړ او سم حل دی. که تاسو د دې شرکت کارمند یاست، زما مبارکۍ، مګر په ډیری قضیو کې، زه ډاډه یم چې ستاسو پوهه به د مدیریت لخوا ستاینه نه شي.

ایا دا مثال مبالغه دی؟ راتلونکی فصل به دې پوښتنې ته ځواب ووایی.

که ستاسو په شبکه کې تاسو له پورته څخه هیڅ ونه ګورئ، نو دا نورم دی.
د هرې ځانګړې قضیې لپاره، تاسو اړتیا لرئ چې د اسانتیا، قیمت او خوندیتوب ترمنځ خپل مناسب جوړجاړی ومومئ. ډیری وختونه تاسو حتی په خپل دفتر کې NGFW ته اړتیا نلرئ، او په اور وال وال کې د L7 محافظت ته اړتیا نشته. دا د لید او خبرتیا ښه کچې چمتو کولو لپاره کافي دي ، او دا د خلاصې سرچینې محصولاتو په کارولو سره ترسره کیدی شي ، د مثال په توګه. هو، د برید په اړه ستاسو عکس العمل به سمدستي نه وي، مګر اصلي شی دا دی چې تاسو به یې وګورئ، او ستاسو په څانګه کې د سمو پروسو سره، تاسو به وکوالی شئ په چټکۍ سره بې طرفه کړئ.

او اجازه راکړئ تاسو ته یادونه وکړم چې د مقالو د دې لړۍ مفکورې سره سم، تاسو شبکه نه ډیزاین کوئ، تاسو یوازې هڅه کوئ هغه څه ښه کړئ چې تاسو یې ترلاسه کوئ.

د دفتر جوړښت خوندي تحلیل

دې سور مربع ته پام وکړئ له کوم سره چې ما په ډیاګرام کې ځای تخصیص کړی د خوندي خوندي کیمپس معمارۍ لارښودکوم چې زه غواړم دلته بحث وکړم.

ستاسو د شبکې زیربنا څنګه کنټرول کړئ. دریم څپرکی. د شبکې امنیت. دریمه برخه

دا د معمارۍ یو له مهمو ځایونو څخه دی او یو له خورا مهم ناڅرګندتیا څخه دی.

یادونه

ما هیڅکله د فایر پاور سره تنظیم یا کار نه دی کړی (د سیسکو د فایر وال لاین څخه - یوازې ASA) ، نو زه به دا د کوم بل فایر وال په څیر چلند وکړم ، لکه جونیپر SRX یا پالو الټو ، فرض کړئ چې دا ورته وړتیاوې لري.

د معمول ډیزاینونو څخه ، زه د دې اړیکې سره د فایر وال کارولو لپاره یوازې 4 ممکنه اختیارونه ګورم:

  • د هر سبنیټ لپاره ډیفالټ ګیټ ویچ یو سویچ دی، پداسې حال کې چې فایر وال په شفاف حالت کې دی (دا دی، ټول ټرافیک له هغې څخه تیریږي، مګر دا د L3 هپ نه جوړوي)
  • د هر سبنیټ لپاره ډیفالټ ګیټس د فایروال فرعي انٹرفیس (یا SVI ​​انٹرفیس) دی ، سویچ د L2 رول لوبوي
  • مختلف VRFs په سویچ کې کارول کیږي ، او د VRFs ترمینځ ترافیک د اور وال له لارې تیریږي ، په یوه VRF کې ترافیک په سویچ کې د ACL لخوا کنټرول کیږي
  • ټول ټرافیک د تحلیل او څارنې لپاره د اور وژنې وال ته منعکس شوی؛ ټرافيک د هغې له لارې نه تیریږي

یادونه 1

د دې اختیارونو ترکیب ممکن دی، مګر د سادگي لپاره موږ به دوی ته پام ونه کړو.

نوټ2

د PBR (د خدماتو سلسلې جوړښت) کارولو امکان هم شتون لري ، مګر د اوس لپاره دا ، که څه هم زما په نظر یو ښکلی حل دی ، بلکه بهرني دی ، نو زه یې دلته په پام کې نه نیسم.

په سند کې د جریانونو توضیحاتو څخه ، موږ ګورو چې ترافیک لاهم د اور وژنې له لارې تیریږي ، دا د سیسکو ډیزاین سره سم ، څلورم اختیار له مینځه وړل شوی.

راځئ چې لومړی لومړی دوه اختیارونه وګورو.
د دې اختیارونو سره، ټول ټرافیک د اور وژنې له لارې تیریږي.

اوس راځئ چې وګورو د ډاټا پاڼې، وګوره سیسکو GPL او موږ ګورو چې که موږ غواړو زموږ د دفتر لپاره ټول بینډ ویت لږترلږه شاوخوا 10 - 20 ګیګابایټ وي ، نو موږ باید د 4K نسخه واخلو.

یادونه

کله چې زه د ټول بینډ ویت په اړه وغږیږم، زما مطلب د فرعي سایټونو ترمنځ ټرافيک دی (او نه په یوه ویلانا کې).

د GPL څخه موږ ګورو چې د ګواښ دفاع سره د HA بنډل لپاره ، قیمت د ماډل پورې اړه لري (4110 - 4150) د ~ 0,5 - 2,5 ملیون ډالرو څخه توپیر لري.

دا دی، زموږ ډیزاین د تیر مثال په څیر پیل کیږي.

ایا دا پدې معنی ده چې دا ډیزاین غلط دی؟
نه، دا پدې معنی نه ده. سیسکو تاسو ته د محصول لاین پراساس غوره ممکنه محافظت درکوي چې دا یې لري. مګر دا پدې معنی ندي چې دا ستاسو لپاره اړین دی.

په اصولو کې ، دا یوه عامه پوښتنه ده چې د دفتر یا ډیټا مرکز ډیزاین کولو پرمهال راپورته کیږي ، او دا یوازې پدې معنی ده چې جوړجاړي ته اړتیا لري.

د مثال په توګه، اجازه مه ورکوئ چې ټول ټرافیک د فایروال له لارې تیر شي، په دې حالت کې 3 اختیار زما لپاره خورا ښه ښکاري، یا (پخوانۍ برخه وګورئ) شاید تاسو د ګواښ دفاع ته اړتیا نلرئ یا په دې کې هیڅ فایر وال ته اړتیا نلرئ. د شبکې برخه، او تاسو اړتیا لرئ د تادیه شوي (نه ګران) یا خلاصې سرچینې حلونو په کارولو سره غیر فعال نظارت ته ځان محدود کړئ ، یا تاسو فایر وال ته اړتیا لرئ ، مګر د مختلف پلورونکي څخه.

معمولا تل دا ناڅرګندتیا شتون لري او هیڅ روښانه ځواب شتون نلري چې ستاسو لپاره کومه پریکړه غوره ده.
دا د دې کار پیچلتیا او ښکلا ده.

سرچینه: www.habr.com

Add a comment