پرو هوسٽر > بلاگ > انتظاميه > توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو ٽيون

توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو ٽيون

هي آرٽيڪل پنجون آهي سيريز ۾ "توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي." سيريز ۾ سڀني مضمونن جو مواد ۽ لنڪ ملي سگھن ٿا هتي.

هي حصو ڪيمپس (آفيس) ۽ ريموٽ رسائي وي پي اين حصن لاءِ وقف ڪيو ويندو.

توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو ٽيون

آفيس نيٽ ورڪ ڊيزائن آسان لڳي سگھي ٿو.

درحقيقت، اسان L2 / L3 سوئچ وٺون ٿا ۽ انهن کي هڪ ٻئي سان ڳنڍيندا آهيون. اڳيون، اسان وائلن ۽ ڊفالٽ گيٽ ويز جي بنيادي سيٽ اپ کي انجام ڏيون ٿا، سادو روٽنگ سيٽ اپ ڪريو، وائي فائي ڪنٽرولرز کي ڳنڍيو، رسائي پوائنٽس، ريموٽ رسائي لاءِ ASA کي انسٽال ۽ ترتيب ڏيون، اسان کي خوشي آھي ته سڀ ڪجھ ڪم ڪيو. بنيادي طور تي، جيئن مون اڳ ۾ ئي اڳ ۾ ئي لکيو آهي مضمون هن چڪر ۾، تقريبن هر شاگرد جنهن ۾ شرڪت ڪئي آهي (۽ سکيو) ٽيلي ڪام ڪورس جا ٻه سيمسٽر هڪ آفيس نيٽ ورڪ کي ڊزائين ۽ ترتيب ڏئي سگهي ٿو ته جيئن اهو "ڪنهن به طريقي سان ڪم ڪري."

پر جيترو وڌيڪ توهان سکيو، اهو ڪم گهٽ سادو ٿيڻ شروع ٿئي ٿو. مون لاء ذاتي طور تي، هي موضوع، آفيس نيٽ ورڪ ڊيزائن جو موضوع، بلڪل سادو نه ٿو لڳي، ۽ هن مضمون ۾ آئون وضاحت ڪرڻ جي ڪوشش ڪندس ڇو.

مختصر ۾، غور ڪرڻ لاء ڪافي عنصر آهن. گهڻو ڪري اهي عنصر هڪ ٻئي سان ٽڪراءَ ۾ هوندا آهن ۽ هڪ مناسب سمجهوتو ڳولڻو پوندو آهي.
هي غير يقيني صورتحال بنيادي مشڪل آهي. تنهن ڪري، سيڪيورٽي جي باري ۾ ڳالهائيندي، اسان وٽ هڪ مثلث آهي ٽن عمودي سان: سيڪيورٽي، ملازمن لاء سهولت، حل جي قيمت.
۽ هر دفعي توهان کي انهن ٽنهي جي وچ ۾ سمجهوتو ڳولڻو پوندو.

تعمير

انهن ٻن حصن لاء هڪ فن تعمير جو مثال، جيئن اڳئين مضمونن ۾، مان سفارش ڪريان ٿو Cisco SAFE ماڊل: انٽرپرائز ڪيمپس, انٽرپرائز انٽرنيٽ ايج.

اهي ڪجهه پراڻا دستاويز آهن. مان انهن کي هتي پيش ڪريان ٿو ڇاڪاڻ ته بنيادي اسڪيمون ۽ انداز تبديل نه ٿيا آهن، پر ساڳئي وقت مون کي پيش ڪيل پيشڪش کان وڌيڪ پسند آهي. نئون دستاويز.

توهان کي سسڪو حل استعمال ڪرڻ جي حوصلا افزائي ڪرڻ کان سواء، مان اڃا تائين سمجهان ٿو ته هن ڊزائن کي احتياط سان مطالعو ڪرڻ مفيد آهي.

هي مضمون، هميشه وانگر، ڪنهن به طرح مڪمل ٿيڻ جو مظاهرو نٿو ڪري، بلڪه هن معلومات ۾ اضافو آهي.

مضمون جي آخر ۾، اسان تجزيو ڪنداسين Cisco SAFE آفيس جي ڊيزائن کي هتي بيان ڪيل تصورن جي لحاظ کان.

عام اصول

آفيس نيٽ ورڪ جي ڊيزائن، يقينا، عام ضرورتن کي پورو ڪرڻ گهرجي جن تي بحث ڪيو ويو آهي هتي باب ۾ "ڊزائن جي معيار جي تشخيص لاء معيار". قيمت ۽ حفاظت کان علاوه، جنهن تي اسان هن مضمون ۾ بحث ڪرڻ چاهيون ٿا، اتي اڃا ٽي معيار آهن جن تي اسان کي غور ڪرڻ گهرجي جڏهن ڊزائين ڪرڻ (يا تبديليون ڪرڻ):

  • پيماني تي
  • استعمال ۾ آساني (انتظام)
  • دستيابي

جنهن لاءِ گهڻو بحث ڪيو ويو ڊيٽا مرڪز اهو آفيس لاء پڻ سچ آهي.

پر اڃا تائين، آفيس جي ڀاڱي ۾ پنهنجون خاصيتون آهن، جيڪي حفاظتي نقطي نظر کان نازڪ آهن. هن خاصيت جو خلاصو اهو آهي ته هي حصو ڪمپني جي ملازمن (انهي سان گڏوگڏ ڀائيوارن ۽ مهمانن) کي نيٽورڪ خدمتون مهيا ڪرڻ لاء پيدا ڪيو ويو آهي، ۽ نتيجي طور، مسئلي جي غور جي اعلي سطح تي اسان وٽ ٻه ڪم آهن:

  • ڪمپني جي وسيلن کي خراب ڪمن کان بچايو جيڪي شايد ملازمن (مهمانن، ڀائيوارن) ۽ سافٽ ويئر کان جيڪي اهي استعمال ڪن ٿا. ھن ۾ نيٽ ورڪ سان غير مجاز ڪنيڪشن جي خلاف تحفظ پڻ شامل آھي.
  • سسٽم ۽ صارف ڊيٽا جي حفاظت

۽ اهو مسئلو جو صرف هڪ پاسو آهي (يا بلڪه، مثلث جو هڪ عمودي). ٻئي طرف صارف جي سهولت ۽ استعمال ٿيل حل جي قيمت آهي.

اچو ته اهو ڏسڻ سان شروع ڪريون ته هڪ صارف جديد آفيس نيٽ ورڪ کان ڪهڙي توقع رکي ٿو.

امتيازون

هتي آهي ”نيٽ ورڪ جون سهولتون“ منهنجي راءِ ۾ هڪ آفيس صارف لاءِ نظر اچن ٿيون:

  • موثر
  • واقف ڊوائيسز ۽ آپريٽنگ سسٽم جي مڪمل حد کي استعمال ڪرڻ جي صلاحيت
  • تمام ضروري ڪمپني وسيلن تائين آسان رسائي
  • انٽرنيٽ وسيلن جي دستيابي، بشمول مختلف ڪلائوڊ سروسز
  • نيٽ ورڪ جي "تيز آپريشن".

اهو سڀ ڪجهه ملازمن ۽ مهمانن (يا ڀائيوارن) تي لاڳو ٿئي ٿو، ۽ اهو ڪمپني جي انجنيئرن جو ڪم آهي ته اختيار جي بنياد تي مختلف صارف گروپن تائين پهچ کي الڳ ڪرڻ.

اچو ته انهن حصن مان هر هڪ کي ٿورو وڌيڪ تفصيل سان ڏسو.

موثر

اسان ڪم ڪرڻ جي موقعي جي باري ۾ ڳالهائي رهيا آهيون ۽ دنيا جي ڪنهن به هنڌ کان ڪمپني جا تمام ضروري وسيلا استعمال ڪري رهيا آهيون (يقيناً، جتي انٽرنيٽ موجود آهي).

هي مڪمل طور تي آفيس تي لاڳو ٿئي ٿو. اهو آسان آهي جڏهن توهان وٽ موقعو آهي ته توهان آفيس ۾ ڪٿي به ڪم جاري رکو، مثال طور، ميل وصول ڪريو، ڪارپوريٽ ميسينجر ۾ گفتگو ڪريو، هڪ وڊيو ڪال لاء دستياب هجي، ... اهڙيء طرح، هي توهان کي اجازت ڏئي ٿو، هڪ طرف، ڪجھ مسئلن کي حل ڪرڻ لاءِ ”لائيو“ ڪميونيڪيشن (مثال طور، ريلين ۾ حصو وٺڻ)، ۽ ٻئي طرف، ھميشہ آن لائن رھو، پنھنجي آڱر کي نبض تي رکو ۽ تڪڙو تڪڙو حل ڪريو ڪجھ اعليٰ ترجيحي ڪمن کي. اهو تمام آسان آهي ۽ حقيقت ۾ رابطي جي معيار کي بهتر بڻائي ٿو.

اهو صحيح وائي فائي نيٽ ورڪ ڊيزائن ذريعي حاصل ڪيو ويو آهي.

نوٽ

هتي سوال عام طور تي پيدا ٿئي ٿو: ڇا اهو صرف وائي فائي استعمال ڪرڻ ڪافي آهي؟ ڇا هن جو مطلب اهو آهي ته توهان آفيس ۾ ايٿرنيٽ بندرگاهن کي استعمال ڪرڻ بند ڪري سگهو ٿا؟ جيڪڏهن اسان صرف صارفين جي باري ۾ ڳالهائي رهيا آهيون، ۽ سرور جي باري ۾ نه، جيڪي اڃا تائين مناسب آهن هڪ باقاعده ايٿرنيٽ پورٽ سان ڳنڍڻ لاء، پوء عام طور تي جواب آهي: ها، توهان پنهنجو پاڻ کي صرف وائي فائي تائين محدود ڪري سگهو ٿا. پر اتي nuances آهن.

اتي اهم صارف گروپ آھن جن کي الڳ طريقي جي ضرورت آھي. اهي، يقينا، منتظم آهن. اصول ۾، هڪ وائي فائي ڪنيڪشن گهٽ قابل اعتماد آهي (ٽريفڪ جي نقصان جي لحاظ کان) ۽ هڪ باقاعده ايٿرنيٽ بندرگاهن کان سست آهي. اهو منتظمين لاء اهم ٿي سگهي ٿو. ان کان علاوه، نيٽ ورڪ منتظمين، مثال طور، ڪري سگھن ٿا، اصولي طور تي، ان کان سواءِ بينڊ ڪنيڪشنز لاءِ پنھنجو پنھنجو وقف ٿيل ايٿرنيٽ نيٽ ورڪ آھي.

توهان جي ڪمپني ۾ ٻيا گروپ / ڊپارٽمينٽ ٿي سگهن ٿا جن لاءِ اهي عنصر پڻ اهم آهن.

اتي هڪ ٻيو اهم نقطو آهي - ٽيليفون. شايد ڪجھ سببن لاءِ توھان نٿا چاھيو وائرليس VoIP استعمال ڪريو ۽ استعمال ڪرڻ چاھيو پي فونز کي باقاعده ايٿرنيٽ ڪنيڪشن سان.

عام طور تي، ڪمپنيون جن لاءِ مون ڪم ڪيو عام طور تي ٻنهي وٽ وائي فائي ڪنيڪشن ۽ هڪ ايٿرنيٽ پورٽ هوندو هو.

مان چاهيان ٿو ته متحرڪ صرف آفيس تائين محدود نه رهي.

گھر کان ڪم ڪرڻ جي صلاحيت کي يقيني بڻائڻ لاء (يا رسائي واري انٽرنيٽ سان گڏ ٻي جاء تي)، ھڪڙو وي پي اين ڪنيڪشن استعمال ڪيو ويندو آھي. ساڳئي وقت، اهو گهربل آهي ته ملازم گهر کان ڪم ڪرڻ ۽ ريموٽ ڪم جي وچ ۾ فرق محسوس نه ڪن، جيڪو ساڳيو رسائي فرض ڪري ٿو. اسان ان کي ڪيئن منظم ڪرڻ بابت ٿوري دير کان پوءِ باب ”يونيفائيڊ سينٽرلائيزڊ اٿنٽيڪيشن اينڊ اٿارائيزيشن سسٽم“ ۾ بحث ڪنداسين.

نوٽ

گهڻو ڪري، توهان مڪمل طور تي مهيا ڪرڻ جي قابل نه هوندا ساڳئي معيار جي خدمتن کي ريموٽ ڪم لاء جيڪو توهان وٽ آهي آفيس ۾. اچو ته فرض ڪريو ته توهان استعمال ڪري رهيا آهيو سسڪو ASA 5520 توهان جي وي پي اين گيٽ وي جي مطابق ڊيٽا شيٽ هي ڊوائيس صرف 225 Mbit وي پي اين ٽرئفڪ کي ”هضم“ ڪرڻ جي قابل آهي. اھو آھي، يقينا، بينڊوڊٿ جي لحاظ کان، وي پي اين ذريعي ڳنڍڻ آفيس کان ڪم ڪرڻ کان بلڪل مختلف آھي. انهي سان گڏ، جيڪڏهن، ڪجهه سببن جي ڪري، دير سان، نقصان، خرابي (مثال طور، توهان استعمال ڪرڻ چاهيو ٿا Office IP ٽيليفوني) توهان جي نيٽ ورڪ خدمتن لاء اهم آهن، توهان کي پڻ ساڳيو معيار نه ملندي جيئن توهان آفيس ۾ آهيو. تنهن ڪري، جڏهن حرڪت بابت ڳالهائيندي، اسان کي ممڪن حدن کان آگاهي ٿيڻ گهرجي.

ڪمپني جي سڀني وسيلن تائين آسان رسائي

اهو ڪم ٻين ٽيڪنيڪل شعبن سان گڏيل طور تي حل ڪيو وڃي.
مثالي صورتحال اها آهي جڏهن صارف کي صرف هڪ ڀيرو تصديق ڪرڻ جي ضرورت آهي، ۽ ان کان پوء هن کي سڀني ضروري وسيلن تائين رسائي آهي.
حفاظت کي قربان ڪرڻ کان سواءِ آسان رسائي فراهم ڪرڻ توهان جي ساٿين جي وچ ۾ پيداوار کي بهتر ۽ گهٽائي سگھي ٿي.

تبصرو 1

رسائي جي آسان صرف ان بابت نه آهي ته توهان کي ڪيترا ڀيرا پاسورڊ داخل ڪرڻو پوندو. جيڪڏهن، مثال طور، توهان جي سيڪيورٽي پاليسي جي مطابق، آفيس کان ڊيٽا سينٽر تائين ڳنڍڻ لاء، توهان کي پهريان VPN گيٽ وي سان ڳنڍڻ گهرجي، ۽ ساڳئي وقت توهان آفيس جي وسيلن تائين رسائي وڃائي ڇڏيو، پوء اهو پڻ تمام گهڻو آهي. ، تمام تڪليف ڏيندڙ.

تبصرو 2

اتي خدمتون آهن (مثال طور، نيٽ ورڪ سامان تائين رسائي) جتي اسان وٽ عام طور تي اسان جا پنهنجا وقف ٿيل AAA سرور آهن ۽ اهو عام آهي جڏهن هن معاملي ۾ اسان کي ڪيترائي ڀيرا تصديق ڪرڻي پوندي.

انٽرنيٽ وسيلن جي دستيابي

انٽرنيٽ نه رڳو تفريح آهي، پر خدمتن جو هڪ سيٽ پڻ آهي جيڪو ڪم لاء تمام مفيد ٿي سگهي ٿو. اتي پڻ خالص نفسياتي عنصر آھن. هڪ جديد انسان انٽرنيٽ ذريعي ٻين ماڻهن سان ڪيترن ئي ورچوئل ٿريڊن ذريعي ڳنڍجي ٿو، ۽، منهنجي خيال ۾، ڪو به غلط ناهي، جيڪڏهن هو ڪم ڪرڻ دوران پڻ اهو رابطو محسوس ڪندو رهي.

وقت ضايع ڪرڻ جي نقطي نظر کان، ڪو به غلط ناهي، مثال طور، هڪ ملازم، مثال طور، Skype هلائي رهيو آهي ۽ جيڪڏهن ضروري هجي ته هڪ پياري سان رابطي ۾ 5 منٽ خرچ ڪري.

ڇا هن جو مطلب اهو آهي ته انٽرنيٽ هميشه دستياب هجڻ گهرجي، ڇا اهو مطلب آهي ته ملازمن کي سڀني وسيلن تائين رسائي حاصل ڪري سگهي ٿي ۽ انهن کي ڪنهن به طريقي سان ڪنٽرول نه ڪيو وڃي؟

نه ان جو مطلب اهو ناهي، يقينا. انٽرنيٽ جي کليل سطح مختلف ڪمپنين لاءِ مختلف ٿي سگهي ٿي - مڪمل بندش کان وٺي مڪمل کليل تائين. اسان سيڪيورٽي قدمن تي سيڪشن ۾ بعد ۾ ٽرئفڪ کي ڪنٽرول ڪرڻ جي طريقن تي بحث ڪنداسين.

واقف ڊوائيسز جي مڪمل حد استعمال ڪرڻ جي صلاحيت

اهو آسان آهي جڏهن، مثال طور، توهان وٽ اهو موقعو آهي ته ڪميونيڪيشن جا اهي سڀ وسيلا استعمال ڪرڻ جاري رکو جيڪي توهان ڪم تي استعمال ڪندا آهيو. ٽيڪنيڪل طور تي ان تي عمل ڪرڻ ۾ ڪا به ڏکيائي ناهي. ان لاءِ توهان کي وائي فائي ۽ مهمان وائلن جي ضرورت آهي.

اهو پڻ سٺو آهي جيڪڏهن توهان وٽ اهو موقعو آهي ته توهان آپريٽنگ سسٽم کي استعمال ڪرڻ جو توهان استعمال ڪيو آهي. پر، منهنجي مشاهدي ۾، اهو عام طور تي صرف مينيجرز، منتظمين ۽ ڊولپرز کي اجازت آهي.

مثال طور

توهان ڪري سگهو ٿا، يقينا، ممنوع جي رستي تي عمل ڪريو، ريموٽ رسائي کي ممنوع، موبائيل ڊوائيسز کان ڳنڍڻ کان منع، هر شيء کي جامد ايٿرنيٽ ڪنيڪشن تائين محدود ڪري، انٽرنيٽ تائين رسائي کي محدود ڪري، لازمي طور تي سيل فون ۽ گيجٽ کي چيڪ پوائنٽ تي ضبط ڪري سگهو ٿا ... ۽ هي رستو اصل ۾ ڪجهه تنظيمن طرفان حفاظتي گهرجون وڌيل آهن، ۽ شايد ڪجهه حالتن ۾ اهو صحيح ثابت ٿي سگهي ٿو، پر... توهان کي متفق ٿيڻو پوندو ته اهو هڪ واحد تنظيم ۾ ترقي کي روڪڻ جي ڪوشش وانگر نظر اچي ٿو. يقينن، مان انهن موقعن کي گڏ ڪرڻ چاهيندس جيڪي جديد ٽيڪنالاجيون ڪافي سطح جي سيڪيورٽي سان مهيا ڪن ٿيون.

نيٽ ورڪ جي "تيز آپريشن".

ڊيٽا جي منتقلي جي رفتار ٽيڪنالاجي طور تي ڪيترن ئي عنصر تي مشتمل آهي. ۽ توهان جي ڪنيڪشن پورٽ جي رفتار عام طور تي سڀ کان اهم نه آهي. ايپليڪيشن جو سست آپريشن هميشه نيٽ ورڪ جي مسئلن سان لاڳاپيل ناهي، پر هن وقت اسان صرف نيٽ ورڪ جي حصي ۾ دلچسپي رکون ٿا. مقامي نيٽ ورڪ سان سڀ کان عام مسئلو "سست" سان لاڳاپيل آهي پيڪٽ جي نقصان سان. اهو عام طور تي ٿئي ٿو جڏهن ڪو رڪاوٽ يا L1 (OSI) مسئلا آهي. گهڻو ڪري، ڪجهه ڊيزائنن سان (مثال طور، جڏهن توهان جي سبنيٽس وٽ فائر وال هجي جيئن ڊفالٽ گيٽ وي ۽ اهڙيءَ طرح سمورو ٽريفڪ ان مان گذرندو آهي)، هارڊويئر ڪارڪردگيءَ جي گهٽتائي ٿي سگهي ٿي.

تنهن ڪري، جڏهن سامان ۽ فن تعمير کي چونڊيو، توهان کي آخري بندرگاهن، ٽرڪن ۽ سامان جي ڪارڪردگي جي رفتار سان تعلق رکڻ جي ضرورت آهي.

مثال طور

اچو ته فرض ڪريو ته توهان 1 گيگابٽ بندرگاهن سان سوئچ استعمال ڪري رهيا آهيو جيئن رسائي پرت سوئچز. اهي Etherchannel 2 x 10 gigabits ذريعي هڪ ٻئي سان ڳنڍيل آهن. ڊفالٽ گيٽ وي جي طور تي، توهان گيگابٽ بندرگاهن سان گڏ هڪ فائر وال استعمال ڪريو ٿا، جيڪو L2 آفيس نيٽ ورڪ سان ڳنڍڻ لاءِ توهان استعمال ڪريو ٿا 2 گيگابٽ بندرگاهن هڪ ايٿر چينل ۾ گڏيل.

هي فن تعمير ڪارڪردگي جي نقطي نظر کان ڪافي آسان آهي، ڇاڪاڻ ته ... سموري ٽريفڪ فائر وال جي ذريعي ٿئي ٿي، ۽ توھان آرام سان رسائي جي پاليسين کي منظم ڪري سگھو ٿا، ۽ ٽرئفڪ کي ڪنٽرول ڪرڻ ۽ ممڪن حملن کي روڪڻ لاءِ پيچيده الگورٿم لاڳو ڪري سگھو ٿا (ھيٺ ڏسو)، پر ھن ڊيزائن ۽ ڪارڪردگيءَ جي نقطي نظر کان، يقيناً، امڪاني مسئلا آھن. تنهن ڪري، مثال طور، 2 هوسٽ ڊائون لوڊ ڪرڻ واري ڊيٽا (1 گيگابٽ جي بندرگاهه جي رفتار سان) مڪمل طور تي 2 گيگابٽ ڪنيڪشن کي فائر وال ڏانهن لوڊ ڪري سگهي ٿو، ۽ اهڙيء طرح سڄي آفيس جي حصي لاء خدمت جي تباهي جي ڪري ٿي.

اسان ٽڪنڊي جي ھڪڙي عمدي کي ڏٺو آھي، ھاڻي اچو ته ڏسون ته اسان حفاظت کي ڪيئن يقيني بڻائي سگھون ٿا.

حفاظت جا وسيلا

تنهن ڪري، يقينا، عام طور تي اسان جي خواهش (يا بلڪه، اسان جي انتظام جي خواهش) ناممڪن حاصل ڪرڻ آهي، يعني، وڌ ۾ وڌ سيڪيورٽي ۽ گهٽ ۾ گهٽ قيمت سان وڌ ۾ وڌ سهولت فراهم ڪرڻ.

اچو ته ڏسو ته اسان کي تحفظ فراهم ڪرڻ جا ڪهڙا طريقا آهن.

آفيس لاءِ، مان ھيٺين کي نمايان ڪندس:

  • ڊزائين ڪرڻ لاء صفر اعتماد جو طريقو
  • تحفظ جي اعلي سطح
  • نيٽ ورڪ جي نمائش
  • متحد مرڪزي تصديق ۽ اختيار جو نظام
  • ميزبان جي چڪاس

اڳيون، اسان انهن مان هر هڪ تي ٿورو وڌيڪ تفصيل سان رهنداسين.

زيرو ٽرسٽ

آئي ٽي دنيا تمام جلدي تبديل ٿي رهي آهي. صرف گذريل 10 سالن کان، نئين ٽيڪنالاجيز ۽ شين جي اڀرڻ سبب سيڪيورٽي تصورن جي وڏي نظرثاني ڪئي وئي آهي. ڏهه سال اڳ، حفاظتي نقطه نظر کان، اسان نيٽ ورڪ کي ڀروسو، dmz ۽ untrust زونن ۾ ورهايو، ۽ نام نهاد ”پريميٽر پروٽيڪشن“ استعمال ڪيو، جتي دفاع جون 2 لائينون هيون: بي اعتمادي -> dmz ۽ dmz -> ڀروسو. گڏوگڏ، تحفظ عام طور تي L3/L4 (OSI) هيڊرز (IP، TCP/UDP بندرگاهن، TCP پرچم) جي بنياد تي لسٽن تائين رسائي تائين محدود هوندو هو. اعليٰ سطحن سان لاڳاپيل هر شي، بشمول L7، او ايس ۽ سيڪيورٽي پراڊڪٽس تي رهجي ويو جيڪي آخري ميزبان تي نصب ڪيا ويا.

هاڻي صورتحال ڊرامي طور تبديل ٿي چڪي آهي. جديد تصور صفر اعتماد حقيقت مان اچي ٿو ته اهو هاڻي ممڪن ناهي ته اندروني سسٽم تي غور ڪيو وڃي، اهو آهي، جيڪي پردي جي اندر واقع آهن، معتبر طور تي، ۽ دائري جو تصور پاڻ کي ڌماڪو ٿي ويو آهي.
انٽرنيٽ ڪنيڪشن کان علاوه اسان وٽ پڻ آهي

  • ريموٽ رسائي VPN استعمال ڪندڙ
  • مختلف ذاتي گيجٽ، ليپ ٽاپ کڻي آيا، آفيس وائي فائي ذريعي ڳنڍيل
  • ٻيون (شاخ) آفيسون
  • بادل جي بنيادي ڍانچي سان انضمام

زيرو ٽرسٽ جو طريقو عملي طور تي ڇا نظر اچي ٿو؟

مثالي طور تي، صرف ٽرئفڪ جي اجازت ڏني وڃي جيڪا گهربل هجي ۽، جيڪڏهن اسان هڪ مثالي بابت ڳالهائي رهيا آهيون، پوء ڪنٽرول نه رڳو L3 / L4 سطح تي، پر ايپليڪيشن جي سطح تي هجڻ گهرجي.

جيڪڏهن، مثال طور، توهان کي فائر وال ذريعي سڀني ٽرئفڪ کي منتقل ڪرڻ جي صلاحيت آهي، ته پوء توهان مثالي جي ويجهو وڃڻ جي ڪوشش ڪري سگهو ٿا. پر اهو طريقو توهان جي نيٽ ورڪ جي ڪل بينڊوڊٿ کي خاص طور تي گهٽائي سگهي ٿو، ۽ ان کان علاوه، ايپليڪيشن ذريعي فلٽر ڪرڻ هميشه سٺو ڪم نٿو ڪري.

جڏهن روٽر يا L3 سوئچ تي ٽرئفڪ کي ڪنٽرول ڪرڻ (معياري ACLs استعمال ڪندي)، توهان ٻين مسئلن کي منهن ڏيو ٿا:

  • هي صرف L3/L4 فلٽرنگ آهي. حملي آور کي انهن جي ايپليڪيشن لاءِ اجازت ڏنل بندرگاهن (مثال طور TCP 80) استعمال ڪرڻ کان روڪڻ جي ڪا به شيءِ ناهي (نه http)
  • پيچيده ACL انتظام (اي سي ايل کي پارس ڪرڻ ڏکيو)
  • هي هڪ اسٽيٽفول فائر وال نه آهي، مطلب ته توهان کي واضح طور تي ريورس ٽرئفڪ جي اجازت ڏيڻ جي ضرورت آهي
  • سوئچز سان توهان عام طور تي TCAM جي سائيز جي لحاظ کان تمام گهڻو محدود هوندا آهيو، جيڪو جلدي هڪ مسئلو بڻجي سگهي ٿو جيڪڏهن توهان وٺو "صرف اجازت ڏيو جيڪا توهان کي گهربل آهي"

نوٽ

ريورس ٽرئفڪ بابت ڳالهائيندي، اسان کي ياد رکڻ گهرجي ته اسان وٽ هيٺيان موقعو آهي (سسکو)

اجازت ڏيو tcp ڪنهن به قائم ڪيل

پر توهان کي اهو سمجهڻ گهرجي ته هي لڪير ٻن لائينن جي برابر آهي:
اجازت ڏيو tcp ڪنهن به ack
اجازت ڏيو tcp ڪنهن به rst

جنهن جو مطلب اهو آهي ته جيتوڻيڪ SYN پرچم سان ڪو به ابتدائي TCP حصو نه هو (يعني TCP سيشن به قائم ٿيڻ شروع نه ٿيو هو)، هي ACL اجازت ڏيندو ACK پرچم سان هڪ پيڪيٽ، جيڪو هڪ حملو ڪندڙ ڊيٽا کي منتقل ڪرڻ لاء استعمال ڪري سگهي ٿو.

اهو آهي، هي لائن ڪنهن به طريقي سان توهان جي روٽر يا L3 سوئچ کي اسٽيٽ فل فائر وال ۾ تبديل نٿو ڪري.

تحفظ جي اعلي سطح

В مضمون ڊيٽا سينٽرن تي سيڪشن ۾، اسان هيٺ ڏنل تحفظ جي طريقن تي غور ڪيو.

  • رياستي فائر والنگ (ڊفالٽ)
  • ddos/dos تحفظ
  • ايپليڪيشن فائر والنگ
  • خطري جي روڪٿام (اينٽي وائرس، اينٽي اسپائي ويئر، ۽ ڪمزوري)
  • URL فلٽرنگ
  • ڊيٽا فلٽرنگ (مواد فلٽرنگ)
  • فائل بلاڪنگ (فائل جا قسم بلاڪنگ)

آفيس جي صورت ۾، صورتحال ساڳي آهي، پر ترجيحات ٿوري مختلف آهن. آفيس جي دستيابي (دستياب) عام طور تي ايترو نازڪ نه هوندو آهي جيترو ڊيٽا سينٽر جي صورت ۾، جڏهن ته ”اندروني“ بدسلوڪي ٽرئفڪ جو امڪان وڏي پيماني تي آرڊر هوندو آهي.
تنهن ڪري، هن ڀاڱي لاء هيٺيان تحفظ جا طريقا اهم بڻجي ويا آهن:

  • ايپليڪيشن فائر والنگ
  • خطري جي روڪٿام (اينٽي وائرس، اينٽي اسپائي ويئر، ۽ ڪمزوري)
  • URL فلٽرنگ
  • ڊيٽا فلٽرنگ (مواد فلٽرنگ)
  • فائل بلاڪنگ (فائل جا قسم بلاڪنگ)

جيتوڻيڪ اهي سڀئي حفاظتي طريقا، ايپليڪيشن فائر والنگ جي استثنا سان، روايتي طور تي آخري هوسٽس (مثال طور، اينٽي وائرس پروگرامن کي نصب ڪرڻ) ۽ پراڪسز استعمال ڪندي، روايتي طور تي حل ڪيا ويا آهن ۽ جاري آهن، جديد NGFWs پڻ اهي خدمتون مهيا ڪن ٿيون.

حفاظتي سامان وينڊرز جامع تحفظ پيدا ڪرڻ جي ڪوشش ڪندا آهن، تنهنڪري مقامي تحفظ سان گڏ، اهي پيش ڪن ٿا مختلف ڪلائوڊ ٽيڪنالاجيز ۽ ڪلائنٽ سافٽ ويئر ميزبانن لاءِ (آخر پوائنٽ تحفظ/اي پي پي). تنهن ڪري، مثال طور، کان 2018 گارٽنر جادو ڪواڊرنٽ اسان ڏسون ٿا ته پولو الٽو ۽ سسڪو پنهنجا اي پي پي آهن (PA: Traps، Cisco: AMP)، پر اڳواڻن کان پري آهن.

انهن تحفظن کي فعال ڪرڻ (عام طور تي لائسنس خريد ڪرڻ سان) توهان جي فائر وال تي يقيناً لازمي ناهي (توهان روايتي رستو وٺي سگهو ٿا)، پر اهو ڪجهه فائدا مهيا ڪري ٿو:

  • انهي صورت ۾، حفاظتي طريقن جي ايپليڪيشن جو هڪ واحد نقطو آهي، جيڪو نمائش کي بهتر بڻائي ٿو (ايندڙ موضوع ڏسو).
  • جيڪڏهن توهان جي نيٽ ورڪ تي هڪ غير محفوظ ڊيوائس آهي، ته پوءِ اهو اڃا تائين فائر وال تحفظ جي ”ڇتري“ هيٺ اچي ٿو.
  • آخري ميزبان تحفظ سان گڏ فائر وال تحفظ کي استعمال ڪندي، اسان بدسلوڪي ٽرئفڪ کي ڳولڻ جي امڪان کي وڌايو. مثال طور، مقامي ميزبانن ۽ فائر وال تي خطري جي روڪٿام کي استعمال ڪرڻ سان معلوم ٿيڻ جو امڪان وڌي ٿو (بشرطيقي طور تي، اهي حل مختلف سافٽ ويئر پروڊڪٽس تي ٻڌل آهن)

نوٽ

جيڪڏهن، مثال طور، توهان استعمال ڪريو ٿا Kaspersky هڪ اينٽي وائرس جي طور تي ٻنهي فائر وال ۽ آخري ميزبان تي، پوء اهو، يقينا، توهان جي نيٽ ورڪ تي وائرس جي حملي کي روڪڻ جا موقعا تمام گهڻو نه وڌندا.

نيٽ ورڪ جي نمائش

مکيه خيال سادو آهي - ”ڏسو“ توهان جي نيٽ ورڪ تي ڇا ٿي رهيو آهي، ٻئي حقيقي وقت ۽ تاريخي ڊيٽا ۾.

مان هن ”وژن“ کي ٻن گروهن ۾ ورهائيندس:

گروپ هڪ: جيڪو توهان جي نگراني وارو نظام عام طور تي توهان کي فراهم ڪري ٿو.

  • سامان جي لوڊشيڊنگ
  • لوڊ ڪندي چينل
  • ياداشت جو استعمال
  • ڊسڪ استعمال
  • روٽنگ ٽيبل تبديل ڪرڻ
  • ڳنڍڻ جي حالت
  • سامان جي دستيابي (يا ميزبان)
  • ...

گروپ ٻه: حفاظت سان لاڳاپيل معلومات.

  • انگن اکرن جا مختلف قسم (مثال طور، ايپليڪيشن ذريعي، URL ٽرئفڪ طرفان، ڪهڙي قسم جي ڊيٽا ڊائون لوڊ ڪئي وئي، صارف ڊيٽا)
  • ڇا سيڪيورٽي پاليسين طرفان بلاڪ ڪيو ويو ۽ ڪهڙي سبب لاء، يعني
    • منع ٿيل درخواست
    • ip/protocol/port/flags/zones جي بنياد تي منع ٿيل
    • خطري جي روڪٿام
    • url فلٽرنگ
    • ڊيٽا فلٽرنگ
    • فائل بلاڪ ڪرڻ
    • ...
  • DOS/DDOS حملن تي انگ اکر
  • ناڪام سڃاڻپ ۽ اختيار ڏيڻ جي ڪوشش
  • مٿين سڀني سيڪيورٽي پاليسي جي خلاف ورزي جي واقعن جا انگ اکر
  • ...

سيڪيورٽي تي هن باب ۾، اسان ٻئي حصي ۾ دلچسپي وٺندا آهيون.

ڪجھ جديد فائر والز (منهنجي پالو آلٽو تجربي مان) سٺي سطح جي نمائش مهيا ڪن ٿا. پر، يقيناً، جنهن ٽريفڪ ۾ توهان دلچسپي رکو ٿا ان کي هن فائر وال ذريعي وڃڻ گهرجي (انهي صورت ۾ توهان وٽ ٽريفڪ کي بلاڪ ڪرڻ جي صلاحيت آهي) يا فائر وال (صرف مانيٽرنگ ۽ تجزيي لاءِ استعمال ڪيو ويندو آهي) ڏانهن اشارو ڪيو وڃي، ۽ توهان وٽ لازمي طور تي سڀني کي فعال ڪرڻ لاءِ لائسنس هجڻ گهرجن. اهي خدمتون.

اتي، يقينا، هڪ متبادل طريقو آهي، يا بلڪه روايتي طريقو، مثال طور،

  • سيشن جا انگ اکر گڏ ڪري سگھجن ٿا نيٽ فلو ذريعي ۽ پوءِ استعمال ڪيا وڃن خاص افاديت جي معلومات جي تجزيو ۽ ڊيٽا جي تصور لاءِ
  • خطري جي روڪٿام - خاص پروگرامن (اينٽي وائرس، اينٽي اسپائي ويئر، فائر وال) آخري ميزبان تي
  • URL فلٽرنگ، ڊيٽا فلٽرنگ، فائل بلاڪنگ - پراکسي تي
  • مثال طور استعمال ڪندي tcpdump جو تجزيو ڪرڻ ممڪن آهي. ڇڪڻ

توھان انھن ٻن طريقن کي گڏ ڪري سگھو ٿا، گم ٿيل خاصيتن کي پورو ڪرڻ يا انھن کي نقل ڪري سگھوٿا حملي کي ڳولڻ جي امڪان کي وڌائڻ لاءِ.

ڪهڙو طريقو توهان کي چونڊڻ گهرجي؟
گهڻو ڪري توهان جي ٽيم جي قابليت ۽ ترجيحن تي منحصر آهي.
ٻئي اتي ۽ اتي نفعو ۽ نقصان آهن.

متحد مرڪزي تصديق ۽ اختيار جو نظام

جڏهن چڱيءَ طرح ٺهيل هجي، موبلائيٽي جنهن تي اسان هن مضمون ۾ بحث ڪيو آهي اهو فرض ڪري ٿو ته توهان وٽ ساڳي پهچ آهي ته توهان آفيس کان ڪم ڪري رهيا آهيو يا گهر کان، ايئرپورٽ کان، ڪافي شاپ تان، يا ڪنهن ٻئي هنڌ (جيڪي حدن سان اسان مٿي بحث ڪيو آهي). لڳي ٿو، مسئلو ڇا آهي؟
هن ڪم جي پيچيدگي کي بهتر سمجهڻ لاء، اچو ته هڪ عام ڊزائن کي ڏسو.

مثال طور

  • توهان سڀني ملازمن کي گروپن ۾ ورهايو آهي. توهان گروپن جي ذريعي رسائي فراهم ڪرڻ جو فيصلو ڪيو آهي
  • آفيس جي اندر، توهان آفيس جي فائر وال تي رسائي کي ڪنٽرول ڪريو ٿا
  • توهان ڊيٽا سينٽر فائر وال تي آفيس کان ڊيٽا سينٽر تائين ٽرئفڪ کي ڪنٽرول ڪريو ٿا
  • توھان استعمال ڪريو ٿا سِسکو ASA ھڪ وي پي اين گيٽ وي جي طور تي، ۽ ٽريفڪ کي ڪنٽرول ڪرڻ لاءِ توھان جي نيٽ ورڪ ۾ ريموٽ ڪلائنٽ کان، توھان استعمال ڪريو ٿا مقامي (ASA تي) ACLs

ھاڻي، اچو ته توھان کي چيو وڃي ٿو ته ھڪڙي خاص ملازم کي اضافي رسائي شامل ڪريو. انهي حالت ۾، توهان کي صرف هن تائين رسائي شامل ڪرڻ لاء چيو ويندو آهي ۽ ٻيو ڪو به هن جي گروپ مان ناهي.

ان لاءِ اسان کي هن ملازم لاءِ هڪ الڳ گروپ ٺاهڻو پوندو، اهو آهي

  • هن ملازم لاءِ ASA تي هڪ الڳ IP پول ٺاهيو
  • ASA تي نئون ACL شامل ڪريو ۽ ان کي ريموٽ ڪلائنٽ سان پابند ڪريو
  • آفيس ۽ ڊيٽا سينٽر فائر والز تي نئين سيڪيورٽي پاليسيون ٺاهي

اهو سٺو آهي جيڪڏهن اهو واقعو نادر آهي. پر منهنجي عمل ۾ هڪ صورتحال هئي جڏهن ملازمن مختلف منصوبن ۾ حصو ورتو، ۽ انهن مان ڪجهه منصوبن جو هي سيٽ گهڻو ڪري تبديل ٿي ويو، ۽ اهو 1-2 ماڻهو نه هو، پر درجنين. يقينا، هتي ڪجهه تبديل ڪرڻ جي ضرورت آهي.

اهو هيٺين طريقي سان حل ڪيو ويو.

اسان فيصلو ڪيو ته LDAP سچائي جو واحد ذريعو هوندو جيڪو سڀني ممڪن ملازمن جي رسائي کي طئي ڪري ٿو. اسان سڀني قسمن جا گروپ ٺاھيا آھن جيڪي سيٽ جي رسائي جي وضاحت ڪن ٿا، ۽ اسان ھر صارف کي ھڪڙي يا وڌيڪ گروپن کي تفويض ڪيو آھي.

تنهن ڪري، مثال طور، فرض ڪريو اتي گروپ هئا

  • مهمان (انٽرنيٽ رسائي)
  • عام رسائي (شڪل وسيلن تائين رسائي: ميل، ڄاڻ جو بنياد، ...)
  • اڪائونٽنگ
  • پروجيڪٽ 1
  • پروجيڪٽ 2
  • ڊيٽا بيس ايڊمنسٽريٽر
  • لينڪس ايڊمنسٽريٽر
  • ...

۽ جيڪڏهن ملازمن مان هڪ ٻئي منصوبي 1 ۽ پروجيڪٽ 2 ۾ ملوث هو، ۽ هن کي انهن منصوبن ۾ ڪم ڪرڻ لاء ضروري رسائي جي ضرورت آهي، ته پوء هن ملازم کي هيٺين گروپن کي لڳايو ويو:

  • مهمان
  • عام رسائي
  • پروجيڪٽ 1
  • پروجيڪٽ 2

هاڻي اسان ڪيئن هن معلومات کي نيٽ ورڪ سامان تي رسائي ۾ تبديل ڪري سگهون ٿا؟

Cisco ASA متحرڪ رسائي پاليسي (DAP) (ڏسو www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) حل صرف هن ڪم لاء صحيح آهي.

اسان جي عمل جي باري ۾ مختصر طور تي، سڃاڻپ/اختيار ڏيڻ واري عمل دوران، ASA LDAP کان گروپن جو هڪ سيٽ حاصل ڪري ٿو جيڪو هڪ ڏنل صارف سان لاڳاپيل آهي ۽ ڪيترن ئي مقامي ACLs (جنهن مان هر هڪ گروپ سان واسطو رکي ٿو) هڪ متحرڪ ACL سڀني ضروري رسائي سان گڏ. ، جيڪو مڪمل طور تي اسان جي خواهش سان مطابقت رکي ٿو.

پر اهو صرف وي پي اين ڪنيڪشن لاءِ آهي. VPN ذريعي ڳنڍيل ٻنهي ملازمن لاءِ صورتحال هڪجهڙائي ڪرڻ لاءِ ۽ جيڪي آفيس ۾ آهن، هيٺيان قدم کنيا ويا.

جڏهن آفيس مان ڳنڍڻ، استعمال ڪندڙ استعمال ڪندڙ 802.1x پروٽوڪول يا ته مهمان LAN (مهمانن لاءِ) يا گڏيل LAN (ڪمپني جي ملازمن لاءِ) ۾ ختم ٿي ويا. وڌيڪ، مخصوص رسائي حاصل ڪرڻ لاءِ (مثال طور، ڊيٽا سينٽر ۾ منصوبن لاءِ)، ملازمن کي وي پي اين ذريعي ڳنڍڻو پوندو هو.

آفيس ۽ گهر کان ڳنڍڻ لاءِ، اي ايس اي تي مختلف سرنگ گروپ استعمال ڪيا ويا. اهو ضروري آهي ته انهن لاءِ جيڪي آفيس کان ڳنڍي رهيا آهن، گڏيل وسيلن ڏانهن ٽرئفڪ (سڀني ملازمن پاران استعمال ٿيل، جهڙوڪ ميل، فائل سرور، ٽڪيٽ سسٽم، ڊي اين ايس، ...) ASA ذريعي نه، پر مقامي نيٽ ورڪ ذريعي. . ان ڪري، اسان ASA کي غير ضروري ٽرئفڪ سان لوڊ نه ڪيو، بشمول تيز شدت واري ٽرئفڪ.

اهڙيء طرح، مسئلو حل ڪيو ويو.
اسان حاصل ڪيو

  • آفيس ۽ ريموٽ ڪنيڪشن ٻنهي ڪنيڪشن لاءِ رسائي جو ساڳيو سيٽ
  • ASA ذريعي تيز شدت واري ٽرئفڪ جي منتقلي سان لاڳاپيل آفيس مان ڪم ڪرڻ دوران سروس جي خرابي جي غير موجودگي

هن طريقي جا ٻيا ڪهڙا فائدا آهن؟
رسائي انتظاميه ۾. رسائي آساني سان هڪ جاء تي تبديل ڪري سگهجي ٿو.
مثال طور، جيڪڏهن هڪ ملازم ڪمپني ڇڏي ٿو، ته توهان صرف هن کي LDAP مان هٽايو، ۽ هو خودڪار طريقي سان سڀني رسائي وڃائي ٿو.

ميزبان جي چڪاس

ريموٽ ڪنيڪشن جي امڪان سان، اسان نه رڳو ڪمپني جي ملازم کي نيٽ ورڪ ۾ داخل ٿيڻ جي خطري کي هلائيندا آهيون، پر اهو پڻ تمام خراب سافٽ ويئر جيڪو تمام گهڻو ممڪن آهي ته هن جي ڪمپيوٽر تي موجود هجي (مثال طور، گهر)، ۽ ان کان علاوه، هن سافٽ ويئر ذريعي اسان ٿي سگهي ٿو اسان جي نيٽ ورڪ تائين رسائي فراهم ڪري هڪ حملي آور کي هن ميزبان کي پراکسي طور استعمال ڪندي.

اهو احساس رکي ٿو هڪ دور دراز سان ڳنڍيل هوسٽ لاءِ ساڳئي حفاظتي گهرجون لاڳو ڪرڻ لاءِ آفيس ۾ ميزبان وانگر.

اهو پڻ فرض ڪري ٿو "درست" ورزن جو او ايس، اينٽي وائرس، اينٽي اسپائي ويئر، ۽ فائر وال سافٽ ويئر ۽ تازه ڪاريون. عام طور تي، اها صلاحيت موجود آهي وي پي اين گيٽ وي تي (اي ايس اي لاءِ ڏسو، مثال طور، هتي).

اهو ساڳيو ٽريفڪ تجزيو ۽ بلاڪنگ ٽيڪنڪ کي لاڳو ڪرڻ لاءِ پڻ عقلمندي آهي (ڏسو ”اعلي سطح جو تحفظ“) جيڪا توهان جي سيڪيورٽي پاليسي آفيس ٽرئفڪ تي لاڳو ٿئي ٿي.

اهو فرض ڪرڻ مناسب آهي ته توهان جو آفيس نيٽ ورڪ هاڻي آفيس جي عمارت ۽ ان جي اندر ميزبانن تائين محدود ناهي.

مثال طور

هڪ سٺي ٽيڪنڪ هر ملازم کي مهيا ڪرڻ آهي جنهن کي هڪ سٺو، آسان ليپ ٽاپ سان ريموٽ رسائي جي ضرورت آهي ۽ انهن کي ڪم ڪرڻ جي ضرورت آهي، ٻئي آفيس ۾ ۽ گهر کان، صرف ان کان.

نه رڳو اهو توهان جي نيٽ ورڪ جي سيڪيورٽي کي بهتر بڻائي ٿو، پر اهو پڻ واقعي آسان آهي ۽ عام طور تي ملازمن طرفان مناسب طور تي ڏٺو ويندو آهي (جيڪڏهن اهو واقعي سٺو، صارف دوست ليپ ٽاپ آهي).

تناسب ۽ توازن جي احساس بابت

بنيادي طور تي، اها ڳالهه ٻولهه آهي اسان جي ٽڪنڊي جي ٽئين چوٽي بابت - قيمت بابت.
اچو ته هڪ فرضي مثال ڏسو.

مثال طور

توهان وٽ 200 ماڻهن لاءِ آفيس آهي. توهان ان کي آسان ۽ ممڪن طور تي محفوظ ڪرڻ جو فيصلو ڪيو.

تنهن ڪري، توهان فيصلو ڪيو ته سڀني ٽرئفڪ کي فائر وال ذريعي منتقل ڪيو وڃي ۽ اهڙيء طرح سڀني آفيس جي سبنٽس لاءِ فائر وال ڊفالٽ گيٽ وي آهي. سيڪيورٽي سافٽ ويئر کان علاوه هر آخري ميزبان تي نصب ڪيل (اينٽي وائرس، اينٽي اسپائي ويئر، ۽ فائر وال سافٽ ويئر)، توهان پڻ فيصلو ڪيو ته سڀني ممڪن حفاظتي طريقن کي لاڳو ڪرڻ لاء فائر وال تي.

تيز ڪنيڪشن جي رفتار کي يقيني بڻائڻ لاءِ (سڀني سهولت لاءِ)، توهان 10 گيگابٽ رسائي بندرگاهن سان سوئچز کي رسائي سوئچز طور چونڊيو، ۽ اعليٰ ڪارڪردگي NGFW فائر والز کي فائر والز طور، مثال طور، Palo Alto 7K سيريز (40 گيگابٽ بندرگاهن سان)، قدرتي طور تي سڀني لائسنسن سان. شامل ۽، قدرتي طور تي، هڪ اعلي دستيابي جوڙو.

انهي سان گڏ، يقينا، سامان جي هن لائين سان ڪم ڪرڻ لاء اسان کي گهٽ ۾ گهٽ هڪ اعلي قابل سيڪيورٽي انجنيئرن جي ضرورت آهي.

اڳيون، توهان هر ملازم کي هڪ سٺو ليپ ٽاپ ڏيڻ جو فيصلو ڪيو.

ڪل، اٽڪل 10 ملين ڊالر عملدرآمد لاءِ، سوين هزارين ڊالر (مان سمجهان ٿو هڪ ملين جي ويجهو) سالياني مدد ۽ انجنيئرن جي تنخواه لاءِ.

آفيس، 200 ماڻهو...
آرام سان؟ مان سمجهان ٿو ته ها.

توهان هن تجويز سان پنهنجي انتظاميا ڏانهن اچو ...
شايد دنيا ۾ ڪيتريون ئي ڪمپنيون آهن جن لاءِ هي هڪ قابل قبول ۽ صحيح حل آهي. جيڪڏهن توهان هن ڪمپني جا ملازم آهيو، منهنجون مبارڪون هجن، پر اڪثر ڪيسن ۾، مون کي پڪ آهي ته توهان جي ڄاڻ کي انتظاميه طرفان ساراهيو نه ويندو.

ڇا هي مثال مبالغ آميز آهي؟ ايندڙ باب هن سوال جو جواب ڏيندو.

جيڪڏهن توهان جي نيٽ ورڪ تي توهان مٿين مان ڪنهن کي نه ڏسي سگهو ٿا، پوء اهو عام آهي.
هر مخصوص ڪيس لاءِ، توهان کي ضرورت آهي ته توهان جو پنهنجو مناسب سمجهوتو سهولت، قيمت ۽ حفاظت جي وچ ۾. گهڻو ڪري توهان کي توهان جي آفيس ۾ NGFW جي ضرورت ناهي، ۽ فائر وال تي L7 تحفظ جي ضرورت ناهي. اهو ڪافي آهي ته سٺي سطح جي ڏيک ۽ خبرداري مهيا ڪرڻ، ۽ اهو ڪري سگهجي ٿو اوپن سورس پروڊڪٽس، مثال طور. ها، هڪ حملي تي توهان جو ردعمل فوري طور تي نه هوندو، پر بنيادي شيء اها آهي ته توهان ان کي ڏسندا، ۽ توهان جي ڊپارٽمينٽ ۾ صحيح عملن سان، توهان جلدي ان کي غير جانبدار ڪرڻ جي قابل هوندا.

۽ مان توهان کي ياد ڏياران ٿو ته، آرٽيڪل جي هن سيريز جي تصور جي مطابق، توهان هڪ نيٽ ورڪ ڊزائين نه ڪري رهيا آهيو، توهان صرف بهتر ڪرڻ جي ڪوشش ڪري رهيا آهيو جيڪو توهان حاصل ڪيو آهي.

آفيس جي فن تعمير جو محفوظ تجزيو

هن ڳاڙهي چورس ڏانهن ڌيان ڏيو جنهن سان مون ڊراگرام تي هڪ جڳهه مختص ڪئي هئي SAFE محفوظ ڪيمپس آرڪيٽيڪچر گائيڊجنهن تي مان هتي بحث ڪرڻ چاهيان ٿو.

توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو ٽيون

هي فن تعمير جي اهم جڳهن مان هڪ آهي ۽ هڪ اهم غير يقيني صورتحال آهي.

نوٽ

مون ڪڏهن به فائر پاور سان سيٽ اپ يا ڪم نه ڪيو آهي (سسڪو جي فائر وال لائن کان - صرف ASA)، تنهنڪري مان ان کي ڪنهن ٻئي فائر وال وانگر علاج ڪندس، جهڙوڪ Juniper SRX يا Palo Alto، فرض ڪيو ته ان ۾ ساڳي صلاحيتون آهن.

معمولي ڊيزائنن مان، مون کي صرف 4 ممڪن اختيارات نظر اچن ٿا هن ڪنيڪشن سان فائر وال استعمال ڪرڻ لاءِ:

  • هر سب نيٽ لاءِ ڊفالٽ گيٽ وي هڪ سوئچ هوندو آهي، جڏهن ته فائر وال شفاف موڊ ۾ هوندو آهي (يعني تمام ٽريفڪ ان مان گذرندي آهي، پر اهو L3 هاپ نه ٺاهيندو آهي)
  • هر سب نيٽ لاءِ ڊفالٽ گيٽ وي فائر وال سب انٽرفيس (يا SVI ​​انٽرفيس) آهي، سوئچ L2 جو ڪردار ادا ڪري ٿو.
  • سوئچ تي مختلف وي آر ايف استعمال ڪيا ويندا آهن، ۽ وي آر ايف جي وچ ۾ ٽرئفڪ فائر وال ذريعي ٿيندي آهي، هڪ وي آر ايف جي اندر ٽريفڪ سوئچ تي ACL پاران ڪنٽرول ڪئي ويندي آهي.
  • سمورو ٽريفڪ تجزيو ۽ مانيٽرنگ لاءِ فائر وال تي نظر اچي ٿو

تبصرو 1

انهن اختيارن جو مجموعو ممڪن آهي، پر سادگي لاء اسان انهن تي غور نه ڪنداسين.

نوٽ 2

PBR (سروس زنجير آرڪيٽيڪچر) استعمال ڪرڻ جو امڪان پڻ آهي، پر هن وقت تائين، جيتوڻيڪ منهنجي خيال ۾ هڪ خوبصورت حل، بلڪه غير معمولي آهي، تنهنڪري مان هتي ان تي غور نه ڪري رهيو آهيان.

دستاويز ۾ وهڪري جي وضاحت مان، اسان ڏسون ٿا ته ٽرئفڪ اڃا تائين فائر وال ذريعي وڃي ٿي، اهو آهي، سسڪو ڊيزائن جي مطابق، چوٿين اختيار کي ختم ڪيو ويو آهي.

اچو ته پهرين ٻن اختيارن کي ڏسو.
انهن اختيارن سان، سڀئي ٽرئفڪ فائر وال ذريعي وڃي ٿي.

هاڻي اچو ته ڏسو ڊيٽا شيٽ، ڏس Cisco GPL ۽ اسان ڏسون ٿا ته جيڪڏهن اسان چاهيون ٿا ته اسان جي آفيس لاءِ ڪل بينڊوڊٿ گهٽ ۾ گهٽ 10 - 20 گيگا بِٽ هجي، ته پوءِ اسان کي 4K ورجن خريد ڪرڻ گهرجي.

نوٽ

جڏهن آئون ڪل بينڊوڊٿ بابت ڳالهائيندو آهيان، منهنجو مطلب آهي ٽريفڪ سبنٽس جي وچ ۾ (۽ نه هڪ ولانا جي اندر).

جي پي ايل مان اسان ڏسون ٿا ته HA بنڊل لاءِ خطري جي حفاظت سان، قيمت ماڊل تي منحصر آهي (4110 - 4150) ~ 0,5 - 2,5 ملين ڊالر کان مختلف آهي.

اهو آهي، اسان جي جوڙجڪ پوئين مثال وانگر لڳندي آهي.

ڇا اهو مطلب آهي ته هي ڊزائن غلط آهي؟
نه، ان جو مطلب اهو ناهي. Cisco توهان کي بهترين ممڪن تحفظ ڏئي ٿو پراڊڪٽ لائن جي بنياد تي ان وٽ آهي. پر ان جو مطلب اهو ناهي ته اهو توهان لاءِ لازمي آهي.

اصول ۾، اهو هڪ عام سوال آهي جيڪو پيدا ٿئي ٿو جڏهن هڪ آفيس يا ڊيٽا سينٽر ڊزائين ڪرڻ، ۽ ان جو مطلب صرف اهو آهي ته هڪ سمجهوتو ڳولڻ جي ضرورت آهي.

مثال طور، سڀني ٽرئفڪ کي فائر وال ذريعي وڃڻ نه ڏيو، ان صورت ۾ اختيار 3 مون کي تمام سٺو لڳي ٿو، يا (اڳيون سيڪشن ڏسو) ٿي سگهي ٿو ته توهان کي خطري جي حفاظت جي ضرورت نه هجي يا انهي تي فائر وال جي ضرورت ناهي. نيٽ ورڪ جو حصو، ۽ توهان کي صرف ادا ڪيل (مهانگو نه) يا اوپن سورس حل استعمال ڪندي غير فعال مانيٽرنگ تائين محدود ڪرڻ جي ضرورت آهي، يا توهان کي فائر وال جي ضرورت آهي، پر هڪ مختلف وينڊر کان.

عام طور تي هميشه اها غير يقيني صورتحال هوندي آهي ۽ ڪو واضح جواب ناهي ته ڪهڙو فيصلو توهان لاءِ بهترين آهي.
هي هن ڪم جي پيچيدگي ۽ حسن آهي.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو