ඔබගේ ජාල යටිතල පහසුකම් පාලනය කරන්නේ කෙසේද. තුන්වන පරිච්ඡේදය. ජාල ආරක්ෂාව. තුන්වන කොටස

මෙම ලිපිය "ඔබේ ජාල යටිතල පහසුකම් පාලනය කරන්නේ කෙසේද" යන ලිපි මාලාවේ පස්වන ලිපියයි. ලිපි මාලාවේ සියලුම ලිපිවල අන්තර්ගතය සහ සබැඳි සොයා ගත හැක මෙහි.

මෙම කොටස කැම්පස් (කාර්යාලය) සහ දුරස්ථ ප්‍රවේශ VPN කොටස් සඳහා කැප කෙරේ.

කාර්යාල ජාල නිර්මාණය පහසු විය හැක.

ඇත්ත වශයෙන්ම, අපි L2/L3 ස්විචයන් ගෙන ඒවා එකිනෙකට සම්බන්ධ කරමු. ඊළඟට, අපි විලාන් සහ පෙරනිමි ද්වාරවල මූලික සැකසුම සිදු කරන්නෙමු, සරල මාර්ගගත කිරීම, WiFi පාලක සම්බන්ධ කිරීම, ප්රවේශ ස්ථාන, දුරස්ථ ප්රවේශය සඳහා ASA ස්ථාපනය කිරීම සහ වින්යාස කිරීම, සියල්ල ක්රියාත්මක වීම ගැන අපි සතුටු වෙමු. මූලික වශයෙන්, මම දැනටමත් පෙර එකක ලියා ඇති පරිදි ලිපි මෙම චක්‍රයේ, ටෙලිකොම් පාඨමාලාවක අධ්‍යයන වාර දෙකකට සහභාගී වූ (සහ ඉගෙන ගත්) සෑම සිසුවෙකුටම පාහේ කාර්යාල ජාලයක් සැලසුම් කර වින්‍යාසගත කළ හැකි අතර එමඟින් එය “කෙසේ හෝ ක්‍රියාත්මක වේ”.

නමුත් ඔබ වැඩි වැඩියෙන් ඉගෙන ගන්නා තරමට, මෙම කාර්යය අඩු සරල බවක් පෙනෙන්නට පටන් ගනී. මට පුද්ගලිකව, මෙම මාතෘකාව, කාර්යාල ජාල සැලසුම් කිරීමේ මාතෘකාව කිසිසේත් සරල නොවන බව පෙනේ, සහ මෙම ලිපියෙන් මම පැහැදිලි කිරීමට උත්සාහ කරමි.

කෙටියෙන් කිවහොත්, සලකා බැලිය යුතු සාධක කිහිපයක් තිබේ. බොහෝ විට මෙම සාධක එකිනෙක ගැටෙන අතර සාධාරණ සම්මුතියක් සෙවිය යුතුය.
මෙම අවිනිශ්චිතතාවය ප්රධාන දුෂ්කරතාවයයි. ඉතින්, ආරක්ෂාව ගැන කතා කරන විට, අපට සිරස් තුනක් සහිත ත්රිකෝණයක් තිබේ: ආරක්ෂාව, සේවකයින් සඳහා පහසුව, විසඳුමේ මිල.
ඒවගේම මේ තුන්දෙනා අතර සම්මුතියක් හොයන්න ඕන හැම වෙලාවකම.

ගෘහ නිර්මාණ ශිල්පය

මෙම කොටස් දෙක සඳහා ගෘහ නිර්මාණ ශිල්පය සඳහා උදාහරණයක් ලෙස, පෙර ලිපිවල මෙන්, මම නිර්දේශ කරමි Cisco SAFE ආකෘතිය: ව්යවසාය කැම්පස්, ව්යවසාය අන්තර්ජාල එජ්.

මේවා තරමක් යල් පැන ගිය ලේඛන වේ. මම ඒවා මෙහි ඉදිරිපත් කරන්නේ මූලික යෝජනා ක්‍රම සහ ප්‍රවේශය වෙනස් වී නැති නිසා, නමුත් ඒ සමඟම මම ඉදිරිපත් කිරීමට වඩා කැමතියි නව ලියකියවිලි.

Cisco විසඳුම් භාවිතා කිරීමට ඔබව දිරිමත් නොකර, මෙම සැලසුම හොඳින් අධ්‍යයනය කිරීම ප්‍රයෝජනවත් යැයි මම තවමත් සිතමි.

මෙම ලිපිය, සුපුරුදු පරිදි, කිසිදු ආකාරයකින් සම්පූර්ණ බව මවාපාන්නේ නැත, නමුත් මෙම තොරතුරු සඳහා අතිරේකයකි.

ලිපිය අවසානයේ, අපි මෙහි දක්වා ඇති සංකල්ප අනුව Cisco SAFE කාර්යාල සැලසුම විශ්ලේෂණය කරමු.

පොදු මූලධර්ම

කාර්යාල ජාලයේ සැලසුම, ඇත්ත වශයෙන්ම, සාකච්ඡා කර ඇති පොදු අවශ්යතා සපුරාලිය යුතුය මෙහි "නිර්මාණයේ ගුණාත්මකභාවය තක්සේරු කිරීමේ නිර්ණායක" යන පරිච්ඡේදයේ. මෙම ලිපියෙන් අපි සාකච්ඡා කිරීමට අදහස් කරන මිල සහ ආරක්ෂාවට අමතරව, සැලසුම් කිරීමේදී (හෝ වෙනස්කම් සිදු කිරීමේදී) අප සලකා බැලිය යුතු නිර්ණායක තුනක් තිබේ:

• පරිමාණය
• භාවිතයේ පහසුව (කළමනාකරණය)
• ලබා ගත හැකි බව

සාකච්ඡා කළ බොහෝ දේ දත්ත මධ්යස්ථාන කාර්යාලය සඳහාද මෙය සත්‍ය වේ.

නමුත් තවමත්, කාර්යාල අංශයට තමන්ගේම විශේෂතා ඇත, ඒවා ආරක්ෂක දෘෂ්ටි කෝණයකින් තීරණාත්මක ය. මෙම විශේෂත්වයේ සාරය නම්, මෙම කොටස නිර්මාණය කර ඇත්තේ සමාගමේ සේවකයින්ට (මෙන්ම හවුල්කරුවන්ට සහ අමුත්තන්ට) ජාල සේවා සැපයීම සඳහා වන අතර, එහි ප්‍රති, ලයක් වශයෙන්, ගැටලුව පිළිබඳ ඉහළම මට්ටමේ සලකා බැලීමේදී අපට කාර්යයන් දෙකක් තිබේ:

• සේවකයින්ගෙන් (අමුත්තන්, හවුල්කරුවන්) සහ ඔවුන් භාවිතා කරන මෘදුකාංග වලින් පැමිණිය හැකි ද්වේෂසහගත ක්රියා වලින් සමාගම් සම්පත් ආරක්ෂා කරන්න. ජාලයට අනවසර සම්බන්ධතාවයට එරෙහිව ආරක්ෂාව ද මෙයට ඇතුළත් වේ.
• පද්ධති සහ පරිශීලක දත්ත ආරක්ෂා කරන්න

මෙය ගැටලුවේ එක් පැත්තක් පමණි (හෝ ඒ වෙනුවට, ත්රිකෝණයේ එක් ශීර්ෂයක්). අනෙක් පැත්තෙන් පරිශීලක පහසුව සහ භාවිතා කරන විසඳුම්වල මිල වේ.

නවීන කාර්යාල ජාලයකින් පරිශීලකයෙකු අපේක්ෂා කරන්නේ කුමක්දැයි සොයා බැලීමෙන් ආරම්භ කරමු.

පහසුකම්

මගේ මතය අනුව කාර්යාල පරිශීලකයෙකු සඳහා "ජාල පහසුකම්" පෙනෙන්නේ කෙසේද යන්න මෙන්න:

• සංචලතාව
• හුරුපුරුදු උපාංග සහ මෙහෙයුම් පද්ධතිවල සම්පූර්ණ පරාසය භාවිතා කිරීමේ හැකියාව
• අවශ්‍ය සියලුම සමාගම් සම්පත් වෙත පහසුවෙන් ප්‍රවේශ වීම
• විවිධ වලාකුළු සේවා ඇතුළුව අන්තර්ජාල සම්පත් ලබා ගැනීම
• ජාලයේ "වේගවත් ක්රියාකාරිත්වය"

මේ සියල්ල සේවකයින්ට සහ අමුත්තන්ට (හෝ හවුල්කරුවන්ට) අදාළ වන අතර, අවසරය මත පදනම්ව විවිධ පරිශීලක කණ්ඩායම් සඳහා ප්රවේශය වෙන්කර හඳුනා ගැනීම සමාගමේ ඉංජිනේරුවන්ගේ කාර්යය වේ.

මෙම එක් එක් අංගයන් ටිකක් විස්තරාත්මකව බලමු.

සංචලතාව

අපි කතා කරන්නේ ලෝකයේ ඕනෑම තැනක සිට (ඇත්ත වශයෙන්ම, අන්තර්ජාලය පවතින) අවශ්‍ය සියලුම සමාගම් සම්පත් වැඩ කිරීමට සහ භාවිතා කිරීමට ඇති අවස්ථාව ගැන ය.

මෙය සම්පූර්ණයෙන්ම කාර්යාලයට අදාළ වේ. ඔබට කාර්යාලයේ ඕනෑම තැනක සිට දිගටම වැඩ කිරීමට අවස්ථාව ඇති විට මෙය පහසු වේ, උදාහරණයක් ලෙස, තැපෑල ලබා ගැනීම, ආයතනික පණිවිඩකරුවෙකුගෙන් සන්නිවේදනය කිරීම, වීඩියෝ ඇමතුමක් සඳහා ලබා ගත හැකිය, ... මේ අනුව, මෙය ඔබට එක් අතකින්, සමහර ගැටළු විසඳීමට "සජීවී" සන්නිවේදනය (උදාහරණයක් ලෙස, රැලිවලට සහභාගී වන්න), සහ අනෙක් අතට, සෑම විටම සබැඳිව සිටින්න, ඔබේ ඇඟිල්ල ස්පන්දනය කර තබාගෙන හදිසි ඉහළ ප්‍රමුඛතා කාර්යයන් කිහිපයක් ඉක්මනින් විසඳන්න. මෙය ඉතා පහසු වන අතර ඇත්ත වශයෙන්ම සන්නිවේදනයේ ගුණාත්මකභාවය වැඩි දියුණු කරයි.

මෙය සාක්ෂාත් කරගනු ලබන්නේ නිසි WiFi ජාල නිර්මාණය මගිනි.

සටහන

මෙහිදී සාමාන්යයෙන් ප්රශ්නය පැනනගින්නේ: WiFi පමණක් භාවිතා කිරීම ප්රමාණවත්ද? මෙයින් අදහස් කරන්නේ ඔබට කාර්යාලයේ Ethernet ports භාවිතා කිරීම නැවැත්විය හැකි බවද? අපි කතා කරන්නේ සාමාන්‍ය ඊතර්නෙට් වරායක් සමඟ සම්බන්ධ වීමට තවමත් සාධාරණ වන සේවාදායකයන් ගැන නොව පරිශීලකයින් ගැන පමණක් නම්, පොදුවේ පිළිතුර නම්: ඔව්, ඔබට ඔබව WiFi වෙත පමණක් සීමා කළ හැකිය. නමුත් සූක්ෂ්මතා තිබේ.

වෙනම ප්රවේශයක් අවශ්ය වන වැදගත් පරිශීලක කණ්ඩායම් තිබේ. ඇත්ත වශයෙන්ම, මොවුන් පරිපාලකයින් වේ. ප්‍රතිපත්තිමය වශයෙන්, WiFi සම්බන්ධතාවයක් සාමාන්‍ය ඊතර්නෙට් වරායකට වඩා අඩු විශ්වාසදායක (රථවාහන අලාභය අනුව) සහ මන්දගාමී වේ. මෙය පරිපාලකයන්ට වැදගත් විය හැකිය. මීට අමතරව, ජාල පරිපාලකයින්ට, උදාහරණයක් ලෙස, ප්‍රතිපත්තිමය වශයෙන්, බෑන්ඩ් වලින් පිටත සම්බන්ධතා සඳහා ඔවුන්ගේම කැපවූ ඊතර්නෙට් ජාලයක් තිබිය හැකිය.

මෙම සාධක ද ​​වැදගත් වන වෙනත් කණ්ඩායම්/දෙපාර්තමේන්තු ඔබේ සමාගම තුළ තිබිය හැකිය.

තවත් වැදගත් කරුණක් තිබේ - දුරකථන. සමහර විට කිසියම් හේතුවක් නිසා ඔබට රැහැන් රහිත VoIP භාවිතා කිරීමට අවශ්‍ය නැති අතර සාමාන්‍ය Ethernet සම්බන්ධතාවයක් සමඟ IP දුරකථන භාවිතා කිරීමට අවශ්‍ය වේ.

සාමාන්‍යයෙන්, මම වැඩ කළ සමාගම්වල සාමාන්‍යයෙන් WiFi සම්බන්ධතාව සහ Ethernet port එකක් තිබුණා.

සංචලනය කාර්යාලයට පමණක් සීමා නොවී සිටීමට මම කැමතියි.

නිවසේ සිට වැඩ කිරීමේ හැකියාව සහතික කිරීම සඳහා (හෝ ප්‍රවේශ විය හැකි අන්තර්ජාලය සහිත වෙනත් ඕනෑම ස්ථානයක), VPN සම්බන්ධතාවයක් භාවිතා කරයි. ඒ අතරම, එකම ප්‍රවේශය උපකල්පනය කරන නිවසේ සිට වැඩ කිරීම සහ දුරස්ථ වැඩ අතර වෙනස සේවකයින්ට නොදැනීම යෝග්‍ය වේ. මෙය සංවිධානය කරන්නේ කෙසේදැයි අපි ටිකක් පසුව “ඒකාබද්ධ මධ්‍යගත සත්‍යාපනය සහ අවසර පද්ධතිය” යන පරිච්ඡේදයෙන් සාකච්ඡා කරමු.

සටහන

බොහෝ දුරට ඉඩ ඇති පරිදි, ඔබ කාර්යාලයේ ඇති දුරස්ථ වැඩ සඳහා එකම ගුණාත්මක සේවාවන් සම්පූර්ණයෙන්ම ලබා දීමට ඔබට නොහැකි වනු ඇත. අපි හිතමු ඔබ ඔබේ VPN ද්වාරය ලෙස Cisco ASA 5520 භාවිතා කරන බව. දත්ත පත මෙම උපාංගයට "ජීර්ණය කිරීමට" හැකියාව ඇත්තේ VPN ගමනාගමනය 225 Mbit පමණි. එනම්, ඇත්ත වශයෙන්ම, කලාප පළල අනුව, VPN හරහා සම්බන්ධ කිරීම කාර්යාලයේ සිට වැඩ කිරීමට වඩා බෙහෙවින් වෙනස් ය. තවද, ඔබගේ ජාල සේවා සඳහා කිසියම් හේතුවක් නිසා, ප්‍රමාදය, අලාභය, කම්පනය (උදාහරණයක් ලෙස, ඔබට කාර්යාල IP දුරකථන භාවිතා කිරීමට අවශ්‍ය වේ) සැලකිය යුතු නම්, ඔබ කාර්යාලයේ සිටියාට සමාන ගුණාත්මක භාවයක් ද ඔබට නොලැබෙනු ඇත. එබැවින්, සංචලනය ගැන කතා කරන විට, හැකි සීමාවන් පිළිබඳව අප දැනුවත් විය යුතුය.

සියලුම සමාගම් සම්පත් වෙත පහසු ප්රවේශය

මෙම කාර්යය අනෙකුත් තාක්ෂණික දෙපාර්තමේන්තු සමඟ ඒකාබද්ධව විසඳිය යුතුය.
පරමාදර්ශී තත්වය නම් පරිශීලකයාට සත්‍යාපනය කිරීමට අවශ්‍ය වන්නේ එක් වරක් පමණක් වන අතර ඉන් පසුව ඔහුට අවශ්‍ය සියලු සම්පත් වෙත ප්‍රවේශය ඇත.
ආරක්ෂාව කැප නොකර පහසු ප්‍රවේශයක් ලබා දීමෙන් ඵලදායිතාව සැලකිය යුතු ලෙස වැඩිදියුණු කළ හැකි අතර ඔබේ සගයන් අතර ආතතිය අඩු කළ හැකිය.

සටහන 1

ප්‍රවේශ වීමේ පහසුව යනු ඔබට මුරපදයක් ඇතුළත් කළ යුතු වාර ගණන පමණක් නොවේ. උදාහරණයක් ලෙස, ඔබේ ආරක්ෂක ප්‍රතිපත්තියට අනුකූලව, කාර්යාලයේ සිට දත්ත මධ්‍යස්ථානයට සම්බන්ධ වීමට නම්, ඔබ පළමුව VPN ද්වාරයට සම්බන්ධ විය යුතු අතර, ඒ සමඟම ඔබට කාර්යාල සම්පත් වෙත ප්‍රවේශය අහිමි වුවහොත්, මෙයද ඉතා වේ. , ඉතා අපහසුයි.

සටහන 2

අපට සාමාන්‍යයෙන් අපගේම කැපවූ AAA සේවාදායකයන් ඇති සේවාවන් (උදාහරණයක් ලෙස, ජාල උපකරණ වෙත ප්‍රවේශය) ඇත, මෙම අවස්ථාවේදී අපට කිහිප වතාවක් සත්‍යාපනය කිරීමට සිදු වන විට මෙය සම්මතයකි.

අන්තර්ජාල සම්පත් ලබා ගැනීමේ හැකියාව

අන්තර්ජාලය යනු විනෝදාස්වාදය පමණක් නොව, වැඩ සඳහා ඉතා ප්රයෝජනවත් විය හැකි සේවාවන් සමූහයකි. තනිකරම මනෝවිද්යාත්මක සාධක ද ​​තිබේ. නූතන පුද්ගලයෙකු බොහෝ අතථ්‍ය නූල් හරහා අන්තර්ජාලය හරහා වෙනත් පුද්ගලයින් සමඟ සම්බන්ධ වී ඇති අතර, මගේ මතය අනුව, වැඩ කරන අතරතුර පවා ඔහුට මෙම සම්බන්ධතාවය දිගටම දැනේ නම් වරදක් නැත.

කාලය නාස්ති කිරීමේ දෘෂ්ටි කෝණයෙන්, සේවකයෙකු, උදාහරණයක් ලෙස, ස්කයිප් ක්රියාත්මක වන අතර, අවශ්ය නම්, ආදරය කරන කෙනෙකු සමඟ සන්නිවේදනය කිරීමට විනාඩි 5 ක් ගත කරයි නම්, වරදක් නැත.

මෙයින් අදහස් කරන්නේ අන්තර්ජාලය සැමවිටම තිබිය යුතු බවත්, මෙයින් අදහස් කරන්නේ සේවකයින්ට සියලු සම්පත් වෙත ප්‍රවේශ විය හැකි බවත් ඒවා කිසිදු ආකාරයකින් පාලනය කළ නොහැකි බවත්?

නැත යන්නෙන් අදහස් නොවේ, ඇත්ත වශයෙන්ම. අන්තර්ජාලයේ විවෘතභාවයේ මට්ටම විවිධ සමාගම් සඳහා වෙනස් විය හැකිය - සම්පූර්ණ වසා දැමීමේ සිට සම්පූර්ණ විවෘතභාවය දක්වා. රථවාහන පාලනය කිරීමේ ක්‍රම අපි පසුව ආරක්ෂක පියවරයන් පිළිබඳ කොටස්වල සාකච්ඡා කරමු.

හුරුපුරුදු උපාංගවල සම්පූර්ණ පරාසය භාවිතා කිරීමේ හැකියාව

නිදසුනක් වශයෙන්, ඔබ රැකියාවට පුරුදු වී සිටින සියලුම සන්නිවේදන මාධ්‍යයන් දිගටම භාවිතා කිරීමට ඔබට අවස්ථාව ඇති විට එය පහසු වේ. මෙය තාක්‍ෂණිකව ක්‍රියාත්මක කිරීමේ අපහසුවක් නැත. මේ සඳහා ඔබට WiFi සහ අමුත්තන්ගේ විලාන් අවශ්ය වේ.

ඔබ භාවිතා කරන මෙහෙයුම් පද්ධතිය භාවිතා කිරීමට අවස්ථාවක් තිබේ නම් එය ද හොඳය. නමුත්, මගේ නිරීක්ෂණයට අනුව, මෙය සාමාන්‍යයෙන් අවසර දී ඇත්තේ කළමනාකරුවන්ට, පරිපාලකයින්ට සහ සංවර්ධකයින්ට පමණි.

උදාහරණ:

ඇත්ත වශයෙන්ම, ඔබට තහනම් මාර්ගය අනුගමනය කළ හැකිය, දුරස්ථ ප්‍රවේශය තහනම් කරන්න, ජංගම උපාංගවලින් සම්බන්ධ වීම තහනම් කරන්න, ස්ථිතික ඊතර්නෙට් සම්බන්ධතා වලට සියල්ල සීමා කරන්න, අන්තර්ජාලයට ප්‍රවේශය සීමා කරන්න, මුරපොලේදී ජංගම දුරකථන සහ උපාංග අනිවාර්යයෙන් රාජසන්තක කරන්න ... සහ මෙම මාර්ගය වැඩි ආරක්‍ෂක අවශ්‍යතා ඇති සමහර සංවිධාන විසින් සත්‍ය වශයෙන්ම අනුගමනය කරනු ලබන අතර සමහර විට සමහර අවස්ථාවලදී මෙය යුක්ති සහගත විය හැක, නමුත්... මෙය තනි සංවිධානයක ප්‍රගතිය නැවැත්වීමට දරන උත්සාහයක් සේ පෙනෙන බව ඔබ එකඟ විය යුතුය. ඇත්ත වශයෙන්ම, නවීන තාක්ෂණයන් ප්රමාණවත් මට්ටමේ ආරක්ෂාවක් ලබා දෙන අවස්ථාවන් ඒකාබද්ධ කිරීමට මම කැමතියි.

ජාලයේ "වේගවත් ක්රියාකාරිත්වය"

දත්ත හුවමාරු වේගය තාක්ෂණික වශයෙන් බොහෝ සාධක වලින් සමන්විත වේ. ඔබේ සම්බන්ධතා වරායේ වේගය සාමාන්‍යයෙන් වැදගත්ම එකක් නොවේ. යෙදුමක මන්දගාමී ක්‍රියාකාරිත්වය සැමවිටම ජාල ගැටළු සමඟ සම්බන්ධ නොවේ, නමුත් දැනට අපි උනන්දු වන්නේ ජාල කොටස ගැන පමණි. දේශීය ජාලයේ "මන්දගාමීත්වය" සමඟ ඇති වඩාත් පොදු ගැටළුව පැකට් අලාභය සම්බන්ධ වේ. මෙය සාමාන්‍යයෙන් සිදු වන්නේ බාධකයක් හෝ L1 (OSI) ගැටළු ඇති විටය. වඩාත් කලාතුරකිනි, සමහර මෝස්තර සමඟ (උදාහරණයක් ලෙස, ඔබගේ උපජාල පෙරනිමි ද්වාරය ලෙස ෆයර්වෝලයක් ඇති විට සහ ඒ හරහා සියලු ගමනාගමනය යන විට), දෘඪාංග කාර්ය සාධනය අඩු විය හැක.

එබැවින්, උපකරණ සහ ගෘහ නිර්මාණ ශිල්පය තෝරාගැනීමේදී, ඔබ අවසන් වරායන්, ටන්ක සහ උපකරණ කාර්ය සාධනයේ වේගය සහසම්බන්ධ කළ යුතුය.

උදාහරණ:

ඔබ ප්‍රවේශ ස්තර ස්විචයන් ලෙස ගිගාබිට් 1 පෝට් සහිත ස්විච භාවිතා කරන බව උපකල්පනය කරමු. ඔවුන් Etherchannel 2 x 10 gigabits හරහා එකිනෙකට සම්බන්ධ කර ඇත. පෙරනිමි ද්වාරයක් ලෙස, ඔබ ගිගාබිට් වරායන් සහිත ෆයර්වෝලයක් භාවිතා කරයි, එය L2 කාර්යාල ජාලයට සම්බන්ධ කිරීමට ඔබ ගිගාබිට් වරායන් 2ක් Etherchannel එකකට ඒකාබද්ධ කරයි.

මෙම ගෘහ නිර්මාණ ශිල්පය ක්‍රියාකාරීත්වයේ දෘෂ්ටි කෝණයකින් තරමක් පහසු ය, මන්ද ... සියලුම ගමනාගමනය ෆයර්වෝලය හරහා ගමන් කරයි, ඔබට පහසුවෙන් ප්‍රවේශ ප්‍රතිපත්ති කළමනාකරණය කළ හැකිය, ගමනාගමනය පාලනය කිරීමට සහ සිදුවිය හැකි ප්‍රහාර වැළැක්වීමට සංකීර්ණ ඇල්ගොරිතම යෙදිය හැකිය (පහත බලන්න), නමුත් ප්‍රතිදානය සහ ක්‍රියාකාරීත්වයේ දෘෂ්ටි කෝණයෙන් මෙම සැලසුමට ඇත්ත වශයෙන්ම විය හැකි ගැටළු තිබේ. එබැවින්, උදාහරණයක් ලෙස, ධාරක 2ක් බාගත කිරීමේ දත්ත (ගිගාබිට් 1 ක වරාය වේගයක් සහිත) ගිගාබිට් 2 ක සම්බන්ධතාවයක් ෆයර්වෝල් වෙත සම්පුර්ණයෙන්ම පැටවිය හැකි අතර එමඟින් සමස්ත කාර්යාල කොටස සඳහා සේවා පිරිහීමට හේතු වේ.

අපි ත්රිකෝණයේ එක් ශීර්ෂයක් දෙස බැලුවෙමු, දැන් අපි ආරක්ෂාව සහතික කරන්නේ කෙසේදැයි බලමු.

ආරක්ෂණ ක්රම

එබැවින්, ඇත්ත වශයෙන්ම, සාමාන්යයෙන් අපගේ ආශාව (හෝ ඒ වෙනුවට, අපගේ කළමනාකාරිත්වයේ ආශාව) යනු කළ නොහැකි දේ සාක්ෂාත් කර ගැනීමයි, එනම්, උපරිම ආරක්ෂාව සහ අවම පිරිවැය සමඟ උපරිම පහසුව සැපයීමයි.

අපි බලමු ආරක්ෂාව දෙන්න තියෙන ක්‍රම මොනවද කියලා.

කාර්යාලය සඳහා, මම පහත සඳහන් කරුණු ඉස්මතු කරමි:

• නිර්මාණය සඳහා ශුන්‍ය විශ්වාස ප්‍රවේශය
• ඉහළ මට්ටමේ ආරක්ෂාව
• ජාල දෘශ්‍යතාව
• ඒකාබද්ධ මධ්‍යගත සත්‍යාපනය සහ අවසර පද්ධතිය
• සත්කාරක පරීක්ෂා කිරීම

ඊළඟට, අපි මෙම එක් එක් අංගයන් ගැන ටිකක් විස්තරාත්මකව වාසය කරමු.

ශුන්‍ය භාරය

තොරතුරු තාක්ෂණ ලෝකය ඉතා ඉක්මනින් වෙනස් වෙමින් පවතී. පසුගිය වසර 10 තුළ, නව තාක්ෂණයන් සහ නිෂ්පාදන මතුවීම ආරක්ෂක සංකල්පවල විශාල සංශෝධනයකට හේතු වී තිබේ. වසර දහයකට පෙර, ආරක්ෂක දෘෂ්ටි කෝණයකින්, අපි ජාලය විශ්වාස, dmz සහ අවිශ්වාස කලාපවලට බෙදා, ඊනියා “පරිමිතිය ආරක්ෂණය” භාවිතා කළෙමු, එහිදී ආරක්ෂක රේඛා 2 ක් තිබුණි: අවිශ්වාසය -> dmz සහ dmz -> විශ්වාසය. එසේම, ආරක්ෂාව සාමාන්‍යයෙන් L3/L4 (OSI) ශීර්ෂ (IP, TCP/UDP ports, TCP ධජ) මත පදනම් වූ ප්‍රවේශ ලැයිස්තුවලට සීමා විය. L7 ඇතුළුව ඉහළ මට්ටම්වලට සම්බන්ධ සෑම දෙයක්ම OS සහ අවසාන ධාරක මත ස්ථාපනය කර ඇති ආරක්ෂක නිෂ්පාදන වෙත ඉතිරි විය.

දැන් තත්වය නාටකාකාර ලෙස වෙනස් වී ඇත. නවීන සංකල්පය ශුන්ය විශ්වාසය එය පැමිණෙන්නේ අභ්‍යන්තර පද්ධති, එනම් පරිමිතිය තුළ පිහිටා ඇති ඒවා විශ්වාසදායක ලෙස සලකා බැලීමට තවදුරටත් නොහැකි වන අතර පරිමිතිය පිළිබඳ සංකල්පය බොඳ වී ඇති බැවිනි.
අන්තර්ජාල සම්බන්ධතාවයට අමතරව අප සතුව ඇත

• දුරස්ථ ප්රවේශ VPN භාවිතා කරන්නන්
• විවිධ පුද්ගලික උපකරණ, ගෙනා ලැප්ටොප්, කාර්යාල WiFi හරහා සම්බන්ධ කර ඇත
• වෙනත් (ශාඛා) කාර්යාල
• වලාකුළු යටිතල පහසුකම් සමඟ ඒකාබද්ධ වීම

Zero Trust ප්‍රවේශය ප්‍රායෝගිකව පෙනෙන්නේ කෙසේද?

ඉතා මැනවින්, අවශ්‍ය ගමනාගමනයට පමණක් ඉඩ දිය යුතු අතර, අපි පරමාදර්ශයක් ගැන කතා කරන්නේ නම්, පාලනය L3/L4 මට්ටමේ පමණක් නොව යෙදුම් මට්ටමේ විය යුතුය.

උදාහරණයක් ලෙස, ඔබට ෆයර්වෝලයක් හරහා සියලු ගමනාගමනය ගමන් කිරීමට හැකියාව තිබේ නම්, ඔබට පරමාදර්ශයට සමීප වීමට උත්සාහ කළ හැකිය. නමුත් මෙම ප්රවේශය ඔබගේ ජාලයේ සම්පූර්ණ කලාප පළල සැලකිය යුතු ලෙස අඩු කළ හැකි අතර, ඊට අමතරව, යෙදුම මගින් පෙරීම සැමවිටම හොඳින් ක්රියා නොකරයි.

රවුටරයක හෝ L3 ස්විචයක (සම්මත ACL භාවිතා කරමින්) ගමනාගමනය පාලනය කරන විට, ඔබට වෙනත් ගැටළු ඇති වේ:

• මෙය L3/L4 පෙරහන පමණි. ප්‍රහාරකයෙකුට ඔවුන්ගේ යෙදුම සඳහා අවසර ලත් වරායන් (උදා TCP 80) භාවිතා කිරීමෙන් වළක්වන කිසිවක් නැත (http නොවේ)
• සංකීර්ණ ACL කළමනාකරණය (ACL විග්‍රහ කිරීමට අපහසු)
• මෙය රාජ්‍ය පූර්ණ ෆයර්වෝලයක් නොවේ, එයින් අදහස් වන්නේ ඔබ ප්‍රතිලෝම ගමනාගමනයට පැහැදිලිවම ඉඩ දිය යුතු බවයි
• ස්විචයන් සමඟ ඔබ සාමාන්‍යයෙන් TCAM ප්‍රමාණයෙන් ඉතා තදින් සීමා වී ඇත, ඔබ "ඔබට අවශ්‍ය දේට පමණක් ඉඩ දෙන්න" යන ප්‍රවේශය ගතහොත් එය ඉක්මනින් ගැටලුවක් විය හැක.

සටහන

ප්‍රතිලෝම ගමනාගමනය ගැන කතා කරන විට, අපට පහත අවස්ථාව ඇති බව මතක තබා ගත යුතුය (සිස්කෝ)

ඕනෑම ස්ථාපිත tcp සඳහා අවසර දෙන්න

නමුත් මෙම රේඛාව පේළි දෙකකට සමාන බව ඔබ තේරුම් ගත යුතුය:
tcp ඕනෑම පැකේජයකට අවසර දෙන්න
tcp ඕනෑම දෙයක් අවසර දෙන්න

එයින් අදහස් වන්නේ SYN ධජය සමඟ ආරම්භක TCP අංශයක් නොතිබුණද (එනම්, TCP සැසිය ස්ථාපිත කිරීමට පවා පටන් ගෙන නැත), මෙම ACL මඟින් ACK ධජය සහිත පැකට්ටුවකට ඉඩ ලබා දෙන අතර එය ප්‍රහාරකයෙකුට දත්ත මාරු කිරීමට භාවිතා කළ හැකිය.

එනම්, මෙම රේඛාව කිසිඳු ආකාරයකින් ඔබගේ රවුටරය හෝ L3 ස්විචය රාජ්ය ෆයර්වෝලයක් බවට පත් නොකරයි.

ඉහළ මට්ටමේ ආරක්ෂාව

В ලිපියයි දත්ත මධ්යස්ථාන පිළිබඳ කොටසෙහි, අපි පහත ආරක්ෂණ ක්රම සලකා බැලුවෙමු.

• රාජ්ය ෆයර්වෝලින් (පෙරනිමි)
• ddos/dos ආරක්ෂාව
• යෙදුම් ෆයර්වෝලින්
• තර්ජන වැළැක්වීම (ප්‍රති-වයිරස, ප්‍රති-ඔත්තු මෘදුකාංග සහ අවදානම්)
• URL පෙරීම
• දත්ත පෙරීම (අන්තර්ගත පෙරහන)
• ගොනු අවහිර කිරීම (ගොනු වර්ග අවහිර කිරීම)

කාර්යාලයක් සම්බන්ධයෙන් ගත් කල, තත්වය සමාන වේ, නමුත් ප්‍රමුඛතා තරමක් වෙනස් ය. කාර්යාල ලබා ගැනීමේ හැකියාව (ලබා ගත හැකි වීම) සාමාන්‍යයෙන් දත්ත මධ්‍යස්ථානයක මෙන් තීරණාත්මක නොවේ, නමුත් “අභ්‍යන්තර” අනිෂ්ට ගමනාගමනයේ සම්භාවිතාව විශාලත්වයේ ඇණවුම් වේ.
එබැවින්, මෙම කොටස සඳහා පහත ආරක්ෂණ ක්‍රම තීරණාත්මක වේ:

• යෙදුම් ෆයර්වෝලින්
• තර්ජන වැළැක්වීම (ප්‍රති-වයිරස, ප්‍රති-ඔත්තු මෘදුකාංග සහ අවදානම්)
• URL පෙරීම
• දත්ත පෙරීම (අන්තර්ගත පෙරහන)
• ගොනු අවහිර කිරීම (ගොනු වර්ග අවහිර කිරීම)

යෙදුම් ෆයර්වෝලින් හැර, මෙම සියලු ආරක්ෂණ ක්‍රම සම්ප්‍රදායිකව අවසන් ධාරක (උදාහරණයක් ලෙස, ප්‍රති-වයිරස වැඩසටහන් ස්ථාපනය කිරීමෙන්) සහ ප්‍රොක්සි භාවිතා කරමින් විසඳා ඇතත්, නවීන NGFW ද මෙම සේවාවන් සපයයි.

ආරක්ෂක උපකරණ වෙළෙන්දන් පුළුල් ආරක්ෂාවක් නිර්මාණය කිරීමට උත්සාහ කරයි, එබැවින් දේශීය ආරක්ෂාව සමඟ, ඔවුන් සත්කාරක සඳහා විවිධ වලාකුළු තාක්ෂණයන් සහ සේවාදායක මෘදුකාංග (අවසන් ලක්ෂ්‍ය ආරක්ෂණය/EPP) ලබා දෙයි. ඉතින්, උදාහරණයක් ලෙස, සිට 2018 Gartner Magic Quadrant Palo Alto සහ Cisco ඔවුන්ගේම EPPs (PA: Traps, Cisco: AMP) ඇති බව අපට පෙනේ, නමුත් ඒවා නායකයින්ගෙන් බොහෝ දුරස් වේ.

ඔබගේ ෆයර්වෝලයේ මෙම ආරක්ෂණ (සාමාන්‍යයෙන් බලපත්‍ර මිලදී ගැනීමෙන්) සක්‍රීය කිරීම අනිවාර්ය නොවේ (ඔබට සම්ප්‍රදායික මාර්ගයට යා හැක), නමුත් එය යම් ප්‍රතිලාභ ලබා දෙයි:

• මෙම අවස්ථාවෙහිදී, දෘශ්‍යතාව වැඩි දියුණු කරන ආරක්ෂණ ක්‍රම භාවිතා කිරීමේ තනි කරුණක් ඇත (ඊළඟ මාතෘකාව බලන්න).
• ඔබගේ ජාලයේ අනාරක්ෂිත උපාංගයක් තිබේ නම්, එය තවමත් ෆයර්වෝල් ආරක්ෂණයේ "කුඩය" යටතට වැටේ.
• අවසාන-ධාරක ආරක්ෂණය සමඟ එක්ව ෆයර්වෝල් ආරක්ෂණය භාවිතා කිරීමෙන්, අපි අනිෂ්ට ගමනාගමනය හඳුනා ගැනීමේ සම්භාවිතාව වැඩි කරමු. උදාහරණයක් ලෙස, දේශීය ධාරක මත සහ ෆයර්වෝලයක් මත තර්ජන වැළැක්වීම භාවිතා කිරීම හඳුනාගැනීමේ සම්භාවිතාව වැඩි කරයි (ඇත්ත වශයෙන්ම, මෙම විසඳුම් විවිධ මෘදුකාංග නිෂ්පාදන මත පදනම් වේ)

සටහන

උදාහරණයක් ලෙස, ඔබ Kaspersky ප්‍රති-වයිරසයක් ලෙස ෆයර්වෝලයේ සහ අවසාන සත්කාරක දෙකෙහිම භාවිතා කරන්නේ නම්, මෙය ඇත්ත වශයෙන්ම, ඔබේ ජාලයට වෛරස් ප්‍රහාරයක් වැලැක්වීමේ අවස්ථා විශාල ලෙස වැඩි නොකරනු ඇත.

ජාල දෘශ්‍යතාව

ප්රධාන අදහස සරලයි - තත්‍ය කාලීන සහ ඓතිහාසික දත්ත යන දෙකෙහිම ඔබගේ ජාලයේ සිදුවන්නේ කුමක්ද යන්න "බලන්න".

මම මෙම "දර්ශනය" කණ්ඩායම් දෙකකට බෙදමි:

පළමු කණ්ඩායම: ඔබේ අධීක්ෂණ පද්ධතිය සාමාන්‍යයෙන් ඔබට සපයන දේ.

• උපකරණ පැටවීම
• නාලිකා පැටවීම
• මතක භාවිතය
• තැටි භාවිතය
• මාර්ග වගුව වෙනස් කිරීම
• සබැඳි තත්ත්වය
• උපකරණ (හෝ සත්කාරක) ලබා ගැනීමේ හැකියාව
• ...

දෙවන කණ්ඩායම: ආරක්ෂාව සම්බන්ධ තොරතුරු.

• විවිධ වර්ගයේ සංඛ්‍යාලේඛන (උදාහරණයක් ලෙස, යෙදුම මගින්, URL ගමනාගමනය, බාගත කළ දත්ත වර්ග, පරිශීලක දත්ත)
• ආරක්ෂක ප්‍රතිපත්ති මගින් අවහිර කළ දේ සහ කුමන හේතුවක් නිසාද, එනම්
  • තහනම් යෙදුම
  • ip/protocol/port/flags/zones මත පදනම්ව තහනම් කර ඇත
  • තර්ජනය වැළැක්වීම
  • url පෙරීම
  • දත්ත පෙරීම
  • ගොනු අවහිර කිරීම
  • ...
• DOS/DDOS ප්‍රහාර පිළිබඳ සංඛ්‍යාලේඛන
• හඳුනාගැනීමේ සහ අවසර දීමේ උත්සාහයන් අසාර්ථක විය
• ඉහත සියලු ආරක්ෂක ප්‍රතිපත්ති උල්ලංඝනය කිරීම් සඳහා සංඛ්‍යාලේඛන
• ...

ආරක්ෂාව පිළිබඳ මෙම පරිච්ඡේදයේ, අපි දෙවන කොටස ගැන උනන්දු වෙමු.

සමහර නවීන ෆයර්වෝල් (මගේ Palo Alto අත්දැකීමෙන්) හොඳ මට්ටමේ දෘශ්‍යතාවක් සපයයි. නමුත්, ඇත්ත වශයෙන්ම, ඔබ උනන්දුවක් දක්වන ගමනාගමනය මෙම ෆයර්වෝලය හරහා යා යුතුය (එවිට ඔබට ගමනාගමනය අවහිර කිරීමට හැකියාව ඇත) හෝ ෆයර්වෝලයට පරාවර්තනය කළ යුතුය (අධීක්ෂණය සහ විශ්ලේෂණය සඳහා පමණක් භාවිතා වේ), සහ සියල්ල සක්‍රීය කිරීමට ඔබට බලපත්‍ර තිබිය යුතුය. මෙම සේවාවන් .

ඇත්ත වශයෙන්ම, විකල්ප ක්රමයක් හෝ සාම්ප්රදායික ක්රමයක් තිබේ, උදාහරණයක් ලෙස,

• සැසි සංඛ්‍යාලේඛන netflow හරහා එකතු කර පසුව තොරතුරු විශ්ලේෂණය සහ දත්ත දෘශ්‍යකරණය සඳහා විශේෂ උපයෝගිතා භාවිතා කළ හැක.
• තර්ජන වැළැක්වීම - අවසන් ධාරකවල විශේෂ වැඩසටහන් (ප්‍රති-වයිරස, ප්‍රති-ඔත්තු මෘදුකාංග, ෆයර්වෝල්).
• URL පෙරීම, දත්ත පෙරීම, ගොනු අවහිර කිරීම - ප්‍රොක්සි මත
• tcpdump e.g භාවිතා කර විශ්ලේෂණය කිරීමට ද හැකිය. ගොරවන්න

ඔබට මෙම ප්‍රවේශ දෙක ඒකාබද්ධ කළ හැකිය, නැතිවූ විශේෂාංග සම්පූර්ණ කිරීම හෝ ප්‍රහාරයක් හඳුනා ගැනීමේ සම්භාවිතාව වැඩි කිරීම සඳහා ඒවා අනුපිටපත් කිරීම.

ඔබ තෝරාගත යුත්තේ කුමන ප්‍රවේශයක්ද?
ඔබගේ කණ්ඩායමේ සුදුසුකම් සහ මනාපයන් මත බෙහෙවින් රඳා පවතී.
එහි සහ එහි වාසි සහ අවාසි යන දෙකම ඇත.

ඒකාබද්ධ මධ්‍යගත සත්‍යාපනය සහ අවසර පද්ධතිය

හොඳින් සැලසුම් කළ විට, මෙම ලිපියේ අප සාකච්ඡා කළ සංචලතාව උපකල්පනය කරන්නේ ඔබ කාර්යාලයේ සිට හෝ නිවසේ සිට, ගුවන් තොටුපළේ සිට, කෝපි කඩයකින් හෝ වෙනත් ඕනෑම ස්ථානයක සිට (අප ඉහත සාකච්ඡා කළ සීමාවන් සමඟ) වැඩ කළත් ඔබට එකම ප්‍රවේශයක් ඇති බවයි. පෙනෙන විදිහට, ගැටලුව කුමක්ද?
මෙම කාර්යයේ සංකීර්ණත්වය වඩා හොඳින් අවබෝධ කර ගැනීම සඳහා, අපි සාමාන්ය මෝස්තරයක් දෙස බලමු.

උදාහරණ:

• ඔබ සියලුම සේවකයින් කණ්ඩායම් වලට බෙදා ඇත. ඔබ කණ්ඩායම් මගින් ප්‍රවේශය ලබා දීමට තීරණය කර ඇත
• කාර්යාලය තුළ, ඔබ කාර්යාල ෆයර්වෝලයේ ප්රවේශය පාලනය කරයි
• ඔබ කාර්යාලයේ සිට දත්ත මධ්‍යස්ථාන ෆයර්වෝලයේ දත්ත මධ්‍යස්ථානය දක්වා ගමනාගමනය පාලනය කරයි
• ඔබ VPN ද්වාරයක් ලෙස Cisco ASA භාවිතා කරන අතර දුරස්ථ සේවාලාභීන්ගෙන් ඔබේ ජාලයට ඇතුළු වන ගමනාගමනය පාලනය කිරීමට, ඔබ දේශීය (ASA මත) ACL භාවිතා කරයි.

දැන්, යම් සේවකයෙකුට අමතර ප්‍රවේශයක් එක් කිරීමට ඔබෙන් ඉල්ලා ඇතැයි කියමු. මෙම අවස්ථාවෙහිදී, ඔහුට පමණක් ප්‍රවේශය එක් කරන ලෙස ඔබෙන් ඉල්ලා සිටින අතර ඔහුගේ කණ්ඩායමෙන් වෙනත් කිසිවෙකුට නොවේ.

මේ සඳහා අපි මෙම සේවකයා සඳහා වෙනම කණ්ඩායමක් නිර්මාණය කළ යුතුය, එනම්

• මෙම සේවකයා සඳහා ASA මත වෙනම IP සංචිතයක් සාදන්න
• ASA මත නව ACL එකක් එකතු කර එය එම දුරස්ථ සේවාලාභියාට බඳින්න
• කාර්යාල සහ දත්ත මධ්‍යස්ථාන ෆයර්වෝල් වල නව ආරක්ෂක ප්‍රතිපත්ති සාදන්න

මෙම සිදුවීම දුර්ලභ නම් හොඳයි. නමුත් මගේ භාවිතයේ දී සේවකයින් විවිධ ව්‍යාපෘතිවලට සහභාගී වූ විට තත්වයක් ඇති වූ අතර, ඔවුන්ගෙන් සමහරක් සඳහා මෙම ව්‍යාපෘති කට්ටලය බොහෝ විට වෙනස් වූ අතර එය පුද්ගලයන් 1-2 ක් නොව දුසිම් ගණනක් විය. ඇත්ත වශයෙන්ම, මෙහි යමක් වෙනස් කිරීමට අවශ්ය විය.

මෙය පහත ආකාරයෙන් විසඳා ඇත.

හැකි සියලුම සේවක ප්‍රවේශයන් තීරණය කරන එකම සත්‍ය මූලාශ්‍රය LDAP බව අපි තීරණය කළෙමු. අපි ප්‍රවේශ කට්ටල නිර්වචනය කරන සියලු වර්ගවල කණ්ඩායම් නිර්මාණය කළ අතර, අපි එක් එක් පරිශීලකයා කණ්ඩායම් එකකට හෝ වැඩි ගණනකට පවරමු.

ඉතින්, උදාහරණයක් ලෙස, කණ්ඩායම් තිබුණා යැයි සිතන්න

• ආගන්තුක (අන්තර්ජාල ප්රවේශය)
• පොදු ප්රවේශය (බෙදාගත් සම්පත් වෙත ප්රවේශය: තැපෑල, දැනුම පදනම, ...)
• ගිණුම්කරණය
• ව්යාපෘතිය 1
• ව්යාපෘතිය 2
• දත්ත සමුදාය පරිපාලක
• linux පරිපාලක
• ...

එක් සේවකයෙකු ව්‍යාපෘති 1 සහ ව්‍යාපෘති 2 යන දෙකටම සම්බන්ධ වී ඇත්නම් සහ ඔහුට මෙම ව්‍යාපෘතිවල වැඩ කිරීමට අවශ්‍ය ප්‍රවේශය අවශ්‍ය නම්, මෙම සේවකයා පහත කණ්ඩායම්වලට අනුයුක්ත කර ඇත:

• අමුත්තන්ගේ
• පොදු ප්රවේශය
• ව්යාපෘතිය 1
• ව්යාපෘතිය 2

අපි දැන් මෙම තොරතුරු ජාල උපකරණවල ප්‍රවේශය බවට පත් කරන්නේ කෙසේද?

Cisco ASA Dynamic Access Policy (DAP) (බලන්න www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) විසඳුම මෙම කාර්යය සඳහා සුදුසු ය.

අපගේ ක්‍රියාත්මක කිරීම ගැන කෙටියෙන් කිවහොත්, හඳුනාගැනීමේ/අවසර දීමේ ක්‍රියාවලියේදී, ASA හට LDAP වෙතින් ලබා දී ඇති පරිශීලකයෙකුට අනුරූප වන කණ්ඩායම් සමූහයක් ලැබෙන අතර අවශ්‍ය සියලුම ප්‍රවේශයන් සහිත ගතික ACL එකක් දේශීය ACL කිහිපයකින් (එක් එක් කණ්ඩායමකට අනුරූප වේ) “එකතු කරයි”. , අපගේ කැමැත්තට සම්පූර්ණයෙන්ම අනුරූප වේ.

නමුත් මෙය VPN සම්බන්ධතා සඳහා පමණි. VPN හරහා සම්බන්ධ වී සිටින සේවකයින්ට සහ කාර්යාලයේ සිටින සේවකයින්ට එකම තත්ත්වය ඇති කිරීම සඳහා පහත පියවර ගන්නා ලදී.

කාර්යාලයෙන් සම්බන්ධ වන විට, 802.1x ප්‍රොටෝකෝලය භාවිතා කරන පරිශීලකයින් ආගන්තුක LAN (අමුත්තන් සඳහා) හෝ හවුල් LAN (සමාගම් සේවකයින් සඳහා) අවසන් විය. තවද, නිශ්චිත ප්‍රවේශයක් ලබා ගැනීම සඳහා (උදාහරණයක් ලෙස, දත්ත මධ්‍යස්ථානයක ව්‍යාපෘති සඳහා), සේවකයින්ට VPN හරහා සම්බන්ධ වීමට සිදු විය.

කාර්යාලයෙන් සහ නිවසේ සිට සම්බන්ධ වීමට, ASA මත විවිධ උමං කණ්ඩායම් භාවිතා කරන ලදී. මෙය අවශ්‍ය වන්නේ කාර්යාලයෙන් සම්බන්ධ වන අයට, හවුල් සම්පත් වෙත ගමනාගමනය (තැපැල්, ගොනු සේවාදායකයන්, ටිකට් පද්ධතිය, ඩීඑන්එස්, ... වැනි සියලුම සේවකයින් විසින් භාවිතා කරනු ලබන) ASA හරහා නොව දේශීය ජාලය හරහා ගමන් කිරීම සඳහා ය. . මේ අනුව, අපි අධික තීව්‍රතාවයකින් යුත් ගමනාගමනය ඇතුළුව අනවශ්‍ය ගමනාගමනයෙන් ASA පටවා නැත.

මේ අනුව, ගැටලුව විසඳා ඇත.
අපිට ලැබුණා

• කාර්යාලයේ සම්බන්ධතා සහ දුරස්ථ සම්බන්ධතා දෙකටම එකම ප්‍රවේශ කට්ටලයක්
• ASA හරහා ඉහළ තීව්‍රතාවයකින් යුත් ගමනාගමනය සම්ප්‍රේෂණය කිරීම හා සම්බන්ධ කාර්යාලයේ සිට වැඩ කිරීමේදී සේවා පිරිහීම නොමැති වීම

මෙම ප්රවේශයේ වෙනත් වාසි මොනවාද?
ප්රවේශ පරිපාලනය තුළ. ප්රවේශයන් එක තැනක පහසුවෙන් වෙනස් කළ හැක.
උදාහරණයක් ලෙස, සේවකයෙකු සමාගම හැර ගියහොත්, ඔබ ඔහුව LDAP වෙතින් ඉවත් කරන අතර ඔහුට ස්වයංක්‍රීයව සියලු ප්‍රවේශයන් අහිමි වේ.

සත්කාරක පරීක්ෂා කිරීම

දුරස්ථ සම්බන්ධතාවයේ හැකියාව සමඟ, අපි සමාගම් සේවකයෙකුට ජාලයට පමණක් නොව, ඔහුගේ පරිගණකයේ (උදාහරණයක් ලෙස, නිවස) ඇති සියලුම අනිෂ්ට මෘදුකාංග වලට ඉඩ දීමේ අවදානමක් දරයි, එපමනක් නොව, මෙම මෘදුකාංගය හරහා අපි මෙම සත්කාරක ප්‍රොක්සියක් ලෙස භාවිතා කරන ප්‍රහාරකයෙකුට අපගේ ජාලයට ප්‍රවේශය ලබා දෙනවා විය හැක.

දුරස්ථව සම්බන්ධිත ධාරකයෙකුට කාර්යාලීය සත්කාරකයකුට සමාන ආරක්ෂක අවශ්‍යතා යෙදීම අර්ථවත් කරයි.

මෙය OS හි "නිවැරදි" අනුවාදය, ප්රති-වයිරස, ප්රති-ඔත්තු මෘදුකාංග සහ ෆයර්වෝල් මෘදුකාංග සහ යාවත්කාලීන කිරීම් ද උපකල්පනය කරයි. සාමාන්‍යයෙන්, මෙම හැකියාව VPN ද්වාරය මත පවතී (ASA සඳහා බලන්න, උදාහරණයක් ලෙස, මෙහි).

ඔබේ ආරක්‍ෂක ප්‍රතිපත්තිය කාර්යාල ගමනාගමනයට අදාළ වන රථවාහන විශ්ලේෂණ සහ අවහිර කිරීමේ ක්‍රම (“ඉහළ මට්ටමේ ආරක්‍ෂාව” බලන්න) යෙදීම ද නුවණට හුරු ය.

ඔබේ කාර්යාල ජාලය තවදුරටත් කාර්යාල ගොඩනැගිල්ලට සහ එහි ඇති සත්කාරකයන්ට සීමා නොවන බව උපකල්පනය කිරීම සාධාරණයි.

උදාහරණ:

හොඳ තාක්‍ෂණයක් නම්, දුරස්ථ ප්‍රවේශයක් අවශ්‍ය සෑම සේවකයෙකුටම හොඳ, පහසු ලැප්ටොප් පරිගණකයක් ලබා දීම සහ ඔවුන් කාර්යාලයේ සහ නිවසේ සිට පමණක් වැඩ කිරීමට අවශ්‍ය කිරීමයි.

එය ඔබගේ ජාලයේ ආරක්ෂාව වැඩි දියුණු කරනවා පමණක් නොව, එය ඇත්තෙන්ම පහසු වන අතර සාමාන්‍යයෙන් සේවකයින් විසින් වාසිදායක ලෙස නරඹනු ලැබේ (එය ඇත්තෙන්ම හොඳ, පරිශීලක-හිතකාමී ලැප්ටොප් පරිගණකයක් නම්).

සමානුපාතික හා සමබරතාවය පිළිබඳ හැඟීමක් ගැන

මූලික වශයෙන්, මෙය අපගේ ත්රිකෝණයේ තුන්වන ශීර්ෂය පිළිබඳ සංවාදයකි - මිල ගැන.
අපි උපකල්පිත උදාහරණයක් බලමු.

උදාහරණ:

ඔබට පුද්ගලයින් 200 ක් සඳහා කාර්යාලයක් ඇත. ඔබ එය හැකි තරම් පහසු සහ ආරක්ෂිත කිරීමට තීරණය කළා.

එම නිසා, ඔබ ෆයර්වෝලය හරහා සියලු ගමනාගමනය ගමන් කිරීමට තීරණය කළ අතර, ඒ අනුව සියලුම කාර්යාල උපජාල සඳහා ෆයර්වෝලය පෙරනිමි ද්වාරය වේ. එක් එක් අවසාන සත්කාරක (ප්‍රති-වයිරස, ප්‍රති-ඔත්තු මෘදුකාංග සහ ෆයර්වෝල් මෘදුකාංග) ස්ථාපනය කර ඇති ආරක්‍ෂක මෘදුකාංග වලට අමතරව, ෆයර්වෝලය මත හැකි සියලුම ආරක්ෂණ ක්‍රම යෙදීමටද ඔබ තීරණය කර ඇත.

ඉහළ සම්බන්ධතා වේගය සහතික කිරීම සඳහා (සියල්ල පහසුව සඳහා), ඔබ ප්‍රවේශ ස්විචයන් ලෙස 10 ගිගාබිට් ප්‍රවේශ වරායන් සහිත ස්විචයන් සහ ෆයර්වෝල් ලෙස ඉහළ ක්‍රියාකාරී NGFW ෆයර්වෝල් තෝරා ගන්නා ලදී, උදාහරණයක් ලෙස, Palo Alto 7K ශ්‍රේණි (Gigabit ports 40 ක් සමඟ), ස්වාභාවිකවම සියලුම බලපත්‍ර සමඟ. ඇතුළත් සහ, ස්වභාවිකව, ඉහළ ලබා ගත හැකි යුගලයක්.

එසේම, ඇත්ත වශයෙන්ම, මෙම උපකරණ මාලාව සමඟ වැඩ කිරීමට අපට අවම වශයෙන් ඉහළ සුදුසුකම් ලත් ආරක්ෂක ඉංජිනේරුවන් කිහිප දෙනෙකු අවශ්‍ය වේ.

ඊළඟට, ඔබ සෑම සේවකයෙකුටම හොඳ ලැප්ටොප් පරිගණකයක් ලබා දීමට තීරණය කළා.

සමස්තයක් වශයෙන්, ක්‍රියාත්මක කිරීම සඳහා ඩොලර් මිලියන 10 ක් පමණ, ඉංජිනේරුවන් සඳහා වාර්ෂික සහය සහ වැටුප් සඳහා ඩොලර් සිය දහස් ගණනක් (මම හිතන්නේ මිලියනයකට ආසන්නයි).

කාර්යාලය, පුද්ගලයින් 200 ...
සුවපහසුද? මම හිතන්නේ එය ඔව්.

ඔබ ඔබේ කළමනාකාරීත්වයට මෙම යෝජනාව රැගෙන එන්න...
සමහර විට මෙය පිළිගත හැකි සහ නිවැරදි විසඳුමක් වන සමාගම් ගණනාවක් ලෝකයේ තිබේ. ඔබ මෙම සමාගමේ සේවකයෙකු නම්, මගේ සුභ පැතුම්, නමුත් අතිමහත් බහුතරයක දී, ඔබේ දැනුම කළමනාකරණය විසින් අගය නොකරන බව මට විශ්වාසයි.

මෙම උදාහරණය අතිශයෝක්තියක් ද? ඊළඟ පරිච්ඡේදය මෙම ප්රශ්නයට පිළිතුරු සපයයි.

ඔබගේ ජාලයේ ඔබ ඉහත කිසිවක් නොපෙනේ නම්, මෙය සම්මතයයි.
එක් එක් විශේෂිත අවස්ථාව සඳහා, පහසුව, මිල සහ ආරක්ෂාව අතර ඔබේම සාධාරණ සම්මුතියක් සොයාගත යුතුය. බොහෝ විට ඔබ ඔබේ කාර්යාලයේ NGFW අවශ්ය නොවේ, සහ ගිනි පවුර මත L7 ආරක්ෂාව අවශ්ය නොවේ. හොඳ මට්ටමේ දෘශ්‍යතාව සහ ඇඟවීම් සැපයීම ප්‍රමාණවත් වන අතර, උදාහරණයක් ලෙස විවෘත කේත නිෂ්පාදන භාවිතයෙන් මෙය කළ හැකිය. ඔව්, ප්‍රහාරයකට ඔබේ ප්‍රතිචාරය ක්ෂණික නොවනු ඇත, නමුත් ප්‍රධාන දෙය නම් ඔබ එය දකිනු ඇති අතර ඔබේ දෙපාර්තමේන්තුවේ නිවැරදි ක්‍රියාවලීන් සමඟ ඔබට එය ඉක්මනින් උදාසීන කිරීමට හැකි වනු ඇත.

ඒ වගේම මම මතක් කරන්නම්, මේ ලිපි මාලාවේ සංකල්පයට අනුව, ඔබ ජාලයක් නිර්මාණය කරන්නේ නැහැ, ඔබ උත්සාහ කරන්නේ ඔබට ලැබුණු දේ වැඩිදියුණු කිරීමට පමණයි.

කාර්යාල ගෘහ නිර්මාණ ශිල්පය පිළිබඳ ආරක්ෂිත විශ්ලේෂණය

මම රූප සටහනේ ස්ථානයක් වෙන් කළ මෙම රතු චතුරස්රය කෙරෙහි අවධානය යොමු කරන්න ආරක්ෂිත ආරක්ෂිත කැම්පස් ගෘහ නිර්මාණ මාර්ගෝපදේශයමම මෙහි සාකච්ඡා කිරීමට කැමති.

මෙය ගෘහ නිර්මාණ ශිල්පයේ ප්‍රධාන ස්ථානවලින් එකක් වන අතර වඩාත්ම වැදගත් අවිනිශ්චිතතාවයකි.

සටහන

මම කවදාවත් FirePower සමඟ පිහිටුවා හෝ වැඩ කර නැත (සිස්කෝගේ ෆයර්වෝල් රේඛාවෙන් - ASA පමණි), එබැවින් මම එය Juniper SRX හෝ Palo Alto වැනි වෙනත් ඕනෑම ෆයර්වෝලයක් මෙන් සලකමි, එයට සමාන හැකියාවන් ඇතැයි උපකල්පනය කරමි.

සුපුරුදු මෝස්තර වලින්, මෙම සම්බන්ධතාවය සමඟ ෆයර්වෝලයක් භාවිතා කිරීම සඳහා හැකි විකල්ප 4 ක් පමණක් මම දකිමි:

• එක් එක් උපජාලය සඳහා පෙරනිමි ද්වාරය ස්විචයක් වන අතර, ෆයර්වෝලය විනිවිද පෙනෙන මාදිලියේ පවතී (එනම්, සියලුම ගමනාගමනය එය හරහා යයි, නමුත් එය L3 හොප් සාදනු නොලැබේ)
• එක් එක් උපජාලය සඳහා පෙරනිමි ද්වාරය වන්නේ ෆයර්වෝල් උප අතුරුමුහුණත් (හෝ SVI අතුරුමුහුණත්), ස්විචය L2 හි කාර්යභාරය ඉටු කරයි.
• ස්විචය මත විවිධ VRF භාවිතා කරනු ලබන අතර, VRF අතර ගමනාගමනය ෆයර්වෝලය හරහා ගමන් කරයි, එක් VRF එකක් තුළ ගමනාගමනය පාලනය කරනු ලබන්නේ ස්විචයේ ඇති ACL මගිනි.
• සියලුම ගමනාගමනය විශ්ලේෂණය සහ අධීක්ෂණය සඳහා ෆයර්වෝලයට පිළිබිඹු වේ; ගමනාගමනය එය හරහා නොයයි

සටහන 1

මෙම විකල්පයන්ගේ සංයෝජන හැකි ය, නමුත් සරල බව සඳහා අපි ඒවා සලකා බලන්නේ නැත.

සටහන2

PBR (සේවා දාම ගෘහ නිර්මාණ ශිල්පය) භාවිතා කිරීමේ හැකියාව ද ඇත, නමුත් දැනට මෙය, මගේ මතය අනුව, ලස්සන විසඳුමක් වුවද, තරමක් විදේශීය ය, එබැවින් මම එය මෙහි සලකා බලන්නේ නැත.

ලේඛනයේ ඇති ප්‍රවාහයන් පිළිබඳ විස්තරයෙන්, ගමනාගමනය තවමත් ෆයර්වෝලය හරහා යන බව අපට පෙනේ, එනම්, සිස්කෝ සැලසුමට අනුකූලව, සිව්වන විකල්පය ඉවත් කර ඇත.

අපි මුලින්ම පළමු විකල්ප දෙක දෙස බලමු.
මෙම විකල්පයන් සමඟ, සියලු ගමනාගමනය ගිනි පවුර හරහා ගමන් කරයි.

දැන් අපි බලමු දත්ත පත, බලන්න සිස්කෝ ජීපීඑල් අපගේ කාර්යාලයේ සම්පූර්ණ කලාප පළල අවම වශයෙන් ගිගාබිට් 10 - 20 ක් පමණ වීමට අවශ්‍ය නම්, අපි 4K අනුවාදය මිලදී ගත යුතු බව අපට පෙනේ.

සටහන

මම සම්පූර්ණ කලාප පළල ගැන කතා කරන විට, මම අදහස් කරන්නේ උපජාල අතර ගමනාගමනය (සහ එක් විලානයක් තුළ නොවේ).

GPL වෙතින් අපට පෙනෙන්නේ තර්ජන ආරක්‍ෂාව සහිත HA බණ්ඩලය සඳහා, මාදිලිය (4110 - 4150) මත පදනම්ව මිල ඩොලර් මිලියන 0,5 - 2,5 දක්වා වෙනස් වන බවයි.

එනම්, අපගේ සැලසුම පෙර උදාහරණයට සමාන වීමට පටන් ගනී.

ඒ කියන්නේ මේ නිර්මාණය වැරදිද?
නැහැ, ඒකෙන් අදහස් වෙන්නේ නැහැ. Cisco ඔබට එහි ඇති නිෂ්පාදන පෙළ අනුව හැකි උපරිම ආරක්ෂාව සපයයි. නමුත් එය ඔබ වෙනුවෙන් කළ යුතු දෙයක් බව මින් අදහස් නොවේ.

ප්‍රතිපත්තිමය වශයෙන්, මෙය කාර්යාලයක් හෝ දත්ත මධ්‍යස්ථානයක් සැලසුම් කිරීමේදී පැන නගින පොදු ප්‍රශ්නයක් වන අතර එයින් අදහස් කරන්නේ සම්මුතියක් සෙවිය යුතු බවයි.

උදාහරණයක් ලෙස, සියලු ගමනාගමනය ෆයර්වෝලයක් හරහා යාමට ඉඩ නොදෙන්න, මෙම අවස්ථාවෙහිදී විකල්පය 3 මට ඉතා හොඳ යැයි පෙනේ, නැතහොත් (පෙර කොටස බලන්න) සමහරවිට ඔබට තර්ජන ආරක්‍ෂාව අවශ්‍ය නොවේ හෝ ඒ මත ෆයර්වෝලයක් අවශ්‍ය නොවේ ජාල කොටස, සහ ඔබ ගෙවූ (මිල අධික නොවේ) හෝ විවෘත මූලාශ්‍ර විසඳුම් භාවිතයෙන් නිෂ්ක්‍රීය අධීක්‍ෂණයට පමණක් සීමා විය යුතුය, නැතහොත් ඔබට ෆයර්වෝලයක් අවශ්‍ය වේ, නමුත් වෙනත් වෙළෙන්දෙකුගෙන්.

සාමාන්යයෙන් මෙම අවිනිශ්චිතතාවය සැමවිටම පවතින අතර ඔබට වඩාත් සුදුසු තීරණය කුමක්ද යන්න පැහැදිලි පිළිතුරක් නොමැත.
මෙම කාර්යයේ සංකීර්ණත්වය සහ අලංකාරය මෙයයි.

මූලාශ්රය: www.habr.com