ProHoster > Blog > Pulega > Fa'afefea ona pulea au atina'e feso'otaiga. Mataupu tolu. Puipuiga o feso'otaiga. Vaega tolu

Fa'afefea ona pulea au atina'e feso'otaiga. Mataupu tolu. Puipuiga o feso'otaiga. Vaega tolu

O lenei tusiga o le lona lima lea i le faasologa "E faʻafefea ona pulea lau fesoʻotaʻiga fesoʻotaʻiga." O mea o lo'o i totonu o tala uma i le faasologa ma feso'ota'iga e mafai ona maua iinei.

O lenei vaega o le a tu'uina atu i le Campus (Ofisa) & Va'aiga mamao VPN vaega.

Fa'afefea ona pulea au atina'e feso'otaiga. Mataupu tolu. Puipuiga o feso'otaiga. Vaega tolu

E foliga faigofie le mamanu o feso'otaiga a le Ofisa.

O le mea moni, matou te ave L2 / L3 ki ma faʻafesoʻotaʻi le tasi i le isi. Ma le isi, matou te faʻatinoina le seti faʻavae o vilans ma le faʻaogaina o faitotoa, faʻatulagaina auala faigofie, faʻafesoʻotaʻi le WiFi controllers, avanoa avanoa, faʻapipiʻi ma faʻapipiʻi le ASA mo avanoa mamao, matou te fiafia na aoga mea uma. Ole mea moni, e pei ona ou tusia i se tasi o muamua tusiga O lenei taamilosaga, toetoe lava o tamaiti aoga uma na auai (ma aʻoaʻoina) lua semesa o se kosi telecom e mafai ona mamanuina ma faʻapipiʻi se fesoʻotaʻiga ofisa ina ia "faʻaoga."

Ae o le tele o lou aʻoaʻoina, o le faʻaitiitia foi lea o le faigofie o lenei galuega e amata ona foliga mai. Mo aʻu lava ia, o lenei autu, o le autu o le mamanu o fesoʻotaʻiga a le ofisa, e foliga mai e le faigofie, ma i lenei tusiga o le a ou taumafai e faʻamatala pe aisea.

I se faapuupuuga, e tele naua mea e tatau ona mafaufau i ai. O le tele o taimi e fete'ena'i nei vaega ma e tatau ona sailia se maliega talafeagai.
O lenei le mautonu o le faigata autu lea. O lea la, i le tautala e uiga i le saogalemu, o loʻo i ai a matou tafatolu ma tolu vertices: saogalemu, faigofie mo tagata faigaluega, tau o le fofo.
Ma o taimi uma e tatau ai ona e suʻeina se maliega i le va o nei tolu.

atiga

Mo se faʻataʻitaʻiga o se faʻataʻitaʻiga mo nei vaega e lua, e pei o tala muamua, ou te fautuaina Cisco SAFE fa'ata'ita'iga: Atina'e Campus, Pisinisi Initaneti Edge.

O pepa ia ua fai si tuai. Ou te tuʻuina atu iinei ona o fuafuaga faʻavae ma auala e leʻi suia, ae i le taimi lava e tasi ou te fiafia i le faʻaaliga nai lo totonu pepa fou.

A aunoa ma le faʻamalosia oe e faʻaoga Cisco fofo, ou te manatu pea e aoga le suʻesuʻeina ma le totoa o lenei mamanu.

O lenei tusiga, e pei ona masani ai, e le faafoliga e atoatoa, ae o se faʻaopoopoga i lenei faʻamatalaga.

I le faaiuga o le tusiga, o le a matou auʻiliʻili le Cisco SAFE office design e tusa ai ma manatu o loʻo otooto atu iinei.

Taiala lautele

O le mamanu o fesoʻotaʻiga o le ofisa e tatau, ioe, faʻamalieina manaʻoga lautele na talanoaina iinei i le mataupu "Tulaga mo le iloiloina o le lelei o mamanu". E ese mai le tau ma le saogalemu, lea matou te faʻamoemoe e talanoaina i lenei tusiga, o loʻo i ai pea ni taʻiala e tolu e tatau ona tatou mafaufau i ai pe a mamanuina (poʻo le faia o suiga):

  • scalability
  • faigofie o le fa'aoga (pulea)
  • avanoa

O le tele o mea na talanoaina nofoaga autu o faamatalaga E moni foi lea mo le ofisa.

Ae ui i lea, o le vaega o le ofisa o loʻo i ai ona lava faʻamatalaga, e taua tele mai se vaaiga saogalemu. O le ute o lenei tulaga faʻapitoa o lenei vaega ua faia e tuʻuina atu auaunaga fesoʻotaʻiga i tagata faigaluega (faʻapea foi paaga ma malo) a le kamupani, ma, o se taunuuga, i le tulaga maualuga o le iloiloga o le faafitauli e lua a matou galuega:

  • puipuia punaoa a le kamupani mai amioga leaga e ono sau mai tagata faigaluega (malo, paaga) ma mai le polokalama latou te faaaogaina. E aofia ai fo'i le puipuiga mai feso'ota'iga lē fa'atagaina i le feso'ota'iga.
  • puipuia faiga ma faʻamatalaga tagata faʻaoga

Ma e na'o le tasi lea itu o le fa'afitauli (po'o le, tasi le pito o le tafatolu). I le isi itu o le faʻaogaina o tagata faʻaoga ma le tau o fofo faʻaaogaina.

Tatou amata ile va'ava'ai i mea e fa'amoemoeina e le tagata fa'aoga mai se feso'otaiga o ofisa fa'aonaponei.

Faʻamasinoga

O le a le mea e foliga mai o "mea faigaluega fesoʻotaʻiga" mo se tagata faʻaoga ofisa i loʻu manatu:

  • Malaga
  • Malosiaga e fa'aoga le atoaga o masini masani ma faiga fa'aoga
  • Fa'afaigofie ona maua punaoa uma a le kamupani
  • Avanoa o punaoa Initaneti, e aofia ai auaunaga eseese ao
  • "Fa'agaioiga vave" o le feso'otaiga

O nei mea uma e faʻatatau i tagata faigaluega ma malo (poʻo paaga), ma o le galuega a inisinia a le kamupani le faʻavasegaina o avanoa mo vaega faʻaoga eseese e faʻavae i luga o le faʻatagaina.

Se'i o tatou va'ava'ai i vaega ta'itasi i se fa'amatalaga atili.

Malaga

O loʻo matou talanoa e uiga i le avanoa e galue ai ma faʻaoga uma punaoa a le kamupani mai soʻo se mea i le lalolagi (ioe, pe a maua le Initaneti).

E fa'atatau atoa lea i le ofisa. E faigofie lenei mea pe'ā e maua le avanoa e faʻaauau ai galuega mai soʻo se mea i totonu o le ofisa, mo se faʻataʻitaʻiga, maua meli, fesoʻotaʻi i se avefeʻau tuʻufaʻatasia, avanoa mo se telefoni, ... O lea, e mafai ai e oe, i le tasi itu, e foia nisi o mataupu "ola" fesootaiga (mo se faataitaiga, auai i rallies), ma i le isi itu, ia i luga o le initaneti i taimi uma, taofi lou tamatamailima i luga o le fatu ma vave foia nisi o galuega faanatinati maualuga. E faigofie tele lenei mea ma faʻaleleia atili ai le lelei o fesoʻotaʻiga.

E maua lenei mea e ala i le mamanu o fesoʻotaiga WiFi talafeagai.

Manatua

O iinei e masani ona tulaʻi mai le fesili: pe lava le faʻaogaina o le WiFi? O lona uiga e mafai ona e taofi le faʻaogaina o ports Ethernet i le ofisa? Afai tatou te talanoa e uiga i tagata faʻaoga, ae le o le 'auʻaunaga, o loʻo talafeagai pea e faʻafesoʻotaʻi ma se port Ethernet masani, o lona uiga lautele o le tali o le: ioe, e mafai ona e faʻatapulaaina oe lava i WiFi. Ae o loʻo i ai nuances.

O lo'o i ai vaega taua o tagata fa'aoga e mana'omia se isi auala. O i latou ia, ioe, pule. I le faʻavae, o se fesoʻotaʻiga WiFi e le faʻatuatuaina (i tulaga o le leiloa o feoaiga) ma faʻagesegese nai lo le masani Ethernet port. E mafai ona taua tele lenei mea mo pule. E le gata i lea, o pule o fesoʻotaʻiga, mo se faʻataʻitaʻiga, e mafai, i le mataupu faavae, ona i ai a latou lava fesoʻotaʻiga Ethernet tuuto mo fesoʻotaʻiga i fafo.

Atonu e iai isi vaega/matāgaluega i lau kamupani e tāua foʻi nei mea.

E i ai le isi itu taua - telefoni. Masalo mo nisi mafuaʻaga e te le manaʻo ai e faʻaoga le VoIP uaea ma e te manaʻo e faʻaoga telefoni IP ma se fesoʻotaʻiga Ethernet masani.

I se tulaga lautele, o kamupani na ou faigaluega ai e masani lava ona i ai le WiFi fesoʻotaʻiga ma le Ethernet port.

Ou te mana'o ia aua nei fa'atapula'aina le gaioi i le na'o le ofisa.

Ina ia faʻamautinoa le mafai ona galue mai le fale (poʻo soʻo se isi nofoaga e maua ai le Initaneti), e faʻaogaina se VPN. I le taimi lava e tasi, e manaʻomia e le o lagona e tagata faigaluega le eseesega i le va o le galue mai le fale ma galuega mamao, lea e tutusa le avanoa. O le a tatou talanoaina pe faʻapefea ona faʻatulagaina lenei mea i se taimi mulimuli ane i le mataupu "Unified centralized authentication and authorization system."

Manatua

E foliga mai, o le a le mafai ona e tuʻuina atu atoatoa le tulaga tutusa o auaunaga mo galuega mamao e te maua i le ofisa. Se'i tatou fa'apea o lo'o e fa'aogaina se Cisco ASA 5520 e fai ma lau faitoto'a VPN laupepa faʻamatalaga o lenei masini e mafai ona "digesting" na o le 225 Mbit o le VPN felauaiga. O lona uiga, ioe, i tulaga o le bandwidth, fesoʻotaʻi e ala i VPN e matua ese lava mai le galue mai le ofisa. E le gata i lea, afai, mo nisi mafuaʻaga, o le latency, loss, jitter (mo se faʻataʻitaʻiga, e te manaʻo e faʻaoga le telefoni IP ofisa) mo au 'auʻaunaga fesoʻotaʻiga e taua tele, o le ae le mauaina foi le tulaga tutusa e pei o oe i le ofisa. O le mea lea, pe a talanoa e uiga i le gaoioi, e tatau ona tatou nofouta i tapulaa e mafai.

Fa'afaigofie ona maua punaoa uma a le kamupani

O lenei galuega e tatau ona foia faʻatasi ma isi matagaluega faʻapitoa.
O le tulaga sili ona lelei o le taimi e manaʻomia ai e le tagata faʻaoga naʻo le tasi le faʻamaonia, ma a maeʻa ona ia maua uma punaoa talafeagai.
Tuuina atu faigofie avanoa e aunoa ma le ositaulagaina o le saogalemu e mafai ona faʻaleleia atili le gaosiga ma faʻaitiitia ai le atuatuvale i au paaga.

Fa'amatalaga 1

Fa'afaigofie ona maua e le na'o le fa'afia ona e ulufale i se fa'aupuga. Afai, mo se faʻataʻitaʻiga, e tusa ai ma lau faiga faʻavae saogalemu, ina ia mafai ona faʻafesoʻotaʻi mai le ofisa i le nofoaga autu o faʻamatalaga, e tatau ona e faʻafesoʻotaʻi muamua i le faitotoa VPN, ma i le taimi lava e tasi e te leiloa le avanoa i punaoa a le ofisa, o le mea foi lea , matua le talafeagai.

Fa'amatalaga 2

O loʻo i ai auaunaga (mo se faʻataʻitaʻiga, avanoa i masini fesoʻotaʻiga) lea e masani ona i ai a tatou lava faʻaumau AAA tuuto ma o le masani lea pe a oʻo i lenei tulaga e tatau ona tatou faʻamaonia le tele o taimi.

Avanoa o punaoa Initaneti

O le Initaneti e le gata o faafiafiaga, ae o se seti foi o auaunaga e mafai ona aoga tele mo galuega. E iai fo'i mea fa'ale-mafaufau. O se tagata faʻaonaponei e fesoʻotaʻi ma isi tagata e ala i le Initaneti e ala i le tele o filo faʻapitoa, ma, i loʻu manatu, e leai se mea e leaga ai pe a faʻaauau pea ona ia lagona lenei fesoʻotaʻiga e tusa lava pe galue.

Mai le manatu o le faʻaumatia taimi, e leai se mea leaga pe a fai o se tagata faigaluega, mo se faʻataʻitaʻiga, o loʻo tamoe Skype ma faʻaalu 5 minute e fesoʻotaʻi ma se pele pe a manaʻomia.

O lona uiga e tatau ona avanoa le Initaneti i taimi uma, pe o lona uiga e mafai e tagata faigaluega ona maua avanoa uma i punaoa ma e le pulea i latou i soo se auala?

Leai e le o lona uiga, ioe. Ole maualuga ole avanoa ole Initaneti e mafai ona fesuisuiai mo kamupani eseese - mai le tapunia atoatoa ile tatala atoatoa. O le a tatou talanoaina auala e pulea ai feoaiga i se taimi mulimuli ane i vaega o faiga saogalemu.

Malosiaga e fa'aoga le atoaga o masini masani

E faigofie pe a, mo se faʻataʻitaʻiga, e te maua le avanoa e faʻaauau ai le faʻaogaina o auala uma o fesoʻotaʻiga e te masani ai i le galuega. E leai se faigata i le faʻaaogaina faʻapitoa o lenei mea. Mo lenei mea e te manaʻomia le WiFi ma se wilan malo.

E lelei foi pe afai e te maua le avanoa e faʻaoga ai le faiga faʻaoga e te masani ai. Ae, i laʻu matau, e masani lava ona faʻatagaina i pule, pule ma atinaʻe.

Faataitaiga:

E mafai, ioe, mulimuli i le ala o faʻasaina, faʻasa le avanoa mamao, faʻasa le faʻafesoʻotaʻi mai masini feaveaʻi, faʻatapulaʻa mea uma i fesoʻotaʻiga Ethernet static, faʻatapulaʻa le avanoa i luga ole Initaneti, faʻamalosi faʻamalosi telefoni feaveaʻi ma gadgets ile siaki ... ma lenei auala o loʻo mulimulitaʻia moni lava e nisi faʻalapotopotoga faʻatasi ai ma le faʻateleina o manaʻoga saogalemu, ma atonu i nisi tulaga e ono faʻamaonia lenei mea, ae ... e tatau ona e ioe o lenei mea e foliga mai o se taumafaiga e taofi le alualu i luma i se faʻalapotopotoga e tasi. Ioe, ou te manaʻo e tuʻufaʻatasia avanoa o loʻo tuʻuina atu e tekinolosi faʻaonaponei ma se tulaga lelei o le saogalemu.

"Fa'agaioiga vave" o le feso'otaiga

O le saoasaoa fa'aliliuina fa'amatalaga fa'apitoa e aofia ai le tele o mea. Ma o le saoasaoa o lau fesoʻotaʻiga uafu e masani lava e le sili ona taua. O le faʻagesegese o le faʻaogaina o se talosaga e le masani ona fesoʻotaʻi ma faʻafitauli fesoʻotaʻiga, ae mo le taimi nei matou te fiafia i le vaega o fesoʻotaʻiga. O le fa'afitauli sili ona taatele i feso'ota'iga fa'apitonu'u "fa'agesegese" e feso'ota'i ma le leiloa o pepa. E masani lava ona tupu lenei mea pe a iai se faʻalavelave faʻafefe poʻo faʻafitauli L1 (OSI). E seasea lava, faatasi ai ma nisi o mamanu (fa'ata'ita'iga, pe a iai se pa puipui o au upega tafa'ilagi e fai ma faitoto'a fa'aletonu ma fa'apea e alu uma ai fe'avea'i), e ono leai se fa'atinoga o meafaigaluega.

O le mea lea, pe a filifilia meafaigaluega ma fausaga, e tatau ona e faʻafetaui le saoasaoa o pito pito i tua, ogalaau ma meafaigaluega.

Faataitaiga:

Se'i fa'apea o lo'o e fa'aogaina ki fa'atasi ma 1 gigabit ports e fai ma sui fa'apipi'i avanoa. E fesoʻotaʻi le tasi i le isi e ala i le Etherchannel 2 x 10 gigabits. I le avea ai ma se faitotoa le lelei, e te faʻaogaina se pa puipui faʻatasi ma ports gigabit, e faʻafesoʻotaʻi ai le fesoʻotaʻiga o le ofisa L2 e te faʻaogaina 2 gigabit ports tuʻufaʻatasia i se Etherchannel.

O lenei fausaga e fai si faigofie mai se tulaga faʻatinoina, aua ... O fefaʻatauaiga uma e alu i totonu o le firewall, ma e mafai ona e faʻaogaina faiga faʻavae avanoa, ma faʻaoga algorithms lavelave e pulea ai feoaiga ma puipuia ai osofaʻiga (vaai i lalo), ae mai le faʻaogaina ma le faʻatinoga o le vaaiga o lenei mamanu, ioe, e iai ni faʻafitauli faʻalavelave. O lea la, mo se faʻataʻitaʻiga, 2 'au e siiina mai faʻamaumauga (faʻatasi ai ma le saoasaoa o le taulaga o le 1 gigabit) e mafai ona faʻapipiʻiina atoa se fesoʻotaʻiga 2 gigabit i le pa puipui, ma oʻo atu ai i le faʻaleagaina o auaunaga mo le vaega atoa o le ofisa.

Ua matou vaʻavaʻai i le tasi pito o le tafatolu, seʻi o tatou vaʻavaʻai pe faʻapefea ona tatou mautinoa le saogalemu.

Fofo

O le mea lea, ioe, e masani lava o lo tatou manaʻo (poʻo le manaʻo, o le manaʻoga o la tatou pulega) o le ausia lea o le mea e le mafai, o lona uiga, ia tuʻuina atu le faʻaogaina maualuga ma le maualuga o le saogalemu ma le tau maualalo.

Seʻi o tatou vaʻavaʻai poʻo a ni auala tatou te maua ai le puipuiga.

Mo le ofisa, ou te faʻamaonia mea nei:

  • leai se fa'alagolago i le mamanu
  • maualuga maualuga o le puipuiga
  • va'aiga feso'otaiga
  • tu'ufa'atasiga fa'amaoni fa'atasi ma faiga fa'atagaina
  • siaki talimalo

Ma le isi, o le a tatou nonofo i se faʻamatalaga sili atu i luga o nei vaega taʻitasi.

ZeroTrust

Ua vave ona suia le lalolagi IT. I le na o le 10 tausaga talu ai, o le tulaʻi mai o tekinolosi fou ma oloa na taʻitaʻia ai se toe iloiloga tele o mataupu tau puipuiga. I le sefulu tausaga talu ai, mai se vaaiga saogalemu, matou te vaevaeina le fesoʻotaʻiga i le faʻalagolago, dmz ma le le talitonuina sone, ma faʻaogaina le mea e taʻua o le "puipuiga o le perimeter", lea sa i ai 2 laina o le puipuiga: untrust -> dmz ma dmz -> faatuatuaina. E le gata i lea, o le puipuiga e masani lava ona faʻatapulaʻa i lisi avanoa e faʻavae i luga o ulutala L3/L4 (OSI) (IP, TCP/UDP ports, TCP flags). O mea uma e fesoʻotaʻi ma tulaga maualuga, e aofia ai le L7, na tuʻuina i le OS ma mea saogalemu faʻapipiʻi i luga o le au faʻaiʻuga.

O lea la ua matuā suia le tulaga. manatu fa'aonaponei leai se faatuatuaina e sau mai le mea moni e le mafai ona toe mafaufau i totonu o faiga, o lona uiga, o loʻo i totonu o le nofoaga, e pei ona faʻatuatuaina, ma o le manatu o le perimeter lava ia ua faanenefu.
E le gata i le initaneti o loʻo i ai foi a matou

  • avanoa mamao VPN tagata fa'aoga
  • eseese gadgets patino, aumai komepiuta feaveai, fesootai e ala i le ofisa WiFi
  • isi (paranesi) ofisa
  • tu'ufa'atasiga ma atina'e ao

O le a le foliga o le Zero Trust i le faatinoga?

O le mea e lelei ai, naʻo le fefaʻatauaʻiga e manaʻomia e tatau ona faʻatagaina ma, afai o loʻo tatou talanoa e uiga i se mea lelei, ona tatau lea ona pulea e le gata i le tulaga L3 / L4, ae i le tulaga o le talosaga.

Afai, mo se faʻataʻitaʻiga, o loʻo ia te oe le malosi e pasi uma ai fefaʻatauaiga i totonu o se pa puipui, ona mafai lea ona e taumafai e faʻalatalata atu i le mea sili. Ae o lenei faiga e mafai ona faʻaitiitia ai le aofaʻi o le bandwidth o lau fesoʻotaiga, ma e le gata i lea, o le faʻamamaina e ala i le talosaga e le lelei i taimi uma.

Pe a pulea le feoaiga i luga o se router poʻo le L3 ki (faʻaaogaina ACL masani), e te feagai ma isi faʻafitauli:

  • Na'o le L3/L4 fa'amama lea. E leai se mea e taofia ai se tagata osofaʻi mai le faʻaaogaina o ports faʻatagaina (eg TCP 80) mo latou talosaga (e le o le http)
  • pulega lavelave ACL (faigata ona fa'avasega ACL)
  • E le ose firewall atoa, o lona uiga e te mana'omia le fa'atagaina manino o feoaiga fe'avea'i
  • fa'atasi ai ma suiga e masani ona fa'atapula'aina oe i le tele o le TCAM, lea e mafai ona vave avea ma fa'afitauli pe a e fa'aogaina le "na'o le mea e te mana'omia" auala.

Manatua

I le tautala e uiga i fefaʻatauaiga, e tatau ona tatou manatua o loʻo ia i tatou le avanoa lenei (Cisco)

faataga tcp so'o se fa'atuina

Ae e tatau ona e malamalama o lenei laina e tutusa ma laina e lua:
faataga tcp so'o se ack
faataga tcp so'o se mea muamua

O lona uiga e tusa lava pe leai se vaega muamua o le TCP ma le fuʻa SYN (o lona uiga, e leʻi amataina le sauniga TCP), o lenei ACL o le a faʻatagaina se pusa ma le fuʻa ACK, lea e mafai e se tagata osofaʻi ona faʻaogaina e faʻafeiloaʻi ai faʻamatalaga.

O lona uiga, o lenei laina e leai se auala e liliu ai lau router poʻo le L3 ki i totonu o se pa puipui afi.

Tulaga maualuga o le puipuiga

В tusiga I le vaega i luga o nofoaga autu o faʻamatalaga, na matou iloiloina auala puipuia nei.

  • fa'amalama afi (fa'aleaogaina)
  • ddos/dos puipuiga
  • fa'aoga firewall
  • puipuiga tau fa'amata'u (antivirus, anti-spyware, ma fa'aletonu)
  • Filifiliga URL
  • fa'amama fa'amaumauga (fa'amama mea)
  • poloka faila (faiga faila poloka)

I le tulaga o se ofisa, e tutusa le tulaga, ae o mea e ave i ai le faamuamua e ese teisi. Avanoa ofisa (avanoa) e masani lava e le taua tele e pei o le tulaga o se nofoaga autu o faʻamatalaga, ae o le faʻalavelave o le "lotoi totonu" o fefaʻatauaiga leaga o poloaiga o le maualuga maualuga.
O le mea lea, o auala puipuia nei mo lenei vaega e taua tele:

  • fa'aoga firewall
  • puipuiga tau fa'amata'u (anti-virus, anti-spyware, ma fa'aletonu)
  • Filifiliga URL
  • fa'amama fa'amaumauga (fa'amama mea)
  • poloka faila (faiga faila poloka)

E ui lava o nei auala puipuia uma, sei vagana ai le faʻaogaina o le firewalls, sa masani ma faʻaauau pea ona foia i luga o 'au pito (mo se faʻataʻitaʻiga, e ala i le faʻapipiʻiina o polokalame antivirus) ma le faʻaogaina o sui, o NGFW faʻaonaponei o loʻo tuʻuina atu foi nei auaunaga.

O lo'o taumafai le au fa'atau mea tau puipuiga e fausia se puipuiga atoatoa, fa'atasi ai ma puipuiga fa'apitonu'u, latou te ofoina atu le tele o tekinolosi ao ma polokalama fa'akomepiuta mo tagata talimalo (puipuiga pito i'uga/EPP). O lea, mo se faʻataʻitaʻiga, mai 2018 Gartner Magic Quadrant Matou te vaʻaia o Palo Alto ma Cisco e iai a latou lava EPP (PA: Mailei, Cisco: AMP), ae e mamao ese mai taʻitaʻi.

O le faʻatagaina o nei puipuiga (e masani lava i le faʻatauina o laisene) i luga o lau pa puipui e mautinoa lava e le faʻatagaina (e mafai ona e alu i le auala masani), ae e maua ai ni faʻamanuiaga:

  • i lenei tulaga, o loʻo i ai se mea e tasi o le faʻaogaina o auala puipuia, lea e faʻaleleia ai le vaʻaia (vaʻai i le mataupu e sosoo ai).
  • Afai o loʻo i ai se masini e le puipuia i luga o lau fesoʻotaʻiga, o loʻo pa'ū pea i lalo o le "faʻamalu" o le puipuiga o le afi.
  • E ala i le fa'aogaina o le puipuiga o le firewall fa'atasi ma le puipuiga fa'ai'u, matou te fa'atuputeleina ai le avanoa e iloa ai feoaiga leaga. Mo se faʻataʻitaʻiga, o le faʻaaogaina o le faʻamataʻu puipuia i luga o 'au faʻapitonuʻu ma luga o se pa puipui e faʻateleina ai le avanoa e iloa ai (ae, ioe, o nei fofo e faʻavae i luga o oloa eseese polokalama)

Manatua

Afai, mo se faʻataʻitaʻiga, e te faʻaogaina Kaspersky o se antivirus i luga o le firewall ma le pito i tua, o le mea lea, o le mea moni, o le a le faʻateleina ai lou avanoa e puipuia ai se osofaʻiga i luga o lau fesoʻotaiga.

Va'aiga feso'otaiga

Le manatu autu e faigofie - "vaai" mea o loʻo tupu i luga o lau fesoʻotaʻiga, i le taimi moni ma faʻamatalaga faʻasolopito.

O le a ou vaevaeina lenei "vaaiga" i ni vaega se lua:

Vaega muamua: mea e masani ona saunia e lau mata'itūina oe.

  • utaina o meafaigaluega
  • alavai uta
  • fa'aoga manatua
  • fa'aoga tisiki
  • suia le laulau fa'asologa
  • tulaga sooga
  • maua o mea faigaluega (po'o 'au)
  • ...

Vaega lua: fa'amatalaga e feso'ota'i ma le saogalemu.

  • ituaiga eseese o fuainumera (mo se faʻataʻitaʻiga, e ala i le faʻaoga, e ala i le URL feʻaveaʻi, o a ituaiga o faʻamatalaga na sii mai, faʻamatalaga tagata faʻaoga)
  • o le a le mea na poloka e faiga faʻavae saogalemu ma o le a le mafuaʻaga, e pei
    • fa'asaina le talosaga
    • fa'asa ona fa'avae ile ip/protocol/port/flags/zones
    • puipuiga tau faamata'u
    • url filiga
    • fa'amama fa'amaumauga
    • poloka faila
    • ...
  • fuainumera i osofaiga DOS/DDOS
  • le manuia taumafaiga e iloagofie ai ma faatagaga
  • fa'amaumauga mo mea uma o lo'o ta'ua i luga o le puipuiga o faiga fa'avae soliga
  • ...

I lenei mataupu i le saogalemu, matou te fiafia i le vaega lona lua.

O nisi o puipui fa'aonaponei (mai lo'u aafiaga Palo Alto) e maua ai se tulaga lelei o le va'aia. Ae, o le mea moni, o le auala e te fiafia i ai e tatau ona alu i totonu o lenei firewall (i le tulaga lea e mafai ona e poloka ai taavale) pe faʻaali i le firewall (faʻaaogaina mo le mataʻituina ma auʻiliʻiliga), ma e tatau ona i ai ni laisene e mafai ai uma. nei auaunaga .

E i ai, ioe, se isi auala, po o le auala masani, mo se faataitaiga,

  • E mafai ona fa'aputuina fa'amaumauga o fa'atasiga e ala i le ta'avale feso'ota'iga ona fa'aogaina lea o fa'aoga fa'apitoa mo su'esu'ega fa'amatalaga ma fa'amatalaga fa'amatalaga
  • puipuiga fa'amata'u - polokalame fa'apitoa (anti-virus, anti-spyware, firewall) i 'au fa'ai'uga
  • Filifiliga URL, faʻamaumauga faʻamaumauga, poloka faila - i luga ole sui
  • e mafai foi ona au'ili'ili le tcpdump fa'aaoga e.g. faʻamalieina

E mafai ona e tuʻufaʻatasia nei auala e lua, faʻapipiʻi foliga o loʻo misi pe faʻaluaina e faʻateleina ai le avanoa e iloa ai se osofaʻiga.

O le fea auala e tatau ona e filifilia?
E fa'alagolago tele i agava'a ma mana'oga o lau 'au.
E i ai uma ma e iai mea e lelei ma leaga.

Tu'ufa'atasi fa'amaoni fa'atotonugalemu ma faiga fa'atagaina

Pe a lelei le fuafuaina, o le gaioiga na matou talanoaina i lenei tusiga e faʻapea o loʻo ia te oe le avanoa tutusa pe o e faigaluega mai le ofisa pe mai le fale, mai le malaevaalele, mai se fale kofe, poʻo se isi mea (faʻatasi ai ma tapulaʻa na matou talanoaina i luga). E foliga mai, o le a le faafitauli?
Ina ia malamalama atili i le lavelave o lenei galuega, seʻi o tatou tilotilo i se mamanu masani.

Faataitaiga:

  • Ua e vaevaeina tagata faigaluega uma i vaega. Ua e filifili e tu'uina atu avanoa i vaega
  • I totonu o le ofisa, e te pulea le avanoa i luga o le firewall o le ofisa
  • E te pulea felauaiga mai le ofisa i le nofoaga autu o faʻamatalaga i luga o le fale puipui o faʻamaumauga
  • E te fa'aogaina se Cisco ASA e fai ma faitoto'a VPN, ma fa'atonutonu feoaiga e ulufale atu i lau feso'ota'iga mai tagata fa'atau mamao, e te fa'aogaina ACL i le lotoifale (i le ASA).

Ia, tatou fa'apea ua talosagaina oe e fa'aopoopo se avanoa fa'aopoopo i se tagata faigaluega. I lenei tulaga, ua talosagaina oe e faʻaopoopo le avanoa ia te ia ae leai se isi mai lana vaega.

Mo lenei mea e tatau ona tatou faia se vaega ese mo lenei tagata faigaluega, o lona uiga

  • faia se isi IP pool ile ASA mo lenei tagata faigaluega
  • fa'aopoopo se ACL fou ile ASA ma fusifusia ile tagata fa'atau mamao
  • faia ni faiga fa'avae fou mo le saogalemu i luga ole ofisa ma fa'amaumauga nofoaga autu afi

E lelei pe a seasea tupu lenei mea. Ae i laʻu faʻataʻitaʻiga sa i ai se tulaga na auai tagata faigaluega i galuega eseese, ma o lenei seti o galuega faatino mo nisi oi latou na suia soo, ma e le o le 1-2 tagata, ae o le tele. Ioe, e iai se mea e manaʻomia ona suia iinei.

Na foia lenei mea i le auala lea.

Na matou filifili o le LDAP e na o le pau lea o le puna o le mea moni e iloa ai avanoa uma a tagata faigaluega. Na matou faia ituaiga uma o vaega e faʻamalamalamaina seti o avanoa, ma matou tofia tagata taʻitasi i se tasi pe sili atu vaega.

O lea, mo se faʻataʻitaʻiga, faʻapea sa i ai ni vaega

  • malo (avanoa initaneti)
  • avanoa masani (avanoa i punaoa fefaʻasoaaʻi: meli, faʻavae malamalama, ...)
  • o faamatalaga tau tupe
  • poloketi 1
  • poloketi 2
  • fa'atonu fa'amaumauga
  • linux pule
  • ...

Ma afai o se tasi o tagata faigaluega na aafia i le poloketi 1 ma le poloketi 2, ma na te manaʻomia le avanoa e manaʻomia e galue ai i nei galuega, ona tofia lea o lenei tagata faigaluega i vaega nei:

  • mālō
  • avanoa masani
  • poloketi 1
  • poloketi 2

E fa'afefea ona tatou fa'aliliuina nei fa'amatalaga e fa'aoga i masini feso'ota'iga?

Cisco ASA Dynamic Access Policy (DAP) (vaai www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) fofo e fetaui lelei mo lenei galuega.

I se faapuupuuga e uiga i la matou faʻatinoga, i le taimi o le faʻamaoniga / faʻatagaina faʻagasologa, ASA maua mai le LDAP se seti o vaega e fetaui ma se tagata faʻaaoga ma "aoina mai" mai le tele o ACL i le lotoifale (e tutusa ma se vaega) se ACL malosi ma avanoa talafeagai uma. , lea e fetaui lelei ma o tatou manaoga.

Ae e na'o le VPN feso'ota'iga. Ina ia tutusa le tulaga mo tagata faigaluega uma e fesoʻotaʻi i VPN ma i latou i totonu o le ofisa, o le laasaga lea na faia.

Pe a faʻafesoʻotaʻi mai le ofisa, o tagata faʻaoga e faʻaogaina le 802.1x protocol na iu i totonu o se LAN malo (mo malo) poʻo se LAN faʻasoa (mo tagata faigaluega a le kamupani). E le gata i lea, ina ia maua se avanoa faʻapitoa (mo se faʻataʻitaʻiga, i galuega faatino i totonu o se nofoaga autu o faʻamaumauga), e tatau i tagata faigaluega ona faʻafesoʻotaʻi e ala i VPN.

Ina ia faʻafesoʻotaʻi mai le ofisa ma mai le fale, sa faʻaogaina vaega eseese i luga o le ASA. E manaʻomia lenei mea mo i latou e fesoʻotaʻi mai le ofisa, fefaʻatauaʻiga i punaoa fefaʻasoaaʻi (faʻaaogaina e tagata faigaluega uma, e pei o meli, faila faila, faiga tiketi, dns, ...) e le alu i le ASA, ae ala i le fesoʻotaʻiga i le lotoifale . O le mea lea, matou te leʻi utaina le ASA i fefaʻatauaiga le talafeagai, e aofia ai feʻaveaʻi maualuga.

O lea, na foia ai le faafitauli.
Na matou maua

  • le seti tutusa o avanoa mo fesoʻotaʻiga uma mai le ofisa ma fesoʻotaʻiga mamao
  • leai se fa'aleagaina o le tautua pe a faigaluega mai le ofisa e feso'ota'i ma le fa'asalalauina o fe'avea'iga maualuga e ala i le ASA

O a isi mea lelei o lenei faiga?
I le pulega avanoa. E faigofie ona suia avanoa i se nofoaga e tasi.
Mo se faʻataʻitaʻiga, afai e alu ese se tagata faigaluega mai le kamupani, ona e aveese lea o ia mai le LDAP, ma otometi lava ona leiloa uma avanoa.

Siaki a le talimalo

Faatasi ai ma le avanoa o fesoʻotaʻiga mamao, matou te faʻalavelaveina le faʻatagaina e le gata o se tagata faigaluega a le kamupani i totonu o le fesoʻotaʻiga, ae faʻapea foʻi ma polokalama leaga uma e foliga mai o loʻo i ai i luga o lana komepiuta (mo se faʻataʻitaʻiga, fale), ma e le gata i lea, e ala i lenei polokalama matou te atonu o loʻo tuʻuina atu le avanoa i la tatou fesoʻotaʻiga i se osofaʻiga e faʻaaoga ai lenei talimalo e fai ma sui.

E talafeagai mo se 'au e feso'ota'i mamao e fa'aoga tutusa mana'oga mo le saogalemu e pei o se talimalo i totonu o le ofisa.

E fa'apea fo'i ona fa'apea le "sa'o" o le OS, anti-virus, anti-spyware, ma firewall software ma fa'afouga. E masani lava, o lenei gafatia o loʻo i ai i luga o le VPN gateway (mo ASA vaʻai, mo se faʻataʻitaʻiga, iinei).

E atamai foʻi le faʻaogaina o le auʻiliʻiliga tutusa o feoaiga ma auala poloka (silasila i le "Tulaga maualuga o le puipuiga") e faʻaoga lau faiga faʻavae mo felauaiga i ofisa.

E talafeagai le fa'apea e le o toe fa'atapula'aina lau 'upega tafa'ilagi i le fale o le ofisa ma 'au o lo'o iai.

Faataitaiga:

O se auala lelei o le tuʻuina atu lea o tagata faigaluega taʻitoʻatasi e manaʻomia le avanoa mamao ma se komepiuta lelei, faigofie ma manaʻomia i latou e galulue, i totonu o le ofisa ma mai le fale, naʻo mai ai.

E le gata ina fa'aleleia atili ai le saogalemu o lau feso'otaiga, ae e matua faigofie lava ma e masani ona va'aia lelei e tagata faigaluega (pe'afai o se komepiuta lelei, fa'aoga-tagata).

E uiga i se lagona o le paleni ma le paleni

O le mea moni, o se talanoaga lenei e uiga i le pito lona tolu o la tatou tafatolu - e uiga i le tau.
Se'i tatou va'ai i se fa'ata'ita'iga fa'atatau.

Faataitaiga:

E iai lou ofisa mo le 200 tagata. Na e filifili e fai ia faigofie ma saogalemu pe a mafai.

O le mea lea, na e filifili e pasi uma felauaiga i totonu o le firewall ma o lea mo subnets uma ofisa o le firewall o le faitotoa faaletonu. I le faaopoopo atu i le polokalama faakomepiuta ua fa'apipi'iina i luga o 'au fa'ai'uga ta'itasi (anti-virus, anti-spyware, ma firewall software), na e filifili fo'i e fa'aoga auala uma e puipuia ai i luga o le firewall.

Ina ia mautinoa le televave o fesoʻotaʻiga (uma mo le faʻaogagofie), na e filifilia suiga ma 10 Gigabit avanoa avanoa e fai ma sui o avanoa, ma maualuga NGFW firewalls e pei o firewalls, mo se faʻataʻitaʻiga, Palo Alto 7K faasologa (ma 40 Gigabit ports), e masani lava ma laisene uma. aofia ai ma, e masani lava, o se paga Avanoa Maualuga.

E le gata i lea, ioe, e galulue i lenei laina o meafaigaluega matou te manaʻomia a itiiti mai o ni nai inisinia sili ona agavaa.

O le isi, na e filifili e tuʻuina atu i tagata faigaluega taʻitasi se komepiuta lelei.

Aofa'i, e tusa ma le 10 miliona tala mo le fa'atinoga, selau afe tala (ou te manatu e latalata i le miliona) mo le lagolago fa'aletausaga ma totogi mo inisinia.

Ofisa, 200 tagata...
Fa'amafanafana? Ou te masalo o le ioe.

E te sau ma le talosaga lenei i lau pulega...
Masalo o loʻo i ai le tele o kamupani i le lalolagi lea o se tali talia ma saʻo. Afai o oe o se tagata faigaluega o lenei kamupani, ou te faamalo, ae i le tele o mataupu, ou te mautinoa o le a le talisapaia e le pulega lou malamalama.

Pe ua soona fai ea lenei faataitaiga? O le a taliina e le mataupu o sosoo mai lenei fesili.

Afai i luga o lau 'upega tafaʻilagi e te le vaʻai i se mea o loʻo i luga, o le masani lea.
Mo mataupu fa'apitoa ta'itasi, e mana'omia lou su'eina o lau lava fetuutuuna'iga talafeagai i le va o le faigofie, tau ma le saogalemu. E masani lava e te le manaʻomia le NGFW i lou ofisa, ma e le manaʻomia le puipuiga o le L7 i luga o le pa puipui. Ua lava le tuʻuina atu o se tulaga lelei o le vaʻaia ma faʻasalalauga, ma e mafai ona faia lenei mea e faʻaaoga ai punaoa tatala, mo se faʻataʻitaʻiga. Ioe, o lau tali atu i se osofaʻiga o le a le vave, ae o le mea autu o le ae vaʻaia, ma faʻatasi ai ma faiga saʻo i totonu o lau matagaluega, o le a mafai ona e vave faʻaumatia.

Ma seʻi ou faamanatu atu ia te oe, e tusa ai ma le manatu o lenei faasologa o tala, e te le o fuafuaina se fesoʻotaʻiga, o loʻo e taumafai e faʻaleleia mea na e mauaina.

SAFE su'esu'ega o fausaga o ofisa

Fa'alogo lelei i le sikuea mumu lea na ou fa'avasegaina ai se nofoaga i luga o le ata mai SAFE Secure Campus Architecture Guidelea ou te fia talanoaina iinei.

Fa'afefea ona pulea au atina'e feso'otaiga. Mataupu tolu. Puipuiga o feso'otaiga. Vaega tolu

O se tasi lea o nofoaga autu o le tusiata fale ma o se tasi o le le mautonu sili ona taua.

Manatua

Ou te leʻi faʻatulagaina pe galue ma FirePower (mai le Cisco's firewall line - naʻo ASA), o lea o le a ou faia e pei o soʻo se isi lava fale puipui, e pei o Juniper SRX poʻo Palo Alto, faʻapea e tutusa lava le gafatia.

Mai mamanu masani, ou te vaʻaia naʻo le 4 filifiliga talafeagai mo le faʻaogaina o se pa puipui ma lenei fesoʻotaʻiga:

  • o le faitotoa faaletonu mo subnet taitasi o se ki, ae o le firewall o loʻo i totonu o le tulaga manino (o lona uiga, o auala uma e ui atu i ai, ae e le fausia ai se L3 hop)
  • o le faitotoa fa'aletonu mo subnet ta'itasi o le pa puipui puipui (po'o feso'ota'iga SVI), o le ki e fai le matafaioi a le L2.
  • eseese VRFs e faʻaaogaina i luga o le ki, ma fefaʻatauaʻiga i le va o VRFs e ui atu i le pa puipui, feʻaveaʻi i totonu o le tasi VRF e pulea e le ACL i le ki.
  • o felauaiga uma o lo'o fa'ata i le firewall mo le su'esu'eina ma le mata'ituina o feoaiga;

Fa'amatalaga 1

O tuʻufaʻatasiga o nei filifiliga e mafai, ae mo le faigofie tatou te le mafaufau i ai.

Fa'aaliga2

O loʻo iai foʻi le avanoa e faʻaaoga ai le PBR (auʻaunaga filifili fausaga), ae mo le taimi nei, e ui lava o se fofo matagofie i loʻu manatu, e sili atu, o lea ou te le o mafaufau i ai iinei.

Mai le faʻamatalaga o tafega i totonu o le pepa, matou te vaʻai ai o loʻo alu pea le taʻavale i totonu o le firewall, o lona uiga, e tusa ai ma le mamanu Cisco, o le filifiliga lona fa ua faʻaumatia.

Sei o tatou tilotilo muamua i filifiliga muamua e lua.
Faatasi ai ma nei filifiliga, o feoaiga uma e ui atu i le pa puipui.

Sei o tatou vaavaai nei laupepa faʻamatalaga, vaai Cisco GPL ma matou vaʻai afai matou te mananaʻo i le aofaʻi o le bandwidth mo lo matou ofisa ia le itiiti ifo i le 10 - 20 gigabits, ona tatau lea ona matou faʻatau le 4K version.

Manatua

A ou talanoa e uiga i le aofaʻi o bandwidth, o lona uiga o fefaʻatauaiga i le va o subnets (ae le o totonu o le tasi vilana).

Mai le GPL tatou te iloa ai mo le HA Bundle ma le Faʻamataʻu Puipuiga, o le tau e faʻatatau i le faʻataʻitaʻiga (4110 - 4150) e ese mai le ~ 0,5 - 2,5 miliona tala.

O lona uiga, o la matou mamanu e amata ona pei o le faʻataʻitaʻiga muamua.

O lona uiga e sese lenei mamanu?
Leai, e le o lona uiga. Cisco e tuʻuina atu ia te oe le puipuiga sili e faʻavae i luga o le laina oloa o loʻo i ai. Ae e le faapea o se mea e tatau ona fai mo oe.

I le faʻavae, o se fesili masani lea e tulaʻi mai pe a faʻatulagaina se ofisa poʻo se nofoaga autu o faʻamaumauga, ma o lona uiga e manaʻomia le sailia o se maliega.

Mo se faʻataʻitaʻiga, aua neʻi faʻatagaina feoaiga uma i totonu o se pa puipui, o le mea lea e foliga mai e lelei ia te aʻu le filifiliga 3, poʻo (silasila i le vaega muamua) atonu e te le manaʻomia le Puipuiga Faʻamataʻu pe e te le manaʻomia se pa puipui i lena mea. vaega o fesoʻotaʻiga, ma e tatau ona e faʻatapulaʻaina oe lava i le mataʻituina o le faʻaogaina o le totogi (e le taugata) poʻo faʻamatalaga tatala punaoa, pe e te manaʻomia se pa puipui, ae mai se isi tagata faʻatau.

E masani lava ona i ai i taimi uma lenei le mautonu ma e leai se tali manino pe o le fea filifiliga e sili mo oe.
O le lavelave ma le matagofie lea o lenei galuega.

puna: www.habr.com

Faaopoopo i ai se faamatalaga