O lenei tusiga o le lona lima lea i le faasologa "E faʻafefea ona pulea lau fesoʻotaʻiga fesoʻotaʻiga." O mea o lo'o i totonu o tala uma i le faasologa ma feso'ota'iga e mafai ona maua .
O lenei vaega o le a tu'uina atu i le Campus (Ofisa) & Va'aiga mamao VPN vaega.
E foliga faigofie le mamanu o feso'otaiga a le Ofisa.
O le mea moni, matou te ave L2 / L3 ki ma faʻafesoʻotaʻi le tasi i le isi. Ma le isi, matou te faʻatinoina le seti faʻavae o vilans ma le faʻaogaina o faitotoa, faʻatulagaina auala faigofie, faʻafesoʻotaʻi le WiFi controllers, avanoa avanoa, faʻapipiʻi ma faʻapipiʻi le ASA mo avanoa mamao, matou te fiafia na aoga mea uma. Ole mea moni, e pei ona ou tusia i se tasi o muamua O lenei taamilosaga, toetoe lava o tamaiti aoga uma na auai (ma aʻoaʻoina) lua semesa o se kosi telecom e mafai ona mamanuina ma faʻapipiʻi se fesoʻotaʻiga ofisa ina ia "faʻaoga."
Ae o le tele o lou aʻoaʻoina, o le faʻaitiitia foi lea o le faigofie o lenei galuega e amata ona foliga mai. Mo aʻu lava ia, o lenei autu, o le autu o le mamanu o fesoʻotaʻiga a le ofisa, e foliga mai e le faigofie, ma i lenei tusiga o le a ou taumafai e faʻamatala pe aisea.
I se faapuupuuga, e tele naua mea e tatau ona mafaufau i ai. O le tele o taimi e fete'ena'i nei vaega ma e tatau ona sailia se maliega talafeagai.
O lenei le mautonu o le faigata autu lea. O lea la, i le tautala e uiga i le saogalemu, o loʻo i ai a matou tafatolu ma tolu vertices: saogalemu, faigofie mo tagata faigaluega, tau o le fofo.
Ma o taimi uma e tatau ai ona e suʻeina se maliega i le va o nei tolu.
atiga
Mo se faʻataʻitaʻiga o se faʻataʻitaʻiga mo nei vaega e lua, e pei o tala muamua, ou te fautuaina fa'ata'ita'iga: , .
O pepa ia ua fai si tuai. Ou te tuʻuina atu iinei ona o fuafuaga faʻavae ma auala e leʻi suia, ae i le taimi lava e tasi ou te fiafia i le faʻaaliga nai lo totonu .
A aunoa ma le faʻamalosia oe e faʻaoga Cisco fofo, ou te manatu pea e aoga le suʻesuʻeina ma le totoa o lenei mamanu.
O lenei tusiga, e pei ona masani ai, e le faafoliga e atoatoa, ae o se faʻaopoopoga i lenei faʻamatalaga.
I le faaiuga o le tusiga, o le a matou auʻiliʻili le Cisco SAFE office design e tusa ai ma manatu o loʻo otooto atu iinei.
Taiala lautele
O le mamanu o fesoʻotaʻiga o le ofisa e tatau, ioe, faʻamalieina manaʻoga lautele na talanoaina i le mataupu "Tulaga mo le iloiloina o le lelei o mamanu". E ese mai le tau ma le saogalemu, lea matou te faʻamoemoe e talanoaina i lenei tusiga, o loʻo i ai pea ni taʻiala e tolu e tatau ona tatou mafaufau i ai pe a mamanuina (poʻo le faia o suiga):
- scalability
- faigofie o le fa'aoga (pulea)
- avanoa
O le tele o mea na talanoaina E moni foi lea mo le ofisa.
Ae ui i lea, o le vaega o le ofisa o loʻo i ai ona lava faʻamatalaga, e taua tele mai se vaaiga saogalemu. O le ute o lenei tulaga faʻapitoa o lenei vaega ua faia e tuʻuina atu auaunaga fesoʻotaʻiga i tagata faigaluega (faʻapea foi paaga ma malo) a le kamupani, ma, o se taunuuga, i le tulaga maualuga o le iloiloga o le faafitauli e lua a matou galuega:
- puipuia punaoa a le kamupani mai amioga leaga e ono sau mai tagata faigaluega (malo, paaga) ma mai le polokalama latou te faaaogaina. E aofia ai fo'i le puipuiga mai feso'ota'iga lē fa'atagaina i le feso'ota'iga.
- puipuia faiga ma faʻamatalaga tagata faʻaoga
Ma e na'o le tasi lea itu o le fa'afitauli (po'o le, tasi le pito o le tafatolu). I le isi itu o le faʻaogaina o tagata faʻaoga ma le tau o fofo faʻaaogaina.
Tatou amata ile va'ava'ai i mea e fa'amoemoeina e le tagata fa'aoga mai se feso'otaiga o ofisa fa'aonaponei.
Faʻamasinoga
O le a le mea e foliga mai o "mea faigaluega fesoʻotaʻiga" mo se tagata faʻaoga ofisa i loʻu manatu:
- Malaga
- Malosiaga e fa'aoga le atoaga o masini masani ma faiga fa'aoga
- Fa'afaigofie ona maua punaoa uma a le kamupani
- Avanoa o punaoa Initaneti, e aofia ai auaunaga eseese ao
- "Fa'agaioiga vave" o le feso'otaiga
O nei mea uma e faʻatatau i tagata faigaluega ma malo (poʻo paaga), ma o le galuega a inisinia a le kamupani le faʻavasegaina o avanoa mo vaega faʻaoga eseese e faʻavae i luga o le faʻatagaina.
Se'i o tatou va'ava'ai i vaega ta'itasi i se fa'amatalaga atili.
Malaga
O loʻo matou talanoa e uiga i le avanoa e galue ai ma faʻaoga uma punaoa a le kamupani mai soʻo se mea i le lalolagi (ioe, pe a maua le Initaneti).
E fa'atatau atoa lea i le ofisa. E faigofie lenei mea pe'ā e maua le avanoa e faʻaauau ai galuega mai soʻo se mea i totonu o le ofisa, mo se faʻataʻitaʻiga, maua meli, fesoʻotaʻi i se avefeʻau tuʻufaʻatasia, avanoa mo se telefoni, ... O lea, e mafai ai e oe, i le tasi itu, e foia nisi o mataupu "ola" fesootaiga (mo se faataitaiga, auai i rallies), ma i le isi itu, ia i luga o le initaneti i taimi uma, taofi lou tamatamailima i luga o le fatu ma vave foia nisi o galuega faanatinati maualuga. E faigofie tele lenei mea ma faʻaleleia atili ai le lelei o fesoʻotaʻiga.
E maua lenei mea e ala i le mamanu o fesoʻotaiga WiFi talafeagai.
Manatua
O iinei e masani ona tulaʻi mai le fesili: pe lava le faʻaogaina o le WiFi? O lona uiga e mafai ona e taofi le faʻaogaina o ports Ethernet i le ofisa? Afai tatou te talanoa e uiga i tagata faʻaoga, ae le o le 'auʻaunaga, o loʻo talafeagai pea e faʻafesoʻotaʻi ma se port Ethernet masani, o lona uiga lautele o le tali o le: ioe, e mafai ona e faʻatapulaaina oe lava i WiFi. Ae o loʻo i ai nuances.
O lo'o i ai vaega taua o tagata fa'aoga e mana'omia se isi auala. O i latou ia, ioe, pule. I le faʻavae, o se fesoʻotaʻiga WiFi e le faʻatuatuaina (i tulaga o le leiloa o feoaiga) ma faʻagesegese nai lo le masani Ethernet port. E mafai ona taua tele lenei mea mo pule. E le gata i lea, o pule o fesoʻotaʻiga, mo se faʻataʻitaʻiga, e mafai, i le mataupu faavae, ona i ai a latou lava fesoʻotaʻiga Ethernet tuuto mo fesoʻotaʻiga i fafo.
Atonu e iai isi vaega/matāgaluega i lau kamupani e tāua foʻi nei mea.
E i ai le isi itu taua - telefoni. Masalo mo nisi mafuaʻaga e te le manaʻo ai e faʻaoga le VoIP uaea ma e te manaʻo e faʻaoga telefoni IP ma se fesoʻotaʻiga Ethernet masani.
I se tulaga lautele, o kamupani na ou faigaluega ai e masani lava ona i ai le WiFi fesoʻotaʻiga ma le Ethernet port.
Ou te mana'o ia aua nei fa'atapula'aina le gaioi i le na'o le ofisa.
Ina ia faʻamautinoa le mafai ona galue mai le fale (poʻo soʻo se isi nofoaga e maua ai le Initaneti), e faʻaogaina se VPN. I le taimi lava e tasi, e manaʻomia e le o lagona e tagata faigaluega le eseesega i le va o le galue mai le fale ma galuega mamao, lea e tutusa le avanoa. O le a tatou talanoaina pe faʻapefea ona faʻatulagaina lenei mea i se taimi mulimuli ane i le mataupu "Unified centralized authentication and authorization system."
Manatua
E foliga mai, o le a le mafai ona e tuʻuina atu atoatoa le tulaga tutusa o auaunaga mo galuega mamao e te maua i le ofisa. Se'i tatou fa'apea o lo'o e fa'aogaina se Cisco ASA 5520 e fai ma lau faitoto'a VPN o lenei masini e mafai ona "digesting" na o le 225 Mbit o le VPN felauaiga. O lona uiga, ioe, i tulaga o le bandwidth, fesoʻotaʻi e ala i VPN e matua ese lava mai le galue mai le ofisa. E le gata i lea, afai, mo nisi mafuaʻaga, o le latency, loss, jitter (mo se faʻataʻitaʻiga, e te manaʻo e faʻaoga le telefoni IP ofisa) mo au 'auʻaunaga fesoʻotaʻiga e taua tele, o le ae le mauaina foi le tulaga tutusa e pei o oe i le ofisa. O le mea lea, pe a talanoa e uiga i le gaoioi, e tatau ona tatou nofouta i tapulaa e mafai.
Fa'afaigofie ona maua punaoa uma a le kamupani
O lenei galuega e tatau ona foia faʻatasi ma isi matagaluega faʻapitoa.
O le tulaga sili ona lelei o le taimi e manaʻomia ai e le tagata faʻaoga naʻo le tasi le faʻamaonia, ma a maeʻa ona ia maua uma punaoa talafeagai.
Tuuina atu faigofie avanoa e aunoa ma le ositaulagaina o le saogalemu e mafai ona faʻaleleia atili le gaosiga ma faʻaitiitia ai le atuatuvale i au paaga.
Fa'amatalaga 1
Fa'afaigofie ona maua e le na'o le fa'afia ona e ulufale i se fa'aupuga. Afai, mo se faʻataʻitaʻiga, e tusa ai ma lau faiga faʻavae saogalemu, ina ia mafai ona faʻafesoʻotaʻi mai le ofisa i le nofoaga autu o faʻamatalaga, e tatau ona e faʻafesoʻotaʻi muamua i le faitotoa VPN, ma i le taimi lava e tasi e te leiloa le avanoa i punaoa a le ofisa, o le mea foi lea , matua le talafeagai.
Fa'amatalaga 2
O loʻo i ai auaunaga (mo se faʻataʻitaʻiga, avanoa i masini fesoʻotaʻiga) lea e masani ona i ai a tatou lava faʻaumau AAA tuuto ma o le masani lea pe a oʻo i lenei tulaga e tatau ona tatou faʻamaonia le tele o taimi.
Avanoa o punaoa Initaneti
O le Initaneti e le gata o faafiafiaga, ae o se seti foi o auaunaga e mafai ona aoga tele mo galuega. E iai fo'i mea fa'ale-mafaufau. O se tagata faʻaonaponei e fesoʻotaʻi ma isi tagata e ala i le Initaneti e ala i le tele o filo faʻapitoa, ma, i loʻu manatu, e leai se mea e leaga ai pe a faʻaauau pea ona ia lagona lenei fesoʻotaʻiga e tusa lava pe galue.
Mai le manatu o le faʻaumatia taimi, e leai se mea leaga pe a fai o se tagata faigaluega, mo se faʻataʻitaʻiga, o loʻo tamoe Skype ma faʻaalu 5 minute e fesoʻotaʻi ma se pele pe a manaʻomia.
O lona uiga e tatau ona avanoa le Initaneti i taimi uma, pe o lona uiga e mafai e tagata faigaluega ona maua avanoa uma i punaoa ma e le pulea i latou i soo se auala?
Leai e le o lona uiga, ioe. Ole maualuga ole avanoa ole Initaneti e mafai ona fesuisuiai mo kamupani eseese - mai le tapunia atoatoa ile tatala atoatoa. O le a tatou talanoaina auala e pulea ai feoaiga i se taimi mulimuli ane i vaega o faiga saogalemu.
Malosiaga e fa'aoga le atoaga o masini masani
E faigofie pe a, mo se faʻataʻitaʻiga, e te maua le avanoa e faʻaauau ai le faʻaogaina o auala uma o fesoʻotaʻiga e te masani ai i le galuega. E leai se faigata i le faʻaaogaina faʻapitoa o lenei mea. Mo lenei mea e te manaʻomia le WiFi ma se wilan malo.
E lelei foi pe afai e te maua le avanoa e faʻaoga ai le faiga faʻaoga e te masani ai. Ae, i laʻu matau, e masani lava ona faʻatagaina i pule, pule ma atinaʻe.
Faataitaiga:
E mafai, ioe, mulimuli i le ala o faʻasaina, faʻasa le avanoa mamao, faʻasa le faʻafesoʻotaʻi mai masini feaveaʻi, faʻatapulaʻa mea uma i fesoʻotaʻiga Ethernet static, faʻatapulaʻa le avanoa i luga ole Initaneti, faʻamalosi faʻamalosi telefoni feaveaʻi ma gadgets ile siaki ... ma lenei auala o loʻo mulimulitaʻia moni lava e nisi faʻalapotopotoga faʻatasi ai ma le faʻateleina o manaʻoga saogalemu, ma atonu i nisi tulaga e ono faʻamaonia lenei mea, ae ... e tatau ona e ioe o lenei mea e foliga mai o se taumafaiga e taofi le alualu i luma i se faʻalapotopotoga e tasi. Ioe, ou te manaʻo e tuʻufaʻatasia avanoa o loʻo tuʻuina atu e tekinolosi faʻaonaponei ma se tulaga lelei o le saogalemu.
"Fa'agaioiga vave" o le feso'otaiga
O le saoasaoa fa'aliliuina fa'amatalaga fa'apitoa e aofia ai le tele o mea. Ma o le saoasaoa o lau fesoʻotaʻiga uafu e masani lava e le sili ona taua. O le faʻagesegese o le faʻaogaina o se talosaga e le masani ona fesoʻotaʻi ma faʻafitauli fesoʻotaʻiga, ae mo le taimi nei matou te fiafia i le vaega o fesoʻotaʻiga. O le fa'afitauli sili ona taatele i feso'ota'iga fa'apitonu'u "fa'agesegese" e feso'ota'i ma le leiloa o pepa. E masani lava ona tupu lenei mea pe a iai se faʻalavelave faʻafefe poʻo faʻafitauli L1 (OSI). E seasea lava, faatasi ai ma nisi o mamanu (fa'ata'ita'iga, pe a iai se pa puipui o au upega tafa'ilagi e fai ma faitoto'a fa'aletonu ma fa'apea e alu uma ai fe'avea'i), e ono leai se fa'atinoga o meafaigaluega.
O le mea lea, pe a filifilia meafaigaluega ma fausaga, e tatau ona e faʻafetaui le saoasaoa o pito pito i tua, ogalaau ma meafaigaluega.
Faataitaiga:
Se'i fa'apea o lo'o e fa'aogaina ki fa'atasi ma 1 gigabit ports e fai ma sui fa'apipi'i avanoa. E fesoʻotaʻi le tasi i le isi e ala i le Etherchannel 2 x 10 gigabits. I le avea ai ma se faitotoa le lelei, e te faʻaogaina se pa puipui faʻatasi ma ports gigabit, e faʻafesoʻotaʻi ai le fesoʻotaʻiga o le ofisa L2 e te faʻaogaina 2 gigabit ports tuʻufaʻatasia i se Etherchannel.
O lenei fausaga e fai si faigofie mai se tulaga faʻatinoina, aua ... O fefaʻatauaiga uma e alu i totonu o le firewall, ma e mafai ona e faʻaogaina faiga faʻavae avanoa, ma faʻaoga algorithms lavelave e pulea ai feoaiga ma puipuia ai osofaʻiga (vaai i lalo), ae mai le faʻaogaina ma le faʻatinoga o le vaaiga o lenei mamanu, ioe, e iai ni faʻafitauli faʻalavelave. O lea la, mo se faʻataʻitaʻiga, 2 'au e siiina mai faʻamaumauga (faʻatasi ai ma le saoasaoa o le taulaga o le 1 gigabit) e mafai ona faʻapipiʻiina atoa se fesoʻotaʻiga 2 gigabit i le pa puipui, ma oʻo atu ai i le faʻaleagaina o auaunaga mo le vaega atoa o le ofisa.
Ua matou vaʻavaʻai i le tasi pito o le tafatolu, seʻi o tatou vaʻavaʻai pe faʻapefea ona tatou mautinoa le saogalemu.
Fofo
O le mea lea, ioe, e masani lava o lo tatou manaʻo (poʻo le manaʻo, o le manaʻoga o la tatou pulega) o le ausia lea o le mea e le mafai, o lona uiga, ia tuʻuina atu le faʻaogaina maualuga ma le maualuga o le saogalemu ma le tau maualalo.
Seʻi o tatou vaʻavaʻai poʻo a ni auala tatou te maua ai le puipuiga.
Mo le ofisa, ou te faʻamaonia mea nei:
- leai se fa'alagolago i le mamanu
- maualuga maualuga o le puipuiga
- va'aiga feso'otaiga
- tu'ufa'atasiga fa'amaoni fa'atasi ma faiga fa'atagaina
- siaki talimalo
Ma le isi, o le a tatou nonofo i se faʻamatalaga sili atu i luga o nei vaega taʻitasi.
ZeroTrust
Ua vave ona suia le lalolagi IT. I le na o le 10 tausaga talu ai, o le tulaʻi mai o tekinolosi fou ma oloa na taʻitaʻia ai se toe iloiloga tele o mataupu tau puipuiga. I le sefulu tausaga talu ai, mai se vaaiga saogalemu, matou te vaevaeina le fesoʻotaʻiga i le faʻalagolago, dmz ma le le talitonuina sone, ma faʻaogaina le mea e taʻua o le "puipuiga o le perimeter", lea sa i ai 2 laina o le puipuiga: untrust -> dmz ma dmz -> faatuatuaina. E le gata i lea, o le puipuiga e masani lava ona faʻatapulaʻa i lisi avanoa e faʻavae i luga o ulutala L3/L4 (OSI) (IP, TCP/UDP ports, TCP flags). O mea uma e fesoʻotaʻi ma tulaga maualuga, e aofia ai le L7, na tuʻuina i le OS ma mea saogalemu faʻapipiʻi i luga o le au faʻaiʻuga.
O lea la ua matuā suia le tulaga. manatu fa'aonaponei e sau mai le mea moni e le mafai ona toe mafaufau i totonu o faiga, o lona uiga, o loʻo i totonu o le nofoaga, e pei ona faʻatuatuaina, ma o le manatu o le perimeter lava ia ua faanenefu.
E le gata i le initaneti o loʻo i ai foi a matou
- avanoa mamao VPN tagata fa'aoga
- eseese gadgets patino, aumai komepiuta feaveai, fesootai e ala i le ofisa WiFi
- isi (paranesi) ofisa
- tu'ufa'atasiga ma atina'e ao
O le a le foliga o le Zero Trust i le faatinoga?
O le mea e lelei ai, naʻo le fefaʻatauaʻiga e manaʻomia e tatau ona faʻatagaina ma, afai o loʻo tatou talanoa e uiga i se mea lelei, ona tatau lea ona pulea e le gata i le tulaga L3 / L4, ae i le tulaga o le talosaga.
Afai, mo se faʻataʻitaʻiga, o loʻo ia te oe le malosi e pasi uma ai fefaʻatauaiga i totonu o se pa puipui, ona mafai lea ona e taumafai e faʻalatalata atu i le mea sili. Ae o lenei faiga e mafai ona faʻaitiitia ai le aofaʻi o le bandwidth o lau fesoʻotaiga, ma e le gata i lea, o le faʻamamaina e ala i le talosaga e le lelei i taimi uma.
Pe a pulea le feoaiga i luga o se router poʻo le L3 ki (faʻaaogaina ACL masani), e te feagai ma isi faʻafitauli:
- Na'o le L3/L4 fa'amama lea. E leai se mea e taofia ai se tagata osofaʻi mai le faʻaaogaina o ports faʻatagaina (eg TCP 80) mo latou talosaga (e le o le http)
- pulega lavelave ACL (faigata ona fa'avasega ACL)
- E le ose firewall atoa, o lona uiga e te mana'omia le fa'atagaina manino o feoaiga fe'avea'i
- fa'atasi ai ma suiga e masani ona fa'atapula'aina oe i le tele o le TCAM, lea e mafai ona vave avea ma fa'afitauli pe a e fa'aogaina le "na'o le mea e te mana'omia" auala.
Manatua
I le tautala e uiga i fefaʻatauaiga, e tatau ona tatou manatua o loʻo ia i tatou le avanoa lenei (Cisco)
faataga tcp so'o se fa'atuina
Ae e tatau ona e malamalama o lenei laina e tutusa ma laina e lua:
faataga tcp so'o se ack
faataga tcp so'o se mea muamuaO lona uiga e tusa lava pe leai se vaega muamua o le TCP ma le fuʻa SYN (o lona uiga, e leʻi amataina le sauniga TCP), o lenei ACL o le a faʻatagaina se pusa ma le fuʻa ACK, lea e mafai e se tagata osofaʻi ona faʻaogaina e faʻafeiloaʻi ai faʻamatalaga.
O lona uiga, o lenei laina e leai se auala e liliu ai lau router poʻo le L3 ki i totonu o se pa puipui afi.
Tulaga maualuga o le puipuiga
В I le vaega i luga o nofoaga autu o faʻamatalaga, na matou iloiloina auala puipuia nei.
- fa'amalama afi (fa'aleaogaina)
- ddos/dos puipuiga
- fa'aoga firewall
- puipuiga tau fa'amata'u (antivirus, anti-spyware, ma fa'aletonu)
- Filifiliga URL
- fa'amama fa'amaumauga (fa'amama mea)
- poloka faila (faiga faila poloka)
I le tulaga o se ofisa, e tutusa le tulaga, ae o mea e ave i ai le faamuamua e ese teisi. Avanoa ofisa (avanoa) e masani lava e le taua tele e pei o le tulaga o se nofoaga autu o faʻamatalaga, ae o le faʻalavelave o le "lotoi totonu" o fefaʻatauaiga leaga o poloaiga o le maualuga maualuga.
O le mea lea, o auala puipuia nei mo lenei vaega e taua tele:
- fa'aoga firewall
- puipuiga tau fa'amata'u (anti-virus, anti-spyware, ma fa'aletonu)
- Filifiliga URL
- fa'amama fa'amaumauga (fa'amama mea)
- poloka faila (faiga faila poloka)
E ui lava o nei auala puipuia uma, sei vagana ai le faʻaogaina o le firewalls, sa masani ma faʻaauau pea ona foia i luga o 'au pito (mo se faʻataʻitaʻiga, e ala i le faʻapipiʻiina o polokalame antivirus) ma le faʻaogaina o sui, o NGFW faʻaonaponei o loʻo tuʻuina atu foi nei auaunaga.
O lo'o taumafai le au fa'atau mea tau puipuiga e fausia se puipuiga atoatoa, fa'atasi ai ma puipuiga fa'apitonu'u, latou te ofoina atu le tele o tekinolosi ao ma polokalama fa'akomepiuta mo tagata talimalo (puipuiga pito i'uga/EPP). O lea, mo se faʻataʻitaʻiga, mai Matou te vaʻaia o Palo Alto ma Cisco e iai a latou lava EPP (PA: Mailei, Cisco: AMP), ae e mamao ese mai taʻitaʻi.
O le faʻatagaina o nei puipuiga (e masani lava i le faʻatauina o laisene) i luga o lau pa puipui e mautinoa lava e le faʻatagaina (e mafai ona e alu i le auala masani), ae e maua ai ni faʻamanuiaga:
- i lenei tulaga, o loʻo i ai se mea e tasi o le faʻaogaina o auala puipuia, lea e faʻaleleia ai le vaʻaia (vaʻai i le mataupu e sosoo ai).
- Afai o loʻo i ai se masini e le puipuia i luga o lau fesoʻotaʻiga, o loʻo pa'ū pea i lalo o le "faʻamalu" o le puipuiga o le afi.
- E ala i le fa'aogaina o le puipuiga o le firewall fa'atasi ma le puipuiga fa'ai'u, matou te fa'atuputeleina ai le avanoa e iloa ai feoaiga leaga. Mo se faʻataʻitaʻiga, o le faʻaaogaina o le faʻamataʻu puipuia i luga o 'au faʻapitonuʻu ma luga o se pa puipui e faʻateleina ai le avanoa e iloa ai (ae, ioe, o nei fofo e faʻavae i luga o oloa eseese polokalama)
Manatua
Afai, mo se faʻataʻitaʻiga, e te faʻaogaina Kaspersky o se antivirus i luga o le firewall ma le pito i tua, o le mea lea, o le mea moni, o le a le faʻateleina ai lou avanoa e puipuia ai se osofaʻiga i luga o lau fesoʻotaiga.
Va'aiga feso'otaiga
e faigofie - "vaai" mea o loʻo tupu i luga o lau fesoʻotaʻiga, i le taimi moni ma faʻamatalaga faʻasolopito.
O le a ou vaevaeina lenei "vaaiga" i ni vaega se lua:
Vaega muamua: mea e masani ona saunia e lau mata'itūina oe.
- utaina o meafaigaluega
- alavai uta
- fa'aoga manatua
- fa'aoga tisiki
- suia le laulau fa'asologa
- tulaga sooga
- maua o mea faigaluega (po'o 'au)
- ...
Vaega lua: fa'amatalaga e feso'ota'i ma le saogalemu.
- ituaiga eseese o fuainumera (mo se faʻataʻitaʻiga, e ala i le faʻaoga, e ala i le URL feʻaveaʻi, o a ituaiga o faʻamatalaga na sii mai, faʻamatalaga tagata faʻaoga)
- o le a le mea na poloka e faiga faʻavae saogalemu ma o le a le mafuaʻaga, e pei
- fa'asaina le talosaga
- fa'asa ona fa'avae ile ip/protocol/port/flags/zones
- puipuiga tau faamata'u
- url filiga
- fa'amama fa'amaumauga
- poloka faila
- ...
- fuainumera i osofaiga DOS/DDOS
- le manuia taumafaiga e iloagofie ai ma faatagaga
- fa'amaumauga mo mea uma o lo'o ta'ua i luga o le puipuiga o faiga fa'avae soliga
- ...
I lenei mataupu i le saogalemu, matou te fiafia i le vaega lona lua.
O nisi o puipui fa'aonaponei (mai lo'u aafiaga Palo Alto) e maua ai se tulaga lelei o le va'aia. Ae, o le mea moni, o le auala e te fiafia i ai e tatau ona alu i totonu o lenei firewall (i le tulaga lea e mafai ona e poloka ai taavale) pe faʻaali i le firewall (faʻaaogaina mo le mataʻituina ma auʻiliʻiliga), ma e tatau ona i ai ni laisene e mafai ai uma. nei auaunaga .
E i ai, ioe, se isi auala, po o le auala masani, mo se faataitaiga,
- E mafai ona fa'aputuina fa'amaumauga o fa'atasiga e ala i le ta'avale feso'ota'iga ona fa'aogaina lea o fa'aoga fa'apitoa mo su'esu'ega fa'amatalaga ma fa'amatalaga fa'amatalaga
- puipuiga fa'amata'u - polokalame fa'apitoa (anti-virus, anti-spyware, firewall) i 'au fa'ai'uga
- Filifiliga URL, faʻamaumauga faʻamaumauga, poloka faila - i luga ole sui
- e mafai foi ona au'ili'ili le tcpdump fa'aaoga e.g.
E mafai ona e tuʻufaʻatasia nei auala e lua, faʻapipiʻi foliga o loʻo misi pe faʻaluaina e faʻateleina ai le avanoa e iloa ai se osofaʻiga.
O le fea auala e tatau ona e filifilia?
E fa'alagolago tele i agava'a ma mana'oga o lau 'au.
E i ai uma ma e iai mea e lelei ma leaga.
Tu'ufa'atasi fa'amaoni fa'atotonugalemu ma faiga fa'atagaina
Pe a lelei le fuafuaina, o le gaioiga na matou talanoaina i lenei tusiga e faʻapea o loʻo ia te oe le avanoa tutusa pe o e faigaluega mai le ofisa pe mai le fale, mai le malaevaalele, mai se fale kofe, poʻo se isi mea (faʻatasi ai ma tapulaʻa na matou talanoaina i luga). E foliga mai, o le a le faafitauli?
Ina ia malamalama atili i le lavelave o lenei galuega, seʻi o tatou tilotilo i se mamanu masani.
Faataitaiga:
- Ua e vaevaeina tagata faigaluega uma i vaega. Ua e filifili e tu'uina atu avanoa i vaega
- I totonu o le ofisa, e te pulea le avanoa i luga o le firewall o le ofisa
- E te pulea felauaiga mai le ofisa i le nofoaga autu o faʻamatalaga i luga o le fale puipui o faʻamaumauga
- E te fa'aogaina se Cisco ASA e fai ma faitoto'a VPN, ma fa'atonutonu feoaiga e ulufale atu i lau feso'ota'iga mai tagata fa'atau mamao, e te fa'aogaina ACL i le lotoifale (i le ASA).
Ia, tatou fa'apea ua talosagaina oe e fa'aopoopo se avanoa fa'aopoopo i se tagata faigaluega. I lenei tulaga, ua talosagaina oe e faʻaopoopo le avanoa ia te ia ae leai se isi mai lana vaega.
Mo lenei mea e tatau ona tatou faia se vaega ese mo lenei tagata faigaluega, o lona uiga
- faia se isi IP pool ile ASA mo lenei tagata faigaluega
- fa'aopoopo se ACL fou ile ASA ma fusifusia ile tagata fa'atau mamao
- faia ni faiga fa'avae fou mo le saogalemu i luga ole ofisa ma fa'amaumauga nofoaga autu afi
E lelei pe a seasea tupu lenei mea. Ae i laʻu faʻataʻitaʻiga sa i ai se tulaga na auai tagata faigaluega i galuega eseese, ma o lenei seti o galuega faatino mo nisi oi latou na suia soo, ma e le o le 1-2 tagata, ae o le tele. Ioe, e iai se mea e manaʻomia ona suia iinei.
Na foia lenei mea i le auala lea.
Na matou filifili o le LDAP e na o le pau lea o le puna o le mea moni e iloa ai avanoa uma a tagata faigaluega. Na matou faia ituaiga uma o vaega e faʻamalamalamaina seti o avanoa, ma matou tofia tagata taʻitasi i se tasi pe sili atu vaega.
O lea, mo se faʻataʻitaʻiga, faʻapea sa i ai ni vaega
- malo (avanoa initaneti)
- avanoa masani (avanoa i punaoa fefaʻasoaaʻi: meli, faʻavae malamalama, ...)
- o faamatalaga tau tupe
- poloketi 1
- poloketi 2
- fa'atonu fa'amaumauga
- linux pule
- ...
Ma afai o se tasi o tagata faigaluega na aafia i le poloketi 1 ma le poloketi 2, ma na te manaʻomia le avanoa e manaʻomia e galue ai i nei galuega, ona tofia lea o lenei tagata faigaluega i vaega nei:
- mālō
- avanoa masani
- poloketi 1
- poloketi 2
E fa'afefea ona tatou fa'aliliuina nei fa'amatalaga e fa'aoga i masini feso'ota'iga?
Cisco ASA Dynamic Access Policy (DAP) (vaai ) fofo e fetaui lelei mo lenei galuega.
I se faapuupuuga e uiga i la matou faʻatinoga, i le taimi o le faʻamaoniga / faʻatagaina faʻagasologa, ASA maua mai le LDAP se seti o vaega e fetaui ma se tagata faʻaaoga ma "aoina mai" mai le tele o ACL i le lotoifale (e tutusa ma se vaega) se ACL malosi ma avanoa talafeagai uma. , lea e fetaui lelei ma o tatou manaoga.
Ae e na'o le VPN feso'ota'iga. Ina ia tutusa le tulaga mo tagata faigaluega uma e fesoʻotaʻi i VPN ma i latou i totonu o le ofisa, o le laasaga lea na faia.
Pe a faʻafesoʻotaʻi mai le ofisa, o tagata faʻaoga e faʻaogaina le 802.1x protocol na iu i totonu o se LAN malo (mo malo) poʻo se LAN faʻasoa (mo tagata faigaluega a le kamupani). E le gata i lea, ina ia maua se avanoa faʻapitoa (mo se faʻataʻitaʻiga, i galuega faatino i totonu o se nofoaga autu o faʻamaumauga), e tatau i tagata faigaluega ona faʻafesoʻotaʻi e ala i VPN.
Ina ia faʻafesoʻotaʻi mai le ofisa ma mai le fale, sa faʻaogaina vaega eseese i luga o le ASA. E manaʻomia lenei mea mo i latou e fesoʻotaʻi mai le ofisa, fefaʻatauaʻiga i punaoa fefaʻasoaaʻi (faʻaaogaina e tagata faigaluega uma, e pei o meli, faila faila, faiga tiketi, dns, ...) e le alu i le ASA, ae ala i le fesoʻotaʻiga i le lotoifale . O le mea lea, matou te leʻi utaina le ASA i fefaʻatauaiga le talafeagai, e aofia ai feʻaveaʻi maualuga.
O lea, na foia ai le faafitauli.
Na matou maua
- le seti tutusa o avanoa mo fesoʻotaʻiga uma mai le ofisa ma fesoʻotaʻiga mamao
- leai se fa'aleagaina o le tautua pe a faigaluega mai le ofisa e feso'ota'i ma le fa'asalalauina o fe'avea'iga maualuga e ala i le ASA
O a isi mea lelei o lenei faiga?
I le pulega avanoa. E faigofie ona suia avanoa i se nofoaga e tasi.
Mo se faʻataʻitaʻiga, afai e alu ese se tagata faigaluega mai le kamupani, ona e aveese lea o ia mai le LDAP, ma otometi lava ona leiloa uma avanoa.
Siaki a le talimalo
Faatasi ai ma le avanoa o fesoʻotaʻiga mamao, matou te faʻalavelaveina le faʻatagaina e le gata o se tagata faigaluega a le kamupani i totonu o le fesoʻotaʻiga, ae faʻapea foʻi ma polokalama leaga uma e foliga mai o loʻo i ai i luga o lana komepiuta (mo se faʻataʻitaʻiga, fale), ma e le gata i lea, e ala i lenei polokalama matou te atonu o loʻo tuʻuina atu le avanoa i la tatou fesoʻotaʻiga i se osofaʻiga e faʻaaoga ai lenei talimalo e fai ma sui.
E talafeagai mo se 'au e feso'ota'i mamao e fa'aoga tutusa mana'oga mo le saogalemu e pei o se talimalo i totonu o le ofisa.
E fa'apea fo'i ona fa'apea le "sa'o" o le OS, anti-virus, anti-spyware, ma firewall software ma fa'afouga. E masani lava, o lenei gafatia o loʻo i ai i luga o le VPN gateway (mo ASA vaʻai, mo se faʻataʻitaʻiga, ).
E atamai foʻi le faʻaogaina o le auʻiliʻiliga tutusa o feoaiga ma auala poloka (silasila i le "Tulaga maualuga o le puipuiga") e faʻaoga lau faiga faʻavae mo felauaiga i ofisa.
E talafeagai le fa'apea e le o toe fa'atapula'aina lau 'upega tafa'ilagi i le fale o le ofisa ma 'au o lo'o iai.
Faataitaiga:
O se auala lelei o le tuʻuina atu lea o tagata faigaluega taʻitoʻatasi e manaʻomia le avanoa mamao ma se komepiuta lelei, faigofie ma manaʻomia i latou e galulue, i totonu o le ofisa ma mai le fale, naʻo mai ai.
E le gata ina fa'aleleia atili ai le saogalemu o lau feso'otaiga, ae e matua faigofie lava ma e masani ona va'aia lelei e tagata faigaluega (pe'afai o se komepiuta lelei, fa'aoga-tagata).
E uiga i se lagona o le paleni ma le paleni
O le mea moni, o se talanoaga lenei e uiga i le pito lona tolu o la tatou tafatolu - e uiga i le tau.
Se'i tatou va'ai i se fa'ata'ita'iga fa'atatau.
Faataitaiga:
E iai lou ofisa mo le 200 tagata. Na e filifili e fai ia faigofie ma saogalemu pe a mafai.
O le mea lea, na e filifili e pasi uma felauaiga i totonu o le firewall ma o lea mo subnets uma ofisa o le firewall o le faitotoa faaletonu. I le faaopoopo atu i le polokalama faakomepiuta ua fa'apipi'iina i luga o 'au fa'ai'uga ta'itasi (anti-virus, anti-spyware, ma firewall software), na e filifili fo'i e fa'aoga auala uma e puipuia ai i luga o le firewall.
Ina ia mautinoa le televave o fesoʻotaʻiga (uma mo le faʻaogagofie), na e filifilia suiga ma 10 Gigabit avanoa avanoa e fai ma sui o avanoa, ma maualuga NGFW firewalls e pei o firewalls, mo se faʻataʻitaʻiga, Palo Alto 7K faasologa (ma 40 Gigabit ports), e masani lava ma laisene uma. aofia ai ma, e masani lava, o se paga Avanoa Maualuga.
E le gata i lea, ioe, e galulue i lenei laina o meafaigaluega matou te manaʻomia a itiiti mai o ni nai inisinia sili ona agavaa.
O le isi, na e filifili e tuʻuina atu i tagata faigaluega taʻitasi se komepiuta lelei.
Aofa'i, e tusa ma le 10 miliona tala mo le fa'atinoga, selau afe tala (ou te manatu e latalata i le miliona) mo le lagolago fa'aletausaga ma totogi mo inisinia.
Ofisa, 200 tagata...
Fa'amafanafana? Ou te masalo o le ioe.E te sau ma le talosaga lenei i lau pulega...
Masalo o loʻo i ai le tele o kamupani i le lalolagi lea o se tali talia ma saʻo. Afai o oe o se tagata faigaluega o lenei kamupani, ou te faamalo, ae i le tele o mataupu, ou te mautinoa o le a le talisapaia e le pulega lou malamalama.
Pe ua soona fai ea lenei faataitaiga? O le a taliina e le mataupu o sosoo mai lenei fesili.
Afai i luga o lau 'upega tafaʻilagi e te le vaʻai i se mea o loʻo i luga, o le masani lea.
Mo mataupu fa'apitoa ta'itasi, e mana'omia lou su'eina o lau lava fetuutuuna'iga talafeagai i le va o le faigofie, tau ma le saogalemu. E masani lava e te le manaʻomia le NGFW i lou ofisa, ma e le manaʻomia le puipuiga o le L7 i luga o le pa puipui. Ua lava le tuʻuina atu o se tulaga lelei o le vaʻaia ma faʻasalalauga, ma e mafai ona faia lenei mea e faʻaaoga ai punaoa tatala, mo se faʻataʻitaʻiga. Ioe, o lau tali atu i se osofaʻiga o le a le vave, ae o le mea autu o le ae vaʻaia, ma faʻatasi ai ma faiga saʻo i totonu o lau matagaluega, o le a mafai ona e vave faʻaumatia.
Ma seʻi ou faamanatu atu ia te oe, e tusa ai ma le manatu o lenei faasologa o tala, e te le o fuafuaina se fesoʻotaʻiga, o loʻo e taumafai e faʻaleleia mea na e mauaina.
SAFE su'esu'ega o fausaga o ofisa
Fa'alogo lelei i le sikuea mumu lea na ou fa'avasegaina ai se nofoaga i luga o le ata mai lea ou te fia talanoaina iinei.
O se tasi lea o nofoaga autu o le tusiata fale ma o se tasi o le le mautonu sili ona taua.
Manatua
Ou te leʻi faʻatulagaina pe galue ma FirePower (mai le Cisco's firewall line - naʻo ASA), o lea o le a ou faia e pei o soʻo se isi lava fale puipui, e pei o Juniper SRX poʻo Palo Alto, faʻapea e tutusa lava le gafatia.
Mai mamanu masani, ou te vaʻaia naʻo le 4 filifiliga talafeagai mo le faʻaogaina o se pa puipui ma lenei fesoʻotaʻiga:
- o le faitotoa faaletonu mo subnet taitasi o se ki, ae o le firewall o loʻo i totonu o le tulaga manino (o lona uiga, o auala uma e ui atu i ai, ae e le fausia ai se L3 hop)
- o le faitotoa fa'aletonu mo subnet ta'itasi o le pa puipui puipui (po'o feso'ota'iga SVI), o le ki e fai le matafaioi a le L2.
- eseese VRFs e faʻaaogaina i luga o le ki, ma fefaʻatauaʻiga i le va o VRFs e ui atu i le pa puipui, feʻaveaʻi i totonu o le tasi VRF e pulea e le ACL i le ki.
- o felauaiga uma o lo'o fa'ata i le firewall mo le su'esu'eina ma le mata'ituina o feoaiga;
Fa'amatalaga 1
O tuʻufaʻatasiga o nei filifiliga e mafai, ae mo le faigofie tatou te le mafaufau i ai.
Fa'aaliga2
O loʻo iai foʻi le avanoa e faʻaaoga ai le PBR (auʻaunaga filifili fausaga), ae mo le taimi nei, e ui lava o se fofo matagofie i loʻu manatu, e sili atu, o lea ou te le o mafaufau i ai iinei.
Mai le faʻamatalaga o tafega i totonu o le pepa, matou te vaʻai ai o loʻo alu pea le taʻavale i totonu o le firewall, o lona uiga, e tusa ai ma le mamanu Cisco, o le filifiliga lona fa ua faʻaumatia.
Sei o tatou tilotilo muamua i filifiliga muamua e lua.
Faatasi ai ma nei filifiliga, o feoaiga uma e ui atu i le pa puipui.
Sei o tatou vaavaai nei , vaai ma matou vaʻai afai matou te mananaʻo i le aofaʻi o le bandwidth mo lo matou ofisa ia le itiiti ifo i le 10 - 20 gigabits, ona tatau lea ona matou faʻatau le 4K version.
Manatua
A ou talanoa e uiga i le aofaʻi o bandwidth, o lona uiga o fefaʻatauaiga i le va o subnets (ae le o totonu o le tasi vilana).
Mai le GPL tatou te iloa ai mo le HA Bundle ma le Faʻamataʻu Puipuiga, o le tau e faʻatatau i le faʻataʻitaʻiga (4110 - 4150) e ese mai le ~ 0,5 - 2,5 miliona tala.
O lona uiga, o la matou mamanu e amata ona pei o le faʻataʻitaʻiga muamua.
O lona uiga e sese lenei mamanu?
Leai, e le o lona uiga. Cisco e tuʻuina atu ia te oe le puipuiga sili e faʻavae i luga o le laina oloa o loʻo i ai. Ae e le faapea o se mea e tatau ona fai mo oe.
I le faʻavae, o se fesili masani lea e tulaʻi mai pe a faʻatulagaina se ofisa poʻo se nofoaga autu o faʻamaumauga, ma o lona uiga e manaʻomia le sailia o se maliega.
Mo se faʻataʻitaʻiga, aua neʻi faʻatagaina feoaiga uma i totonu o se pa puipui, o le mea lea e foliga mai e lelei ia te aʻu le filifiliga 3, poʻo (silasila i le vaega muamua) atonu e te le manaʻomia le Puipuiga Faʻamataʻu pe e te le manaʻomia se pa puipui i lena mea. vaega o fesoʻotaʻiga, ma e tatau ona e faʻatapulaʻaina oe lava i le mataʻituina o le faʻaogaina o le totogi (e le taugata) poʻo faʻamatalaga tatala punaoa, pe e te manaʻomia se pa puipui, ae mai se isi tagata faʻatau.
E masani lava ona i ai i taimi uma lenei le mautonu ma e leai se tali manino pe o le fea filifiliga e sili mo oe.
O le lavelave ma le matagofie lea o lenei galuega.
puna: www.habr.com