ProHoster > Blog > Tsamaiso > Mokhoa oa ho laola marang-rang a hau a marang-rang. Khaolo ea boraro. Tšireletso ea marang-rang. Karolo ea pele

Mokhoa oa ho laola marang-rang a hau a marang-rang. Khaolo ea boraro. Tšireletso ea marang-rang. Karolo ea pele

Sengoliloeng sena ke sa boraro letotong la lihlooho tse reng, “Kamoo U ka Laolang Thepa ea Litšebeletso Tsa Marang-rang.” Likahare tsa lingoloa tsohle letotong le lihokelo li ka fumanoa mona.

Mokhoa oa ho laola marang-rang a hau a marang-rang. Khaolo ea boraro. Tšireletso ea marang-rang. Karolo ea pele

Ha ho na thuso ea ho bua ka ho felisa ka ho feletseng likotsi tsa tšireletso. Ha e le hantle, re ke ke ra li fokotsa ho fihlela ho zero. Hape re lokela ho utloisisa hore ha re ntse re leka ho etsa hore marang-rang a sireletsehe haholoanyane, litharollo tsa rona li ntse li theko e boima haholo. U hloka ho fumana khoebo pakeng tsa litšenyehelo, ho rarahana, le ts'ireletso e utloahalang bakeng sa marang-rang a hau.

Ha e le hantle, moralo oa ts'ireletso o kopantsoe ka mokhoa o hlophisitsoeng ka kakaretso mohahong 'me litharollo tsa ts'ireletso tse sebelisoang li ama scalability, botšepehi, taolo, ... ea lisebelisoa tsa marang-rang, tse lokelang ho nkoa hape.

Empa e re ke u hopotse hore joale ha re bue ka ho theha marang-rang. Ho ea ka rona maemo a pele re se re khethile moralo, re khethile lisebelisoa, 'me re bōpile lisebelisoa tsa motheo,' me sethaleng sena, haeba ho khoneha, re lokela ho "phela" le ho fumana tharollo molemong oa mokhoa o khethiloeng pele.

Mosebetsi oa rona hona joale ke ho khetholla likotsi tse amanang le ts'ireletso boemong ba marang-rang le ho li fokotsa boemong bo loketseng.

Tlhahlobo ea ts'ireletso ea marang-rang

Haeba mokhatlo oa hau o kentse tšebetsong lits'ebetso tsa ISO 27k, liphuputso tsa ts'ireletso le liphetoho tsa marang-rang li lokela ho lumellana hantle le lits'ebetso tse akaretsang tsa mokhoa ona. Empa litekanyetso tsena li ntse li sa bue ka litharollo tse itseng, eseng mabapi le tlhophiso, eseng ka moralo ... Ha ho na keletso e hlakileng, ha ho na litekanyetso tse hlalosang ka ho qaqileng hore na marang-rang a hau a lokela ho ba joang, ena ke ho rarahana le botle ba mosebetsi ona.

Ke tla totobatsa litlhahlobo tse 'maloa tsa ts'ireletso ea marang-rang:

  • tlhahlobo ea tlhophiso ea lisebelisoa (ho thatafatsa)
  • tshireletso moralo tlhatlhobo
  • phihlello tlhatlhobo
  • mokhoa oa ho hlahloba

Tlhahlobo ea tlhophiso ea lisebelisoa (ho thatafatsa)

Ho bonahala eka maemong a mangata sena ke sebaka se setle sa ho qala ho hlahloba le ho ntlafatsa ts'ireletso ea marang-rang a hau. IMHO, ena ke pontšo e ntle ea molao oa Pareto (20% ea boiteko bo hlahisa 80% ea sephetho, 'me karolo e setseng ea 80% ea boiteko e hlahisa 20% feela ea sephetho).

Taba ea bohlokoa ke hore hangata re na le likhothaletso tse tsoang ho barekisi mabapi le "mekhoa e metle" bakeng sa ts'ireletso ha re lokisa lisebelisoa. Sena se bitsoa "hardening".

Hape hangata u ka fumana lethathamo la lipotso (kapa u iketsetse) ho latela likhothaletso tsena, tse tla u thusa ho tseba hore na tlhophiso ea lisebelisoa tsa hau e lumellana hantle le "mekhoa e metle" ena, 'me, ho latela sephetho, etsa liphetoho marang-rang a hau. . Sena se tla u lumella ho fokotsa haholo likotsi tsa ts'ireletso habonolo, ntle le litšenyehelo.

Mehlala e mengata bakeng sa lits'ebetso tse ling tsa Cisco.

Cisco IOS Configuration Hardening
Cisco IOS-XR Configuration Hardening
Cisco NX-OS Configuration Hardening
Cisco Baseline Security Check List

Ho latela litokomane tsena, lethathamo la litlhoko tsa tlhophiso bakeng sa mofuta o mong le o mong oa thepa le ka etsoa. Mohlala, bakeng sa Cisco N7K VDC litlhoko tsena li kanna tsa shebahala joalo kahoo.

Ka tsela ena, lifaele tsa tlhophiso li ka etsoa bakeng sa mefuta e fapaneng ea lisebelisoa tse sebetsang moahong oa marang-rang oa hau. Ka mor'a moo, ka letsoho kapa ka ho sebelisa automation, u ka "kenya" lifaele tsena tsa tlhophiso. Mokhoa oa ho iketsetsa ts'ebetso ena e tla tšohloa ka botlalo letotong le leng la lingoloa tse mabapi le orchestration le automation.

Tlhahlobo ea moralo oa ts'ireletso

Ka tloaelo, marang-rang a khoebo a na le likarolo tse latelang ka mokhoa o mong kapa o mong:

  • DC (Litšebeletso tsa sechaba DMZ le setsi sa data sa Intranet)
  • Inthanete
  • VPN ea phihlello e hole
  • WAN moeli
  • Branch
  • Khampase (Ofisi)
  • konokono

Litlotla tse nkiloeng ho Cisco PHEPHANG mohlala, empa ha ho hlokahale, ha e le hantle, ho kopanngoa hantle le mabitso ana le ho mohlala ona. Leha ho le joalo, ke batla ho bua ka moelelo oa taba, 'me ke se ke ka iphumana ke tsielehile.

Bakeng sa e 'ngoe le e' ngoe ea likarolo tsena, litlhoko tsa ts'ireletso, likotsi 'me, ka hona, litharollo li tla fapana.

Ha re shebeng e 'ngoe le e' ngoe ea tsona ka thoko bakeng sa mathata ao u ka kopanang le 'ona ho latela pono ea moralo oa ts'ireletso. Ha e le hantle, ke pheta hape hore ho hang ha sehlooho sena se iketsa eka se phethehile, seo ha se bonolo (haeba se ke ke sa khoneha) ho se finyella sehloohong sena se tebileng le se nang le mefuta e mengata, empa se bonahatsa phihlelo ea ka ea botho.

Ha ho na tharollo e phethahetseng (bonyane ha e so fihle). Ke ho sekisetsa kamehla. Empa ke habohlokoa hore qeto ea ho sebelisa mokhoa o mong kapa o mong o etsoe ka hloko, ka kutloisiso ea melemo le mathata a eona.

Setsi sa Boitsebiso

Karolo ea bohlokoa ka ho fetisisa ho tloha sebakeng sa polokeho.
'Me, joalo ka tloaelo, ha ho na tharollo e akaretsang mona. Tsohle li itšetlehile haholo ka litlhoko tsa marang-rang.

Na firewall ea hlokahala kapa che?

Ho ka bonahala eka karabo e hlakile, empa ntho e 'ngoe le e' ngoe ha e hlake joalokaha e ka bonahala. 'Me khetho ea hau e ka susumetsoa eseng feela theko.

Mohlala 1. tieho.

Haeba latency e tlaase ke tlhokahalo ea bohlokoa pakeng tsa likarolo tse ling tsa marang-rang, e leng, mohlala, 'nete tabeng ea phapanyetsano, joale re ke ke ra khona ho sebelisa li-firewall pakeng tsa likarolo tsena. Ho thata ho fumana lithuto tsa latency ho li-firewall, empa mefuta e fokolang ea li-switch e ka fana ka latency e ka tlase ho kapa ka tatellano ea 1 mksec, kahoo ke nahana hore haeba li-microseconds li bohlokoa ho uena, li-firewall ha li molemong oa hau.

Mohlala 2. Tshebetso.

Phatlalatso ea li-switches tse ka holimo tsa L3 hangata ke taelo ea boholo bo holimo ho feta ts'ebetso ea li-firewall tse matla ka ho fetisisa. Ka hona, tabeng ea sephethephethe se phahameng haholo, u tla tlameha ho lumella sephethephethe sena hore se fete li-firewall.

Mohlala 3. Ho tšepahala

Li-firewall, haholo-holo NGFW ea morao-rao (Next-Generation FW) ke lisebelisoa tse rarahaneng. Li rarahane haholo ho feta li-switches tsa L3/L2. Ba fana ka palo e kholo ea litšebeletso le likhetho tsa tlhophiso, kahoo ha ho makatse hore ebe ho tšepahala ha bona ho tlase haholo. Haeba ts'ebetso ea ts'ebeletso e le ea bohlokoa ho marang-rang, joale u ka 'na ua tlameha ho khetha se tla lebisa ho phumaneng e molemo - ts'ireletso e nang le firewall kapa bonolo ba marang-rang a hahiloeng holim'a li-switches (kapa mefuta e sa tšoaneng ea masela) a sebelisa li-ACL tse tloaelehileng.

Tabeng ea mehlala e ka holimo, mohlomong (joalo ka tloaelo) u tla tlameha ho fumana ho sekisetsa. Sheba litharollo tse latelang:

  • haeba u etsa qeto ea ho se sebelise li-firewall ka hare ho setsi sa data, joale u lokela ho nahana ka mokhoa oa ho fokotsa phihlello ho pota-pota ka hohle kamoo ho ka khonehang. Mohlala, o ka bula likou tse hlokahalang feela ho tsoa inthaneteng (bakeng sa sephethephethe sa bareki) le phihlello ea tsamaiso ho setsi sa data feela ho tsoa ho mabotho a tlolang. Ha u le mabotho a tlolang, etsa licheke tsohle tse hlokahalang (tiisetso / tumello, antivirus, ho rema lifate, ...)
  • o ka sebelisa karohano e utloahalang ea marang-rang a setsi sa data ka likarolo, tse tšoanang le morero o hlalositsoeng ho PSEFABRIC. mohlala, p002. Tabeng ena, tsela e tlameha ho hlophisoa ka tsela eo sephethephethe se nang le tieho kapa se matla haholo se eang "ka har'a" karolo e le 'ngoe (tabeng ea p002, VRF) 'me e se ke ea kena ka har'a firewall. Sephethephethe lipakeng tsa likarolo tse fapaneng se tla tsoela pele ho kena ka har'a firewall. U ka sebelisa tsela e lutlang lipakeng tsa li-VRF ho qoba ho tsamaisa sephethephethe ka firewall
  • U ka sebelisa firewall ka mokhoa o pepeneneng feela bakeng sa li-VLAN tseo lintlha tsena (latency/performance) li seng bohlokoa. Empa o hloka ho ithuta ka hloko lithibelo tse amanang le tšebeliso ea mod ena bakeng sa morekisi e mong le e mong
  • o kanna oa batla ho nahana ka ho sebelisa meaho ea ketane ea litšebeletso. Sena se tla lumella feela sephethephethe se hlokahalang hore se fete ka har'a firewall. E shebahala e le ntle ka khopolo, empa ha ke so bone tharollo ena tlhahisong. Re ile ra leka ketane ea lits'ebeletso bakeng sa Cisco ACI/Juniper SRX/F5 LTM hoo e ka bang lilemo tse 3 tse fetileng, empa ka nako eo tharollo ena e ne e bonahala e le "feela" ho rona.

Boemo ba ts'ireletso

Hona joale o hloka ho araba potso ea hore na u batla ho sebelisa lisebelisoa life ho sefa sephethephethe. Mona ke tse ling tsa likarolo tseo hangata li leng teng ho NGFW (mohlala, mona):

  • firewalling e hlakileng (ea kamehla)
  • kopo ea firewalling
  • thibelo ea ts'okelo (antivirus, anti-spyware, le ho ba kotsing)
  • Sefa URL
  • tlhoekiso ea data (sefa litaba)
  • ho thibela lifaele (ho thibela mefuta ea lifaele)
  • tshireletso ya dos

Hape ha se tsohle tse hlakileng. Ho ka bonahala eka ha boemo ba tšireletso bo phahame, bo molemo. Empa hape u lokela ho nahana ka eona

  • Ha u sebelisa li-firewall tse ngata ka holimo, ka tlhaho li tla bitsa chelete e ngata (li-license, li-module tse ling)
  • tshebediso ya dikgatotharabololo tse ling ka haholo fokotsa firewall throughput le hape eketsa tieho, bona mohlala mona
  • joalo ka tharollo efe kapa efe e rarahaneng, ts'ebeliso ea mekhoa e rarahaneng ea ts'ireletso e ka fokotsa ho ts'epahala ha tharollo ea hau, mohlala, ha ke sebelisa firewalling ea kopo, ke kopane le ho thibela lits'ebetso tse ling tse tloaelehileng tsa ts'ebetso (dns, smb)

Joalo ka mehla, o hloka ho fumana tharollo e molemohali bakeng sa marang-rang a hau.

Ha ho khonehe ho araba potso ea hore na ke mesebetsi efe ea tšireletso e ka hlokoang. Taba ea pele, hobane ehlile e ipapisitse le data eo u e fetisang kapa u e bolokang le ho leka ho e sireletsa. Taba ea bobeli, ha e le hantle, hangata khetho ea lisebelisoa tsa ts'ireletso ke taba ea tumelo le tšepo ho morekisi. Ha u tsebe li-algorithms, ha u tsebe hore na li sebetsa hantle hakae, 'me u ke ke ua li leka ka botlalo.

Ka hona, likarolong tse mahlonoko, tharollo e ntle e ka ba ho sebelisa litlhahiso tse tsoang ho lik'hamphani tse fapaneng. Ka mohlala, o ka nolofalletsa antivirus ho firewall, empa hape sebelisa tšireletso ea antivirus (ho tloha ho moetsi e mong) sebakeng sa heno ho mabotho.

Karohano

Re bua ka karohano e utloahalang ea marang-rang a setsi sa data. Ka mohlala, ho arola li-VLAN le li-subnets le tsona ke karohano e utloahalang, empa re ke ke ra e nka ka lebaka la ho hlaka ha eona. Likarolo tse khahlisang tse nkang likarolo tse joalo ka libaka tsa ts'ireletso tsa FW, li-VRF (le li-analogue tsa tsona mabapi le barekisi ba fapaneng), lisebelisoa tse utloahalang (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Mohlala oa karohano e joalo e utloahalang le moralo o teng hona joale oa setsi sa data o fanoeng p002 ea morero oa PSEFABRIC.

Ha u se u hlalositse likarolo tse utloahalang tsa marang-rang a hau, joale u ka hlalosa hore na sephethephethe se tsamaea joang pakeng tsa likarolo tse fapaneng, tseo lisebelisoa li tla etsoa ho tsona le ka mekhoa efe.

Haeba marang-rang a hau a se na karohano e hlakileng e utloahalang 'me melao ea ho sebelisa maano a ts'ireletso bakeng sa phallo e fapaneng ea data ha e etsoe ka molao, sena se bolela hore ha u bula sena kapa phihlello eo, u tlameha ho rarolla bothata bona,' me ka monyetla o moholo u e tla e rarolla nako le nako ka tsela e fapaneng.

Hangata karohano e ipapisitse le libaka tsa ts'ireletso tsa FW feela. Ebe u lokela ho araba lipotso tse latelang:

  • u hloka libaka life tsa tšireletso
  • ke boemo bofe ba tšireletso boo u batlang ho bo sebelisa sebakeng se seng le se seng sa libaka tsena
  • na sephethephethe sa intra-zone se tla lumelloa ka ho sa feleng?
  • haeba ho se joalo, ke maano afe a ho sefa sephethephethe a tla sebelisoa ka har'a sebaka ka seng
  • hore na ho tla sebelisoa melaoana efe ea ho sefa sephethephethe bakeng sa para e 'ngoe le e 'ngoe ea libaka (mohloli/sebaka)

TCAM

Bothata bo tloaelehileng ha bo lekane TCAM (Ternary Content Addressable Memory), bakeng sa ho tsamaisa le ho fihlella. IMHO, ena ke e 'ngoe ea lintlha tsa bohlokoa ka ho fetisisa ha u khetha thepa, kahoo u lokela ho tšoara taba ena ka tekanyo e nepahetseng ea tlhokomelo.

Mohlala 1. Letlapa la ho fetisa TCAM.

a re nahaneng Palo Alto 7k firewall
Rea bona hore boholo ba tafole ea ho fetisa IPv4 * = 32K
Ho feta moo, palo ena ea litsela e tloaelehile ho li-VSYS tsohle.

Ha re nke hore ho latela moralo oa hau u nka qeto ea ho sebelisa 4 VSYS.
E 'ngoe le e 'ngoe ea li-VSYS tsena e hokahane ka BGP ho li-MPLS PE tse peli tsa leru tseo u li sebelisang e le BB. Ka hona, 4 VSYS e fapanyetsana litsela tsohle tse khethehileng 'me e na le tafole ea ho fetisa e nang le mefuta e batlang e lekana ea litsela (empa li-NH tse fapaneng). Hobane VSYS e 'ngoe le e' ngoe e na le li-session tsa 2 tsa BGP (ka litlhophiso tse tšoanang), ebe tsela e 'ngoe le e' ngoe e amoheloang ka MPLS e na le 2 NH 'me, ka hona, 2 FIB e kenyelelitsoeng ho Lethathamo la Phatlalatso. Haeba re nka hore ena ke eona feela firewall setsing sa data mme e tlameha ho tseba ka litsela tsohle, joale sena se tla bolela hore palo eohle ea litsela setsing sa rona sa data e ke ke ea feta 32K / (4 * 2) = 4K.

Hona joale, haeba re nahana hore re na le litsi tsa data tsa 2 (tse nang le moralo o tšoanang), 'me re batla ho sebelisa VLAN "e otlolohileng" pakeng tsa litsi tsa data (mohlala, bakeng sa vMotion), joale ho rarolla bothata ba ho tsamaisa, re tlameha ho sebelisa litsela tsa baeti. . Empa sena se bolela hore bakeng sa litsi tsa data tsa 2 re ke ke ra ba le batho ba fetang 4096 ba ka khonang 'me, ha e le hantle, sena se ka' na sa se ke sa lekana.

Mohlala 2. ACL TCAM.

Haeba u rerile ho sefa sephethephethe ho li-switches tsa L3 (kapa litharollo tse ling tse sebelisang li-switches tsa L3, mohlala, Cisco ACI), joale ha u khetha thepa u lokela ho ela hloko TCAM ACL.

Ha re re u batla ho laola phihlello ho li-interface tsa SVI tsa Cisco Catalyst 4500. Joale, joalo ka ha ho ka bonoa ho tsoa Sengoloa sena, ho laola sephethephethe se tsoang (hammoho le se kenang) ho li-interfaces, u ka sebelisa melapo ea 4096 TCAM feela. E leng ha u sebelisa TCAM3 e tla u fa hoo e ka bang likete tse 4000 tsa ACE (ACL lines).

Haeba u tobane le bothata ba TCAM e sa lekaneng, joale, pele ho tsohle, ho hlakile, ho hlokahala hore u nahane ka monyetla oa ho ntlafatsa. Kahoo, haeba ho na le bothata ka boholo ba Tafole ea Phatlalatso, ho hlokahala hore u nahane ka monyetla oa ho kopanya litsela. Ha ho na le bothata ka boholo ba TCAM bakeng sa phihlello, phihlello ea tlhahlobo, ho tlosa lirekoto tsa khale le tse fetang, mme mohlomong le ho ntlafatsa mokhoa oa ho bula phihlello (e tla tšohloa ka botlalo khaolong ea phihlello ea tlhahlobo).

Phaello e phahameng

Potso ke hore: na ke lokela ho sebelisa HA bakeng sa li-firewalls kapa ho kenya mabokose a mabeli a ikemetseng "ka ho lekana" 'me, haeba e' ngoe ea tsona e hlōleha, sephethephethe sa litsela ka bobeli?

Ho ka bonahala eka karabo e hlakile - sebelisa HA. Lebaka leo ka lona potso ena e ntseng e hlaha ke hore, ka bomalimabe, khopolo-taba le papatso 99 le liphesente tse 'maloa tsa phihlello ea ts'ebetso li fetoha hole haholo. HA ke ntho e rarahaneng haholo, le lisebelisoa tse fapaneng, le barekisi ba fapaneng (ho ne ho se mekhelo), re ile ra tšoara mathata le likokoana-hloko le ho emisa litšebeletso.

Haeba u sebelisa HA, u tla ba le monyetla oa ho tima li-node tsa motho ka mong, ho fetola pakeng tsa tsona ntle le ho emisa tšebeletso, e leng ntho ea bohlokoa, ka mohlala, ha u etsa lintlafatso, empa ka nako e ts'oanang u na le monyetla oa hore li-node ka bobeli li se ke tsa e-ba teng. e tla robeha ka nako e le 'ngoe, hape le hore ntlafatso e latelang e ke ke ea tsamaea hantle joalokaha morekisi a tšepisa (bothata bona bo ka qojoa haeba u na le monyetla oa ho hlahloba ntlafatso ea lisebelisoa tsa laboratori).

Haeba u sa sebelise HA, joale ho ea ka pono ea ho hloleha habeli likotsi tsa hau li tlase haholo (kaha u na le li-firewall tse 2 tse ikemetseng), empa ho tloha ka nako eo ... mananeo ha a amahanngoa, joale nako le nako ha u chencha pakeng tsa li-firewall tsena u tla lahleheloa ke sephethephethe. Ha e le hantle, u ka sebelisa firewall e se nang palo, empa joale ntlha ea ho sebelisa firewall e lahleheloa haholo.

Ka hona, haeba ka lebaka la tlhahlobo u fumane li-firewall tse jeoang ke bolutu, 'me u ntse u nahana ka ho eketsa ts'epahalo ea marang-rang a hau, joale HA, ehlile, ke e' ngoe ea tharollo e khothalletsoang, empa hape u lokela ho ela hloko mefokolo e amanang le eona. ka mokhoa ona mme, mohlomong, ka ho khetheha bakeng sa marang-rang a hau, tharollo e 'ngoe e ka ba e loketseng haholoanyane.

Tsamaiso

Ha e le hantle, HA e boetse e bua ka ho laola. Sebakeng sa ho hlophisa mabokose a 2 ka thoko le ho sebetsana le bothata ba ho boloka litlhophiso li lumellana, u li laola joalo ka ha eka u na le sesebelisoa se le seng.

Empa mohlomong u na le litsi tse ngata tsa data le li-firewall tse ngata, joale potso ena e hlaha boemong bo bocha. 'Me potso ha e mabapi le tlhophiso feela, empa hape le ka

  • litlhophiso tsa backup
  • dintlafatso
  • ntlafatso
  • tlhokomelo
  • ho rema lifate

'Me sena sohle se ka rarolloa ke litsamaiso tse bohareng tsa tsamaiso.

Kahoo, ho etsa mohlala, haeba u sebelisa li-firewall tsa Palo Alto, joale Panorama ke tharollo e joalo.

E tla ntšetsoa pele.

Source: www.habr.com

Eketsa ka tlhaloso