Sengoliloeng sena ke sa bohlano letotong la "Kamoo U ka Laolang Meralo ea Motheo ea Marang-rang." Likahare tsa lingoloa tsohle letotong le lihokelo li ka fumanoa .
Karolo ena e tla nehelanoa ka likarolo tsa Khamphase (Ofisi) le tsa phihlello ea Remote VPN.
Moralo oa marang-rang oa ofisi o ka bonahala o le bonolo.
Ehlile, re nka li-switches tsa L2 / L3 ebe re li hokahanya. Ka mor'a moo, re etsa setaele sa mantlha sa li-villans le liheke tse sa feleng, ho theha tsela e bonolo, ho hokahanya balaoli ba WiFi, libaka tsa phihlello, ho kenya le ho lokisa ASA bakeng sa phihlello e hole, re thabela hore tsohle li sebelitse. Ha e le hantle, joalo ka ha ke se ke ngotse ho e 'ngoe ea tse fetileng ea potoloho ena, hoo e batlang e le moithuti e mong le e mong ea kileng a ea (mme a ithuta) lisemestara tse peli tsa thupelo ea mehala ea puisano a ka rala le ho lokisa marang-rang a liofisi hore a "sebetse ka tsela e itseng."
Empa ha u ntse u ithuta haholoanyane, mosebetsi ona o qala ho bonahala o le bonolo. Ho 'na ka boeena, sehlooho sena, sehlooho sa moralo oa marang-rang oa ofisi, ha se bonahale se le bonolo ho hang,' me sehloohong sena ke tla leka ho hlalosa hore na ke hobane'ng.
Ka bokhutšoanyane, ho na le lintlha tse 'maloa tse lokelang ho nahanoa. Hangata lintlha tsena lia hanyetsana 'me ho hlokahala hore ho batloe tumellano e utloahalang.
Ho hloka bonnete hona ke bothata bo boholo. Kahoo, ha re bua ka ts'ireletso, re na le khutlotharo e nang le li-vertices tse tharo: ts'ireletso, boiketlo ba basebetsi, theko ea tharollo.
'Me nako le nako u tlameha ho batla ho lumellana pakeng tsa tsena tse tharo.
mehaho
E le mohlala oa meralo ea likarolo tsena tse peli, joalo ka lihloohong tse fetileng, ke khothaletsa ea mohlala: , .
Tsena ke litokomane tse seng li siiloe ke nako. Ke li hlahisa mona hobane merero ea mantlha le mokhoa oa ho atamela ha o so fetohe, empa ka nako e ts'oanang ke rata tlhahiso ho feta .
Ntle le ho u khothaletsa ho sebelisa tharollo ea Cisco, ke ntse ke nahana hore ho bohlokoa ho ithuta moralo ona ka hloko.
Sengoliloeng sena, joalo ka tloaelo, ha se etse eka se phethehile ka tsela efe kapa efe, empa ke tlatsetso ho tlhahisoleseling ena.
Qetellong ea sengoloa, re tla sekaseka moralo oa ofisi oa Cisco SAFE ho latela mehopolo e boletsoeng mona.
Melao-motheo e mengata
Moralo oa marang-rang oa ofisi o tlameha, ehlile, o khotsofatse litlhoko tse akaretsang tse boletsoeng khaolong ea "Mekhahlelo ea ho hlahloba boleng ba moralo". Ntle le theko le polokeho, tseo re ikemiselitseng ho li tšohla sehloohong sena, ho ntse ho na le lintlha tse tharo tseo re lokelang ho li ela hloko ha re rala (kapa re etsa liphetoho):
- scalability
- boiketlo ba tšebeliso (tsamaiso)
- ho fumaneha
Boholo ba seo ho neng ho buisanoa ka sona Sena ke 'nete le bakeng sa ofisi.
Empa leha ho le joalo, karolo ea ofisi e na le lintlha tsa eona, tse bohlokoa ho latela pono ea ts'ireletso. Motso oa ho khetheha ena ke hore karolo ena e bōpiloe ho fana ka litšebeletso tsa marang-rang ho basebetsi (hammoho le balekane le baeti) ba khampani, 'me, ka lebaka leo, boemong bo phahameng ka ho fetisisa ba ho nahana ka bothata re na le mesebetsi e' meli:
- sireletsa lisebelisoa tsa k'hamphani liketsong tse lonya tse ka hlahang ho basebetsi (baeti, balekane) le ho tsoa ho software eo ba e sebelisang. Sena se kenyelletsa ts'ireletso khahlanong le khokahano e sa lumelloeng ea marang-rang.
- sireletsa litsamaiso le data ya mosebedisi
'Me lena ke lehlakore le le leng feela la bothata (kapa ho fapana le hoo, vertex e le 'ngoe ea kgutlotharo). Ka lehlakoreng le leng ke boiketlo ba basebelisi le theko ea litharollo tse sebelisitsoeng.
Ha re qale ka ho sheba hore na mosebelisi o lebelletse eng ho tsoa ho marang-rang a sejoale-joale a ofisi.
Facilities
Mona ke hore na "lisebelisoa tsa marang-rang" li shebahala joang bakeng sa mosebelisi oa ofisi ka maikutlo a ka:
- Mobility
- Bokhoni ba ho sebelisa mefuta e felletseng ea lisebelisoa tse tloaelehileng le sistimi e sebetsang
- Ho fihlella habonolo lisebelisoa tsohle tse hlokahalang tsa k'hamphani
- Ho fumaneha ha lisebelisoa tsa Marang-rang, ho kenyelletsa le lits'ebeletso tse fapaneng tsa maru
- "Ts'ebetso e potlakileng" ea marang-rang
Sena sohle se sebetsa ho basebetsi le baeti (kapa balekane), mme ke mosebetsi oa baenjiniere ba k'hamphani ho khetholla phihlello ea lihlopha tse fapaneng tsa basebelisi ho latela tumello.
A re hlahlobeng e ’ngoe le e ’ngoe ea likarolo tsena ka ho qaqileng haholoanyane.
Mobility
Re bua ka monyetla oa ho sebetsa le ho sebelisa lisebelisoa tsohle tse hlokahalang tsa k'hamphani ho tloha kae kapa kae lefatšeng (ha e le hantle, moo Inthanete e fumanehang teng).
Sena se sebetsa ka botlalo ofising. Sena se loketse ha u e-na le monyetla oa ho tsoela pele ho sebetsa ho tloha kae kapa kae ofising, mohlala, ho amohela mangolo, ho buisana le lenģosa la lik'hamphani, ho ba teng bakeng sa mohala oa video, ... Kahoo, sena se u lumella, ka lehlakoreng le leng, ho rarolla mathata a mang a puisano ea "phela" (mohlala, ho kenya letsoho likopanong), 'me ka lehlakoreng le leng, e-ba inthaneteng kamehla, boloka monoana oa hau ka potlako' me ka potlako u rarolle mesebetsi e meng e potlakileng ea pele. Sena se bonolo haholo 'me se hlile se ntlafatsa boleng ba puisano.
Sena se finyelloa ka moralo o nepahetseng oa marang-rang a WiFi.
Hlokomela
Mona hangata ho hlaha potso: na ho lekane ho sebelisa WiFi feela? Na see se bolela hore o ka emisa ho sebelisa likou tsa Ethernet ofising? Haeba re bua feela ka basebelisi, eseng ka li-server, tse ntseng li utloahala ho hokahana le boema-kepe bo tloaelehileng ba Ethernet, joale ka kakaretso karabo ke: e, o ka ipehela moeli ho WiFi feela. Empa ho na le li-nuances.
Ho na le lihlopha tsa bohlokoa tsa basebelisi tse hlokang mokhoa o ikhethileng. Ehlile bana ke balaoli. Ha e le hantle, khokahano ea WiFi ha e tšepahale (mabapi le tahlehelo ea sephethephethe) ebile e lieha ho feta boema-kepe bo tloaelehileng ba Ethernet. Sena se ka ba bohlokoa ho batsamaisi. Ho phaella moo, batsamaisi ba marang-rang, ka mohlala, ba ka khona ho ba le marang-rang a bona a inehetseng a Ethernet bakeng sa li-out-of-band connections.
Ho ka 'na ha e-ba le lihlopha / mafapha a mang k'hamphaning ea hau eo lintlha tsena le tsona e leng tsa bohlokoa.
Ho na le ntlha e 'ngoe ea bohlokoa - telephony. Mohlomong ka lebaka le itseng ha u batle ho sebelisa Wireless VoIP 'me u batla ho sebelisa lifono tsa IP tse nang le khokahano e tloaelehileng ea Ethernet.
Ka kakaretso, lik'hamphani tseo ke neng ke li sebeletsa hangata li ne li na le khokahano ea WiFi le boema-kepe ba Ethernet.
Ke kopa mobility e se ke ea fella ofising feela.
Ho netefatsa bokhoni ba ho sebetsa lapeng (kapa sebaka leha e le sefe se nang le Inthanete e fumanehang), ho sebelisoa khokahano ea VPN. Ka nako e ts'oanang, ke ntho e lakatsehang hore basebetsi ba se ke ba utloa phapang pakeng tsa ho sebetsa ho tloha lapeng le mosebetsing o hōle, o nkang mokhoa o tšoanang oa ho fumana. Re tla tšohla mokhoa oa ho hlophisa sena hamorao khaolong ea "Unified centralized authentication and permit system system."
Hlokomela
Ho ka etsahala hore ebe u ke ke ua khona ho fana ka lits'ebeletso tse tšoanang ka botlalo bakeng sa mosebetsi o hole oo u nang le ona ofising. Ha re nke hore u sebelisa Cisco ASA 5520 joalo ka heke ea hau ea VPN Ho latela sesebelisoa sena se khona ho "cheka" feela 225 Mbit ea sephethephethe sa VPN. Ke hore, ha e le hantle, mabapi le bandwidth, ho hokahanya ka VPN ho fapane haholo le ho sebetsa ho tloha ofising. Hape, haeba, ka lebaka le itseng, latency, tahlehelo, jitter (mohlala, u batla ho sebelisa ofisi IP telephony) bakeng sa litšebeletso tsa marang-rang tsa hau li bohlokoa, hape u ke ke ua fumana boleng bo tšoanang le ba ha u le ofising. Ka hona, ha re bua ka ho tsamaea, re tlameha ho hlokomela mefokolo e ka bang teng.
Ho fihlella habonolo lisebelisoa tsohle tsa khampani
Mosebetsi ona o lokela ho rarolloa ka kopanelo le mafapha a mang a tekheniki.
Boemo bo loketseng ke ha mosebelisi a hloka ho netefatsa hanngoe feela, 'me ka mor'a moo a ka fumana lisebelisoa tsohle tse hlokahalang.
Ho fana ka phihlello e bonolo ntle le ho tela ts'ireletso ho ka ntlafatsa haholo tlhahiso le ho fokotsa khatello ea maikutlo har'a basebetsi-'moho le uena.
Mantsoe 1
Ho fihlella habonolo ha se feela hore na o tlameha ho kenya password ka makhetlo a makae. Haeba, ka mohlala, ho ea ka pholisi ea ts'ireletso ea hau, e le hore u hokahane ho tloha ofising ho ea setsing sa data, u tlameha ho qala ho hokahanya le heke ea VPN, 'me ka nako e ts'oanang u lahleheloa ke monyetla oa ho fumana lisebelisoa tsa ofisi, joale sena se boetse se haholo. , e sa thabiseng haholo.
Mantsoe 2
Ho na le lits'ebeletso (mohlala, ho fihlella lisebelisoa tsa marang-rang) moo hangata re nang le li-server tsa rona tse inehetseng tsa AAA 'me sena ke se tloaelehileng ha tabeng ena re tlameha ho netefatsa ka makhetlo a mangata.
Ho fumaneha ha lisebelisoa tsa Marang-rang
Marang-rang ha se boithabiso feela, empa hape ke sehlopha sa litšebeletso tse ka thusang haholo mosebetsing. Hape ho na le mabaka a kelello feela. Motho oa sejoale-joale o hokahane le batho ba bang ka Marang-rang ka likhoele tse ngata tse fumanehang, 'me, ka maikutlo a ka, ha ho letho le phoso haeba a tsoela pele ho utloa khokahano ena le ha a ntse a sebetsa.
Ho latela pono ea ho senya nako, ha ho letho le phoso haeba mosebeletsi, ka mohlala, a e-na le Skype e sebetsang 'me a qeta metsotso e 5 a buisana le moratuoa ha ho hlokahala.
Na see se bolela hore Inthanete e lokela ho lula e le teng, na see se bolela hore basebetsi ba ka khona ho fumana mehloli eohle ’me ba se ke ba e laola ka tsela leha e le efe?
Che, ha ho bolele joalo. Boemo ba ho buleha ha Marang-rang bo ka fapana bakeng sa lik'hamphani tse fapaneng - ho tloha ho koala ka ho feletseng ho fihlela ho buleha ka ho feletseng. Re tla tšohla litsela tsa ho laola sephethephethe hamorao likarolong tse mabapi le mehato ea tšireletso.
Bokhoni ba ho sebelisa mefuta eohle ea lisebelisoa tse tloaelehileng
Ho bonolo ha, ka mohlala, u e-na le monyetla oa ho tsoela pele ho sebelisa mekhoa eohle ea puisano eo u e tloaetseng mosebetsing. Ha ho na bothata ba ho phethahatsa sena ka botekgeniki. Bakeng sa sena o hloka WiFi le wilan ea moeti.
Ho molemo hape haeba o na le monyetla oa ho sebelisa sistimi eo u e tloaetseng. Empa, ponong ea ka, hangata sena se lumelloa feela ho batsamaisi, batsamaisi le bahlahisi.
Mohlala:
Ha e le hantle, u ka latela tsela ea lithibelo, ho thibela ho fihlella hole, ho thibela ho hokahanya le lisebelisoa tsa thelefono, ho fokotsa ntho e 'ngoe le e' ngoe ho likhokahano tsa Ethernet tse tsitsitseng, ho fokotsa ho kena Inthaneteng, ho qobella liselefouno le lisebelisoa sebakeng sa ho hlahloba ... le tsela ena. ha e le hantle e lateloa ke mekhatlo e meng e nang le litlhoko tse eketsehileng tsa ts'ireletso, 'me mohlomong maemong a mang sena se ka lokafatsoa, empa ... u tlameha ho lumela hore sena se shebahala eka ke boiteko ba ho emisa tsoelo-pele mokhatlong o le mong. Ha e le hantle, ke rata ho kopanya menyetla eo theknoloji ea morao-rao e fanang ka eona ka boemo bo lekaneng ba tšireletso.
"Ts'ebetso e potlakileng" ea marang-rang
Lebelo la phetiso ea data ka botekgeniki le na le lintlha tse ngata. 'Me lebelo la boema-kepe ba hau hangata ha se lona la bohlokoahali. Ts'ebetso e liehang ea kopo ha se kamehla e amanang le mathata a marang-rang, empa hajoale re thahasella karolo ea marang-rang feela. Bothata bo atileng haholo ba "slowdown" ea marang-rang ea lehae bo amana le tahlehelo ea pakete. Hangata sena se etsahala ha ho na le bothata ba botlolo kapa mathata a L1 (OSI). Hangata, ka meralo e meng (mohlala, ha li-subnet tsa hau li na le firewall joalo ka heke ea kamehla, kahoo sephethephethe kaofela se feta ho eona), ts'ebetso ea hardware e kanna ea haella.
Ka hona, ha u khetha lisebelisoa le meaho, o hloka ho hokahanya lebelo la likou tsa ho qetela, likutu le ts'ebetso ea lisebelisoa.
Mohlala:
Ha re nke hore u sebelisa li-switches tse nang le likou tse 1 tsa gigabit joalo ka li-switches tsa lera la phihlello. Li hokahane ho e mong ka Etherchannel 2 x 10 gigabits. E le heke e sa feleng, u sebelisa firewall e nang le likou tsa gigabit, ho hokahanya le marang-rang a ofisi ea L2 eo u sebelisang likou tse 2 tsa gigabit tse kopantsoeng le Etherchannel.
Meaho ena e bonolo haholo ho latela pono ea ts'ebetso, hobane ... Sephethephethe sohle se feta ka har'a firewall, 'me u ka khona ho laola maano a phihlello ka boiketlo,' me u sebelise li-algorithms tse rarahaneng ho laola sephethephethe le ho thibela litlhaselo tse ka bang teng (sheba ka tlase), empa ho latela pono ea tšebetso le ts'ebetso, moralo ona, ehlile, o na le mathata a ka bang teng. Kahoo, ka mohlala, mabotho a 2 a khoasolla data (ka lebelo la koung ea 1 gigabit) a ka kenya ka ho feletseng khokahanyo ea 2 gigabit ho firewall, 'me kahoo a lebisa ho senyeha ha litšebeletso bakeng sa karolo eohle ea ofisi.
Re shebile vertex e le ‘ngoe ea triangle, joale ha re shebeng hore na re ka etsa bonnete ba tšireletso joang.
Lipheko
Kahoo, ha e le hantle, hangata takatso ea rona (kapa ho e-na le hoo, takatso ea batsamaisi ba rona) ke ho finyella ntho e ke keng ea khoneha, e leng, ho fana ka boiketlo bo phahameng ka ho fetisisa ka tšireletso le litšenyehelo tse fokolang.
A re shebeng hore na re na le mekhoa efe ea ho fana ka tšireletso.
Bakeng sa ofisi, ke tla totobatsa tse latelang:
- zero trust approach to design
- boemo bo phahameng ba tshireletso
- ponahalo ea marang-rang
- sistimi e kopaneng ea netefatso le tumello
- ho hlahloba moamoheli
Ka mor'a moo, re tla bua ka ho qaqileng haholoanyane ka e 'ngoe le e' ngoe ea likarolo tsena.
Ts'epo ea Zero
Lefatše la IT le fetoha ka potlako haholo. Lilemong tse 10 tse fetileng, ho hlaha ha mahlale a macha le lihlahisoa ho lebisitse tokisong e kholo ea mehopolo ea ts'ireletso. Lilemong tse leshome tse fetileng, ho ea ka pono ea ts'ireletso, re ile ra arola marang-rang ka libaka tsa tšepo, dmz le tse sa tšepahaleng, 'me ra sebelisa seo ho thoeng ke "tšireletseho ea pherimitha", moo ho neng ho e-na le mela ea 2 ea tšireletso: ho se tšepane -> dmz le dmz -> tshepo. Hape, tšireletso hangata e ne e lekanyelitsoe ho manane a phihlello a thehiloeng ho lihlooho tsa L3/L4 (OSI) (IP, likou tsa TCP/UDP, lifolakha tsa TCP). Ntho e 'ngoe le e' ngoe e amanang le maemo a holimo, ho kenyelletsa le L7, e ne e siiloe ho OS le lihlahisoa tsa ts'ireletso tse kentsoeng ho mabotho a ho qetela.
Hona joale boemo bo fetohile haholo. Khopolo ea kajeno e tsoa tabeng ea hore ha ho sa khonahala ho nahana ka litsamaiso tsa ka hare, ke hore, tse ka hare ho pota-potileng, e le tse tšeptjoang, 'me khopolo ea potoloho ka boeona e se e le lerootho.
Ntle le khokahano ea inthanete re boetse re na le
- hole le basebelisi ba VPN
- lisebelisoa tse fapaneng tsa botho, tse tlisang lilaptop, tse hokahaneng ka WiFi ea ofisi
- liofisi tse ling (makala).
- kopanyo le lisebelisoa tsa maru
Mokhoa oa Zero Trust o shebahala joang ts'ebetsong?
Ha e le hantle, sephethephethe se hlokahalang feela se lokela ho lumelloa 'me, haeba re bua ka se loketseng, joale taolo ha ea lokela ho ba feela boemong ba L3 / L4, empa boemong ba kopo.
Haeba, ka mohlala, u na le bokhoni ba ho fetisa sephethephethe sohle ka firewall, joale u ka leka ho atamela haufi le se loketseng. Empa mokhoa ona o ka fokotsa boholo ba marang-rang a marang-rang a hau, 'me ntle le moo, ho sefa ka kopo ha ho sebetse hantle kamehla.
Ha u laola sephethephethe ho router kapa L3 switch (u sebelisa li-ACL tse tloaelehileng), u kopana le mathata a mang:
- Sena ke ho sefa L3/L4 feela. Ha ho letho le thibelang mohlaseli ho sebelisa likou tse lumelletsoeng (mohlala, TCP 80) bakeng sa kopo ea bona (eseng http)
- tsamaiso e rarahaneng ea ACL (e thata ho hlalosa ACLs)
- Sena ha se firewall e felletseng, ho bolelang hore o hloka ho lumella sephethe-phethe sa morao ka mokhoa o hlakileng
- ka li-switches hangata u na le moeli o tiileng ka boholo ba TCAM, e ka bang bothata ka potlako haeba u nka mokhoa oa "ho lumella feela seo u se hlokang".
Hlokomela
Ha re bua ka sephethe-phethe sa morao, re tlameha ho hopola hore re na le monyetla o latelang (Cisco)
lumella tcp efe kapa efe e thehiloeng
Empa o hloka ho utloisisa hore mohala ona o lekana le mela e 'meli:
lumella tcp efe kapa efe ack
lumella tcp leha e le efe peleHo bolelang hore le haeba ho ne ho se na karolo ea pele ea TCP e nang le folakha ea SYN (ke hore, seboka sa TCP ha sea ka sa qala ho theha), ACL ena e tla lumella pakete e nang le folakha ea ACK, eo mohlaseli a ka e sebelisang ho fetisetsa data.
Ka mantsoe a mang, mohala ona ha o fetole router ea hau kapa switch ea L3 hore e be firewall ea statefull.
Boemo bo phahameng ba tšireletso
В Karolong ea litsi tsa data, re ile ra nahana ka mekhoa e latelang ea ts'ireletso.
- firewalling e hlakileng (ea kamehla)
- tshireletso ya ddos/dos
- kopo ea firewalling
- thibelo ea ts'okelo (antivirus, anti-spyware, le ho ba kotsing)
- Sefa URL
- tlhoekiso ea data (sefa litaba)
- ho thibela lifaele (ho thibela mefuta ea lifaele)
Tabeng ea ofisi, boemo bo tšoana, empa lintho tse tlang pele li fapane hanyane. Ho fumaneha ha liofisi (ho ba teng) hangata ha ho bohlokoa joalo ka setsing sa data, athe monyetla oa ho ba le sephethephethe se kotsi sa "ka hare" ke litaelo tsa boholo bo holimo.
Ka hona, mekhoa e latelang ea tšireletso bakeng sa karolo ena e ba ea bohlokoa:
- kopo ea firewalling
- thibelo ea ts'okelo (anti-virus, anti-spyware, le ts'oaetso)
- Sefa URL
- tlhoekiso ea data (sefa litaba)
- ho thibela lifaele (ho thibela mefuta ea lifaele)
Leha mekhoa ena eohle ea ts'ireletso, ntle le ts'ebeliso ea li-firewalling, ka tloaelo e 'nile ea rarolloa le ho tsoela pele ho rarolloa qetellong ea mabotho (mohlala, ka ho kenya mananeo a antivirus) le ho sebelisa li-proxies, li-NGFW tsa morao-rao li fana ka litšebeletso tsena.
Barekisi ba lisebelisoa tsa ts'ireletso ba ikitlaelletsa ho theha tšireletso e felletseng, ka hona hammoho le ts'ireletso ea lehae, ba fana ka mahlale a fapaneng a maru le software ea bareki bakeng sa mabotho (ts'ireletso ea ntlha ea ho qetela / EPP). Kahoo, ho etsa mohlala, ho tloha Rea bona hore Palo Alto le Cisco ba na le li-EPP tsa bona (PA: Traps, Cisco: AMP), empa ba hole le baetapele.
Ho nolofaletsa litšireletso tsena (hangata ka ho reka mangolo a tumello) ho firewall ea hau ha ho hlokahale (o ka tsamaea ka tsela ea setso), empa ho fana ka melemo e meng:
- tabeng ena, ho na le ntlha e le 'ngoe ea tšebeliso ea mekhoa ea tšireletso, e ntlafatsang ponahalo (sheba sehlooho se latelang).
- Haeba ho na le sesebelisoa se sa sirelelitsoeng marang-rang a hau, joale se ntse se oela tlas'a "sekhele" sa tšireletso ea firewall.
- Ka ho sebelisa tšireletso ea li-firewall hammoho le ts'ireletso ea moamoheli, re eketsa menyetla ea ho lemoha sephethephethe se kotsi. Mohlala, ho sebelisa thibelo ea litšokelo ho baamoheli ba lehae le "firewall" ho eketsa monyetla oa ho fumanoa (hafeela, ehlile, litharollo tsena li thehiloe ho lihlahisoa tse fapaneng tsa software)
Hlokomela
Haeba, ka mohlala, u sebelisa Kaspersky e le antivirus ka bobeli ho firewall le ho mabotho a ho qetela, joale sena, ha e le hantle, se ke ke sa eketsa menyetla ea hau ea ho thibela tšoaetso ea kokoana-hloko marang-rang a hau.
Ponahalo ea marang-rang
e bonolo - "bona" se etsahalang marang-rang a hau, ka nako ea nnete le data ea nalane.
Ke ne ke tla arola "pono" ena ka lihlopha tse peli:
Sehlopha sa pele: seo tsamaiso ea hau ea tlhokomelo e atisang ho u fa sona.
- ho kenya thepa
- ho kenya likanale
- tshebediso ya memori
- tšebeliso ea disk
- ho fetola tafole ea ho tsamaisa
- boemo ba sehokelo
- ho fumaneha ha lisebelisoa (kapa mabotho)
- ...
Sehlopha sa bobeli: tlhahisoleseding e amanang le polokeho.
- mefuta e fapaneng ea lipalo (mohlala, ka ts'ebeliso, ka sephethephethe sa URL, ke mefuta efe ea data e jarollotsoeng, lintlha tsa mosebelisi)
- se neng se thibetsoe ke maano a tšireletso le ka lebaka lefe, e leng
- kopo e thibetsoeng
- e thibetsoe ho latela ip/protocol/port/flags/zones
- thibelo ea tšoso
- ho sefa url
- tlhoekiso ya data
- ho thibela lifaele
- ...
- lipalo-palo mabapi le litlhaselo tsa DOS/DDOS
- liteko tse hlōlehileng tsa boitsebiso le tumello
- lipalo-palo bakeng sa liketsahalo tsohle tse ka holimo tsa tlōlo ea molao ea tšireletso
- ...
Khaolong ena ea tšireletso, re thahasella karolo ea bobeli.
Li-firewall tse ling tsa morao-rao (ho tloha phihlelo ea ka ea Palo Alto) li fana ka boemo bo botle ba ponahalo. Empa, ha e le hantle, sephethephethe seo u se thahasellang se tlameha ho feta ka har'a firewall ena (e leng moo u nang le bokhoni ba ho thibela sephethephethe) kapa u behile seipone ho firewall (e sebelisoang feela bakeng sa ho hlahloba le ho hlahloba), 'me u tlameha ho ba le lilaesense ho nolofalletsa bohle. ditshebeletso tsena.
Ha e le hantle, ho na le mokhoa o mong, kapa mokhoa oa setso, mohlala,
- Lipalopalo tsa Session li ka bokelloa ka netflow ebe li sebelisoa lisebelisoa tse khethehileng bakeng sa tlhahlobo ea tlhaiso-leseling le pono ea data.
- thibelo ea ts'okelo - mananeo a khethehileng (anti-virus, anti-spyware, firewall) ho mabotho a ho qetela
- Ho sefa ha URL, ho sefa data, ho thibela lifaele - ho proxy
- hape hoa khoneha ho sekaseka tcpdump ho sebelisa mohlala.
U ka kopanya mekhoa ena e 'meli, u tlatsana le likarolo tse sieo kapa ua li kopitsa ho eketsa monyetla oa ho lemoha tlhaselo.
U lokela ho khetha mokhoa ofe?
Ho itšetlehile haholo ka litšoaneleho le likhetho tsa sehlopha sa hau.
Ka bobeli mono le ho na le melemo le mathata.
Sistimi e kopaneng ea netefatso le tumello e kopaneng
Ha e entsoe hantle, motsamao oo re o tšohlileng sehloohong sena o nka hore o na le phihlello e tšoanang ho sa tsotellehe hore na u sebetsa ho tloha ofising kapa lapeng, ho tloha boema-fofane, ho tloha lebenkeleng la kofi kapa kae kapa kae (ka mefokolo eo re e tšohlileng ka holimo). Ho ka bonahala eka, bothata ke bofe?
Ho utloisisa hamolemo ho rarahana ha mosebetsi ona, a re shebeng moralo o tloaelehileng.
Mohlala:
- U arotse basebetsi bohle ka lihlopha. U nkile qeto ea ho fana ka phihlello ka lihlopha
- Ka hare ho ofisi, o laola ho kena ho firewall ea ofisi
- U laola sephethephethe ho tloha ofising ho ea setsing sa data ho firewall ea data center
- U sebelisa Cisco ASA joalo ka heke ea VPN le ho laola sephethephethe se kenang marang-rang ho tsoa ho bareki ba hole, u sebelisa li-ACL tsa lehae (ho ASA)
Joale, ha re re u kopuoa ho eketsa phihlello ho mosebeletsi ea itseng. Tabeng ena, o kopuoa ho eketsa phihlello ho eena feela mme ha ho motho e mong ho tsoa sehlopheng sa hae.
Bakeng sa sena re tlameha ho theha sehlopha se arohaneng bakeng sa mosebeletsi enoa, ke hore
- theha letamo le arohaneng la IP ho ASA bakeng sa mosebeletsi enoa
- eketsa ACL e ncha ho ASA le ho e tlama ho moreki eo ea hole
- theha maano a macha a ts'ireletso mabapi le li-firewall tsa ofisi le setsi sa data
Ho molemo haeba ketsahalo ena e sa tloaeleha. Empa ts'ebetsong ea ka ho ne ho e-na le boemo ha basebetsi ba kenya letsoho mererong e fapaneng, 'me sehlopha sena sa merero bakeng sa ba bang ba bona se fetohile hangata,' me e ne e se batho ba 1-2, empa ba bangata. Ke ’nete hore ho ne ho hlokahala hore ho fetoloe ntho e ’ngoe mona.
Sena se ile sa rarolloa ka tsela e latelang.
Re ile ra etsa qeto ea hore LDAP e tla ba mohloli o le mong feela oa 'nete o rerang hore na basebetsi bohle ba fihlellehe. Re thehile mefuta eohle ea lihlopha tse hlalosang lihlopha tsa phihlello, 'me ra abela mosebelisi e mong le e mong sehlopheng se le seng kapa ho feta.
Kahoo, ka mohlala, ha re re ho na le lihlopha
- moeti (ho kena inthaneteng)
- phihlello e tloaelehileng (ho fihlella lisebelisoa tse arolelanoang: mangolo, motheo oa tsebo, ...)
- boikarabello
- projeke 1
- projeke 2
- molaoli oa motheo oa data
- motsamaisi oa linux
- ...
'Me haeba e mong oa basebetsi a ne a ameha morerong oa 1 le oa 2,' me a hloka phihlelo e hlokahalang ea ho sebetsa mererong ena, joale mosebeletsi enoa o abetsoe lihlopha tse latelang:
- moeti
- phihlello e tlwaelehileng
- projeke 1
- projeke 2
Joale re ka etsa joang hore tlhahisoleseling ee e fihle ho lisebelisoa tsa marang-rang?
Cisco ASA Dynamic Access Policy (DAP) (bona ) tharollo e nepahetse bakeng sa mosebetsi ona.
Ka bokhutšoane mabapi le ts'ebetsong ea rona, nakong ea ts'ebetso ea ho khetholla / tumello, ASA e fumana ho LDAP sehlopha sa lihlopha tse lumellanang le mosebedisi ea fanoeng 'me e "bokella" ho tsoa ho ACLs tse' maloa tsa sebaka seo (e 'ngoe le e' ngoe ea tsona e lumellana le sehlopha) ACL e matla e nang le phihlello e hlokahalang. , e lumellanang ka ho feletseng le litakatso tsa rōna.
Empa sena ke feela bakeng sa likhokahano tsa VPN. Ho etsa hore boemo bo ts'oane ho basebetsi ka bobeli ba hokahaneng ka VPN le ba ofising, ho ile ha nkuoa mohato o latelang.
Ha ba hokela ho tsoa ofising, basebelisi ba sebelisang protocol ea 802.1x ba ile ba qetella e le LAN ea moeti (bakeng sa baeti) kapa LAN e arolelanoang (bakeng sa basebetsi ba k'hamphani). Ho feta moo, ho fumana phihlello e khethehileng (mohlala, mererong setsing sa data), basebetsi ba ne ba tlameha ho hokela ka VPN.
Ho hokahanya ho tsoa ofising le lapeng, lihlopha tse fapaneng tsa lithanele li ile tsa sebelisoa ho ASA. Sena sea hlokahala e le hore ho ba hokahanyang ho tsoa ofising, sephethephethe ho ea ho lisebelisoa tse arolelanoang (tse sebelisoang ke basebetsi bohle, joalo ka poso, li-server, tsamaiso ea litekete, dns, ...) ha li tsamaee ka ASA, empa ka marang-rang a sebaka seo. . Kahoo, ha rea ka ra laela ASA ka sephethephethe se sa hlokahaleng, ho kenyelletsa le sephethephethe se phahameng.
Kahoo, bothata bo ile ba rarolloa.
Re fumane
- sete e tšoanang ea phihlello bakeng sa likhokahano ka bobeli tse tsoang ofising le likhokahano tse hole
- ho ba sieo ha phokotso ea litšebeletso ha u sebetsa ho tsoa ofising e amanang le phetiso ea sephethephethe se matla haholo ka ASA
Ke melemo efe e meng ea mokhoa ona?
Tsamaisong ea phihlello. Lisebelisoa li ka fetoloa habonolo sebakeng se le seng.
Ka mohlala, haeba mosebeletsi a tloha k'hamphaning, joale u mo tlosa feela ho LDAP, 'me o lahleheloa ke phihlelo eohle.
Ho hlahloba moamoheli
Ka monyetla oa khokahano e hole, re ipeha kotsing ea ho lumella mosebeletsi oa k'hamphani feela ho kena marang-rang, empa le software eohle e mpe e ka bang teng khomphuteng ea hae (mohlala, lapeng), mme ho feta moo, ka software ena re e kanna ea fana ka phihlello ho marang-rang a rona ho mohlaseli ea sebelisang moamoheli enoa e le moemeli.
Hoa utloahala hore moamoheli ea hokahantsoeng a le hole a sebelise litlhoko tse tšoanang tsa ts'ireletso joalo ka moamoheli ea ka ofising.
Sena se boetse se nka mofuta o "nepahetseng" oa OS, anti-virus, anti-spyware, le software ea firewall le liapdeite. Ka tloaelo, bokhoni bona bo teng hekeng ea VPN (bakeng sa ASA bona, mohlala, ).
Hape ke bohlale ho sebelisa tlhahlobo e tšoanang ea sephethephethe le mekhoa ea ho thibela (sheba "Boemo bo phahameng ba tšireletso") hore leano la hau la tšireletso le sebetsa ho sephethephethe sa ofisi.
Hoa utloahala ho nahana hore marang-rang a ofisi ea hau ha e sa lekanyetsoa mohahong oa liofisi le ba amohelang ka hare ho eona.
Mohlala:
Mokhoa o motle ke ho fa mohiruoa e mong le e mong ea hlokang phihlello ea hole ka laptop e ntle, e bonolo mme a hloka hore ba sebetse, ofising le lapeng, ho tsoa ho eona feela.
Ha e ntlafatse tšireletseho ea marang-rang a hau feela, empa e boetse e loketse 'me hangata e nkoa e le molemo ke basebetsi (haeba e le laptop e ntle, e bonolo ho e sebelisa).
Mabapi le boikutlo ba ho lekana le ho leka-lekana
Ha e le hantle, ena ke moqoqo o mabapi le vertex ea boraro ea triangolo ea rona - ka theko.
Ha re shebeng mohlala o inahaneloang.
Mohlala:
U na le ofisi ea batho ba 200. U entse qeto ea ho etsa hore e be e loketseng le e sireletsehileng kamoo ho ka khonehang.
Ka hona, u nkile qeto ea ho fetisa sephethephethe kaofela ka har'a firewall, kahoo bakeng sa li-subnets tsohle tsa ofisi, firewall ke eona tsela ea kamehla. Ntle le software ea ts'ireletso e kentsoeng sebakeng se seng le se seng sa moamoheli (anti-virus, anti-spyware, le software ea firewall), hape o nkile qeto ea ho sebelisa mekhoa eohle ea ts'ireletso ho firewall.
Ho netefatsa lebelo le phahameng la khokahanyo (tsohle molemong oa boiketlo), o khethile li-switches tse nang le likou tse 10 tsa phihlello ea Gigabit joalo ka li-switches, le li-firewall tse sebetsang hantle tsa NGFW joalo ka li-firewall, mohlala, letoto la Palo Alto 7K (le likou tse 40 tsa Gigabit), ka tlhaho li na le lilaesense tsohle. e kenyelelitsoe, 'me, ka tlhaho, para ea Boteng bo Phahameng.
Hape, ehlile, ho sebetsa ka mohala ona oa lisebelisoa re hloka bonyane lienjineri tse 'maloa tsa ts'ireletso tse tšoanelehang haholo.
Ka mor'a moo, u nkile qeto ea ho fa mosebeletsi e mong le e mong laptop e ntle.
Kakaretso, hoo e ka bang liranta tse limilione tse 10 bakeng sa ts'ebetsong, lidolara tse makholo a likete (ke nahana hore ke haufi le milione) bakeng sa tšehetso ea selemo le meputso ea baenjiniere.
Ofisi, batho ba 200 ...
U phutholohile? Ke nahana hore ho joalo.U tla le tlhahiso ena ho batsamaisi ba hau ...
Mohlomong ho na le lik'hamphani tse ngata lefatšeng tseo sena e leng tharollo e amohelehang le e nepahetseng. Haeba u mosebeletsi oa k'hamphani ena, kea leboha, empa maemong a mangata, ke kholisehile hore tsebo ea hau e ke ke ea ananeloa ke batsamaisi.
Na mohlala ona o feteletsoe? Khaolo e latelang e tla araba potso ena.
Haeba marang-rang a hau u sa bone leha e le efe ea tse ka holimo, joale sena ke se tloaelehileng.
Bakeng sa nyeoe e 'ngoe le e' ngoe e khethehileng, u hloka ho fumana tekano ea hau e utloahalang pakeng tsa boiketlo, theko le polokeho. Hangata ha u hloke le NGFW ofising ea hau, 'me tšireletso ea L7 ho firewall ha e hlokehe. Ho lekane ho fana ka boemo bo botle ba ponahalo le litlhokomeliso, 'me sena se ka etsoa ho sebelisa lihlahisoa tse bulehileng, mohlala. E, tsela eo u itšoarang ka eona tlhaselong e ke ke ea e-ba hang-hang, empa ntho e ka sehloohong ke hore u tla e bona, 'me ka mekhoa e nepahetseng e teng lefapheng la hau, u tla khona ho e fokotsa ka potlako.
'Me e re ke u hopotse hore, ho ea ka khopolo ea letoto lena la lihlooho, ha u rale marang-rang, u leka feela ho ntlafatsa seo u nang le sona.
Tlhahlobo e bolokehileng ea meralo ea liofisi
Ela hloko sekwere sena se sefubelu seo ka sona ke abetseng sebaka setšoantšong ho tloha tseo ke ratang ho bua ka tsona mona.
Ena ke e 'ngoe ea libaka tsa bohlokoa tsa meralo le e' ngoe ea lipelaelo tsa bohlokoahali.
Hlokomela
Ha ke so ka ke theha kapa ho sebetsa le FirePower (ho tloha ho Cisco's firewall line - feela ASA), kahoo ke tla e tšoara joaloka firewall efe kapa efe, joaloka Juniper SRX kapa Palo Alto, ho nka hore e na le bokhoni bo tšoanang.
Har'a meralo e tloaelehileng, ke bona likhetho tse 4 feela tse ka khonehang tsa ho sebelisa firewall ka khokahano ena:
- tsela ea kamehla ea subnet e 'ngoe le e' ngoe ke switch, ha firewall e le ka mokhoa o hlakileng (ke hore, sephethephethe sohle se feta ho eona, empa ha se thehe L3 hop)
- tsela ea kamehla ea subnet e 'ngoe le e' ngoe ke li-firewall sub-interfaces (kapa li-interfaces tsa SVI), sesebelisoa se bapala karolo ea L2.
- li-VRF tse fapaneng li sebelisoa ka switjha, 'me sephethephethe pakeng tsa VRF se feta firewall, sephethephethe ka har'a VRF e le' ngoe se laoloa ke ACL ho switjha.
- sephethephethe sohle se bonoa ho firewall bakeng sa ho hlahlojoa le ho hlahlojoa; sephethephethe ha se fete ho eona
Mantsoe 1
Likopano tsa likhetho tsena lia khoneha, empa bakeng sa ho nolofatsa re ke ke ra li nahana.
Note2
Hape ho na le monyetla oa ho sebelisa PBR (mehaho ea ketane ea litšebeletso), empa hajoale sena, leha e le tharollo e ntle ka maikutlo a ka, ke ntho e makatsang, ka hona ha ke e nahane mona.
Ho latela tlhaloso ea phallo tokomaneng eo, rea bona hore sephethephethe se ntse se feta ka har'a firewall, ke hore, ho latela moralo oa Cisco, khetho ea bone e felisoa.
Ha re shebeng likhetho tse peli tsa pele pele.
Ka likhetho tsena, sephethephethe sohle se feta ka har'a firewall.
Jwale ha re shebeng , sheba 'me rea bona hore haeba re batla hore kakaretso ea bandwidth bakeng sa ofisi ea rona e be bonyane ho pota 10 - 20 gigabits, joale re tlameha ho reka mofuta oa 4K.
Hlokomela
Ha ke bua ka kakaretso ea bandwidth, ke bolela sephethephethe pakeng tsa subnets (mme eseng ka hare ho vilana e le 'ngoe).
Ho tloha ho GPL re bona hore bakeng sa HA Bundle e nang le Tšireletso ea Tšokelo, theko e itšetlehileng ka mohlala (4110 - 4150) e fapana ho tloha ~ 0,5 - 2,5 liranta tse limilione.
Ke hore, moralo oa rona o qala ho tšoana le mohlala o fetileng.
Na see se bolela hore moralo ona o fosahetse?
Che, hoo ha ho bolele joalo. Cisco e u fa tšireletso e molemo ka ho fetisisa ho latela mohala oa sehlahisoa oo e nang le oona. Empa seo ha se bolele hore ke ntho eo u lokelang ho e etsa ho uena.
Ha e le hantle, ena ke potso e tloaelehileng e hlahang ha ho etsoa ofisi kapa setsi sa data, 'me se bolela feela hore ho hlokahala hore ho batloe ho sekisetsa.
Ka mohlala, u se ke ua lumella sephethephethe sohle hore se kene ka har'a firewall, moo khetho ea 3 e bonahalang e le ntle ho 'na, kapa (sheba karolo e fetileng) mohlomong ha u hloke Tšireletso ea Tšokelo kapa ha u hloke firewall ho hang ho seo. karolo ea marang-rang, 'me u hloka ho ipehela meeli ea ho beha leihlo feela u sebelisa litharollo tse lefelloang (tse sa turang) kapa tse bulehileng, kapa u hloka firewall, empa ho tsoa ho morekisi ea fapaneng.
Hangata ho na le ho se kholisehe hona kamehla 'me ha ho na karabo e hlakileng ea hore na ke qeto efe e molemohali ho uena.
Hona ke ho rarahana le botle ba mosebetsi ona.
Source: www.habr.com