புரோஹோஸ்டர் > Блог > நிர்வாகம் > உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது. அத்தியாயம் மூன்று. பிணைய பாதுகாப்பு. பகுதி மூன்று

உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது. அத்தியாயம் மூன்று. பிணைய பாதுகாப்பு. பகுதி மூன்று

இந்தக் கட்டுரை "உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது" என்ற தொடரின் ஐந்தாவது கட்டுரையாகும். தொடரில் உள்ள அனைத்து கட்டுரைகளின் உள்ளடக்கங்கள் மற்றும் இணைப்புகளைக் காணலாம் இங்கே.

இந்த பகுதி வளாகம் (அலுவலகம்) மற்றும் தொலைநிலை அணுகல் VPN பிரிவுகளுக்கு ஒதுக்கப்படும்.

உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது. அத்தியாயம் மூன்று. பிணைய பாதுகாப்பு. பகுதி மூன்று

அலுவலக நெட்வொர்க் வடிவமைப்பு எளிதாக தோன்றலாம்.

உண்மையில், நாங்கள் L2/L3 சுவிட்சுகளை எடுத்து அவற்றை ஒன்றோடொன்று இணைக்கிறோம். அடுத்து, வில்லன்கள் மற்றும் இயல்புநிலை நுழைவாயில்களின் அடிப்படை அமைப்பை நாங்கள் மேற்கொள்கிறோம், எளிய ரூட்டிங் அமைக்கிறோம், வைஃபை கன்ட்ரோலர்களை இணைக்கிறோம், அணுகல் புள்ளிகளை இணைக்கிறோம், தொலைநிலை அணுகலுக்காக ASA ஐ நிறுவி உள்ளமைக்கிறோம், எல்லாம் வேலை செய்ததில் நாங்கள் மகிழ்ச்சியடைகிறோம். அடிப்படையில், நான் ஏற்கனவே முந்தைய ஒன்றில் எழுதியது போல கட்டுரைகள் இந்த சுழற்சியில், டெலிகாம் பாடத்தின் இரண்டு செமஸ்டர்களில் கலந்து கொண்ட (மற்றும் கற்றுக்கொண்ட) ஏறக்குறைய ஒவ்வொரு மாணவரும் அலுவலக நெட்வொர்க்கை வடிவமைத்து கட்டமைக்க முடியும், இதனால் அது "எப்படியாவது வேலை செய்யும்."

ஆனால் நீங்கள் எவ்வளவு அதிகமாகக் கற்றுக்கொள்கிறீர்களோ, அவ்வளவு எளிமையாக இந்தப் பணி தோன்றத் தொடங்குகிறது. தனிப்பட்ட முறையில் என்னைப் பொறுத்தவரை, இந்த தலைப்பு, அலுவலக நெட்வொர்க் வடிவமைப்பின் தலைப்பு, எளிமையானதாகத் தெரியவில்லை, இந்த கட்டுரையில் நான் ஏன் விளக்க முயற்சிப்பேன்.

சுருக்கமாக, கருத்தில் கொள்ள வேண்டிய சில காரணிகள் உள்ளன. பெரும்பாலும் இந்த காரணிகள் ஒன்றுக்கொன்று முரண்படுகின்றன மற்றும் ஒரு நியாயமான சமரசம் தேடப்பட வேண்டும்.
இந்த நிச்சயமற்ற தன்மைதான் முக்கிய சிரமம். எனவே, பாதுகாப்பைப் பற்றி பேசுகையில், எங்களிடம் மூன்று முனைகளுடன் ஒரு முக்கோணம் உள்ளது: பாதுகாப்பு, ஊழியர்களுக்கான வசதி, தீர்வு விலை.
மேலும் ஒவ்வொரு முறையும் இந்த மூன்றுக்கும் இடையே சமரசம் செய்து கொள்ள வேண்டும்.

கட்டிடக்கலை

இந்த இரண்டு பிரிவுகளுக்கான கட்டிடக்கலைக்கு உதாரணமாக, முந்தைய கட்டுரைகளைப் போலவே, நான் பரிந்துரைக்கிறேன் சிஸ்கோ பாதுகாப்பானது மாதிரி: நிறுவன வளாகம், எண்டர்பிரைஸ் இன்டர்நெட் எட்ஜ்.

இவை ஓரளவு காலாவதியான ஆவணங்கள். அடிப்படைத் திட்டங்களும் அணுகுமுறையும் மாறாததால் அவற்றை இங்கு முன்வைக்கிறேன், ஆனால் அதே சமயம் விளக்கக்காட்சியை விட எனக்கு மிகவும் பிடிக்கும். புதிய ஆவணங்கள்.

சிஸ்கோ தீர்வுகளைப் பயன்படுத்த உங்களை ஊக்குவிக்காமல், இந்த வடிவமைப்பை கவனமாகப் படிப்பது பயனுள்ளதாக இருக்கும் என்று நான் நினைக்கிறேன்.

இந்த கட்டுரை, வழக்கம் போல், எந்த வகையிலும் முழுமையானது போல் பாசாங்கு செய்யவில்லை, மாறாக இந்த தகவலுடன் கூடுதலாக உள்ளது.

கட்டுரையின் முடிவில், இங்கே கோடிட்டுக் காட்டப்பட்டுள்ள கருத்துகளின் அடிப்படையில் சிஸ்கோ பாதுகாப்பான அலுவலக வடிவமைப்பை நாங்கள் பகுப்பாய்வு செய்வோம்.

பொது கோட்பாடுகள்

அலுவலக நெட்வொர்க்கின் வடிவமைப்பு, நிச்சயமாக, விவாதிக்கப்பட்ட பொதுவான தேவைகளை பூர்த்தி செய்ய வேண்டும் இங்கே "வடிவமைப்பு தரத்தை மதிப்பிடுவதற்கான அளவுகோல்கள்" என்ற அத்தியாயத்தில். இந்த கட்டுரையில் நாங்கள் விவாதிக்க உத்தேசித்துள்ள விலை மற்றும் பாதுகாப்பு தவிர, வடிவமைக்கும் போது (அல்லது மாற்றங்களைச் செய்யும்போது) நாம் கருத்தில் கொள்ள வேண்டிய மூன்று அளவுகோல்கள் உள்ளன:

  • அளவீடல்
  • பயன்பாட்டின் எளிமை (நிர்வகித்தல்)
  • கிடைக்கும்

அதிகம் விவாதிக்கப்பட்டவை தரவு மையங்கள் இது அலுவலகத்திற்கும் பொருந்தும்.

ஆனாலும், அலுவலகப் பிரிவு அதன் சொந்த பிரத்தியேகங்களைக் கொண்டுள்ளது, அவை பாதுகாப்புக் கண்ணோட்டத்தில் முக்கியமானவை. இந்த விவரக்குறிப்பின் சாராம்சம் என்னவென்றால், நிறுவனத்தின் ஊழியர்களுக்கு (அதே போல் கூட்டாளர்கள் மற்றும் விருந்தினர்கள்) நெட்வொர்க் சேவைகளை வழங்குவதற்காக இந்த பிரிவு உருவாக்கப்பட்டது, இதன் விளைவாக, சிக்கலைக் கருத்தில் கொள்ளும் மிக உயர்ந்த மட்டத்தில் எங்களுக்கு இரண்டு பணிகள் உள்ளன:

  • ஊழியர்களிடமிருந்து (விருந்தினர்கள், கூட்டாளர்கள்) மற்றும் அவர்கள் பயன்படுத்தும் மென்பொருளிலிருந்து வரக்கூடிய தீங்கிழைக்கும் செயல்களிலிருந்து நிறுவனத்தின் வளங்களைப் பாதுகாக்கவும். நெட்வொர்க்குடன் அங்கீகரிக்கப்படாத இணைப்பிற்கு எதிரான பாதுகாப்பும் இதில் அடங்கும்.
  • அமைப்புகள் மற்றும் பயனர் தரவைப் பாதுகாக்கவும்

இது சிக்கலின் ஒரு பக்கம் மட்டுமே (அல்லது முக்கோணத்தின் ஒரு உச்சி). மறுபுறம் பயனர் வசதி மற்றும் பயன்படுத்தப்படும் தீர்வுகளின் விலை.

நவீன அலுவலக நெட்வொர்க்கிலிருந்து ஒரு பயனர் என்ன எதிர்பார்க்கிறார் என்பதைப் பார்ப்பதன் மூலம் ஆரம்பிக்கலாம்.

வசதிக்காக

எனது கருத்துப்படி அலுவலக பயனருக்கு "நெட்வொர்க் வசதிகள்" எப்படி இருக்கும் என்பது இங்கே:

  • இயக்கம்
  • முழு அளவிலான பழக்கமான சாதனங்கள் மற்றும் இயக்க முறைமைகளைப் பயன்படுத்துவதற்கான திறன்
  • தேவையான அனைத்து நிறுவன வளங்களையும் எளிதாக அணுகலாம்
  • பல்வேறு கிளவுட் சேவைகள் உட்பட இணைய ஆதாரங்களின் கிடைக்கும் தன்மை
  • நெட்வொர்க்கின் "வேகமான செயல்பாடு"

இவை அனைத்தும் ஊழியர்கள் மற்றும் விருந்தினர்கள் (அல்லது கூட்டாளர்கள்) இருவருக்கும் பொருந்தும், மேலும் அங்கீகாரத்தின் அடிப்படையில் வெவ்வேறு பயனர் குழுக்களுக்கான அணுகலை வேறுபடுத்துவது நிறுவனத்தின் பொறியாளர்களின் பணியாகும்.

இந்த ஒவ்வொரு அம்சத்தையும் இன்னும் கொஞ்சம் விரிவாகப் பார்ப்போம்.

இயக்கம்

உலகில் எங்கிருந்தும் (நிச்சயமாக, இணையம் கிடைக்கும் இடத்தில்) தேவையான அனைத்து நிறுவன வளங்களையும் வேலை செய்ய மற்றும் பயன்படுத்துவதற்கான வாய்ப்பைப் பற்றி நாங்கள் பேசுகிறோம்.

இது அலுவலகத்திற்கு முழுமையாக பொருந்தும். அலுவலகத்தில் எங்கிருந்தும் தொடர்ந்து வேலை செய்ய உங்களுக்கு வாய்ப்பு இருக்கும்போது இது வசதியானது, எடுத்துக்காட்டாக, அஞ்சல் பெறுதல், கார்ப்பரேட் மெசஞ்சரில் தொடர்புகொள்வது, வீடியோ அழைப்பிற்குக் கிடைக்கும், ... இவ்வாறு, இது உங்களை அனுமதிக்கிறது, ஒருபுறம், சில சிக்கல்களைத் தீர்க்க "நேரடி" தகவல்தொடர்பு (உதாரணமாக, பேரணிகளில் பங்கேற்பது), மறுபுறம், எப்போதும் ஆன்லைனில் இருங்கள், உங்கள் விரலை துடிப்புடன் வைத்து, சில அவசர உயர்-முன்னுரிமை பணிகளை விரைவாக தீர்க்கவும். இது மிகவும் வசதியானது மற்றும் உண்மையில் தகவல்தொடர்புகளின் தரத்தை மேம்படுத்துகிறது.

சரியான வைஃபை நெட்வொர்க் வடிவமைப்பால் இது அடையப்படுகிறது.

கருத்து

இங்கே கேள்வி பொதுவாக எழுகிறது: வைஃபை மட்டும் பயன்படுத்தினால் போதுமா? அலுவலகத்தில் ஈதர்நெட் போர்ட்களைப் பயன்படுத்துவதை நீங்கள் நிறுத்தலாம் என்று இது அர்த்தப்படுத்துகிறதா? நாங்கள் பயனர்களைப் பற்றி மட்டுமே பேசுகிறோம், ஆனால் வழக்கமான ஈதர்நெட் போர்ட்டுடன் இணைக்க இன்னும் நியாயமான சேவையகங்களைப் பற்றி அல்ல என்றால், பொதுவாக பதில்: ஆம், நீங்கள் உங்களை வைஃபைக்கு மட்டுமே கட்டுப்படுத்த முடியும். ஆனால் நுணுக்கங்கள் உள்ளன.

ஒரு தனி அணுகுமுறை தேவைப்படும் முக்கியமான பயனர் குழுக்கள் உள்ளன. இவர்கள், நிச்சயமாக, நிர்வாகிகள். கொள்கையளவில், வைஃபை இணைப்பு நம்பகமானது (போக்குவரத்து இழப்பின் அடிப்படையில்) மற்றும் வழக்கமான ஈதர்நெட் போர்ட்டை விட மெதுவாக உள்ளது. இது நிர்வாகிகளுக்கு குறிப்பிடத்தக்கதாக இருக்கலாம். கூடுதலாக, நெட்வொர்க் நிர்வாகிகள், உதாரணமாக, கொள்கையளவில், அவுட்-ஆஃப்-பேண்ட் இணைப்புகளுக்கு தங்கள் சொந்த ஈதர்நெட் நெட்வொர்க்கை வைத்திருக்க முடியும்.

உங்கள் நிறுவனத்தில் பிற குழுக்கள்/துறைகள் இருக்கலாம், இந்தக் காரணிகளும் முக்கியமானவை.

மற்றொரு முக்கியமான விஷயம் உள்ளது - தொலைபேசி. ஒருவேளை சில காரணங்களால் நீங்கள் வயர்லெஸ் VoIP ஐப் பயன்படுத்த விரும்பவில்லை மற்றும் வழக்கமான ஈதர்நெட் இணைப்புடன் IP தொலைபேசிகளைப் பயன்படுத்த விரும்புகிறீர்கள்.

பொதுவாக, நான் பணிபுரிந்த நிறுவனங்களில் பொதுவாக வைஃபை இணைப்பு மற்றும் ஈதர்நெட் போர்ட் ஆகிய இரண்டும் இருக்கும்.

இயக்கம் என்பது அலுவலகத்திற்கு மட்டும் மட்டுப்படுத்தப்படாமல் இருக்க விரும்புகிறேன்.

வீட்டிலிருந்து வேலை செய்யும் திறனை உறுதி செய்ய (அல்லது அணுகக்கூடிய இணையத்துடன் வேறு எந்த இடத்திலும்), VPN இணைப்பு பயன்படுத்தப்படுகிறது. அதே நேரத்தில், ஊழியர்கள் வீட்டிலிருந்து வேலை செய்வதற்கும் தொலைதூர வேலைக்கும் உள்ள வித்தியாசத்தை உணராதது விரும்பத்தக்கது, இது ஒரே அணுகலைக் கருதுகிறது. "ஒருங்கிணைந்த மையப்படுத்தப்பட்ட அங்கீகாரம் மற்றும் அங்கீகார அமைப்பு" என்ற அத்தியாயத்தில் இதை எவ்வாறு ஒழுங்கமைப்பது என்பதை சிறிது நேரம் கழித்து விவாதிப்போம்.

கருத்து

பெரும்பாலும், நீங்கள் அலுவலகத்தில் இருக்கும் தொலைதூர வேலைகளுக்கு அதே தரமான சேவைகளை முழுமையாக வழங்க முடியாது. உங்கள் VPN நுழைவாயிலாக நீங்கள் Cisco ASA 5520 ஐப் பயன்படுத்துகிறீர்கள் என்று வைத்துக்கொள்வோம். தரவுத்தாள் இந்த சாதனம் 225 Mbit VPN டிராஃபிக்கை மட்டுமே "செரிக்கும்" திறன் கொண்டது. அதாவது, நிச்சயமாக, அலைவரிசையைப் பொறுத்தவரை, VPN வழியாக இணைப்பது அலுவலகத்தில் இருந்து வேலை செய்வதிலிருந்து மிகவும் வித்தியாசமானது. மேலும், சில காரணங்களால், உங்கள் நெட்வொர்க் சேவைகளுக்கான தாமதம், இழப்பு, நடுக்கம் (உதாரணமாக, நீங்கள் அலுவலக ஐபி தொலைபேசியைப் பயன்படுத்த விரும்புகிறீர்கள்) குறிப்பிடத்தக்கதாக இருந்தால், நீங்கள் அலுவலகத்தில் இருந்ததைப் போன்ற தரத்தைப் பெற மாட்டீர்கள். எனவே, இயக்கம் பற்றி பேசும் போது, ​​சாத்தியமான வரம்புகளை நாம் அறிந்திருக்க வேண்டும்.

அனைத்து நிறுவன வளங்களுக்கும் எளிதான அணுகல்

இந்த பணி மற்ற தொழில்நுட்ப துறைகளுடன் இணைந்து தீர்க்கப்பட வேண்டும்.
பயனர் ஒரு முறை மட்டுமே அங்கீகரிக்க வேண்டும், அதன் பிறகு அவருக்கு தேவையான அனைத்து ஆதாரங்களுக்கும் அணுகல் இருக்கும் போது சிறந்த சூழ்நிலை.
பாதுகாப்பை தியாகம் செய்யாமல் எளிதான அணுகலை வழங்குவது உற்பத்தித்திறனை கணிசமாக மேம்படுத்தலாம் மற்றும் உங்கள் சக ஊழியர்களிடையே மன அழுத்தத்தைக் குறைக்கும்.

குறிப்பு 1

அணுகல் எளிமை என்பது கடவுச்சொல்லை எத்தனை முறை உள்ளிட வேண்டும் என்பது மட்டும் அல்ல. எடுத்துக்காட்டாக, உங்கள் பாதுகாப்புக் கொள்கையின்படி, அலுவலகத்திலிருந்து தரவு மையத்துடன் இணைக்க, நீங்கள் முதலில் VPN நுழைவாயிலுடன் இணைக்க வேண்டும், அதே நேரத்தில் அலுவலக ஆதாரங்களுக்கான அணுகலை இழந்தால், இதுவும் மிகவும் , மிகவும் சிரமமான.

குறிப்பு 2

சேவைகள் உள்ளன (உதாரணமாக, நெட்வொர்க் உபகரணங்களுக்கான அணுகல்) எங்களிடம் பொதுவாக எங்கள் சொந்த பிரத்யேக AAA சேவையகங்கள் உள்ளன, இந்த விஷயத்தில் நாம் பல முறை அங்கீகரிக்க வேண்டியிருக்கும் போது இது விதிமுறை.

இணைய வளங்களின் கிடைக்கும் தன்மை

இணையம் என்பது பொழுதுபோக்கு மட்டுமல்ல, வேலைக்கு மிகவும் பயனுள்ளதாக இருக்கும் சேவைகளின் தொகுப்பாகும். முற்றிலும் உளவியல் காரணிகளும் உள்ளன. ஒரு நவீன நபர் பல மெய்நிகர் நூல்கள் மூலம் இணையம் வழியாக மற்றவர்களுடன் இணைக்கப்பட்டுள்ளார், மேலும் வேலை செய்யும் போது கூட இந்த தொடர்பை அவர் தொடர்ந்து உணர்ந்தால் தவறில்லை என்பது என் கருத்து.

நேரத்தை வீணடிக்கும் பார்வையில், ஒரு ஊழியர், எடுத்துக்காட்டாக, ஸ்கைப் இயங்கினால், தேவைப்பட்டால், நேசிப்பவருடன் 5 நிமிடங்கள் தொடர்புகொள்வதில் தவறில்லை.

இணையம் எப்போதும் இருக்க வேண்டும் என்று இது அர்த்தப்படுத்துகிறதா, ஊழியர்கள் எல்லா வளங்களையும் அணுகலாம் மற்றும் எந்த வகையிலும் அவற்றைக் கட்டுப்படுத்த முடியாது என்று அர்த்தமா?

இல்லை என்று அர்த்தம் இல்லை, நிச்சயமாக. இணையத்தின் திறந்த நிலை வெவ்வேறு நிறுவனங்களுக்கு மாறுபடும் - முழுமையான மூடல் முதல் முழுமையான திறந்தநிலை வரை. பாதுகாப்பு நடவடிக்கைகள் குறித்த பிரிவுகளில் போக்குவரத்தை கட்டுப்படுத்துவதற்கான வழிகளைப் பற்றி பின்னர் விவாதிப்போம்.

பரிச்சயமான சாதனங்களின் முழு அளவையும் பயன்படுத்தும் திறன்

எடுத்துக்காட்டாக, வேலையில் நீங்கள் பழகிய அனைத்து தகவல்தொடர்பு வழிகளையும் தொடர்ந்து பயன்படுத்த உங்களுக்கு வாய்ப்பு இருக்கும்போது இது வசதியானது. இதை தொழில்நுட்ப ரீதியாக செயல்படுத்துவதில் சிரமம் இல்லை. இதற்கு உங்களுக்கு WiFi மற்றும் விருந்தினர் விலான் தேவை.

நீங்கள் பழகிய ஆப்பரேட்டிங் சிஸ்டத்தைப் பயன்படுத்த வாய்ப்பு இருந்தால் அதுவும் நல்லது. ஆனால், எனது கவனிப்பில், இது பொதுவாக மேலாளர்கள், நிர்வாகிகள் மற்றும் டெவலப்பர்களுக்கு மட்டுமே அனுமதிக்கப்படுகிறது.

உதாரணமாக

நிச்சயமாக, நீங்கள் தடைகளின் பாதையைப் பின்பற்றலாம், தொலைநிலை அணுகலைத் தடைசெய்யலாம், மொபைல் சாதனங்களிலிருந்து இணைப்பதைத் தடைசெய்யலாம், நிலையான ஈதர்நெட் இணைப்புகளுக்கு எல்லாவற்றையும் கட்டுப்படுத்தலாம், இணையத்திற்கான அணுகலைக் கட்டுப்படுத்தலாம், சோதனைச் சாவடியில் செல்போன்கள் மற்றும் கேஜெட்டுகளை கட்டாயமாக பறிமுதல் செய்யலாம். உண்மையில் சில நிறுவனங்களால் பாதுகாப்புத் தேவைகள் அதிகமாகப் பின்பற்றப்படுகிறது, மேலும் சில சந்தர்ப்பங்களில் இது நியாயப்படுத்தப்படலாம், ஆனால்... இது ஒரு நிறுவனத்தில் முன்னேற்றத்தைத் தடுக்கும் முயற்சியாகத் தெரிகிறது என்பதை நீங்கள் ஒப்புக் கொள்ள வேண்டும். நிச்சயமாக, நவீன தொழில்நுட்பங்கள் வழங்கும் வாய்ப்புகளை போதுமான அளவிலான பாதுகாப்போடு இணைக்க விரும்புகிறேன்.

நெட்வொர்க்கின் "வேகமான செயல்பாடு"

தரவு பரிமாற்ற வேகம் தொழில்நுட்ப ரீதியாக பல காரணிகளைக் கொண்டுள்ளது. உங்கள் இணைப்பு துறைமுகத்தின் வேகம் பொதுவாக மிக முக்கியமானதாக இருக்காது. பயன்பாட்டின் மெதுவான செயல்பாடு எப்போதும் நெட்வொர்க் சிக்கல்களுடன் தொடர்புடையது அல்ல, ஆனால் இப்போது நாங்கள் பிணைய பகுதியில் மட்டுமே ஆர்வமாக உள்ளோம். லோக்கல் நெட்வொர்க் "ஸ்லோடவுன்" உடன் மிகவும் பொதுவான பிரச்சனை பாக்கெட் இழப்புடன் தொடர்புடையது. இது பொதுவாக ஒரு இடையூறு அல்லது L1 (OSI) பிரச்சனைகள் இருக்கும் போது ஏற்படும். மிகவும் அரிதாக, சில வடிவமைப்புகளுடன் (உதாரணமாக, உங்கள் சப்நெட்களில் ஃபயர்வால் இயல்புநிலை நுழைவாயிலாக இருக்கும் போது, ​​அதன் மூலம் அனைத்து போக்குவரத்தும் செல்லும் போது), வன்பொருள் செயல்திறன் குறைவாக இருக்கலாம்.

எனவே, உபகரணங்கள் மற்றும் கட்டிடக்கலை தேர்ந்தெடுக்கும் போது, ​​நீங்கள் இறுதி துறைமுகங்கள், டிரங்குகள் மற்றும் உபகரணங்கள் செயல்திறன் வேகத்தை தொடர்புபடுத்த வேண்டும்.

உதாரணமாக

நீங்கள் 1 ஜிகாபிட் போர்ட்களைக் கொண்ட சுவிட்சுகளை அணுகல் லேயர் சுவிட்சுகளாகப் பயன்படுத்துகிறீர்கள் என்று வைத்துக்கொள்வோம். அவை எதர்சனல் 2 x 10 ஜிகாபிட்கள் வழியாக ஒன்றோடொன்று இணைக்கப்பட்டுள்ளன. இயல்புநிலை நுழைவாயிலாக, நீங்கள் ஜிகாபிட் போர்ட்களைக் கொண்ட ஃபயர்வாலைப் பயன்படுத்துகிறீர்கள், அதை எல்2 அலுவலக நெட்வொர்க்குடன் இணைக்க, 2 ஜிகாபிட் போர்ட்களை ஈதர்சேனலில் இணைக்கிறீர்கள்.

இந்த கட்டிடக்கலை ஒரு செயல்பாட்டுக் கண்ணோட்டத்தில் மிகவும் வசதியானது, ஏனெனில் ... அனைத்து போக்குவரமும் ஃபயர்வால் வழியாகச் செல்கிறது, மேலும் நீங்கள் அணுகல் கொள்கைகளை வசதியாக நிர்வகிக்கலாம், மேலும் போக்குவரத்தைக் கட்டுப்படுத்த மற்றும் சாத்தியமான தாக்குதல்களைத் தடுக்க சிக்கலான வழிமுறைகளைப் பயன்படுத்தலாம் (கீழே காண்க), ஆனால் செயல்திறன் மற்றும் செயல்திறன் பார்வையில் இந்த வடிவமைப்பு, நிச்சயமாக, சாத்தியமான சிக்கல்களைக் கொண்டுள்ளது. எனவே, எடுத்துக்காட்டாக, 2 ஹோஸ்ட்கள் தரவைப் பதிவிறக்குவது (1 ஜிகாபிட் போர்ட் வேகத்துடன்) ஃபயர்வாலில் 2 ஜிகாபிட் இணைப்பை முழுமையாக ஏற்றலாம், இதனால் முழு அலுவலகப் பிரிவுக்கும் சேவைச் சிதைவு ஏற்படும்.

முக்கோணத்தின் ஒரு முனையைப் பார்த்தோம், இப்போது பாதுகாப்பை எவ்வாறு உறுதிப்படுத்துவது என்பதைப் பார்ப்போம்.

பரிகாரங்கள்

எனவே, நிச்சயமாக, வழக்கமாக எங்கள் விருப்பம் (அல்லது மாறாக, எங்கள் நிர்வாகத்தின் விருப்பம்) சாத்தியமற்றதை அடைவதாகும், அதாவது அதிகபட்ச பாதுகாப்பு மற்றும் குறைந்தபட்ச செலவில் அதிகபட்ச வசதியை வழங்குவதாகும்.

பாதுகாப்பு அளிக்க என்னென்ன வழிமுறைகள் உள்ளன என்று பார்ப்போம்.

அலுவலகத்திற்கு, நான் பின்வருவனவற்றை முன்னிலைப்படுத்துவேன்:

  • வடிவமைப்பிற்கான பூஜ்ஜிய நம்பிக்கை அணுகுமுறை
  • உயர் மட்ட பாதுகாப்பு
  • நெட்வொர்க் தெரிவுநிலை
  • ஒருங்கிணைந்த மையப்படுத்தப்பட்ட அங்கீகாரம் மற்றும் அங்கீகார அமைப்பு
  • ஹோஸ்ட் சோதனை

அடுத்து, இந்த ஒவ்வொரு அம்சத்திலும் நாம் இன்னும் கொஞ்சம் விரிவாக வாழ்வோம்.

ஜீரோ டிரஸ்ட்

தகவல் தொழில்நுட்ப உலகம் மிக வேகமாக மாறி வருகிறது. கடந்த 10 ஆண்டுகளில், புதிய தொழில்நுட்பங்கள் மற்றும் தயாரிப்புகளின் தோற்றம் பாதுகாப்புக் கருத்துகளின் பெரிய திருத்தத்திற்கு வழிவகுத்தது. பத்து ஆண்டுகளுக்கு முன்பு, பாதுகாப்புக் கண்ணோட்டத்தில், நாங்கள் பிணையத்தை நம்பிக்கை, dmz மற்றும் நம்பிக்கையற்ற மண்டலங்களாகப் பிரித்தோம், மேலும் "சுற்றளவு பாதுகாப்பு" என்று அழைக்கப்படுவதைப் பயன்படுத்தினோம், அங்கு 2 பாதுகாப்பு கோடுகள் இருந்தன: untrust -> dmz மற்றும் dmz -> நம்பிக்கை. மேலும், பாதுகாப்பு பொதுவாக L3/L4 (OSI) தலைப்புகள் (IP, TCP/UDP போர்ட்கள், TCP கொடிகள்) அடிப்படையிலான அணுகல் பட்டியல்களுக்கு மட்டுப்படுத்தப்பட்டது. L7 உட்பட உயர் நிலைகள் தொடர்பான அனைத்தும் OS மற்றும் இறுதி ஹோஸ்ட்களில் நிறுவப்பட்ட பாதுகாப்பு தயாரிப்புகளுக்கு விடப்பட்டது.

இப்போது நிலைமை வியத்தகு முறையில் மாறிவிட்டது. நவீன கருத்து பூஜ்ஜிய நம்பிக்கை உள் அமைப்புகளை, அதாவது, சுற்றளவுக்குள் அமைந்துள்ளவை, நம்பகமானவையாகக் கருதுவது இனி சாத்தியமில்லை என்பதிலிருந்து வருகிறது, மேலும் சுற்றளவு என்ற கருத்து மங்கலாகிவிட்டது.
இணைய இணைப்புக்கு கூடுதலாக எங்களிடம் உள்ளது

  • தொலைநிலை அணுகல் VPN பயனர்கள்
  • பல்வேறு தனிப்பட்ட கேஜெட்டுகள், கொண்டு வரப்பட்ட மடிக்கணினிகள், அலுவலக வைஃபை வழியாக இணைக்கப்பட்டுள்ளன
  • மற்ற (கிளை) அலுவலகங்கள்
  • கிளவுட் உள்கட்டமைப்புடன் ஒருங்கிணைப்பு

ஜீரோ டிரஸ்ட் அணுகுமுறை நடைமுறையில் எப்படி இருக்கும்?

வெறுமனே, தேவைப்படும் போக்குவரத்து மட்டுமே அனுமதிக்கப்பட வேண்டும், நாம் ஒரு இலட்சியத்தைப் பற்றி பேசினால், கட்டுப்பாடு L3/L4 மட்டத்தில் மட்டுமல்ல, பயன்பாட்டு மட்டத்திலும் இருக்க வேண்டும்.

எடுத்துக்காட்டாக, ஃபயர்வால் வழியாக அனைத்து போக்குவரத்தையும் கடந்து செல்லும் திறன் உங்களிடம் இருந்தால், நீங்கள் இலட்சியத்தை நெருங்க முயற்சி செய்யலாம். ஆனால் இந்த அணுகுமுறை உங்கள் நெட்வொர்க்கின் மொத்த அலைவரிசையை கணிசமாகக் குறைக்கும், தவிர, பயன்பாட்டின் மூலம் வடிகட்டுவது எப்போதும் நன்றாக வேலை செய்யாது.

ஒரு திசைவி அல்லது L3 சுவிட்சில் (நிலையான ACLகளைப் பயன்படுத்தி) போக்குவரத்தைக் கட்டுப்படுத்தும் போது, ​​நீங்கள் பிற சிக்கல்களை எதிர்கொள்கிறீர்கள்:

  • இது L3/L4 வடிகட்டுதல் மட்டுமே. அனுமதிக்கப்பட்ட போர்ட்களை (எ.கா. TCP 80) தங்கள் பயன்பாட்டிற்குப் பயன்படுத்துவதைத் தாக்குபவர் தடுக்கவில்லை (http அல்ல)
  • சிக்கலான ACL மேலாண்மை (ACLகளை அலசுவது கடினம்)
  • இது ஸ்டேட்ஃபுல் ஃபயர்வால் அல்ல, அதாவது தலைகீழ் போக்குவரத்தை நீங்கள் வெளிப்படையாக அனுமதிக்க வேண்டும்
  • சுவிட்சுகள் மூலம் நீங்கள் வழக்கமாக TCAM இன் அளவினால் மிகவும் இறுக்கமாக வரையறுக்கப்பட்டுள்ளீர்கள், "உங்களுக்குத் தேவையானதை மட்டும் அனுமதிக்கவும்" என்ற அணுகுமுறையை நீங்கள் எடுத்துக் கொண்டால் இது விரைவில் சிக்கலாகிவிடும்.

கருத்து

தலைகீழ் போக்குவரத்தைப் பற்றி பேசுகையில், நமக்கு பின்வரும் வாய்ப்பு உள்ளது என்பதை நினைவில் கொள்ள வேண்டும் (சிஸ்கோ)

ஏதேனும் நிறுவப்பட்ட tcp ஐ அனுமதிக்கவும்

ஆனால் இந்த வரி இரண்டு வரிகளுக்கு சமம் என்பதை நீங்கள் புரிந்து கொள்ள வேண்டும்:
tcp எந்த ஒரு ack அனுமதி
tcp ஐ முதலில் அனுமதிக்கவும்

அதாவது SYN கொடியுடன் ஆரம்ப TCP பிரிவு இல்லாவிட்டாலும் (அதாவது, TCP அமர்வு நிறுவத் தொடங்கவில்லை), இந்த ACL ஆனது ACK கொடியுடன் ஒரு பாக்கெட்டை அனுமதிக்கும், இது தாக்குபவர் தரவை மாற்ற பயன்படுத்தலாம்.

அதாவது, இந்த வரி எந்த வகையிலும் உங்கள் திசைவி அல்லது எல் 3 சுவிட்சை ஸ்டேட்ஃபுல் ஃபயர்வாலாக மாற்றாது.

உயர் மட்ட பாதுகாப்பு

В கட்டுரை தரவு மையங்கள் என்ற பிரிவில், பின்வரும் பாதுகாப்பு முறைகளைக் கருத்தில் கொண்டோம்.

  • மாநில ஃபயர்வால்லிங் (இயல்புநிலை)
  • ddos/dos பாதுகாப்பு
  • பயன்பாடு ஃபயர்வால்லிங்
  • அச்சுறுத்தல் தடுப்பு (ஆன்டிவைரஸ், ஸ்பைவேர் எதிர்ப்பு மற்றும் பாதிப்பு)
  • URL வடிகட்டுதல்
  • தரவு வடிகட்டுதல் (உள்ளடக்க வடிகட்டுதல்)
  • கோப்பு தடுப்பு (கோப்பு வகைகளைத் தடுப்பது)

ஒரு அலுவலகத்தைப் பொறுத்தவரை, நிலைமை ஒத்ததாக இருக்கிறது, ஆனால் முன்னுரிமைகள் சற்று வித்தியாசமாக இருக்கும். அலுவலகக் கிடைக்கும் தன்மை (கிடைக்கக்கூடியது) பொதுவாக தரவு மையத்தைப் போல முக்கியமானதாக இருக்காது, அதே சமயம் "உள்" தீங்கிழைக்கும் போக்குவரத்தின் சாத்தியக்கூறுகள் அதிக அளவு ஆர்டர்களாக இருக்கும்.
எனவே, இந்தப் பிரிவுக்கான பின்வரும் பாதுகாப்பு முறைகள் முக்கியமானவை:

  • பயன்பாடு ஃபயர்வால்லிங்
  • அச்சுறுத்தல் தடுப்பு (வைரஸ் எதிர்ப்பு, ஸ்பைவேர் எதிர்ப்பு மற்றும் பாதிப்பு)
  • URL வடிகட்டுதல்
  • தரவு வடிகட்டுதல் (உள்ளடக்க வடிகட்டுதல்)
  • கோப்பு தடுப்பு (கோப்பு வகைகளைத் தடுப்பது)

இந்த பாதுகாப்பு முறைகள் அனைத்தும், பயன்பாட்டு ஃபயர்வாலிங் தவிர, பாரம்பரியமாக இறுதி ஹோஸ்ட்களில் (உதாரணமாக, வைரஸ் தடுப்பு நிரல்களை நிறுவுவதன் மூலம்) மற்றும் ப்ராக்ஸிகளைப் பயன்படுத்தி, நவீன NGFW களும் இந்த சேவைகளை வழங்குகின்றன.

பாதுகாப்பு உபகரண விற்பனையாளர்கள் விரிவான பாதுகாப்பை உருவாக்க முயற்சி செய்கிறார்கள், எனவே உள்ளூர் பாதுகாப்போடு, பல்வேறு கிளவுட் தொழில்நுட்பங்கள் மற்றும் கிளையன்ட் மென்பொருளை ஹோஸ்ட்களுக்கு (எண்ட் பாயிண்ட் பாதுகாப்பு/இபிபி) வழங்குகிறார்கள். எனவே, எடுத்துக்காட்டாக, இருந்து 2018 கார்ட்னர் மேஜிக் குவாட்ரண்ட் பாலோ ஆல்டோ மற்றும் சிஸ்கோ தங்கள் சொந்த EPPகளை (PA: Traps, Cisco: AMP) கொண்டிருப்பதைக் காண்கிறோம், ஆனால் அவை தலைவர்களிடமிருந்து வெகு தொலைவில் உள்ளன.

உங்கள் ஃபயர்வாலில் இந்தப் பாதுகாப்புகளை (பொதுவாக வாங்குதல் உரிமம் மூலம்) இயக்குவது கட்டாயமில்லை (நீங்கள் பாரம்பரிய வழியில் செல்லலாம்), ஆனால் இது சில நன்மைகளை வழங்குகிறது:

  • இந்த வழக்கில், பாதுகாப்பு முறைகளின் பயன்பாட்டின் ஒற்றை புள்ளி உள்ளது, இது பார்வையை மேம்படுத்துகிறது (அடுத்த தலைப்பைப் பார்க்கவும்).
  • உங்கள் நெட்வொர்க்கில் பாதுகாப்பற்ற சாதனம் இருந்தால், அது இன்னும் ஃபயர்வால் பாதுகாப்பின் "குடையின்" கீழ் வரும்.
  • இறுதி ஹோஸ்ட் பாதுகாப்புடன் இணைந்து ஃபயர்வால் பாதுகாப்பைப் பயன்படுத்துவதன் மூலம், தீங்கிழைக்கும் போக்குவரத்தைக் கண்டறியும் வாய்ப்பை அதிகரிக்கிறோம். எடுத்துக்காட்டாக, உள்ளூர் ஹோஸ்ட்கள் மற்றும் ஃபயர்வாலில் அச்சுறுத்தல் தடுப்புகளைப் பயன்படுத்துவது கண்டறிவதற்கான வாய்ப்பை அதிகரிக்கிறது (நிச்சயமாக, இந்த தீர்வுகள் வெவ்வேறு மென்பொருள் தயாரிப்புகளை அடிப்படையாகக் கொண்டவை)

கருத்து

எடுத்துக்காட்டாக, நீங்கள் ஃபயர்வால் மற்றும் இறுதி ஹோஸ்ட்களில் காஸ்பர்ஸ்கியை வைரஸ் தடுப்பு மருந்தாகப் பயன்படுத்தினால், இது உங்கள் நெட்வொர்க்கில் வைரஸ் தாக்குதலைத் தடுப்பதற்கான வாய்ப்புகளை பெரிதும் அதிகரிக்காது.

நெட்வொர்க் தெரிவுநிலை

முக்கிய யோசனை எளிமையானது - உங்கள் நெட்வொர்க்கில் உண்மையான நேரத்திலும் வரலாற்றுத் தரவிலும் என்ன நடக்கிறது என்பதை "பார்க்கவும்".

நான் இந்த "பார்வையை" இரண்டு குழுக்களாகப் பிரிப்பேன்:

குழு ஒன்று: உங்கள் கண்காணிப்பு அமைப்பு பொதுவாக உங்களுக்கு என்ன வழங்குகிறது.

  • உபகரணங்கள் ஏற்றுதல்
  • சேனல்களை ஏற்றுகிறது
  • நினைவக பயன்பாடு
  • வட்டு பயன்பாடு
  • ரூட்டிங் டேபிளை மாற்றுகிறது
  • இணைப்பு நிலை
  • உபகரணங்களின் இருப்பு (அல்லது ஹோஸ்ட்கள்)
  • ...

குழு இரண்டு: பாதுகாப்பு தொடர்பான தகவல்கள்.

  • பல்வேறு வகையான புள்ளிவிவரங்கள் (உதாரணமாக, பயன்பாட்டின் மூலம், URL டிராஃபிக் மூலம், எந்த வகையான தரவு பதிவிறக்கப்பட்டது, பயனர் தரவு)
  • பாதுகாப்புக் கொள்கைகளால் என்ன தடுக்கப்பட்டது மற்றும் என்ன காரணத்திற்காக, அதாவது
    • தடைசெய்யப்பட்ட விண்ணப்பம்
    • ip/protocol/port/flags/zones அடிப்படையில் தடைசெய்யப்பட்டுள்ளது
    • அச்சுறுத்தல் தடுப்பு
    • url வடிகட்டுதல்
    • தரவு வடிகட்டுதல்
    • கோப்பு தடுப்பு
    • ...
  • DOS/DDOS தாக்குதல்கள் பற்றிய புள்ளிவிவரங்கள்
  • தோல்வியடைந்த அடையாளம் மற்றும் அங்கீகார முயற்சிகள்
  • மேலே உள்ள அனைத்து பாதுகாப்பு கொள்கை மீறல் நிகழ்வுகளுக்கான புள்ளிவிவரங்கள்
  • ...

பாதுகாப்பு குறித்த இந்த அத்தியாயத்தில், இரண்டாம் பாகத்தில் நாங்கள் ஆர்வமாக உள்ளோம்.

சில நவீன ஃபயர்வால்கள் (எனது பாலோ ஆல்டோ அனுபவத்திலிருந்து) நல்ல அளவிலான பார்வையை வழங்குகின்றன. ஆனால், நிச்சயமாக, நீங்கள் விரும்பும் ட்ராஃபிக் இந்த ஃபயர்வால் வழியாகச் செல்ல வேண்டும் (இந்நிலையில் போக்குவரத்தைத் தடுக்கும் திறன் உங்களிடம் உள்ளது) அல்லது ஃபயர்வாலில் பிரதிபலிக்க வேண்டும் (கண்காணிப்பு மற்றும் பகுப்பாய்விற்கு மட்டுமே பயன்படுத்தப்படுகிறது), மேலும் அனைத்தையும் இயக்க உரிமம் உங்களிடம் இருக்க வேண்டும். இந்த சேவைகள்.

நிச்சயமாக, ஒரு மாற்று வழி உள்ளது, அல்லது பாரம்பரிய வழி, எடுத்துக்காட்டாக,

  • அமர்வு புள்ளிவிவரங்கள் நெட்ஃப்ளோ மூலம் சேகரிக்கப்பட்டு பின்னர் தகவல் பகுப்பாய்வு மற்றும் தரவு காட்சிப்படுத்தலுக்கான சிறப்பு பயன்பாடுகளைப் பயன்படுத்தலாம்.
  • அச்சுறுத்தல் தடுப்பு - இறுதி ஹோஸ்ட்களில் சிறப்பு திட்டங்கள் (வைரஸ் எதிர்ப்பு, ஸ்பைவேர் எதிர்ப்பு, ஃபயர்வால்).
  • URL வடிகட்டுதல், தரவு வடிகட்டுதல், கோப்பு தடுப்பு - ப்ராக்ஸியில்
  • எ.கா. ஐப் பயன்படுத்தி tcpdump ஐ பகுப்பாய்வு செய்வதும் சாத்தியமாகும். குறட்டை

இந்த இரண்டு அணுகுமுறைகளையும் நீங்கள் இணைக்கலாம், விடுபட்ட அம்சங்களை நிறைவு செய்யலாம் அல்லது தாக்குதலைக் கண்டறியும் வாய்ப்பை அதிகரிக்க அவற்றை நகலெடுக்கலாம்.

எந்த அணுகுமுறையை நீங்கள் தேர்வு செய்ய வேண்டும்?
உங்கள் குழுவின் தகுதிகள் மற்றும் விருப்பங்களைப் பொறுத்தது.
அங்கேயும் அங்கேயும் நன்மை தீமைகள் உள்ளன.

ஒருங்கிணைந்த மையப்படுத்தப்பட்ட அங்கீகாரம் மற்றும் அங்கீகார அமைப்பு

நன்றாக வடிவமைக்கப்பட்டால், இந்தக் கட்டுரையில் நாங்கள் விவாதித்த இயக்கம், நீங்கள் அலுவலகத்திலிருந்து அல்லது வீட்டிலிருந்து, விமான நிலையத்திலிருந்து, ஒரு காபி ஷாப்பில் இருந்து அல்லது வேறு எங்கும் (மேலே நாங்கள் விவாதித்த வரம்புகளுடன்) பணிபுரிந்தாலும் உங்களுக்கு ஒரே அணுகல் இருக்கும் என்று கருதுகிறது. என்ன பிரச்சனை என்று தோன்றுகிறது?
இந்த பணியின் சிக்கலை நன்கு புரிந்து கொள்ள, ஒரு பொதுவான வடிவமைப்பைப் பார்ப்போம்.

உதாரணமாக

  • நீங்கள் அனைத்து ஊழியர்களையும் குழுக்களாகப் பிரித்துள்ளீர்கள். குழுக்கள் மூலம் அணுகலை வழங்க முடிவு செய்துள்ளீர்கள்
  • அலுவலகத்தின் உள்ளே, நீங்கள் அலுவலக ஃபயர்வாலில் அணுகலைக் கட்டுப்படுத்துகிறீர்கள்
  • டேட்டா சென்டர் ஃபயர்வாலில் அலுவலகத்திலிருந்து டேட்டா சென்டருக்கு டிராஃபிக்கைக் கட்டுப்படுத்துகிறீர்கள்
  • நீங்கள் Cisco ASA ஐ VPN நுழைவாயிலாகப் பயன்படுத்துகிறீர்கள் மற்றும் தொலைநிலை கிளையண்டுகளிலிருந்து உங்கள் நெட்வொர்க்கில் நுழையும் போக்குவரத்தைக் கட்டுப்படுத்த, நீங்கள் உள்ளூர் (ASA இல்) ACLகளைப் பயன்படுத்துகிறீர்கள்.

இப்போது, ​​ஒரு குறிப்பிட்ட பணியாளருக்கு கூடுதல் அணுகலைச் சேர்க்கும்படி கேட்கப்படுகிறீர்கள் என்று வைத்துக்கொள்வோம். இந்த வழக்கில், நீங்கள் அவருக்கு மட்டுமே அணுகலைச் சேர்க்கும்படி கேட்கப்படுகிறீர்கள், அவருடைய குழுவில் இருந்து வேறு யாரும் இல்லை.

இதற்காக இந்த ஊழியருக்கென தனி குழுவை உருவாக்க வேண்டும், அதாவது

  • இந்த ஊழியருக்காக ASA இல் ஒரு தனி IP பூலை உருவாக்கவும்
  • ASA இல் ஒரு புதிய ACL ஐச் சேர்த்து, அதை அந்த ரிமோட் கிளையண்டுடன் இணைக்கவும்
  • அலுவலகம் மற்றும் தரவு மைய ஃபயர்வால்களில் புதிய பாதுகாப்புக் கொள்கைகளை உருவாக்கவும்

இந்த நிகழ்வு அரிதாக இருந்தால் நல்லது. ஆனால் எனது நடைமுறையில் ஊழியர்கள் வெவ்வேறு திட்டங்களில் பங்கேற்றபோது ஒரு சூழ்நிலை இருந்தது, அவர்களில் சிலருக்கான இந்த திட்டங்களின் தொகுப்பு அடிக்கடி மாறியது, அது 1-2 பேர் அல்ல, ஆனால் டஜன் கணக்கானவர்கள். நிச்சயமாக, இங்கே ஏதாவது மாற்றப்பட வேண்டும்.

இது பின்வரும் வழியில் தீர்க்கப்பட்டது.

சாத்தியமான அனைத்து ஊழியர் அணுகல்களையும் தீர்மானிக்கும் உண்மையின் ஒரே ஆதாரம் LDAP மட்டுமே என்று நாங்கள் முடிவு செய்தோம். அணுகல்களின் தொகுப்பை வரையறுக்கும் அனைத்து வகையான குழுக்களையும் நாங்கள் உருவாக்கியுள்ளோம், மேலும் ஒவ்வொரு பயனரையும் ஒன்று அல்லது அதற்கு மேற்பட்ட குழுக்களுக்கு ஒதுக்கினோம்.

எனவே, எடுத்துக்காட்டாக, குழுக்கள் இருந்தன என்று வைத்துக்கொள்வோம்

  • விருந்தினர் (இணைய அணுகல்)
  • பொதுவான அணுகல் (பகிரப்பட்ட ஆதாரங்களுக்கான அணுகல்: அஞ்சல், அறிவுத் தளம், ...)
  • கணக்கியல்
  • திட்டம் 1
  • திட்டம் 2
  • தரவு அடிப்படை நிர்வாகி
  • linux நிர்வாகி
  • ...

ஊழியர்களில் ஒருவர் திட்டம் 1 மற்றும் திட்டம் 2 இரண்டிலும் ஈடுபட்டிருந்தால், அவருக்கு இந்த திட்டங்களில் பணிபுரிய தேவையான அணுகல் தேவைப்பட்டால், இந்த ஊழியர் பின்வரும் குழுக்களுக்கு நியமிக்கப்பட்டார்:

  • விருந்தினர்
  • பொதுவான அணுகல்
  • திட்டம் 1
  • திட்டம் 2

இப்போது இந்தத் தகவலை நெட்வொர்க் உபகரணங்களில் அணுகலாக மாற்றுவது எப்படி?

சிஸ்கோ ஏஎஸ்ஏ டைனமிக் அக்சஸ் பாலிசி (டிஏபி) (பார்க்க www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) இந்த பணிக்கு தீர்வு சரியானது.

எங்கள் செயலாக்கத்தைப் பற்றி சுருக்கமாக, அடையாளம்/அங்கீகாரச் செயல்பாட்டின் போது, ​​ASA ஆனது LDAP இலிருந்து கொடுக்கப்பட்ட பயனருக்குத் தொடர்புடைய குழுக்களின் தொகுப்பைப் பெறுகிறது மற்றும் பல உள்ளூர் ACL களில் இருந்து "சேகரிக்கிறது" (ஒவ்வொன்றும் ஒரு குழுவுடன் தொடர்புடையது) தேவையான அனைத்து அணுகல்களுடன் ஒரு மாறும் ACL. , இது எங்கள் விருப்பத்திற்கு முழுமையாக ஒத்துப்போகிறது.

ஆனால் இது VPN இணைப்புகளுக்கு மட்டுமே. VPN மூலம் இணைக்கப்பட்ட ஊழியர்களுக்கும் அலுவலகத்தில் உள்ளவர்களுக்கும் ஒரே மாதிரியான நிலைமையை ஏற்படுத்த, பின்வரும் நடவடிக்கை எடுக்கப்பட்டது.

அலுவலகத்திலிருந்து இணைக்கும் போது, ​​802.1x நெறிமுறையைப் பயன்படுத்தும் பயனர்கள் கெஸ்ட் LAN (விருந்தினர்களுக்கு) அல்லது பகிரப்பட்ட LAN (நிறுவன ஊழியர்களுக்கான) இல் முடிவடையும். மேலும், குறிப்பிட்ட அணுகலைப் பெற (எடுத்துக்காட்டாக, தரவு மையத்தில் உள்ள திட்டங்களுக்கு), ஊழியர்கள் VPN வழியாக இணைக்க வேண்டும்.

அலுவலகம் மற்றும் வீட்டிலிருந்து இணைக்க, ASA இல் வெவ்வேறு சுரங்கப்பாதை குழுக்கள் பயன்படுத்தப்பட்டன. அலுவலகத்திலிருந்து இணைக்கப்படுபவர்களுக்கு, பகிரப்பட்ட ஆதாரங்களுக்கான போக்குவரத்து (அஞ்சல், கோப்பு சேவையகங்கள், டிக்கெட் அமைப்பு, டிஎன்எஸ், ... போன்ற அனைத்து ஊழியர்களாலும் பயன்படுத்தப்படுகிறது) ASA வழியாக செல்லாமல், உள்ளூர் நெட்வொர்க் மூலம் செல்ல இது அவசியம். . இதனால், அதிக தீவிரம் கொண்ட போக்குவரத்து உட்பட தேவையற்ற போக்குவரத்தை நாங்கள் ASA இல் ஏற்றவில்லை.

இதனால், பிரச்னைக்கு தீர்வு காணப்பட்டது.
நமக்கு கிடைத்துவிட்டது

  • அலுவலகம் மற்றும் ரிமோட் இணைப்புகள் ஆகிய இரண்டு இணைப்புகளுக்கும் ஒரே மாதிரியான அணுகல்கள்
  • ASA மூலம் அதிக தீவிரம் கொண்ட போக்குவரத்து பரிமாற்றத்துடன் தொடர்புடைய அலுவலகத்தில் இருந்து பணிபுரியும் போது சேவை சீரழிவு இல்லாதது

இந்த அணுகுமுறையின் வேறு என்ன நன்மைகள்?
அணுகல் நிர்வாகத்தில். அணுகல்களை ஒரே இடத்தில் எளிதாக மாற்றலாம்.
எடுத்துக்காட்டாக, ஒரு ஊழியர் நிறுவனத்தை விட்டு வெளியேறினால், நீங்கள் அவரை LDAP இலிருந்து அகற்றினால், அவர் தானாகவே அனைத்து அணுகலையும் இழக்கிறார்.

ஹோஸ்ட் சோதனை

தொலைநிலை இணைப்பின் சாத்தியக்கூறுடன், ஒரு நிறுவன ஊழியரை நெட்வொர்க்கில் அனுமதிக்கும் அபாயத்தை நாங்கள் இயக்குகிறோம், ஆனால் அவரது கணினியில் (உதாரணமாக, வீட்டில்) இருக்கும் அனைத்து தீங்கிழைக்கும் மென்பொருளையும் அனுமதிக்கிறோம், மேலும், இந்த மென்பொருளின் மூலம் நாங்கள் இந்த ஹோஸ்டைப் ப்ராக்ஸியாகப் பயன்படுத்தி தாக்குபவர்களுக்கு எங்கள் நெட்வொர்க்கிற்கான அணுகலை வழங்கலாம்.

ரிமோட் மூலம் இணைக்கப்பட்ட ஹோஸ்ட், அலுவலக ஹோஸ்டைப் போலவே அதே பாதுகாப்புத் தேவைகளைப் பயன்படுத்துவது அர்த்தமுள்ளதாக இருக்கிறது.

இது OS இன் "சரியான" பதிப்பு, வைரஸ் எதிர்ப்பு, ஸ்பைவேர் எதிர்ப்பு மற்றும் ஃபயர்வால் மென்பொருள் மற்றும் புதுப்பிப்புகளை எடுத்துக்கொள்கிறது. பொதுவாக, இந்த திறன் VPN கேட்வேயில் உள்ளது (ASA க்கு, எடுத்துக்காட்டாக, பார்க்கவும், இங்கே).

உங்கள் பாதுகாப்புக் கொள்கை அலுவலகப் போக்குவரத்திற்கும் பொருந்தும் அதே போக்குவரத்து பகுப்பாய்வு மற்றும் தடுப்பு நுட்பங்களைப் பயன்படுத்துவதும் புத்திசாலித்தனமானது ("உயர் நிலை பாதுகாப்பு" என்பதைப் பார்க்கவும்).

உங்கள் அலுவலக நெட்வொர்க் இனி அலுவலக கட்டிடம் மற்றும் அதற்குள் உள்ள ஹோஸ்ட்களுக்கு மட்டுமே என்று கருதுவது நியாயமானது.

உதாரணமாக

தொலைநிலை அணுகல் தேவைப்படும் ஒவ்வொரு பணியாளருக்கும் ஒரு நல்ல, வசதியான மடிக்கணினியை வழங்குவதும், அலுவலகம் மற்றும் வீட்டிலிருந்து வேலை செய்யத் தேவைப்படுவதும் ஒரு நல்ல நுட்பமாகும்.

இது உங்கள் நெட்வொர்க்கின் பாதுகாப்பை மேம்படுத்துவது மட்டுமல்லாமல், இது மிகவும் வசதியானது மற்றும் பொதுவாக ஊழியர்களால் சாதகமாக பார்க்கப்படுகிறது (இது மிகவும் நல்ல, பயனர் நட்பு மடிக்கணினியாக இருந்தால்).

விகிதம் மற்றும் சமநிலை உணர்வு பற்றி

அடிப்படையில், இது எங்கள் முக்கோணத்தின் மூன்றாவது உச்சியைப் பற்றிய உரையாடல் - விலை பற்றி.
ஒரு அனுமான உதாரணத்தைப் பார்ப்போம்.

உதாரணமாக

உங்களிடம் 200 பேருக்கு அலுவலகம் உள்ளது. நீங்கள் அதை முடிந்தவரை வசதியாகவும் பாதுகாப்பாகவும் செய்ய முடிவு செய்தீர்கள்.

எனவே, நீங்கள் அனைத்து போக்குவரத்தையும் ஃபயர்வால் வழியாக அனுப்ப முடிவு செய்தீர்கள், இதனால் அனைத்து அலுவலக சப்நெட்களுக்கும் ஃபயர்வால் இயல்புநிலை நுழைவாயில் ஆகும். ஒவ்வொரு எண்ட் ஹோஸ்டிலும் (ஆன்ட்டி வைரஸ், ஸ்பைவேர் மற்றும் ஃபயர்வால் சாஃப்ட்வேர்) நிறுவப்பட்ட பாதுகாப்பு மென்பொருளுடன் கூடுதலாக, ஃபயர்வாலில் சாத்தியமான அனைத்து பாதுகாப்பு முறைகளையும் பயன்படுத்தவும் முடிவு செய்தீர்கள்.

அதிக இணைப்பு வேகத்தை உறுதிப்படுத்த (அனைத்தும் வசதிக்காக), 10 கிகாபிட் அணுகல் போர்ட்களை அணுகல் சுவிட்சுகளாகவும், உயர் செயல்திறன் கொண்ட NGFW ஃபயர்வால்களை ஃபயர்வால்களாகவும் தேர்வுசெய்தீர்கள், எடுத்துக்காட்டாக, Palo Alto 7K தொடர் (40 கிகாபிட் போர்ட்களுடன்), இயற்கையாகவே அனைத்து உரிமங்களுடனும் சேர்க்கப்பட்டுள்ளது மற்றும், இயற்கையாகவே, அதிக கிடைக்கும் ஜோடி.

மேலும், நிச்சயமாக, இந்த வகை உபகரணங்களுடன் பணிபுரிய, எங்களுக்கு குறைந்தபட்சம் இரண்டு உயர் தகுதி வாய்ந்த பாதுகாப்பு பொறியாளர்கள் தேவை.

அடுத்து, ஒவ்வொரு பணியாளருக்கும் ஒரு நல்ல மடிக்கணினி கொடுக்க முடிவு செய்தீர்கள்.

மொத்தம், செயல்படுத்துவதற்கு சுமார் 10 மில்லியன் டாலர்கள், நூறாயிரக்கணக்கான டாலர்கள் (ஒரு மில்லியனுக்கு அருகில் என்று நினைக்கிறேன்) வருடாந்திர ஆதரவு மற்றும் பொறியாளர்களுக்கான சம்பளம்.

அலுவலகம், 200 பேர்...
வசதியானதா? ஆம் என்று நினைக்கிறேன்.

இந்த முன்மொழிவை உங்கள் நிர்வாகத்திடம் கொண்டு வாருங்கள்...
இது ஏற்றுக்கொள்ளக்கூடிய மற்றும் சரியான தீர்வாக இருக்கும் பல நிறுவனங்கள் உலகில் இருக்கலாம். நீங்கள் இந்த நிறுவனத்தின் பணியாளராக இருந்தால், எனது வாழ்த்துக்கள், ஆனால் பெரும்பாலான சந்தர்ப்பங்களில், உங்கள் அறிவு நிர்வாகத்தால் பாராட்டப்படாது என்று நான் நம்புகிறேன்.

இந்த உதாரணம் மிகைப்படுத்தப்பட்டதா? அடுத்த அத்தியாயம் இந்த கேள்விக்கு பதிலளிக்கும்.

உங்கள் நெட்வொர்க்கில் மேலே உள்ள எதையும் நீங்கள் காணவில்லை என்றால், இது விதிமுறை.
ஒவ்வொரு குறிப்பிட்ட வழக்குக்கும், வசதி, விலை மற்றும் பாதுகாப்பு ஆகியவற்றுக்கு இடையே உங்கள் சொந்த நியாயமான சமரசத்தை நீங்கள் கண்டுபிடிக்க வேண்டும். பெரும்பாலும் உங்கள் அலுவலகத்தில் NGFW கூட தேவையில்லை, மேலும் ஃபயர்வாலில் L7 பாதுகாப்பு தேவையில்லை. நல்ல அளவிலான தெரிவுநிலை மற்றும் விழிப்பூட்டல்களை வழங்கினால் போதும், எடுத்துக்காட்டாக, திறந்த மூல தயாரிப்புகளைப் பயன்படுத்தி இதைச் செய்யலாம். ஆம், தாக்குதலுக்கு உங்கள் எதிர்வினை உடனடியாக இருக்காது, ஆனால் முக்கிய விஷயம் என்னவென்றால், நீங்கள் அதைப் பார்ப்பீர்கள், மேலும் உங்கள் துறையில் சரியான செயல்முறைகள் இருந்தால், நீங்கள் அதை விரைவாக நடுநிலையாக்க முடியும்.

இந்த தொடர் கட்டுரைகளின் கருத்தின்படி, நீங்கள் ஒரு நெட்வொர்க்கை வடிவமைக்கவில்லை, உங்களுக்கு கிடைத்ததை மேம்படுத்த முயற்சிக்கிறீர்கள் என்பதை நான் உங்களுக்கு நினைவூட்டுகிறேன்.

அலுவலக கட்டிடக்கலையின் பாதுகாப்பான பகுப்பாய்வு

வரைபடத்தில் நான் ஒரு இடத்தை ஒதுக்கிய இந்த சிவப்பு சதுரத்திற்கு கவனம் செலுத்துங்கள் பாதுகாப்பான பாதுகாப்பான வளாக கட்டிடக்கலை வழிகாட்டிநான் இங்கே விவாதிக்க விரும்புகிறேன்.

உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது. அத்தியாயம் மூன்று. பிணைய பாதுகாப்பு. பகுதி மூன்று

இது கட்டிடக்கலையின் முக்கிய இடங்களில் ஒன்றாகும் மற்றும் மிக முக்கியமான நிச்சயமற்ற ஒன்றாகும்.

கருத்து

நான் ஃபயர்பவரை (சிஸ்கோவின் ஃபயர்வால் லைனில் இருந்து - ஏஎஸ்ஏ மட்டும்) அமைக்கவில்லை அல்லது வேலை செய்யவில்லை, எனவே ஜூனிபர் எஸ்ஆர்எக்ஸ் அல்லது பாலோ ஆல்டோ போன்ற மற்ற ஃபயர்வாலைப் போலவே அதைக் கையாள்வேன்.

வழக்கமான வடிவமைப்புகளில், இந்த இணைப்புடன் ஃபயர்வாலைப் பயன்படுத்துவதற்கான 4 சாத்தியமான விருப்பங்களை மட்டுமே நான் காண்கிறேன்:

  • ஒவ்வொரு சப்நெட்டிற்கும் இயல்புநிலை நுழைவாயில் ஒரு சுவிட்ச் ஆகும், அதே சமயம் ஃபயர்வால் வெளிப்படையான பயன்முறையில் உள்ளது (அதாவது, அனைத்து போக்குவரத்தும் அதன் வழியாக செல்கிறது, ஆனால் அது L3 ஹாப்பை உருவாக்காது)
  • ஒவ்வொரு சப்நெட்டிற்கும் இயல்புநிலை நுழைவாயில் ஃபயர்வால் துணை இடைமுகங்கள் (அல்லது SVI இடைமுகங்கள்), சுவிட்ச் L2 இன் பாத்திரத்தை வகிக்கிறது
  • சுவிட்சில் வெவ்வேறு VRFகள் பயன்படுத்தப்படுகின்றன, மேலும் VRFகளுக்கு இடையேயான போக்குவரத்து ஃபயர்வால் வழியாக செல்கிறது, ஒரு VRF க்குள் போக்குவரத்து சுவிட்சில் உள்ள ACL ஆல் கட்டுப்படுத்தப்படுகிறது.
  • அனைத்து போக்குவரத்தும் பகுப்பாய்வு மற்றும் கண்காணிப்பிற்காக ஃபயர்வாலில் பிரதிபலிக்கிறது; போக்குவரத்து அதன் வழியாக செல்லாது

குறிப்பு 1

இந்த விருப்பங்களின் சேர்க்கைகள் சாத்தியம், ஆனால் எளிமைக்காக நாங்கள் அவற்றைக் கருத்தில் கொள்ள மாட்டோம்.

குறிப்பு 2

பிபிஆர் (சேவை சங்கிலி கட்டமைப்பு) ஐப் பயன்படுத்துவதற்கான வாய்ப்பும் உள்ளது, ஆனால் இப்போதைக்கு இது, என் கருத்தில் ஒரு அழகான தீர்வு என்றாலும், மிகவும் கவர்ச்சியானது, எனவே நான் அதை இங்கே கருத்தில் கொள்ளவில்லை.

ஆவணத்தில் உள்ள ஓட்டங்களின் விளக்கத்திலிருந்து, போக்குவரத்து இன்னும் ஃபயர்வால் வழியாக செல்கிறது என்பதைக் காண்கிறோம், அதாவது, சிஸ்கோ வடிவமைப்பிற்கு இணங்க, நான்காவது விருப்பம் அகற்றப்பட்டது.

முதலில் முதல் இரண்டு விருப்பங்களைப் பார்ப்போம்.
இந்த விருப்பங்கள் மூலம், அனைத்து போக்குவரத்தும் ஃபயர்வால் வழியாக செல்கிறது.

இப்போது பார்க்கலாம் தரவுத்தாள், பார் சிஸ்கோ ஜிபிஎல் எங்கள் அலுவலகத்திற்கான மொத்த அலைவரிசை குறைந்தது 10 - 20 ஜிகாபிட்களாக இருக்க வேண்டுமெனில், நாம் 4K பதிப்பை வாங்க வேண்டும்.

கருத்து

மொத்த அலைவரிசையைப் பற்றி நான் பேசும்போது, ​​சப்நெட்டுகளுக்கு இடையேயான ட்ராஃபிக்கைக் குறிப்பிடுகிறேன் (மற்றும் ஒரு விலானாவிற்குள் அல்ல).

GPL இலிருந்து HA Bundle with Threat Defense, மாதிரியைப் பொறுத்து விலை (4110 - 4150) ~0,5 - 2,5 மில்லியன் டாலர்கள் வரை மாறுபடும்.

அதாவது, எங்கள் வடிவமைப்பு முந்தைய உதாரணத்தை ஒத்திருக்கிறது.

இந்த வடிவமைப்பு தவறானது என்று அர்த்தமா?
இல்லை, அது அர்த்தம் இல்லை. சிஸ்கோ தன்னிடம் உள்ள தயாரிப்பு வரிசையின் அடிப்படையில் சிறந்த பாதுகாப்பை வழங்குகிறது. ஆனால் இது உங்களுக்காக செய்ய வேண்டியது என்று அர்த்தமல்ல.

கொள்கையளவில், இது ஒரு அலுவலகம் அல்லது தரவு மையத்தை வடிவமைக்கும் போது எழும் ஒரு பொதுவான கேள்வியாகும், மேலும் இது ஒரு சமரசம் தேடப்பட வேண்டும் என்பதாகும்.

எடுத்துக்காட்டாக, எல்லா போக்குவரத்தையும் ஃபயர்வால் வழியாகச் செல்ல அனுமதிக்காதீர்கள், இதில் விருப்பம் 3 எனக்கு நன்றாகத் தெரிகிறது, அல்லது (முந்தைய பகுதியைப் பார்க்கவும்) ஒருவேளை உங்களுக்கு அச்சுறுத்தல் பாதுகாப்பு தேவையில்லை அல்லது அதில் ஃபயர்வால் தேவையில்லை. நெட்வொர்க் பிரிவு, மற்றும் நீங்கள் பணம் செலுத்திய (செலவு அல்ல) அல்லது திறந்த மூல தீர்வுகளைப் பயன்படுத்தி செயலற்ற கண்காணிப்புக்கு உங்களை வரம்பிட வேண்டும், அல்லது உங்களுக்கு ஃபயர்வால் தேவை, ஆனால் வேறு விற்பனையாளரிடமிருந்து.

பொதுவாக இந்த நிச்சயமற்ற தன்மை எப்போதும் இருக்கும், எந்த முடிவு உங்களுக்கு சிறந்தது என்பதற்கு தெளிவான பதில் இல்லை.
இந்தப் பணியின் சிக்கலான தன்மையும் அழகும் இதுதான்.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்