ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్వర్క్ భద్రత. పార్ట్ మూడు
మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్వర్క్ భద్రత. పార్ట్ మూడు
ఈ కథనం “మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి” సిరీస్లో ఐదవది. సిరీస్లోని అన్ని కథనాల కంటెంట్లు మరియు లింక్లను కనుగొనవచ్చు ఇక్కడ.
ఈ భాగం క్యాంపస్ (ఆఫీస్) & రిమోట్ యాక్సెస్ VPN విభాగాలకు అంకితం చేయబడుతుంది.
ఆఫీస్ నెట్వర్క్ డిజైన్ సులభం అనిపించవచ్చు.
నిజానికి, మేము L2/L3 స్విచ్లను తీసుకుంటాము మరియు వాటిని ఒకదానికొకటి కనెక్ట్ చేస్తాము. తరువాత, మేము విలన్లు మరియు డిఫాల్ట్ గేట్వేల ప్రాథమిక సెటప్ను నిర్వహిస్తాము, సాధారణ రూటింగ్ని సెటప్ చేస్తాము, WiFi కంట్రోలర్లను కనెక్ట్ చేస్తాము, యాక్సెస్ పాయింట్లను కనెక్ట్ చేస్తాము, రిమోట్ యాక్సెస్ కోసం ASAని ఇన్స్టాల్ చేసి కాన్ఫిగర్ చేస్తాము, ప్రతిదీ పనిచేసినందుకు మేము సంతోషిస్తున్నాము. సాధారణంగా, నేను ఇప్పటికే మునుపటి వాటిలో వ్రాసినట్లు వ్యాసాలు ఈ సైకిల్లో, టెలికాం కోర్సు యొక్క రెండు సెమిస్టర్లకు హాజరైన (మరియు నేర్చుకున్న) దాదాపు ప్రతి విద్యార్థి ఆఫీస్ నెట్వర్క్ను రూపొందించవచ్చు మరియు కాన్ఫిగర్ చేయవచ్చు, తద్వారా అది "ఏదో ఒకవిధంగా పని చేస్తుంది."
కానీ మీరు ఎంత ఎక్కువ నేర్చుకుంటే, ఈ పని అంత సులభం అనిపించడం ప్రారంభమవుతుంది. నాకు వ్యక్తిగతంగా, ఈ అంశం, ఆఫీస్ నెట్వర్క్ డిజైన్ యొక్క అంశం, అస్సలు సరళంగా అనిపించదు మరియు ఈ వ్యాసంలో నేను ఎందుకు వివరించడానికి ప్రయత్నిస్తాను.
సంక్షిప్తంగా, పరిగణించవలసిన కొన్ని అంశాలు ఉన్నాయి. తరచుగా ఈ కారకాలు ఒకదానికొకటి విరుద్ధంగా ఉంటాయి మరియు సహేతుకమైన రాజీని వెతకాలి.
ఈ అనిశ్చితి ప్రధాన కష్టం. కాబట్టి, భద్రత గురించి మాట్లాడుతూ, మనకు మూడు శీర్షాలతో కూడిన త్రిభుజం ఉంది: భద్రత, ఉద్యోగులకు సౌలభ్యం, పరిష్కారం యొక్క ధర.
మరియు ప్రతిసారీ మీరు ఈ ముగ్గురి మధ్య రాజీ కోసం వెతకాలి.
ఇవి కొంత కాలం చెల్లిన పత్రాలు. నేను వాటిని ఇక్కడ అందిస్తున్నాను ఎందుకంటే ప్రాథమిక పథకాలు మరియు విధానం మారలేదు, కానీ అదే సమయంలో నేను ప్రదర్శన కంటే ఎక్కువగా ఇష్టపడుతున్నాను కొత్త డాక్యుమెంటేషన్.
సిస్కో సొల్యూషన్లను ఉపయోగించమని మిమ్మల్ని ప్రోత్సహించకుండా, ఈ డిజైన్ను జాగ్రత్తగా అధ్యయనం చేయడం ఉపయోగకరంగా ఉంటుందని నేను ఇప్పటికీ భావిస్తున్నాను.
ఈ వ్యాసం, ఎప్పటిలాగే, ఏ విధంగానూ పూర్తి చేసినట్లు నటించదు, కానీ ఈ సమాచారానికి అదనంగా ఉంటుంది.
వ్యాసం ముగింపులో, మేము ఇక్కడ వివరించిన భావనల పరంగా సిస్కో సేఫ్ ఆఫీస్ డిజైన్ను విశ్లేషిస్తాము.
సాధారణ సూత్రాలు
ఆఫీస్ నెట్వర్క్ రూపకల్పన తప్పనిసరిగా చర్చించబడిన సాధారణ అవసరాలను తీర్చాలి ఇక్కడ "డిజైన్ నాణ్యతను అంచనా వేయడానికి ప్రమాణాలు" అనే అధ్యాయంలో. ధర మరియు భద్రతతో పాటు, మేము ఈ కథనంలో చర్చించాలనుకుంటున్నాము, రూపకల్పన చేసేటప్పుడు (లేదా మార్పులు చేసేటప్పుడు) మనం పరిగణించవలసిన మూడు ప్రమాణాలు ఇంకా ఉన్నాయి:
స్కేలబిలిటీ
వాడుకలో సౌలభ్యం (నిర్వహణ సామర్థ్యం)
లభ్యత
చాలా వరకు చర్చించారు డేటా కేంద్రాలు ఇది కార్యాలయానికి కూడా వర్తిస్తుంది.
కానీ ఇప్పటికీ, ఆఫీస్ సెగ్మెంట్ దాని స్వంత ప్రత్యేకతలను కలిగి ఉంది, ఇది భద్రతా కోణం నుండి క్లిష్టమైనది. ఈ విశిష్టత యొక్క సారాంశం ఏమిటంటే, సంస్థ యొక్క ఉద్యోగులకు (అలాగే భాగస్వాములు మరియు అతిథులు) నెట్వర్క్ సేవలను అందించడానికి ఈ విభాగం సృష్టించబడింది మరియు ఫలితంగా, సమస్య యొక్క అత్యున్నత స్థాయి పరిశీలనలో మాకు రెండు పనులు ఉన్నాయి:
ఉద్యోగులు (అతిథులు, భాగస్వాములు) మరియు వారు ఉపయోగించే సాఫ్ట్వేర్ నుండి వచ్చే హానికరమైన చర్యల నుండి కంపెనీ వనరులను రక్షించండి. ఇది నెట్వర్క్కు అనధికార కనెక్షన్ నుండి రక్షణను కూడా కలిగి ఉంటుంది.
సిస్టమ్లు మరియు వినియోగదారు డేటాను రక్షించండి
మరియు ఇది సమస్య యొక్క ఒక వైపు మాత్రమే (లేదా బదులుగా, త్రిభుజం యొక్క ఒక శీర్షం). మరొక వైపు వినియోగదారు సౌలభ్యం మరియు ఉపయోగించిన పరిష్కారాల ధర.
ఆధునిక కార్యాలయ నెట్వర్క్ నుండి వినియోగదారు ఏమి ఆశిస్తున్నారో చూడటం ద్వారా ప్రారంభిద్దాం.
సౌలభ్యం
నా అభిప్రాయం ప్రకారం కార్యాలయ వినియోగదారు కోసం "నెట్వర్క్ సౌకర్యాలు" ఎలా ఉంటాయో ఇక్కడ ఉంది:
చైతన్యం
పూర్తి స్థాయి తెలిసిన పరికరాలు మరియు ఆపరేటింగ్ సిస్టమ్లను ఉపయోగించగల సామర్థ్యం
అవసరమైన అన్ని కంపెనీ వనరులకు సులభంగా యాక్సెస్
వివిధ క్లౌడ్ సేవలతో సహా ఇంటర్నెట్ వనరుల లభ్యత
నెట్వర్క్ యొక్క "ఫాస్ట్ ఆపరేషన్"
ఇవన్నీ ఉద్యోగులు మరియు అతిథులు (లేదా భాగస్వాములు) ఇద్దరికీ వర్తిస్తాయి మరియు అధికారం ఆధారంగా వివిధ వినియోగదారు సమూహాలకు ప్రాప్యతను వేరు చేయడం కంపెనీ ఇంజనీర్ల పని.
ఈ అంశాలలో ప్రతిదానిని కొంచెం వివరంగా చూద్దాం.
చైతన్యం
మేము ప్రపంచంలో ఎక్కడి నుండైనా అవసరమైన అన్ని కంపెనీ వనరులను పని చేయడానికి మరియు ఉపయోగించుకునే అవకాశం గురించి మాట్లాడుతున్నాము (వాస్తవానికి, ఇంటర్నెట్ అందుబాటులో ఉన్న చోట).
ఇది కార్యాలయానికి పూర్తిగా వర్తిస్తుంది. కార్యాలయంలో ఎక్కడి నుండైనా పనిని కొనసాగించడానికి మీకు అవకాశం ఉన్నప్పుడు ఇది సౌకర్యవంతంగా ఉంటుంది, ఉదాహరణకు, మెయిల్ స్వీకరించడం, కార్పొరేట్ మెసెంజర్లో కమ్యూనికేట్ చేయడం, వీడియో కాల్ కోసం అందుబాటులో ఉండటం, ... అందువలన, ఇది మిమ్మల్ని అనుమతిస్తుంది, ఒక వైపు, కొన్ని సమస్యలను పరిష్కరించడానికి "ప్రత్యక్ష" కమ్యూనికేషన్ (ఉదాహరణకు, ర్యాలీలలో పాల్గొనండి), మరియు మరోవైపు, ఎల్లప్పుడూ ఆన్లైన్లో ఉండండి, మీ వేలును పల్స్లో ఉంచండి మరియు కొన్ని అత్యవసర అధిక-ప్రాధాన్య పనులను త్వరగా పరిష్కరించండి. ఇది చాలా సౌకర్యవంతంగా ఉంటుంది మరియు కమ్యూనికేషన్ల నాణ్యతను నిజంగా మెరుగుపరుస్తుంది.
ఇది సరైన WiFi నెట్వర్క్ రూపకల్పన ద్వారా సాధించబడుతుంది.
వ్యాఖ్య
ఇక్కడ ప్రశ్న సాధారణంగా తలెత్తుతుంది: వైఫైని మాత్రమే ఉపయోగించడం సరిపోతుందా? మీరు ఆఫీసులో ఈథర్నెట్ పోర్ట్లను ఉపయోగించడం మానివేయవచ్చని దీని అర్థం? మేము సాధారణ ఈథర్నెట్ పోర్ట్తో కనెక్ట్ చేయడానికి ఇప్పటికీ సహేతుకమైన సర్వర్ల గురించి కాకుండా వినియోగదారుల గురించి మాత్రమే మాట్లాడుతున్నట్లయితే, సాధారణంగా సమాధానం: అవును, మీరు వైఫైకి మాత్రమే పరిమితం చేసుకోవచ్చు. కానీ సూక్ష్మ నైపుణ్యాలు ఉన్నాయి.
ప్రత్యేక విధానం అవసరమయ్యే ముఖ్యమైన వినియోగదారు సమూహాలు ఉన్నాయి. వీరు, వాస్తవానికి, నిర్వాహకులు. సూత్రప్రాయంగా, WiFi కనెక్షన్ తక్కువ విశ్వసనీయమైనది (ట్రాఫిక్ నష్టం పరంగా) మరియు సాధారణ ఈథర్నెట్ పోర్ట్ కంటే నెమ్మదిగా ఉంటుంది. ఇది నిర్వాహకులకు ముఖ్యమైనది కావచ్చు. అదనంగా, నెట్వర్క్ నిర్వాహకులు, ఉదాహరణకు, సూత్రప్రాయంగా, బ్యాండ్ వెలుపల కనెక్షన్ల కోసం వారి స్వంత ప్రత్యేక ఈథర్నెట్ నెట్వర్క్ను కలిగి ఉంటారు.
మీ కంపెనీలో ఇతర సమూహాలు/డిపార్ట్మెంట్లు ఉండవచ్చు, వీటికి ఈ అంశాలు కూడా ముఖ్యమైనవి.
మరొక ముఖ్యమైన విషయం ఉంది - టెలిఫోనీ. బహుశా కొన్ని కారణాల వల్ల మీరు వైర్లెస్ VoIPని ఉపయోగించకూడదు మరియు సాధారణ ఈథర్నెట్ కనెక్షన్తో IP ఫోన్లను ఉపయోగించాలనుకుంటున్నారు.
సాధారణంగా, నేను పనిచేసిన కంపెనీలకు సాధారణంగా WiFi కనెక్టివిటీ మరియు ఈథర్నెట్ పోర్ట్ రెండూ ఉంటాయి.
మొబిలిటీ కేవలం ఆఫీసుకే పరిమితం కాకూడదని నేను కోరుకుంటున్నాను.
ఇంటి నుండి పని చేసే సామర్థ్యాన్ని నిర్ధారించడానికి (లేదా యాక్సెస్ చేయగల ఇంటర్నెట్ ఉన్న ఏదైనా ఇతర ప్రదేశం), VPN కనెక్షన్ ఉపయోగించబడుతుంది. అదే సమయంలో, ఉద్యోగులు ఇంటి నుండి పని చేయడం మరియు రిమోట్ వర్క్ల మధ్య వ్యత్యాసాన్ని అనుభవించకపోవడం మంచిది, ఇది అదే యాక్సెస్ను ఊహిస్తుంది. “ఏకీకృత కేంద్రీకృత ప్రామాణీకరణ మరియు అధికార వ్యవస్థ” అనే అధ్యాయంలో దీన్ని ఎలా నిర్వహించాలో మేము కొంచెం తరువాత చర్చిస్తాము.
వ్యాఖ్య
చాలా మటుకు, మీరు కార్యాలయంలో ఉన్న రిమోట్ పని కోసం అదే నాణ్యత సేవలను పూర్తిగా అందించలేరు. మీరు మీ VPN గేట్వేగా Cisco ASA 5520ని ఉపయోగిస్తున్నారని అనుకుందాం. సమాచార పట్టిక ఈ పరికరం కేవలం 225 Mbit VPN ట్రాఫిక్ను మాత్రమే "జీర్ణించగలదు". అంటే, బ్యాండ్విడ్త్ పరంగా, VPN ద్వారా కనెక్ట్ చేయడం కార్యాలయం నుండి పని చేయడానికి చాలా భిన్నంగా ఉంటుంది. అలాగే, మీ నెట్వర్క్ సేవల కోసం కొన్ని కారణాల వల్ల, జాప్యం, నష్టం, జిట్టర్ (ఉదాహరణకు, మీరు ఆఫీస్ IP టెలిఫోనీని ఉపయోగించాలనుకుంటున్నారు) ముఖ్యమైనవి అయితే, మీరు ఆఫీసులో ఉన్నప్పుడు అదే నాణ్యతను కూడా అందుకోలేరు. అందువల్ల, చలనశీలత గురించి మాట్లాడేటప్పుడు, సాధ్యమయ్యే పరిమితుల గురించి మనం తెలుసుకోవాలి.
అన్ని కంపెనీ వనరులకు సులభంగా యాక్సెస్
ఈ పనిని ఇతర సాంకేతిక విభాగాలతో సంయుక్తంగా పరిష్కరించాలి.
వినియోగదారుడు ఒకసారి మాత్రమే ప్రామాణీకరించవలసి వచ్చినప్పుడు ఆదర్శవంతమైన పరిస్థితి, మరియు ఆ తర్వాత అతను అవసరమైన అన్ని వనరులకు ప్రాప్యత కలిగి ఉంటాడు.
భద్రతను త్యాగం చేయకుండా సులభంగా యాక్సెస్ అందించడం ఉత్పాదకతను గణనీయంగా మెరుగుపరుస్తుంది మరియు మీ సహోద్యోగులలో ఒత్తిడిని తగ్గిస్తుంది.
వ్యాఖ్య 1
యాక్సెస్ సౌలభ్యం అనేది మీరు పాస్వర్డ్ను ఎన్నిసార్లు నమోదు చేయాలి అనే దాని గురించి మాత్రమే కాదు. ఉదాహరణకు, మీ భద్రతా విధానానికి అనుగుణంగా, కార్యాలయం నుండి డేటా సెంటర్కు కనెక్ట్ కావడానికి, మీరు ముందుగా VPN గేట్వేకి కనెక్ట్ అవ్వాలి మరియు అదే సమయంలో మీరు కార్యాలయ వనరులకు ప్రాప్యతను కోల్పోతే, ఇది కూడా చాలా ఎక్కువ , చాలా అసౌకర్యంగా.
వ్యాఖ్య 2
సేవలు (ఉదాహరణకు, నెట్వర్క్ పరికరాలకు యాక్సెస్) ఉన్నాయి, ఇక్కడ మేము సాధారణంగా మా స్వంత ప్రత్యేక AAA సర్వర్లను కలిగి ఉంటాము మరియు ఈ సందర్భంలో మనం చాలాసార్లు ప్రమాణీకరించవలసి వచ్చినప్పుడు ఇది కట్టుబాటు.
ఇంటర్నెట్ వనరుల లభ్యత
ఇంటర్నెట్ అనేది వినోదం మాత్రమే కాదు, పని కోసం చాలా ఉపయోగకరంగా ఉండే సేవల సమితి కూడా. పూర్తిగా మానసిక కారకాలు కూడా ఉన్నాయి. ఒక ఆధునిక వ్యక్తి అనేక వర్చువల్ థ్రెడ్ల ద్వారా ఇంటర్నెట్ ద్వారా ఇతర వ్యక్తులతో కనెక్ట్ అయ్యాడు మరియు నా అభిప్రాయం ప్రకారం, అతను పని చేస్తున్నప్పుడు కూడా ఈ కనెక్షన్ను అనుభవిస్తే తప్పు లేదు.
సమయాన్ని వృధా చేసే దృక్కోణంలో, ఒక ఉద్యోగి, ఉదాహరణకు, స్కైప్ నడుస్తున్నట్లయితే మరియు అవసరమైతే ప్రియమైన వారితో 5 నిమిషాలు కమ్యూనికేట్ చేస్తే తప్పు లేదు.
ఇంటర్నెట్ ఎల్లప్పుడూ అందుబాటులో ఉండాలని దీని అర్థం, ఉద్యోగులు అన్ని వనరులను యాక్సెస్ చేయగలరని మరియు వాటిని ఏ విధంగానూ నియంత్రించకూడదని దీని అర్థం?
లేదు అంటే అది కాదు. ఇంటర్నెట్ యొక్క నిష్కాపట్యత స్థాయి వేర్వేరు కంపెనీలకు మారవచ్చు - పూర్తి మూసివేత నుండి పూర్తి బహిరంగత వరకు. భద్రతా చర్యలపై సెక్షన్లలో ట్రాఫిక్ను నియంత్రించే మార్గాలను మేము తరువాత చర్చిస్తాము.
పూర్తి స్థాయి తెలిసిన పరికరాలను ఉపయోగించగల సామర్థ్యం
ఉదాహరణకు, మీరు పనిలో ఉపయోగించిన అన్ని కమ్యూనికేషన్ మార్గాలను ఉపయోగించడం కొనసాగించడానికి మీకు అవకాశం ఉన్నప్పుడు ఇది సౌకర్యవంతంగా ఉంటుంది. సాంకేతికంగా దీన్ని అమలు చేయడంలో ఎలాంటి ఇబ్బంది లేదు. దీని కోసం మీకు వైఫై మరియు గెస్ట్ విలన్ అవసరం.
మీరు ఉపయోగించిన ఆపరేటింగ్ సిస్టమ్ను ఉపయోగించడానికి మీకు అవకాశం ఉంటే అది కూడా మంచిది. కానీ, నా పరిశీలనలో, ఇది సాధారణంగా నిర్వాహకులు, నిర్వాహకులు మరియు డెవలపర్లకు మాత్రమే అనుమతించబడుతుంది.
ఉదాహరణకు
మీరు నిషేధాల మార్గాన్ని అనుసరించవచ్చు, రిమోట్ యాక్సెస్ను నిషేధించవచ్చు, మొబైల్ పరికరాల నుండి కనెక్ట్ చేయడాన్ని నిషేధించవచ్చు, స్టాటిక్ ఈథర్నెట్ కనెక్షన్లకు అన్నింటినీ పరిమితం చేయవచ్చు, ఇంటర్నెట్కు ప్రాప్యతను పరిమితం చేయవచ్చు, చెక్పాయింట్ వద్ద సెల్ ఫోన్లు మరియు గాడ్జెట్లను నిర్బంధంగా జప్తు చేయవచ్చు... మరియు ఈ మార్గం వాస్తవానికి పెరిగిన భద్రతా అవసరాలతో కొన్ని సంస్థలు అనుసరిస్తాయి మరియు బహుశా కొన్ని సందర్భాల్లో ఇది సమర్థించబడవచ్చు, కానీ... ఇది ఒకే సంస్థలో పురోగతిని ఆపడానికి చేసిన ప్రయత్నంగా కనిపిస్తుందని మీరు అంగీకరించాలి. వాస్తవానికి, నేను ఆధునిక సాంకేతికతలు అందించే అవకాశాలను తగినంత స్థాయి భద్రతతో కలపాలనుకుంటున్నాను.
నెట్వర్క్ యొక్క "ఫాస్ట్ ఆపరేషన్"
డేటా బదిలీ వేగం సాంకేతికంగా అనేక అంశాలను కలిగి ఉంటుంది. మరియు మీ కనెక్షన్ పోర్ట్ యొక్క వేగం సాధారణంగా చాలా ముఖ్యమైనది కాదు. అప్లికేషన్ యొక్క స్లో ఆపరేషన్ ఎల్లప్పుడూ నెట్వర్క్ సమస్యలతో అనుబంధించబడదు, కానీ ప్రస్తుతానికి మేము నెట్వర్క్ భాగంపై మాత్రమే ఆసక్తి కలిగి ఉన్నాము. స్థానిక నెట్వర్క్ "స్లోడౌన్"తో అత్యంత సాధారణ సమస్య ప్యాకెట్ నష్టానికి సంబంధించినది. ఇది సాధారణంగా అడ్డంకి లేదా L1 (OSI) సమస్యలు ఉన్నప్పుడు సంభవిస్తుంది. చాలా అరుదుగా, కొన్ని డిజైన్లతో (ఉదాహరణకు, మీ సబ్నెట్లు డిఫాల్ట్ గేట్వేగా ఫైర్వాల్ని కలిగి ఉన్నప్పుడు మరియు ట్రాఫిక్ మొత్తం దాని గుండా వెళుతున్నప్పుడు), హార్డ్వేర్ పనితీరు లోపించవచ్చు.
అందువల్ల, పరికరాలు మరియు నిర్మాణాన్ని ఎన్నుకునేటప్పుడు, మీరు ఎండ్ పోర్ట్లు, ట్రంక్లు మరియు పరికరాల పనితీరు యొక్క వేగాన్ని పరస్పరం అనుసంధానించాలి.
ఉదాహరణకు
మీరు 1 గిగాబిట్ పోర్ట్లతో ఉన్న స్విచ్లను యాక్సెస్ లేయర్ స్విచ్లుగా ఉపయోగిస్తున్నారని అనుకుందాం. అవి ఈథర్ఛానల్ 2 x 10 గిగాబిట్ల ద్వారా ఒకదానికొకటి కనెక్ట్ చేయబడ్డాయి. డిఫాల్ట్ గేట్వేగా, మీరు గిగాబిట్ పోర్ట్లతో ఫైర్వాల్ని ఉపయోగిస్తారు, వీటిని L2 ఆఫీస్ నెట్వర్క్కి కనెక్ట్ చేయడానికి మీరు 2 గిగాబిట్ పోర్ట్లను ఈథర్చానెల్లో కలిపి ఉపయోగిస్తారు.
ఈ ఆర్కిటెక్చర్ ఫంక్షనాలిటీ పాయింట్ నుండి చాలా సౌకర్యవంతంగా ఉంటుంది, ఎందుకంటే... మొత్తం ట్రాఫిక్ ఫైర్వాల్ గుండా వెళుతుంది మరియు మీరు యాక్సెస్ విధానాలను సౌకర్యవంతంగా నిర్వహించవచ్చు మరియు ట్రాఫిక్ను నియంత్రించడానికి మరియు సాధ్యమయ్యే దాడులను నిరోధించడానికి సంక్లిష్టమైన అల్గారిథమ్లను వర్తింపజేయవచ్చు (క్రింద చూడండి), కానీ నిర్గమాంశ మరియు పనితీరు దృక్కోణం నుండి ఈ డిజైన్కు సంభావ్య సమస్యలు ఉన్నాయి. కాబట్టి, ఉదాహరణకు, 2 హోస్ట్లు డౌన్లోడ్ చేసే డేటా (1 గిగాబిట్ పోర్ట్ వేగంతో) ఫైర్వాల్కు 2 గిగాబిట్ కనెక్షన్ను పూర్తిగా లోడ్ చేయగలదు మరియు తద్వారా మొత్తం ఆఫీస్ సెగ్మెంట్కు సేవ క్షీణతకు దారితీస్తుంది.
మేము త్రిభుజం యొక్క ఒక శీర్షాన్ని చూశాము, ఇప్పుడు మనం భద్రతను ఎలా నిర్ధారించవచ్చో చూద్దాం.
నివారణలు
కాబట్టి, వాస్తవానికి, సాధారణంగా మా కోరిక (లేదా బదులుగా, మా నిర్వహణ యొక్క కోరిక) అసాధ్యమైనదాన్ని సాధించడం, అవి గరిష్ట భద్రత మరియు కనీస ఖర్చుతో గరిష్ట సౌలభ్యాన్ని అందించడం.
రక్షణ కల్పించడానికి మనకు ఎలాంటి పద్ధతులు ఉన్నాయో చూద్దాం.
కార్యాలయం కోసం, నేను ఈ క్రింది వాటిని హైలైట్ చేస్తాను:
రూపకల్పనకు సున్నా ట్రస్ట్ విధానం
అధిక స్థాయి రక్షణ
నెట్వర్క్ దృశ్యమానత
ఏకీకృత కేంద్రీకృత ప్రమాణీకరణ మరియు అధికార వ్యవస్థ
హోస్ట్ తనిఖీ
తరువాత, మేము ఈ అంశాలలో ప్రతిదానిపై కొంచెం వివరంగా నివసిస్తాము.
జీరో ట్రస్ట్
ఐటీ ప్రపంచం చాలా వేగంగా మారుతోంది. గత 10 సంవత్సరాలలో, కొత్త సాంకేతికతలు మరియు ఉత్పత్తుల ఆవిర్భావం భద్రతా భావనల యొక్క ప్రధాన పునర్విమర్శకు దారితీసింది. పది సంవత్సరాల క్రితం, భద్రతా కోణం నుండి, మేము నెట్వర్క్ను ట్రస్ట్, dmz మరియు అవిశ్వాస జోన్లుగా విభజించాము మరియు "పరిమిత రక్షణ" అని పిలవబడే వాటిని ఉపయోగించాము, ఇక్కడ 2 రక్షణ మార్గాలు ఉన్నాయి: అవిశ్వాసం -> dmz మరియు dmz -> నమ్మకం. అలాగే, రక్షణ సాధారణంగా L3/L4 (OSI) హెడర్ల (IP, TCP/UDP పోర్ట్లు, TCP ఫ్లాగ్లు) ఆధారంగా యాక్సెస్ జాబితాలకు పరిమితం చేయబడింది. L7తో సహా ఉన్నత స్థాయిలకు సంబంధించిన ప్రతిదీ OS మరియు ఎండ్ హోస్ట్లలో ఇన్స్టాల్ చేయబడిన భద్రతా ఉత్పత్తులకు వదిలివేయబడింది.
ఇప్పుడు పరిస్థితి ఒక్కసారిగా మారిపోయింది. ఆధునిక భావన సున్నా విశ్వాసం అంతర్గత వ్యవస్థలను పరిగణలోకి తీసుకోవడం ఇకపై సాధ్యం కాదు, అంటే చుట్టుకొలత లోపల ఉన్న వాటిని విశ్వసనీయమైనదిగా పరిగణించడం మరియు చుట్టుకొలత యొక్క భావన అస్పష్టంగా మారింది.
ఇంటర్నెట్ కనెక్షన్తో పాటు మనకు కూడా ఉంది
రిమోట్ యాక్సెస్ VPN వినియోగదారులు
వివిధ వ్యక్తిగత గాడ్జెట్లు, తీసుకొచ్చిన ల్యాప్టాప్లు, ఆఫీస్ వైఫై ద్వారా కనెక్ట్ చేయబడ్డాయి
ఇతర (బ్రాంచ్) కార్యాలయాలు
క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్తో ఏకీకరణ
జీరో ట్రస్ట్ విధానం ఆచరణలో ఎలా ఉంటుంది?
ఆదర్శవంతంగా, అవసరమైన ట్రాఫిక్ మాత్రమే అనుమతించబడాలి మరియు మేము ఒక ఆదర్శం గురించి మాట్లాడుతున్నట్లయితే, నియంత్రణ L3/L4 స్థాయిలో మాత్రమే కాకుండా అప్లికేషన్ స్థాయిలో ఉండాలి.
ఉదాహరణకు, మీరు ఫైర్వాల్ ద్వారా మొత్తం ట్రాఫిక్ను పాస్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటే, మీరు ఆదర్శానికి దగ్గరగా ఉండటానికి ప్రయత్నించవచ్చు. కానీ ఈ విధానం మీ నెట్వర్క్ యొక్క మొత్తం బ్యాండ్విడ్త్ను గణనీయంగా తగ్గిస్తుంది మరియు దానితో పాటు, అప్లికేషన్ ద్వారా ఫిల్టర్ చేయడం ఎల్లప్పుడూ బాగా పని చేయదు.
రూటర్ లేదా L3 స్విచ్ (ప్రామాణిక ACLలను ఉపయోగించి)పై ట్రాఫిక్ను నియంత్రించేటప్పుడు, మీరు ఇతర సమస్యలను ఎదుర్కొంటారు:
ఇది L3/L4 ఫిల్టరింగ్ మాత్రమే. దాడి చేసే వ్యక్తి తమ అప్లికేషన్ (http కాదు) కోసం అనుమతించబడిన పోర్ట్లను (ఉదా. TCP 80) ఉపయోగించకుండా అడ్డుకోవడం ఏమీ లేదు.
సంక్లిష్ట ACL నిర్వహణ (ACLలను అన్వయించడం కష్టం)
ఇది స్టేట్ఫుల్ ఫైర్వాల్ కాదు, అంటే మీరు రివర్స్ ట్రాఫిక్ను స్పష్టంగా అనుమతించాలి
స్విచ్లతో మీరు సాధారణంగా TCAM పరిమాణంతో చాలా కఠినంగా పరిమితం చేయబడతారు, మీరు "మీకు అవసరమైన వాటిని మాత్రమే అనుమతించు" విధానాన్ని తీసుకుంటే త్వరగా సమస్యగా మారవచ్చు.
వ్యాఖ్య
రివర్స్ ట్రాఫిక్ గురించి మాట్లాడుతూ, మనకు ఈ క్రింది అవకాశం ఉందని గుర్తుంచుకోవాలి (సిస్కో)
ఏదైనా స్థాపించబడిన tcpని అనుమతించండి
కానీ ఈ లైన్ రెండు పంక్తులకు సమానం అని మీరు అర్థం చేసుకోవాలి:
tcp ఏదైనా యాక్ని అనుమతించండి
ఏదైనా ముందుగా tcpని అనుమతించండి
అంటే SYN ఫ్లాగ్తో ప్రారంభ TCP సెగ్మెంట్ లేకపోయినా (అంటే TCP సెషన్ను స్థాపించడం కూడా ప్రారంభించలేదు), ఈ ACL ACK ఫ్లాగ్తో కూడిన ప్యాకెట్ను అనుమతిస్తుంది, దాడి చేసే వ్యక్తి డేటాను బదిలీ చేయడానికి ఉపయోగించవచ్చు.
అంటే, ఈ లైన్ మీ రూటర్ లేదా L3 స్విచ్ని స్టేట్ఫుల్ ఫైర్వాల్గా మార్చదు.
అధిక స్థాయి రక్షణ
В వ్యాసం డేటా సెంటర్ల విభాగంలో, మేము ఈ క్రింది రక్షణ పద్ధతులను పరిగణించాము.
స్టేట్ఫుల్ ఫైర్వాల్లింగ్ (డిఫాల్ట్)
ddos/dos రక్షణ
అప్లికేషన్ ఫైర్వాల్లింగ్
ముప్పు నివారణ (యాంటీవైరస్, యాంటీ-స్పైవేర్ మరియు దుర్బలత్వం)
URL ఫిల్టరింగ్
డేటా ఫిల్టరింగ్ (కంటెంట్ ఫిల్టరింగ్)
ఫైల్ బ్లాకింగ్ (ఫైల్ రకాలు నిరోధించడం)
కార్యాలయం విషయంలో, పరిస్థితి ఒకేలా ఉంటుంది, కానీ ప్రాధాన్యతలు కొద్దిగా భిన్నంగా ఉంటాయి. ఆఫీస్ లభ్యత (లభ్యత) సాధారణంగా డేటా సెంటర్ విషయంలో అంత క్లిష్టమైనది కాదు, అయితే "అంతర్గత" హానికరమైన ట్రాఫిక్ సంభావ్యత ఎక్కువగా ఉంటుంది.
కాబట్టి, ఈ విభాగానికి కింది రక్షణ పద్ధతులు కీలకం:
అప్లికేషన్ ఫైర్వాల్లింగ్
ముప్పు నివారణ (యాంటీ వైరస్, యాంటీ-స్పైవేర్ మరియు దుర్బలత్వం)
URL ఫిల్టరింగ్
డేటా ఫిల్టరింగ్ (కంటెంట్ ఫిల్టరింగ్)
ఫైల్ బ్లాకింగ్ (ఫైల్ రకాలు నిరోధించడం)
అప్లికేషన్ ఫైర్వాల్లింగ్ మినహా ఈ రక్షణ పద్ధతులన్నీ సాంప్రదాయకంగా ఎండ్ హోస్ట్లలో (ఉదాహరణకు, యాంటీవైరస్ ప్రోగ్రామ్లను ఇన్స్టాల్ చేయడం ద్వారా) మరియు ప్రాక్సీలను ఉపయోగించి పరిష్కరించబడుతున్నప్పటికీ, ఆధునిక NGFWలు కూడా ఈ సేవలను అందిస్తాయి.
భద్రతా పరికరాల విక్రేతలు సమగ్ర రక్షణను సృష్టించేందుకు కృషి చేస్తారు, కాబట్టి స్థానిక రక్షణతో పాటు, వారు హోస్ట్ల కోసం వివిధ క్లౌడ్ టెక్నాలజీలు మరియు క్లయింట్ సాఫ్ట్వేర్లను అందిస్తారు (ఎండ్ పాయింట్ ప్రొటెక్షన్/EPP). కాబట్టి, ఉదాహరణకు, నుండి 2018 గార్ట్నర్ మ్యాజిక్ క్వాడ్రంట్ పాలో ఆల్టో మరియు సిస్కో వారి స్వంత EPPలను (PA: ట్రాప్స్, సిస్కో: AMP) కలిగి ఉన్నాయని మేము చూస్తున్నాము, కానీ అవి నాయకులకు దూరంగా ఉన్నాయి.
మీ ఫైర్వాల్లో ఈ రక్షణలను (సాధారణంగా లైసెన్స్లను కొనుగోలు చేయడం ద్వారా) ప్రారంభించడం తప్పనిసరి కాదు (మీరు సాంప్రదాయ మార్గంలో వెళ్లవచ్చు), కానీ ఇది కొన్ని ప్రయోజనాలను అందిస్తుంది:
ఈ సందర్భంలో, రక్షణ పద్ధతుల అప్లికేషన్ యొక్క ఒకే పాయింట్ ఉంది, ఇది దృశ్యమానతను మెరుగుపరుస్తుంది (తదుపరి అంశాన్ని చూడండి).
మీ నెట్వర్క్లో అసురక్షిత పరికరం ఉన్నట్లయితే, అది ఇప్పటికీ ఫైర్వాల్ రక్షణ "గొడుగు" కిందకు వస్తుంది
ఎండ్-హోస్ట్ రక్షణతో కలిపి ఫైర్వాల్ రక్షణను ఉపయోగించడం ద్వారా, మేము హానికరమైన ట్రాఫిక్ను గుర్తించే అవకాశాన్ని పెంచుతాము. ఉదాహరణకు, స్థానిక హోస్ట్లపై మరియు ఫైర్వాల్పై ముప్పు నివారణను ఉపయోగించడం ద్వారా గుర్తించే అవకాశం పెరుగుతుంది (అయితే, ఈ పరిష్కారాలు వేర్వేరు సాఫ్ట్వేర్ ఉత్పత్తులపై ఆధారపడి ఉంటాయి)
వ్యాఖ్య
ఉదాహరణకు, మీరు కాస్పెర్స్కీని ఫైర్వాల్లో మరియు చివరి హోస్ట్లలో యాంటీవైరస్గా ఉపయోగిస్తే, ఇది మీ నెట్వర్క్పై వైరస్ దాడిని నిరోధించే అవకాశాలను పెద్దగా పెంచదు.
నెట్వర్క్ దృశ్యమానత
ప్రధానమైన ఆలోచన సులభం - నిజ సమయంలో మరియు చారిత్రక డేటా రెండింటిలోనూ మీ నెట్వర్క్లో ఏమి జరుగుతుందో “చూడండి”.
నేను ఈ "దృష్టి"ని రెండు గ్రూపులుగా విభజిస్తాను:
గ్రూప్ వన్: మీ పర్యవేక్షణ వ్యవస్థ సాధారణంగా మీకు ఏమి అందిస్తుంది.
పరికరాలు లోడ్ అవుతోంది
ఛానెల్లను లోడ్ చేస్తోంది
మెమరీ వినియోగం
డిస్క్ వినియోగం
రూటింగ్ పట్టికను మార్చడం
లింక్ స్థితి
పరికరాల లభ్యత (లేదా హోస్ట్లు)
...
గ్రూప్ రెండు: భద్రత సంబంధిత సమాచారం.
వివిధ రకాల గణాంకాలు (ఉదాహరణకు, అప్లికేషన్ ద్వారా, URL ట్రాఫిక్ ద్వారా, ఏ రకమైన డేటా డౌన్లోడ్ చేయబడింది, వినియోగదారు డేటా)
భద్రతా విధానాల ద్వారా ఏమి నిరోధించబడింది మరియు ఏ కారణం వలన, అవి
నిషేధించబడిన అప్లికేషన్
ip/ప్రోటోకాల్/పోర్ట్/ఫ్లాగ్లు/జోన్ల ఆధారంగా నిషేధించబడింది
ముప్పు నివారణ
url వడపోత
డేటా ఫిల్టరింగ్
ఫైల్ నిరోధించడం
...
DOS/DDOS దాడులపై గణాంకాలు
గుర్తింపు మరియు అధికార ప్రయత్నాలు విఫలమయ్యాయి
పైన పేర్కొన్న అన్ని భద్రతా విధాన ఉల్లంఘన ఈవెంట్ల గణాంకాలు
...
భద్రతపై ఈ అధ్యాయంలో, మేము రెండవ భాగంలో ఆసక్తి కలిగి ఉన్నాము.
కొన్ని ఆధునిక ఫైర్వాల్లు (నా పాలో ఆల్టో అనుభవం నుండి) మంచి స్థాయి దృశ్యమానతను అందిస్తాయి. అయితే, మీకు ఆసక్తి ఉన్న ట్రాఫిక్ తప్పనిసరిగా ఈ ఫైర్వాల్ ద్వారా వెళ్లాలి (ఈ సందర్భంలో మీకు ట్రాఫిక్ను నిరోధించే సామర్థ్యం ఉంది) లేదా ఫైర్వాల్కు ప్రతిబింబించాలి (పర్యవేక్షణ మరియు విశ్లేషణ కోసం మాత్రమే ఉపయోగించబడుతుంది), మరియు అన్నింటినీ ఎనేబుల్ చేయడానికి మీరు తప్పనిసరిగా లైసెన్స్లను కలిగి ఉండాలి ఈ సేవలు.
వాస్తవానికి, ప్రత్యామ్నాయ మార్గం లేదా సాంప్రదాయ మార్గం ఉంది, ఉదాహరణకు,
సెషన్ గణాంకాలను నెట్ఫ్లో ద్వారా సేకరించవచ్చు మరియు సమాచార విశ్లేషణ మరియు డేటా విజువలైజేషన్ కోసం ప్రత్యేక యుటిలిటీలను ఉపయోగించవచ్చు
ముప్పు నివారణ - ముగింపు హోస్ట్లపై ప్రత్యేక ప్రోగ్రామ్లు (యాంటీ వైరస్, యాంటీ-స్పైవేర్, ఫైర్వాల్).
URL ఫిల్టరింగ్, డేటా ఫిల్టరింగ్, ఫైల్ బ్లాకింగ్ – ప్రాక్సీలో
ఉదా ఉపయోగించి tcpdump విశ్లేషించడం కూడా సాధ్యమే. గురక
మీరు ఈ రెండు విధానాలను మిళితం చేయవచ్చు, తప్పిపోయిన ఫీచర్లను పూర్తి చేయవచ్చు లేదా దాడిని గుర్తించే సంభావ్యతను పెంచడానికి వాటిని నకిలీ చేయవచ్చు.
మీరు ఏ విధానాన్ని ఎంచుకోవాలి?
మీ బృందం యొక్క అర్హతలు మరియు ప్రాధాన్యతలపై ఎక్కువగా ఆధారపడి ఉంటుంది.
అక్కడ మరియు అక్కడ రెండింటిలో లాభాలు మరియు నష్టాలు ఉన్నాయి.
ఏకీకృత కేంద్రీకృత ప్రమాణీకరణ మరియు అధికార వ్యవస్థ
చక్కగా రూపొందించబడినప్పుడు, ఈ కథనంలో మేము చర్చించిన మొబిలిటీ మీరు ఆఫీసు నుండి లేదా ఇంటి నుండి, విమానాశ్రయం నుండి, కాఫీ షాప్ నుండి లేదా మరెక్కడైనా (మేము పైన చర్చించిన పరిమితులతో) పని చేసినా మీకు ఒకే విధమైన యాక్సెస్ ఉంటుందని ఊహిస్తుంది. ఇది కనిపిస్తుంది, సమస్య ఏమిటి?
ఈ పని యొక్క సంక్లిష్టతను బాగా అర్థం చేసుకోవడానికి, ఒక సాధారణ రూపకల్పనను చూద్దాం.
ఉదాహరణకు
మీరు ఉద్యోగులందరినీ సమూహాలుగా విభజించారు. మీరు సమూహాల వారీగా యాక్సెస్ను అందించాలని నిర్ణయించుకున్నారు
కార్యాలయం లోపల, మీరు ఆఫీస్ ఫైర్వాల్పై యాక్సెస్ని నియంత్రిస్తారు
మీరు డేటా సెంటర్ ఫైర్వాల్లో కార్యాలయం నుండి డేటా సెంటర్కు ట్రాఫిక్ని నియంత్రిస్తారు
మీరు సిస్కో ASAని VPN గేట్వేగా ఉపయోగిస్తున్నారు మరియు రిమోట్ క్లయింట్ల నుండి మీ నెట్వర్క్లోకి ప్రవేశించే ట్రాఫిక్ను నియంత్రించడానికి, మీరు స్థానిక (ASAలో) ACLలను ఉపయోగిస్తారు
ఇప్పుడు, మీరు ఒక నిర్దిష్ట ఉద్యోగికి అదనపు యాక్సెస్ని జోడించమని అడిగారని అనుకుందాం. ఈ సందర్భంలో, మీరు అతనికి మాత్రమే యాక్సెస్ని జోడించమని అడగబడతారు మరియు అతని సమూహం నుండి మరెవరూ ఉండకూడదు.
దీని కోసం మేము ఈ ఉద్యోగి కోసం ప్రత్యేక సమూహాన్ని సృష్టించాలి, అంటే
ఈ ఉద్యోగి కోసం ASAలో ప్రత్యేక IP పూల్ని సృష్టించండి
ASAలో కొత్త ACLని జోడించి, దానిని ఆ రిమోట్ క్లయింట్కి బంధించండి
కార్యాలయం మరియు డేటా సెంటర్ ఫైర్వాల్లపై కొత్త భద్రతా విధానాలను రూపొందించండి
ఈ సంఘటన చాలా అరుదుగా ఉంటే మంచిది. కానీ నా ఆచరణలో ఉద్యోగులు వేర్వేరు ప్రాజెక్ట్లలో పాల్గొన్నప్పుడు పరిస్థితి ఉంది మరియు వాటిలో కొన్నింటికి ఈ ప్రాజెక్ట్లు చాలా తరచుగా మారాయి మరియు ఇది 1-2 మంది కాదు, డజన్ల కొద్దీ. వాస్తవానికి, ఇక్కడ ఏదో మార్చాల్సిన అవసరం ఉంది.
ఇది క్రింది విధంగా పరిష్కరించబడింది.
సాధ్యమయ్యే అన్ని ఉద్యోగి యాక్సెస్లను నిర్ణయించే సత్యం యొక్క ఏకైక మూలం LDAP అని మేము నిర్ణయించుకున్నాము. మేము యాక్సెస్ల సెట్లను నిర్వచించే అన్ని రకాల సమూహాలను సృష్టించాము మరియు మేము ప్రతి వినియోగదారుని ఒకటి లేదా అంతకంటే ఎక్కువ సమూహాలకు కేటాయించాము.
కాబట్టి, ఉదాహరణకు, సమూహాలు ఉన్నాయని అనుకుందాం
అతిథి (ఇంటర్నెట్ యాక్సెస్)
సాధారణ యాక్సెస్ (భాగస్వామ్య వనరులకు యాక్సెస్: మెయిల్, నాలెడ్జ్ బేస్, ...)
అకౌంటింగ్
ప్రాజెక్ట్ 1
ప్రాజెక్ట్ 2
డేటాబేస్ అడ్మినిస్ట్రేటర్
linux నిర్వాహకుడు
...
మరియు ఉద్యోగులలో ఒకరు ప్రాజెక్ట్ 1 మరియు ప్రాజెక్ట్ 2 రెండింటిలోనూ నిమగ్నమై ఉంటే మరియు ఈ ప్రాజెక్ట్లలో పని చేయడానికి అతనికి అవసరమైన యాక్సెస్ అవసరమైతే, ఈ ఉద్యోగి క్రింది సమూహాలకు కేటాయించబడతారు:
గెస్ట్
సాధారణ యాక్సెస్
ప్రాజెక్ట్ 1
ప్రాజెక్ట్ 2
ఇప్పుడు మనం ఈ సమాచారాన్ని నెట్వర్క్ పరికరాలలో యాక్సెస్గా ఎలా మార్చగలము?
మా అమలు గురించి క్లుప్తంగా, గుర్తింపు/అధికార ప్రక్రియ సమయంలో, ASA LDAP నుండి అందించబడిన వినియోగదారుకు సంబంధించిన సమూహాల సమితిని అందుకుంటుంది మరియు అనేక స్థానిక ACLల నుండి (ప్రతి ఒక్కటి సమూహానికి అనుగుణంగా ఉంటుంది) అవసరమైన అన్ని యాక్సెస్లతో కూడిన డైనమిక్ ACL నుండి "సేకరిస్తుంది". , ఇది పూర్తిగా మా కోరికలకు అనుగుణంగా ఉంటుంది.
కానీ ఇది VPN కనెక్షన్లకు మాత్రమే. VPN ద్వారా కనెక్ట్ చేయబడిన ఉద్యోగులకు మరియు కార్యాలయంలో ఉన్నవారికి పరిస్థితిని ఒకే విధంగా చేయడానికి, క్రింది దశ తీసుకోబడింది.
కార్యాలయం నుండి కనెక్ట్ చేస్తున్నప్పుడు, 802.1x ప్రోటోకాల్ని ఉపయోగించే వినియోగదారులు అతిథి LAN (అతిథుల కోసం) లేదా షేర్డ్ LAN (కంపెనీ ఉద్యోగుల కోసం)లో ముగించారు. ఇంకా, నిర్దిష్ట యాక్సెస్ (ఉదాహరణకు, డేటా సెంటర్లోని ప్రాజెక్ట్లకు) పొందడానికి, ఉద్యోగులు VPN ద్వారా కనెక్ట్ అవ్వాలి.
కార్యాలయం నుండి మరియు ఇంటి నుండి కనెక్ట్ చేయడానికి, ASAలో వివిధ సొరంగం సమూహాలు ఉపయోగించబడ్డాయి. కార్యాలయం నుండి కనెక్ట్ అయ్యే వారికి, భాగస్వామ్య వనరులకు ట్రాఫిక్ (మెయిల్, ఫైల్ సర్వర్లు, టిక్కెట్ సిస్టమ్, dns, ... వంటి ఉద్యోగులందరూ ఉపయోగించబడుతుంది) ASA ద్వారా కాకుండా స్థానిక నెట్వర్క్ ద్వారా వెళ్లడానికి ఇది అవసరం. . అందువల్ల, మేము అధిక-తీవ్రత ట్రాఫిక్తో సహా అనవసరమైన ట్రాఫిక్తో ASAని లోడ్ చేయలేదు.
ఆ విధంగా, సమస్య పరిష్కరించబడింది.
మాకు వచ్చింది
కార్యాలయం మరియు రిమోట్ కనెక్షన్ల నుండి రెండు కనెక్షన్లకు ఒకే రకమైన యాక్సెస్లు
ASA ద్వారా అధిక-తీవ్రత ట్రాఫిక్ ప్రసారానికి సంబంధించిన కార్యాలయం నుండి పని చేస్తున్నప్పుడు సేవ క్షీణత లేకపోవడం
ఈ విధానం యొక్క ఇతర ప్రయోజనాలు ఏమిటి?
యాక్సెస్ పరిపాలనలో. యాక్సెస్లను ఒకే చోట సులభంగా మార్చవచ్చు.
ఉదాహరణకు, ఒక ఉద్యోగి కంపెనీని విడిచిపెట్టినట్లయితే, మీరు అతనిని LDAP నుండి తీసివేయండి మరియు అతను స్వయంచాలకంగా మొత్తం యాక్సెస్ను కోల్పోతాడు.
హోస్ట్ తనిఖీ
రిమోట్ కనెక్షన్ యొక్క అవకాశంతో, మేము ఒక కంపెనీ ఉద్యోగిని నెట్వర్క్లోకి మాత్రమే కాకుండా, అతని కంప్యూటర్లో (ఉదాహరణకు, హోమ్) ఎక్కువగా ఉండే అన్ని హానికరమైన సాఫ్ట్వేర్లను కూడా అనుమతించే ప్రమాదం ఉంది మరియు అంతేకాకుండా, ఈ సాఫ్ట్వేర్ ద్వారా మేము ఈ హోస్ట్ను ప్రాక్సీగా ఉపయోగించి దాడి చేసే వ్యక్తికి మా నెట్వర్క్కు యాక్సెస్ను అందిస్తూ ఉండవచ్చు.
రిమోట్గా కనెక్ట్ చేయబడిన హోస్ట్కి ఇన్-ఆఫీస్ హోస్ట్ వలె అదే భద్రతా అవసరాలను వర్తింపజేయడం అర్ధమే.
ఇది OS యొక్క “సరైన” సంస్కరణ, యాంటీ-వైరస్, యాంటీ-స్పైవేర్ మరియు ఫైర్వాల్ సాఫ్ట్వేర్ మరియు అప్డేట్లను కూడా ఊహిస్తుంది. సాధారణంగా, ఈ సామర్ధ్యం VPN గేట్వేలో ఉంటుంది (ASA కోసం చూడండి, ఉదాహరణకు, ఇక్కడ).
మీ భద్రతా విధానం కార్యాలయ ట్రాఫిక్కు వర్తించే అదే ట్రాఫిక్ విశ్లేషణ మరియు నిరోధించే పద్ధతులను ("అధిక స్థాయి రక్షణ" చూడండి) వర్తింపజేయడం కూడా తెలివైన పని.
మీ ఆఫీస్ నెట్వర్క్ ఇకపై ఆఫీస్ భవనం మరియు దానిలోని హోస్ట్లకు మాత్రమే పరిమితం కాదని భావించడం సహేతుకమైనది.
ఉదాహరణకు
రిమోట్ యాక్సెస్ అవసరమయ్యే ప్రతి ఉద్యోగికి మంచి, అనుకూలమైన ల్యాప్టాప్ను అందించడం మరియు వారు ఆఫీసులో మరియు ఇంటి నుండి మాత్రమే పని చేయాలని కోరుకోవడం మంచి సాంకేతికత.
ఇది మీ నెట్వర్క్ యొక్క భద్రతను మెరుగుపరచడమే కాకుండా, ఇది నిజంగా సౌకర్యవంతంగా ఉంటుంది మరియు సాధారణంగా ఉద్యోగులు (ఇది నిజంగా మంచి, వినియోగదారు-స్నేహపూర్వక ల్యాప్టాప్ అయితే) అనుకూలంగా ఉంటుంది.
నిష్పత్తి మరియు సంతులనం యొక్క భావం గురించి
ప్రాథమికంగా, ఇది మా త్రిభుజం యొక్క మూడవ శీర్షం గురించి - ధర గురించి సంభాషణ.
ఒక ఊహాత్మక ఉదాహరణ చూద్దాం.
ఉదాహరణకు
మీకు 200 మంది వ్యక్తుల కోసం కార్యాలయం ఉంది. మీరు దీన్ని వీలైనంత సౌకర్యవంతంగా మరియు సురక్షితంగా చేయాలని నిర్ణయించుకున్నారు.
అందువల్ల, మీరు అన్ని ట్రాఫిక్లను ఫైర్వాల్ ద్వారా పంపించాలని నిర్ణయించుకున్నారు మరియు అందువల్ల అన్ని ఆఫీస్ సబ్నెట్లకు ఫైర్వాల్ డిఫాల్ట్ గేట్వే. ప్రతి ఎండ్ హోస్ట్లో (యాంటీ-వైరస్, యాంటీ-స్పైవేర్ మరియు ఫైర్వాల్ సాఫ్ట్వేర్) ఇన్స్టాల్ చేయబడిన భద్రతా సాఫ్ట్వేర్తో పాటు, మీరు ఫైర్వాల్పై సాధ్యమయ్యే అన్ని రక్షణ పద్ధతులను కూడా వర్తింపజేయాలని నిర్ణయించుకున్నారు.
అధిక కనెక్షన్ వేగాన్ని నిర్ధారించడానికి (అన్నీ సౌలభ్యం కోసం), మీరు యాక్సెస్ స్విచ్లుగా 10 గిగాబిట్ యాక్సెస్ పోర్ట్లతో స్విచ్లను మరియు ఫైర్వాల్లుగా అధిక-పనితీరు గల NGFW ఫైర్వాల్లను ఎంచుకున్నారు, ఉదాహరణకు, Palo Alto 7K సిరీస్ (40 గిగాబిట్ పోర్ట్లతో), సహజంగా అన్ని లైసెన్స్లతో చేర్చబడింది మరియు, సహజంగా, అధిక లభ్యత జత.
అలాగే, వాస్తవానికి, ఈ పరికరాలతో పనిచేయడానికి మాకు కనీసం ఇద్దరు అధిక అర్హత కలిగిన సెక్యూరిటీ ఇంజనీర్లు అవసరం.
తర్వాత, మీరు ప్రతి ఉద్యోగికి మంచి ల్యాప్టాప్ ఇవ్వాలని నిర్ణయించుకున్నారు.
మొత్తం, అమలు కోసం సుమారు 10 మిలియన్ డాలర్లు, ఇంజనీర్లకు వార్షిక మద్దతు మరియు జీతాల కోసం వందల వేల డాలర్లు (నేను మిలియన్కు దగ్గరగా అనుకుంటున్నాను).
ఆఫీసు, 200 మంది...
సౌకర్యంగా ఉందా? నేను అవుననే అనుకుంటున్నాను.
మీరు మీ నిర్వహణకు ఈ ప్రతిపాదనతో రండి...
బహుశా ఇది ఆమోదయోగ్యమైన మరియు సరైన పరిష్కారం అయిన అనేక కంపెనీలు ప్రపంచంలో ఉన్నాయి. మీరు ఈ సంస్థ యొక్క ఉద్యోగి అయితే, నా అభినందనలు, కానీ చాలా సందర్భాలలో, మీ జ్ఞానం నిర్వహణచే ప్రశంసించబడదని నేను ఖచ్చితంగా అనుకుంటున్నాను.
ఈ ఉదాహరణ అతిశయోక్తిగా ఉందా? తదుపరి అధ్యాయం ఈ ప్రశ్నకు సమాధానం ఇస్తుంది.
మీ నెట్వర్క్లో మీరు పైన పేర్కొన్న వాటిలో దేనినీ చూడకపోతే, ఇది కట్టుబాటు.
ప్రతి నిర్దిష్ట సందర్భంలో, మీరు సౌలభ్యం, ధర మరియు భద్రత మధ్య మీ స్వంత సహేతుకమైన రాజీని కనుగొనాలి. తరచుగా మీకు మీ కార్యాలయంలో NGFW అవసరం లేదు మరియు ఫైర్వాల్పై L7 రక్షణ అవసరం లేదు. దృశ్యమానత మరియు హెచ్చరికల యొక్క మంచి స్థాయిని అందించడానికి ఇది సరిపోతుంది మరియు ఇది ఓపెన్ సోర్స్ ఉత్పత్తులను ఉపయోగించి చేయవచ్చు, ఉదాహరణకు. అవును, దాడికి మీ ప్రతిచర్య తక్షణమే ఉండదు, కానీ ప్రధాన విషయం ఏమిటంటే మీరు దాన్ని చూస్తారు మరియు మీ విభాగంలో సరైన ప్రక్రియలతో, మీరు దానిని త్వరగా తటస్తం చేయగలుగుతారు.
మరియు ఈ కథనాల శ్రేణి యొక్క భావన ప్రకారం, మీరు నెట్వర్క్ను రూపొందించడం లేదని, మీకు లభించిన వాటిని మెరుగుపరచడానికి మాత్రమే ప్రయత్నిస్తున్నారని నేను మీకు గుర్తు చేస్తాను.
ఇది వాస్తుశిల్పం యొక్క ముఖ్య ప్రదేశాలలో ఒకటి మరియు అత్యంత ముఖ్యమైన అనిశ్చితులలో ఒకటి.
వ్యాఖ్య
నేను ఎప్పుడూ ఫైర్పవర్తో సెటప్ చేయలేదు లేదా పని చేయలేదు (సిస్కో యొక్క ఫైర్వాల్ లైన్ నుండి - ASA మాత్రమే), కాబట్టి నేను జునిపెర్ SRX లేదా పాలో ఆల్టో వంటి ఇతర ఫైర్వాల్లాగానే పరిగణిస్తాను.
సాధారణ డిజైన్లలో, ఈ కనెక్షన్తో ఫైర్వాల్ను ఉపయోగించడం కోసం నేను 4 సాధ్యమైన ఎంపికలను మాత్రమే చూస్తున్నాను:
ప్రతి సబ్నెట్కి డిఫాల్ట్ గేట్వే ఒక స్విచ్, అయితే ఫైర్వాల్ పారదర్శక మోడ్లో ఉంటుంది (అంటే, ట్రాఫిక్ అంతా దాని గుండా వెళుతుంది, కానీ అది L3 హాప్ను ఏర్పరచదు)
ప్రతి సబ్నెట్కు డిఫాల్ట్ గేట్వే ఫైర్వాల్ సబ్-ఇంటర్ఫేస్లు (లేదా SVI ఇంటర్ఫేస్లు), స్విచ్ L2 పాత్రను పోషిస్తుంది
స్విచ్లో వేర్వేరు VRFలు ఉపయోగించబడతాయి మరియు VRFల మధ్య ట్రాఫిక్ ఫైర్వాల్ గుండా వెళుతుంది, ఒక VRF లోపల ట్రాఫిక్ స్విచ్లోని ACL ద్వారా నియంత్రించబడుతుంది.
అన్ని ట్రాఫిక్ విశ్లేషణ మరియు పర్యవేక్షణ కోసం ఫైర్వాల్కు ప్రతిబింబిస్తుంది; ట్రాఫిక్ దాని గుండా వెళ్ళదు
వ్యాఖ్య 1
ఈ ఎంపికల కలయికలు సాధ్యమే, కానీ సరళత కోసం మేము వాటిని పరిగణించము.
గమనిక 2
PBR (సర్వీస్ చైన్ ఆర్కిటెక్చర్) ను ఉపయోగించే అవకాశం కూడా ఉంది, కానీ ప్రస్తుతానికి ఇది, నా అభిప్రాయం ప్రకారం, ఒక అందమైన పరిష్కారం అయినప్పటికీ, అన్యదేశమైనది, కాబట్టి నేను దానిని ఇక్కడ పరిగణించడం లేదు.
పత్రంలోని ప్రవాహాల వివరణ నుండి, ట్రాఫిక్ ఇప్పటికీ ఫైర్వాల్ గుండా వెళుతుందని మేము చూస్తాము, అంటే, సిస్కో డిజైన్కు అనుగుణంగా, నాల్గవ ఎంపిక తొలగించబడుతుంది.
మొదట మొదటి రెండు ఎంపికలను చూద్దాం.
ఈ ఎంపికలతో, ట్రాఫిక్ అంతా ఫైర్వాల్ గుండా వెళుతుంది.
ఇప్పుడు చూద్దాం సమాచార పట్టిక, చూడండి సిస్కో GPL మరియు మన ఆఫీసు మొత్తం బ్యాండ్విడ్త్ కనీసం 10 - 20 గిగాబిట్లు ఉండాలంటే, మనం తప్పనిసరిగా 4K వెర్షన్ను కొనుగోలు చేయాలి.
వ్యాఖ్య
నేను మొత్తం బ్యాండ్విడ్త్ గురించి మాట్లాడేటప్పుడు, నా ఉద్దేశ్యం సబ్నెట్ల మధ్య ట్రాఫిక్ (మరియు ఒక విలానాలో కాదు).
GPL నుండి థ్రెట్ డిఫెన్స్తో కూడిన HA బండిల్ కోసం, మోడల్పై ఆధారపడి ధర (4110 - 4150) ~0,5 - 2,5 మిలియన్ డాలర్ల వరకు ఉంటుంది.
అంటే, మా డిజైన్ మునుపటి ఉదాహరణను పోలి ఉంటుంది.
ఈ డిజైన్ తప్పు అని దీని అర్థం?
లేదు, అది అర్థం కాదు. సిస్కో కలిగి ఉన్న ఉత్పత్తి శ్రేణి ఆధారంగా మీకు సాధ్యమైనంత ఉత్తమమైన రక్షణను అందిస్తుంది. అయితే ఇది మీ కోసం తప్పనిసరిగా చేయాల్సిన పని అని కాదు.
సూత్రప్రాయంగా, ఇది కార్యాలయం లేదా డేటా సెంటర్ను రూపకల్పన చేసేటప్పుడు ఉత్పన్నమయ్యే సాధారణ ప్రశ్న, మరియు దీని అర్థం రాజీని కోరుకోవడం మాత్రమే అవసరం.
ఉదాహరణకు, మొత్తం ట్రాఫిక్ను ఫైర్వాల్ ద్వారా వెళ్లనివ్వవద్దు, ఈ సందర్భంలో ఎంపిక 3 నాకు చాలా బాగుంది, లేదా (మునుపటి విభాగాన్ని చూడండి) మీకు థ్రెట్ డిఫెన్స్ అవసరం లేకపోవచ్చు లేదా దానిపై ఫైర్వాల్ అవసరం లేదు నెట్వర్క్ సెగ్మెంట్, మరియు మీరు చెల్లింపు (ఖరీదైనది కాదు) లేదా ఓపెన్ సోర్స్ సొల్యూషన్లను ఉపయోగించి నిష్క్రియ పర్యవేక్షణకు మిమ్మల్ని పరిమితం చేసుకోవాలి లేదా మీకు ఫైర్వాల్ అవసరం, కానీ వేరే విక్రేత నుండి.
సాధారణంగా ఈ అనిశ్చితి ఎప్పుడూ ఉంటుంది మరియు మీకు ఏ నిర్ణయం ఉత్తమం అనేదానికి స్పష్టమైన సమాధానం ఉండదు.
ఇది ఈ పని యొక్క సంక్లిష్టత మరియు అందం.