మీ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్‌వర్క్ భద్రత. పార్ట్ మూడు

ఈ కథనం “మీ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను ఎలా నియంత్రించాలి” సిరీస్‌లో ఐదవది. సిరీస్‌లోని అన్ని కథనాల కంటెంట్‌లు మరియు లింక్‌లను కనుగొనవచ్చు ఇక్కడ.

ఈ భాగం క్యాంపస్ (ఆఫీస్) & రిమోట్ యాక్సెస్ VPN విభాగాలకు అంకితం చేయబడుతుంది.

ఆఫీస్ నెట్‌వర్క్ డిజైన్ సులభం అనిపించవచ్చు.

నిజానికి, మేము L2/L3 స్విచ్‌లను తీసుకుంటాము మరియు వాటిని ఒకదానికొకటి కనెక్ట్ చేస్తాము. తరువాత, మేము విలన్లు మరియు డిఫాల్ట్ గేట్‌వేల ప్రాథమిక సెటప్‌ను నిర్వహిస్తాము, సాధారణ రూటింగ్‌ని సెటప్ చేస్తాము, WiFi కంట్రోలర్‌లను కనెక్ట్ చేస్తాము, యాక్సెస్ పాయింట్‌లను కనెక్ట్ చేస్తాము, రిమోట్ యాక్సెస్ కోసం ASAని ఇన్‌స్టాల్ చేసి కాన్ఫిగర్ చేస్తాము, ప్రతిదీ పనిచేసినందుకు మేము సంతోషిస్తున్నాము. సాధారణంగా, నేను ఇప్పటికే మునుపటి వాటిలో వ్రాసినట్లు వ్యాసాలు ఈ సైకిల్‌లో, టెలికాం కోర్సు యొక్క రెండు సెమిస్టర్‌లకు హాజరైన (మరియు నేర్చుకున్న) దాదాపు ప్రతి విద్యార్థి ఆఫీస్ నెట్‌వర్క్‌ను రూపొందించవచ్చు మరియు కాన్ఫిగర్ చేయవచ్చు, తద్వారా అది "ఏదో ఒకవిధంగా పని చేస్తుంది."

కానీ మీరు ఎంత ఎక్కువ నేర్చుకుంటే, ఈ పని అంత సులభం అనిపించడం ప్రారంభమవుతుంది. నాకు వ్యక్తిగతంగా, ఈ అంశం, ఆఫీస్ నెట్‌వర్క్ డిజైన్ యొక్క అంశం, అస్సలు సరళంగా అనిపించదు మరియు ఈ వ్యాసంలో నేను ఎందుకు వివరించడానికి ప్రయత్నిస్తాను.

సంక్షిప్తంగా, పరిగణించవలసిన కొన్ని అంశాలు ఉన్నాయి. తరచుగా ఈ కారకాలు ఒకదానికొకటి విరుద్ధంగా ఉంటాయి మరియు సహేతుకమైన రాజీని వెతకాలి.
ఈ అనిశ్చితి ప్రధాన కష్టం. కాబట్టి, భద్రత గురించి మాట్లాడుతూ, మనకు మూడు శీర్షాలతో కూడిన త్రిభుజం ఉంది: భద్రత, ఉద్యోగులకు సౌలభ్యం, పరిష్కారం యొక్క ధర.
మరియు ప్రతిసారీ మీరు ఈ ముగ్గురి మధ్య రాజీ కోసం వెతకాలి.

నిర్మాణం

ఈ రెండు విభాగాల కోసం ఒక ఆర్కిటెక్చర్ యొక్క ఉదాహరణగా, మునుపటి కథనాలలో వలె, నేను సిఫార్సు చేస్తున్నాను సిస్కో సేఫ్ మోడల్: ఎంటర్‌ప్రైజ్ క్యాంపస్, ఎంటర్ప్రైజ్ ఇంటర్నెట్ ఎడ్జ్.

ఇవి కొంత కాలం చెల్లిన పత్రాలు. నేను వాటిని ఇక్కడ అందిస్తున్నాను ఎందుకంటే ప్రాథమిక పథకాలు మరియు విధానం మారలేదు, కానీ అదే సమయంలో నేను ప్రదర్శన కంటే ఎక్కువగా ఇష్టపడుతున్నాను కొత్త డాక్యుమెంటేషన్.

సిస్కో సొల్యూషన్‌లను ఉపయోగించమని మిమ్మల్ని ప్రోత్సహించకుండా, ఈ డిజైన్‌ను జాగ్రత్తగా అధ్యయనం చేయడం ఉపయోగకరంగా ఉంటుందని నేను ఇప్పటికీ భావిస్తున్నాను.

ఈ వ్యాసం, ఎప్పటిలాగే, ఏ విధంగానూ పూర్తి చేసినట్లు నటించదు, కానీ ఈ సమాచారానికి అదనంగా ఉంటుంది.

వ్యాసం ముగింపులో, మేము ఇక్కడ వివరించిన భావనల పరంగా సిస్కో సేఫ్ ఆఫీస్ డిజైన్‌ను విశ్లేషిస్తాము.

సాధారణ సూత్రాలు

ఆఫీస్ నెట్‌వర్క్ రూపకల్పన తప్పనిసరిగా చర్చించబడిన సాధారణ అవసరాలను తీర్చాలి ఇక్కడ "డిజైన్ నాణ్యతను అంచనా వేయడానికి ప్రమాణాలు" అనే అధ్యాయంలో. ధర మరియు భద్రతతో పాటు, మేము ఈ కథనంలో చర్చించాలనుకుంటున్నాము, రూపకల్పన చేసేటప్పుడు (లేదా మార్పులు చేసేటప్పుడు) మనం పరిగణించవలసిన మూడు ప్రమాణాలు ఇంకా ఉన్నాయి:

• స్కేలబిలిటీ
• వాడుకలో సౌలభ్యం (నిర్వహణ సామర్థ్యం)
• లభ్యత

చాలా వరకు చర్చించారు డేటా కేంద్రాలు ఇది కార్యాలయానికి కూడా వర్తిస్తుంది.

కానీ ఇప్పటికీ, ఆఫీస్ సెగ్మెంట్ దాని స్వంత ప్రత్యేకతలను కలిగి ఉంది, ఇది భద్రతా కోణం నుండి క్లిష్టమైనది. ఈ విశిష్టత యొక్క సారాంశం ఏమిటంటే, సంస్థ యొక్క ఉద్యోగులకు (అలాగే భాగస్వాములు మరియు అతిథులు) నెట్‌వర్క్ సేవలను అందించడానికి ఈ విభాగం సృష్టించబడింది మరియు ఫలితంగా, సమస్య యొక్క అత్యున్నత స్థాయి పరిశీలనలో మాకు రెండు పనులు ఉన్నాయి:

• ఉద్యోగులు (అతిథులు, భాగస్వాములు) మరియు వారు ఉపయోగించే సాఫ్ట్‌వేర్ నుండి వచ్చే హానికరమైన చర్యల నుండి కంపెనీ వనరులను రక్షించండి. ఇది నెట్‌వర్క్‌కు అనధికార కనెక్షన్ నుండి రక్షణను కూడా కలిగి ఉంటుంది.
• సిస్టమ్‌లు మరియు వినియోగదారు డేటాను రక్షించండి

మరియు ఇది సమస్య యొక్క ఒక వైపు మాత్రమే (లేదా బదులుగా, త్రిభుజం యొక్క ఒక శీర్షం). మరొక వైపు వినియోగదారు సౌలభ్యం మరియు ఉపయోగించిన పరిష్కారాల ధర.

ఆధునిక కార్యాలయ నెట్‌వర్క్ నుండి వినియోగదారు ఏమి ఆశిస్తున్నారో చూడటం ద్వారా ప్రారంభిద్దాం.

సౌలభ్యం

నా అభిప్రాయం ప్రకారం కార్యాలయ వినియోగదారు కోసం "నెట్‌వర్క్ సౌకర్యాలు" ఎలా ఉంటాయో ఇక్కడ ఉంది:

• చైతన్యం
• పూర్తి స్థాయి తెలిసిన పరికరాలు మరియు ఆపరేటింగ్ సిస్టమ్‌లను ఉపయోగించగల సామర్థ్యం
• అవసరమైన అన్ని కంపెనీ వనరులకు సులభంగా యాక్సెస్
• వివిధ క్లౌడ్ సేవలతో సహా ఇంటర్నెట్ వనరుల లభ్యత
• నెట్వర్క్ యొక్క "ఫాస్ట్ ఆపరేషన్"

ఇవన్నీ ఉద్యోగులు మరియు అతిథులు (లేదా భాగస్వాములు) ఇద్దరికీ వర్తిస్తాయి మరియు అధికారం ఆధారంగా వివిధ వినియోగదారు సమూహాలకు ప్రాప్యతను వేరు చేయడం కంపెనీ ఇంజనీర్ల పని.

ఈ అంశాలలో ప్రతిదానిని కొంచెం వివరంగా చూద్దాం.

చైతన్యం

మేము ప్రపంచంలో ఎక్కడి నుండైనా అవసరమైన అన్ని కంపెనీ వనరులను పని చేయడానికి మరియు ఉపయోగించుకునే అవకాశం గురించి మాట్లాడుతున్నాము (వాస్తవానికి, ఇంటర్నెట్ అందుబాటులో ఉన్న చోట).

ఇది కార్యాలయానికి పూర్తిగా వర్తిస్తుంది. కార్యాలయంలో ఎక్కడి నుండైనా పనిని కొనసాగించడానికి మీకు అవకాశం ఉన్నప్పుడు ఇది సౌకర్యవంతంగా ఉంటుంది, ఉదాహరణకు, మెయిల్ స్వీకరించడం, కార్పొరేట్ మెసెంజర్‌లో కమ్యూనికేట్ చేయడం, వీడియో కాల్ కోసం అందుబాటులో ఉండటం, ... అందువలన, ఇది మిమ్మల్ని అనుమతిస్తుంది, ఒక వైపు, కొన్ని సమస్యలను పరిష్కరించడానికి "ప్రత్యక్ష" కమ్యూనికేషన్ (ఉదాహరణకు, ర్యాలీలలో పాల్గొనండి), మరియు మరోవైపు, ఎల్లప్పుడూ ఆన్‌లైన్‌లో ఉండండి, మీ వేలును పల్స్‌లో ఉంచండి మరియు కొన్ని అత్యవసర అధిక-ప్రాధాన్య పనులను త్వరగా పరిష్కరించండి. ఇది చాలా సౌకర్యవంతంగా ఉంటుంది మరియు కమ్యూనికేషన్ల నాణ్యతను నిజంగా మెరుగుపరుస్తుంది.

ఇది సరైన WiFi నెట్వర్క్ రూపకల్పన ద్వారా సాధించబడుతుంది.

వ్యాఖ్య

ఇక్కడ ప్రశ్న సాధారణంగా తలెత్తుతుంది: వైఫైని మాత్రమే ఉపయోగించడం సరిపోతుందా? మీరు ఆఫీసులో ఈథర్‌నెట్ పోర్ట్‌లను ఉపయోగించడం మానివేయవచ్చని దీని అర్థం? మేము సాధారణ ఈథర్నెట్ పోర్ట్‌తో కనెక్ట్ చేయడానికి ఇప్పటికీ సహేతుకమైన సర్వర్‌ల గురించి కాకుండా వినియోగదారుల గురించి మాత్రమే మాట్లాడుతున్నట్లయితే, సాధారణంగా సమాధానం: అవును, మీరు వైఫైకి మాత్రమే పరిమితం చేసుకోవచ్చు. కానీ సూక్ష్మ నైపుణ్యాలు ఉన్నాయి.

ప్రత్యేక విధానం అవసరమయ్యే ముఖ్యమైన వినియోగదారు సమూహాలు ఉన్నాయి. వీరు, వాస్తవానికి, నిర్వాహకులు. సూత్రప్రాయంగా, WiFi కనెక్షన్ తక్కువ విశ్వసనీయమైనది (ట్రాఫిక్ నష్టం పరంగా) మరియు సాధారణ ఈథర్నెట్ పోర్ట్ కంటే నెమ్మదిగా ఉంటుంది. ఇది నిర్వాహకులకు ముఖ్యమైనది కావచ్చు. అదనంగా, నెట్‌వర్క్ నిర్వాహకులు, ఉదాహరణకు, సూత్రప్రాయంగా, బ్యాండ్ వెలుపల కనెక్షన్‌ల కోసం వారి స్వంత ప్రత్యేక ఈథర్‌నెట్ నెట్‌వర్క్‌ను కలిగి ఉంటారు.

మీ కంపెనీలో ఇతర సమూహాలు/డిపార్ట్‌మెంట్‌లు ఉండవచ్చు, వీటికి ఈ అంశాలు కూడా ముఖ్యమైనవి.

మరొక ముఖ్యమైన విషయం ఉంది - టెలిఫోనీ. బహుశా కొన్ని కారణాల వల్ల మీరు వైర్‌లెస్ VoIPని ఉపయోగించకూడదు మరియు సాధారణ ఈథర్నెట్ కనెక్షన్‌తో IP ఫోన్‌లను ఉపయోగించాలనుకుంటున్నారు.

సాధారణంగా, నేను పనిచేసిన కంపెనీలకు సాధారణంగా WiFi కనెక్టివిటీ మరియు ఈథర్నెట్ పోర్ట్ రెండూ ఉంటాయి.

మొబిలిటీ కేవలం ఆఫీసుకే పరిమితం కాకూడదని నేను కోరుకుంటున్నాను.

ఇంటి నుండి పని చేసే సామర్థ్యాన్ని నిర్ధారించడానికి (లేదా యాక్సెస్ చేయగల ఇంటర్నెట్ ఉన్న ఏదైనా ఇతర ప్రదేశం), VPN కనెక్షన్ ఉపయోగించబడుతుంది. అదే సమయంలో, ఉద్యోగులు ఇంటి నుండి పని చేయడం మరియు రిమోట్ వర్క్‌ల మధ్య వ్యత్యాసాన్ని అనుభవించకపోవడం మంచిది, ఇది అదే యాక్సెస్‌ను ఊహిస్తుంది. “ఏకీకృత కేంద్రీకృత ప్రామాణీకరణ మరియు అధికార వ్యవస్థ” అనే అధ్యాయంలో దీన్ని ఎలా నిర్వహించాలో మేము కొంచెం తరువాత చర్చిస్తాము.

వ్యాఖ్య

చాలా మటుకు, మీరు కార్యాలయంలో ఉన్న రిమోట్ పని కోసం అదే నాణ్యత సేవలను పూర్తిగా అందించలేరు. మీరు మీ VPN గేట్‌వేగా Cisco ASA 5520ని ఉపయోగిస్తున్నారని అనుకుందాం. సమాచార పట్టిక ఈ పరికరం కేవలం 225 Mbit VPN ట్రాఫిక్‌ను మాత్రమే "జీర్ణించగలదు". అంటే, బ్యాండ్‌విడ్త్ పరంగా, VPN ద్వారా కనెక్ట్ చేయడం కార్యాలయం నుండి పని చేయడానికి చాలా భిన్నంగా ఉంటుంది. అలాగే, మీ నెట్‌వర్క్ సేవల కోసం కొన్ని కారణాల వల్ల, జాప్యం, నష్టం, జిట్టర్ (ఉదాహరణకు, మీరు ఆఫీస్ IP టెలిఫోనీని ఉపయోగించాలనుకుంటున్నారు) ముఖ్యమైనవి అయితే, మీరు ఆఫీసులో ఉన్నప్పుడు అదే నాణ్యతను కూడా అందుకోలేరు. అందువల్ల, చలనశీలత గురించి మాట్లాడేటప్పుడు, సాధ్యమయ్యే పరిమితుల గురించి మనం తెలుసుకోవాలి.

అన్ని కంపెనీ వనరులకు సులభంగా యాక్సెస్

ఈ పనిని ఇతర సాంకేతిక విభాగాలతో సంయుక్తంగా పరిష్కరించాలి.
వినియోగదారుడు ఒకసారి మాత్రమే ప్రామాణీకరించవలసి వచ్చినప్పుడు ఆదర్శవంతమైన పరిస్థితి, మరియు ఆ తర్వాత అతను అవసరమైన అన్ని వనరులకు ప్రాప్యత కలిగి ఉంటాడు.
భద్రతను త్యాగం చేయకుండా సులభంగా యాక్సెస్ అందించడం ఉత్పాదకతను గణనీయంగా మెరుగుపరుస్తుంది మరియు మీ సహోద్యోగులలో ఒత్తిడిని తగ్గిస్తుంది.

వ్యాఖ్య 1

యాక్సెస్ సౌలభ్యం అనేది మీరు పాస్‌వర్డ్‌ను ఎన్నిసార్లు నమోదు చేయాలి అనే దాని గురించి మాత్రమే కాదు. ఉదాహరణకు, మీ భద్రతా విధానానికి అనుగుణంగా, కార్యాలయం నుండి డేటా సెంటర్‌కు కనెక్ట్ కావడానికి, మీరు ముందుగా VPN గేట్‌వేకి కనెక్ట్ అవ్వాలి మరియు అదే సమయంలో మీరు కార్యాలయ వనరులకు ప్రాప్యతను కోల్పోతే, ఇది కూడా చాలా ఎక్కువ , చాలా అసౌకర్యంగా.

వ్యాఖ్య 2

సేవలు (ఉదాహరణకు, నెట్‌వర్క్ పరికరాలకు యాక్సెస్) ఉన్నాయి, ఇక్కడ మేము సాధారణంగా మా స్వంత ప్రత్యేక AAA సర్వర్‌లను కలిగి ఉంటాము మరియు ఈ సందర్భంలో మనం చాలాసార్లు ప్రమాణీకరించవలసి వచ్చినప్పుడు ఇది కట్టుబాటు.

ఇంటర్నెట్ వనరుల లభ్యత

ఇంటర్నెట్ అనేది వినోదం మాత్రమే కాదు, పని కోసం చాలా ఉపయోగకరంగా ఉండే సేవల సమితి కూడా. పూర్తిగా మానసిక కారకాలు కూడా ఉన్నాయి. ఒక ఆధునిక వ్యక్తి అనేక వర్చువల్ థ్రెడ్‌ల ద్వారా ఇంటర్నెట్ ద్వారా ఇతర వ్యక్తులతో కనెక్ట్ అయ్యాడు మరియు నా అభిప్రాయం ప్రకారం, అతను పని చేస్తున్నప్పుడు కూడా ఈ కనెక్షన్‌ను అనుభవిస్తే తప్పు లేదు.

సమయాన్ని వృధా చేసే దృక్కోణంలో, ఒక ఉద్యోగి, ఉదాహరణకు, స్కైప్ నడుస్తున్నట్లయితే మరియు అవసరమైతే ప్రియమైన వారితో 5 నిమిషాలు కమ్యూనికేట్ చేస్తే తప్పు లేదు.

ఇంటర్నెట్ ఎల్లప్పుడూ అందుబాటులో ఉండాలని దీని అర్థం, ఉద్యోగులు అన్ని వనరులను యాక్సెస్ చేయగలరని మరియు వాటిని ఏ విధంగానూ నియంత్రించకూడదని దీని అర్థం?

లేదు అంటే అది కాదు. ఇంటర్నెట్ యొక్క నిష్కాపట్యత స్థాయి వేర్వేరు కంపెనీలకు మారవచ్చు - పూర్తి మూసివేత నుండి పూర్తి బహిరంగత వరకు. భద్రతా చర్యలపై సెక్షన్‌లలో ట్రాఫిక్‌ను నియంత్రించే మార్గాలను మేము తరువాత చర్చిస్తాము.

పూర్తి స్థాయి తెలిసిన పరికరాలను ఉపయోగించగల సామర్థ్యం

ఉదాహరణకు, మీరు పనిలో ఉపయోగించిన అన్ని కమ్యూనికేషన్ మార్గాలను ఉపయోగించడం కొనసాగించడానికి మీకు అవకాశం ఉన్నప్పుడు ఇది సౌకర్యవంతంగా ఉంటుంది. సాంకేతికంగా దీన్ని అమలు చేయడంలో ఎలాంటి ఇబ్బంది లేదు. దీని కోసం మీకు వైఫై మరియు గెస్ట్ విలన్ అవసరం.

మీరు ఉపయోగించిన ఆపరేటింగ్ సిస్టమ్‌ను ఉపయోగించడానికి మీకు అవకాశం ఉంటే అది కూడా మంచిది. కానీ, నా పరిశీలనలో, ఇది సాధారణంగా నిర్వాహకులు, నిర్వాహకులు మరియు డెవలపర్‌లకు మాత్రమే అనుమతించబడుతుంది.

ఉదాహరణకు

మీరు నిషేధాల మార్గాన్ని అనుసరించవచ్చు, రిమోట్ యాక్సెస్‌ను నిషేధించవచ్చు, మొబైల్ పరికరాల నుండి కనెక్ట్ చేయడాన్ని నిషేధించవచ్చు, స్టాటిక్ ఈథర్‌నెట్ కనెక్షన్‌లకు అన్నింటినీ పరిమితం చేయవచ్చు, ఇంటర్నెట్‌కు ప్రాప్యతను పరిమితం చేయవచ్చు, చెక్‌పాయింట్ వద్ద సెల్ ఫోన్‌లు మరియు గాడ్జెట్‌లను నిర్బంధంగా జప్తు చేయవచ్చు... మరియు ఈ మార్గం వాస్తవానికి పెరిగిన భద్రతా అవసరాలతో కొన్ని సంస్థలు అనుసరిస్తాయి మరియు బహుశా కొన్ని సందర్భాల్లో ఇది సమర్థించబడవచ్చు, కానీ... ఇది ఒకే సంస్థలో పురోగతిని ఆపడానికి చేసిన ప్రయత్నంగా కనిపిస్తుందని మీరు అంగీకరించాలి. వాస్తవానికి, నేను ఆధునిక సాంకేతికతలు అందించే అవకాశాలను తగినంత స్థాయి భద్రతతో కలపాలనుకుంటున్నాను.

నెట్వర్క్ యొక్క "ఫాస్ట్ ఆపరేషన్"

డేటా బదిలీ వేగం సాంకేతికంగా అనేక అంశాలను కలిగి ఉంటుంది. మరియు మీ కనెక్షన్ పోర్ట్ యొక్క వేగం సాధారణంగా చాలా ముఖ్యమైనది కాదు. అప్లికేషన్ యొక్క స్లో ఆపరేషన్ ఎల్లప్పుడూ నెట్‌వర్క్ సమస్యలతో అనుబంధించబడదు, కానీ ప్రస్తుతానికి మేము నెట్‌వర్క్ భాగంపై మాత్రమే ఆసక్తి కలిగి ఉన్నాము. స్థానిక నెట్‌వర్క్ "స్లోడౌన్"తో అత్యంత సాధారణ సమస్య ప్యాకెట్ నష్టానికి సంబంధించినది. ఇది సాధారణంగా అడ్డంకి లేదా L1 (OSI) సమస్యలు ఉన్నప్పుడు సంభవిస్తుంది. చాలా అరుదుగా, కొన్ని డిజైన్‌లతో (ఉదాహరణకు, మీ సబ్‌నెట్‌లు డిఫాల్ట్ గేట్‌వేగా ఫైర్‌వాల్‌ని కలిగి ఉన్నప్పుడు మరియు ట్రాఫిక్ మొత్తం దాని గుండా వెళుతున్నప్పుడు), హార్డ్‌వేర్ పనితీరు లోపించవచ్చు.

అందువల్ల, పరికరాలు మరియు నిర్మాణాన్ని ఎన్నుకునేటప్పుడు, మీరు ఎండ్ పోర్ట్‌లు, ట్రంక్‌లు మరియు పరికరాల పనితీరు యొక్క వేగాన్ని పరస్పరం అనుసంధానించాలి.

ఉదాహరణకు

మీరు 1 గిగాబిట్ పోర్ట్‌లతో ఉన్న స్విచ్‌లను యాక్సెస్ లేయర్ స్విచ్‌లుగా ఉపయోగిస్తున్నారని అనుకుందాం. అవి ఈథర్‌ఛానల్ 2 x 10 గిగాబిట్‌ల ద్వారా ఒకదానికొకటి కనెక్ట్ చేయబడ్డాయి. డిఫాల్ట్ గేట్‌వేగా, మీరు గిగాబిట్ పోర్ట్‌లతో ఫైర్‌వాల్‌ని ఉపయోగిస్తారు, వీటిని L2 ఆఫీస్ నెట్‌వర్క్‌కి కనెక్ట్ చేయడానికి మీరు 2 గిగాబిట్ పోర్ట్‌లను ఈథర్‌చానెల్‌లో కలిపి ఉపయోగిస్తారు.

ఈ ఆర్కిటెక్చర్ ఫంక్షనాలిటీ పాయింట్ నుండి చాలా సౌకర్యవంతంగా ఉంటుంది, ఎందుకంటే... మొత్తం ట్రాఫిక్ ఫైర్‌వాల్ గుండా వెళుతుంది మరియు మీరు యాక్సెస్ విధానాలను సౌకర్యవంతంగా నిర్వహించవచ్చు మరియు ట్రాఫిక్‌ను నియంత్రించడానికి మరియు సాధ్యమయ్యే దాడులను నిరోధించడానికి సంక్లిష్టమైన అల్గారిథమ్‌లను వర్తింపజేయవచ్చు (క్రింద చూడండి), కానీ నిర్గమాంశ మరియు పనితీరు దృక్కోణం నుండి ఈ డిజైన్‌కు సంభావ్య సమస్యలు ఉన్నాయి. కాబట్టి, ఉదాహరణకు, 2 హోస్ట్‌లు డౌన్‌లోడ్ చేసే డేటా (1 గిగాబిట్ పోర్ట్ వేగంతో) ఫైర్‌వాల్‌కు 2 గిగాబిట్ కనెక్షన్‌ను పూర్తిగా లోడ్ చేయగలదు మరియు తద్వారా మొత్తం ఆఫీస్ సెగ్మెంట్‌కు సేవ క్షీణతకు దారితీస్తుంది.

మేము త్రిభుజం యొక్క ఒక శీర్షాన్ని చూశాము, ఇప్పుడు మనం భద్రతను ఎలా నిర్ధారించవచ్చో చూద్దాం.

నివారణలు

కాబట్టి, వాస్తవానికి, సాధారణంగా మా కోరిక (లేదా బదులుగా, మా నిర్వహణ యొక్క కోరిక) అసాధ్యమైనదాన్ని సాధించడం, అవి గరిష్ట భద్రత మరియు కనీస ఖర్చుతో గరిష్ట సౌలభ్యాన్ని అందించడం.

రక్షణ కల్పించడానికి మనకు ఎలాంటి పద్ధతులు ఉన్నాయో చూద్దాం.

కార్యాలయం కోసం, నేను ఈ క్రింది వాటిని హైలైట్ చేస్తాను:

• రూపకల్పనకు సున్నా ట్రస్ట్ విధానం
• అధిక స్థాయి రక్షణ
• నెట్‌వర్క్ దృశ్యమానత
• ఏకీకృత కేంద్రీకృత ప్రమాణీకరణ మరియు అధికార వ్యవస్థ
• హోస్ట్ తనిఖీ

తరువాత, మేము ఈ అంశాలలో ప్రతిదానిపై కొంచెం వివరంగా నివసిస్తాము.

జీరో ట్రస్ట్

ఐటీ ప్రపంచం చాలా వేగంగా మారుతోంది. గత 10 సంవత్సరాలలో, కొత్త సాంకేతికతలు మరియు ఉత్పత్తుల ఆవిర్భావం భద్రతా భావనల యొక్క ప్రధాన పునర్విమర్శకు దారితీసింది. పది సంవత్సరాల క్రితం, భద్రతా కోణం నుండి, మేము నెట్‌వర్క్‌ను ట్రస్ట్, dmz మరియు అవిశ్వాస జోన్‌లుగా విభజించాము మరియు "పరిమిత రక్షణ" అని పిలవబడే వాటిని ఉపయోగించాము, ఇక్కడ 2 రక్షణ మార్గాలు ఉన్నాయి: అవిశ్వాసం -> dmz మరియు dmz -> నమ్మకం. అలాగే, రక్షణ సాధారణంగా L3/L4 (OSI) హెడర్‌ల (IP, TCP/UDP పోర్ట్‌లు, TCP ఫ్లాగ్‌లు) ఆధారంగా యాక్సెస్ జాబితాలకు పరిమితం చేయబడింది. L7తో సహా ఉన్నత స్థాయిలకు సంబంధించిన ప్రతిదీ OS మరియు ఎండ్ హోస్ట్‌లలో ఇన్‌స్టాల్ చేయబడిన భద్రతా ఉత్పత్తులకు వదిలివేయబడింది.

ఇప్పుడు పరిస్థితి ఒక్కసారిగా మారిపోయింది. ఆధునిక భావన సున్నా విశ్వాసం అంతర్గత వ్యవస్థలను పరిగణలోకి తీసుకోవడం ఇకపై సాధ్యం కాదు, అంటే చుట్టుకొలత లోపల ఉన్న వాటిని విశ్వసనీయమైనదిగా పరిగణించడం మరియు చుట్టుకొలత యొక్క భావన అస్పష్టంగా మారింది.
ఇంటర్నెట్ కనెక్షన్‌తో పాటు మనకు కూడా ఉంది

• రిమోట్ యాక్సెస్ VPN వినియోగదారులు
• వివిధ వ్యక్తిగత గాడ్జెట్‌లు, తీసుకొచ్చిన ల్యాప్‌టాప్‌లు, ఆఫీస్ వైఫై ద్వారా కనెక్ట్ చేయబడ్డాయి
• ఇతర (బ్రాంచ్) కార్యాలయాలు
• క్లౌడ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌తో ఏకీకరణ

జీరో ట్రస్ట్ విధానం ఆచరణలో ఎలా ఉంటుంది?

ఆదర్శవంతంగా, అవసరమైన ట్రాఫిక్ మాత్రమే అనుమతించబడాలి మరియు మేము ఒక ఆదర్శం గురించి మాట్లాడుతున్నట్లయితే, నియంత్రణ L3/L4 స్థాయిలో మాత్రమే కాకుండా అప్లికేషన్ స్థాయిలో ఉండాలి.

ఉదాహరణకు, మీరు ఫైర్‌వాల్ ద్వారా మొత్తం ట్రాఫిక్‌ను పాస్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటే, మీరు ఆదర్శానికి దగ్గరగా ఉండటానికి ప్రయత్నించవచ్చు. కానీ ఈ విధానం మీ నెట్‌వర్క్ యొక్క మొత్తం బ్యాండ్‌విడ్త్‌ను గణనీయంగా తగ్గిస్తుంది మరియు దానితో పాటు, అప్లికేషన్ ద్వారా ఫిల్టర్ చేయడం ఎల్లప్పుడూ బాగా పని చేయదు.

రూటర్ లేదా L3 స్విచ్ (ప్రామాణిక ACLలను ఉపయోగించి)పై ట్రాఫిక్‌ను నియంత్రించేటప్పుడు, మీరు ఇతర సమస్యలను ఎదుర్కొంటారు:

• ఇది L3/L4 ఫిల్టరింగ్ మాత్రమే. దాడి చేసే వ్యక్తి తమ అప్లికేషన్ (http కాదు) కోసం అనుమతించబడిన పోర్ట్‌లను (ఉదా. TCP 80) ఉపయోగించకుండా అడ్డుకోవడం ఏమీ లేదు.
• సంక్లిష్ట ACL నిర్వహణ (ACLలను అన్వయించడం కష్టం)
• ఇది స్టేట్‌ఫుల్ ఫైర్‌వాల్ కాదు, అంటే మీరు రివర్స్ ట్రాఫిక్‌ను స్పష్టంగా అనుమతించాలి
• స్విచ్‌లతో మీరు సాధారణంగా TCAM పరిమాణంతో చాలా కఠినంగా పరిమితం చేయబడతారు, మీరు "మీకు అవసరమైన వాటిని మాత్రమే అనుమతించు" విధానాన్ని తీసుకుంటే త్వరగా సమస్యగా మారవచ్చు.

వ్యాఖ్య

రివర్స్ ట్రాఫిక్ గురించి మాట్లాడుతూ, మనకు ఈ క్రింది అవకాశం ఉందని గుర్తుంచుకోవాలి (సిస్కో)

ఏదైనా స్థాపించబడిన tcpని అనుమతించండి

కానీ ఈ లైన్ రెండు పంక్తులకు సమానం అని మీరు అర్థం చేసుకోవాలి:
tcp ఏదైనా యాక్‌ని అనుమతించండి
ఏదైనా ముందుగా tcpని అనుమతించండి

అంటే SYN ఫ్లాగ్‌తో ప్రారంభ TCP సెగ్మెంట్ లేకపోయినా (అంటే TCP సెషన్‌ను స్థాపించడం కూడా ప్రారంభించలేదు), ఈ ACL ACK ఫ్లాగ్‌తో కూడిన ప్యాకెట్‌ను అనుమతిస్తుంది, దాడి చేసే వ్యక్తి డేటాను బదిలీ చేయడానికి ఉపయోగించవచ్చు.

అంటే, ఈ లైన్ మీ రూటర్ లేదా L3 స్విచ్‌ని స్టేట్‌ఫుల్ ఫైర్‌వాల్‌గా మార్చదు.

అధిక స్థాయి రక్షణ

В వ్యాసం డేటా సెంటర్‌ల విభాగంలో, మేము ఈ క్రింది రక్షణ పద్ధతులను పరిగణించాము.

• స్టేట్‌ఫుల్ ఫైర్‌వాల్లింగ్ (డిఫాల్ట్)
• ddos/dos రక్షణ
• అప్లికేషన్ ఫైర్‌వాల్లింగ్
• ముప్పు నివారణ (యాంటీవైరస్, యాంటీ-స్పైవేర్ మరియు దుర్బలత్వం)
• URL ఫిల్టరింగ్
• డేటా ఫిల్టరింగ్ (కంటెంట్ ఫిల్టరింగ్)
• ఫైల్ బ్లాకింగ్ (ఫైల్ రకాలు నిరోధించడం)

కార్యాలయం విషయంలో, పరిస్థితి ఒకేలా ఉంటుంది, కానీ ప్రాధాన్యతలు కొద్దిగా భిన్నంగా ఉంటాయి. ఆఫీస్ లభ్యత (లభ్యత) సాధారణంగా డేటా సెంటర్ విషయంలో అంత క్లిష్టమైనది కాదు, అయితే "అంతర్గత" హానికరమైన ట్రాఫిక్ సంభావ్యత ఎక్కువగా ఉంటుంది.
కాబట్టి, ఈ విభాగానికి కింది రక్షణ పద్ధతులు కీలకం:

• అప్లికేషన్ ఫైర్‌వాల్లింగ్
• ముప్పు నివారణ (యాంటీ వైరస్, యాంటీ-స్పైవేర్ మరియు దుర్బలత్వం)
• URL ఫిల్టరింగ్
• డేటా ఫిల్టరింగ్ (కంటెంట్ ఫిల్టరింగ్)
• ఫైల్ బ్లాకింగ్ (ఫైల్ రకాలు నిరోధించడం)

అప్లికేషన్ ఫైర్‌వాల్లింగ్ మినహా ఈ రక్షణ పద్ధతులన్నీ సాంప్రదాయకంగా ఎండ్ హోస్ట్‌లలో (ఉదాహరణకు, యాంటీవైరస్ ప్రోగ్రామ్‌లను ఇన్‌స్టాల్ చేయడం ద్వారా) మరియు ప్రాక్సీలను ఉపయోగించి పరిష్కరించబడుతున్నప్పటికీ, ఆధునిక NGFWలు కూడా ఈ సేవలను అందిస్తాయి.

భద్రతా పరికరాల విక్రేతలు సమగ్ర రక్షణను సృష్టించేందుకు కృషి చేస్తారు, కాబట్టి స్థానిక రక్షణతో పాటు, వారు హోస్ట్‌ల కోసం వివిధ క్లౌడ్ టెక్నాలజీలు మరియు క్లయింట్ సాఫ్ట్‌వేర్‌లను అందిస్తారు (ఎండ్ పాయింట్ ప్రొటెక్షన్/EPP). కాబట్టి, ఉదాహరణకు, నుండి 2018 గార్ట్‌నర్ మ్యాజిక్ క్వాడ్రంట్ పాలో ఆల్టో మరియు సిస్కో వారి స్వంత EPPలను (PA: ట్రాప్స్, సిస్కో: AMP) కలిగి ఉన్నాయని మేము చూస్తున్నాము, కానీ అవి నాయకులకు దూరంగా ఉన్నాయి.

మీ ఫైర్‌వాల్‌లో ఈ రక్షణలను (సాధారణంగా లైసెన్స్‌లను కొనుగోలు చేయడం ద్వారా) ప్రారంభించడం తప్పనిసరి కాదు (మీరు సాంప్రదాయ మార్గంలో వెళ్లవచ్చు), కానీ ఇది కొన్ని ప్రయోజనాలను అందిస్తుంది:

• ఈ సందర్భంలో, రక్షణ పద్ధతుల అప్లికేషన్ యొక్క ఒకే పాయింట్ ఉంది, ఇది దృశ్యమానతను మెరుగుపరుస్తుంది (తదుపరి అంశాన్ని చూడండి).
• మీ నెట్‌వర్క్‌లో అసురక్షిత పరికరం ఉన్నట్లయితే, అది ఇప్పటికీ ఫైర్‌వాల్ రక్షణ "గొడుగు" కిందకు వస్తుంది
• ఎండ్-హోస్ట్ రక్షణతో కలిపి ఫైర్‌వాల్ రక్షణను ఉపయోగించడం ద్వారా, మేము హానికరమైన ట్రాఫిక్‌ను గుర్తించే అవకాశాన్ని పెంచుతాము. ఉదాహరణకు, స్థానిక హోస్ట్‌లపై మరియు ఫైర్‌వాల్‌పై ముప్పు నివారణను ఉపయోగించడం ద్వారా గుర్తించే అవకాశం పెరుగుతుంది (అయితే, ఈ పరిష్కారాలు వేర్వేరు సాఫ్ట్‌వేర్ ఉత్పత్తులపై ఆధారపడి ఉంటాయి)

వ్యాఖ్య

ఉదాహరణకు, మీరు కాస్పెర్స్కీని ఫైర్‌వాల్‌లో మరియు చివరి హోస్ట్‌లలో యాంటీవైరస్‌గా ఉపయోగిస్తే, ఇది మీ నెట్‌వర్క్‌పై వైరస్ దాడిని నిరోధించే అవకాశాలను పెద్దగా పెంచదు.

నెట్‌వర్క్ దృశ్యమానత

ప్రధానమైన ఆలోచన సులభం - నిజ సమయంలో మరియు చారిత్రక డేటా రెండింటిలోనూ మీ నెట్‌వర్క్‌లో ఏమి జరుగుతుందో “చూడండి”.

నేను ఈ "దృష్టి"ని రెండు గ్రూపులుగా విభజిస్తాను:

గ్రూప్ వన్: మీ పర్యవేక్షణ వ్యవస్థ సాధారణంగా మీకు ఏమి అందిస్తుంది.

• పరికరాలు లోడ్ అవుతోంది
• ఛానెల్‌లను లోడ్ చేస్తోంది
• మెమరీ వినియోగం
• డిస్క్ వినియోగం
• రూటింగ్ పట్టికను మార్చడం
• లింక్ స్థితి
• పరికరాల లభ్యత (లేదా హోస్ట్‌లు)
• ...

గ్రూప్ రెండు: భద్రత సంబంధిత సమాచారం.

• వివిధ రకాల గణాంకాలు (ఉదాహరణకు, అప్లికేషన్ ద్వారా, URL ట్రాఫిక్ ద్వారా, ఏ రకమైన డేటా డౌన్‌లోడ్ చేయబడింది, వినియోగదారు డేటా)
• భద్రతా విధానాల ద్వారా ఏమి నిరోధించబడింది మరియు ఏ కారణం వలన, అవి
  • నిషేధించబడిన అప్లికేషన్
  • ip/ప్రోటోకాల్/పోర్ట్/ఫ్లాగ్‌లు/జోన్‌ల ఆధారంగా నిషేధించబడింది
  • ముప్పు నివారణ
  • url వడపోత
  • డేటా ఫిల్టరింగ్
  • ఫైల్ నిరోధించడం
  • ...
• DOS/DDOS దాడులపై గణాంకాలు
• గుర్తింపు మరియు అధికార ప్రయత్నాలు విఫలమయ్యాయి
• పైన పేర్కొన్న అన్ని భద్రతా విధాన ఉల్లంఘన ఈవెంట్‌ల గణాంకాలు
• ...

భద్రతపై ఈ అధ్యాయంలో, మేము రెండవ భాగంలో ఆసక్తి కలిగి ఉన్నాము.

కొన్ని ఆధునిక ఫైర్‌వాల్‌లు (నా పాలో ఆల్టో అనుభవం నుండి) మంచి స్థాయి దృశ్యమానతను అందిస్తాయి. అయితే, మీకు ఆసక్తి ఉన్న ట్రాఫిక్ తప్పనిసరిగా ఈ ఫైర్‌వాల్ ద్వారా వెళ్లాలి (ఈ సందర్భంలో మీకు ట్రాఫిక్‌ను నిరోధించే సామర్థ్యం ఉంది) లేదా ఫైర్‌వాల్‌కు ప్రతిబింబించాలి (పర్యవేక్షణ మరియు విశ్లేషణ కోసం మాత్రమే ఉపయోగించబడుతుంది), మరియు అన్నింటినీ ఎనేబుల్ చేయడానికి మీరు తప్పనిసరిగా లైసెన్స్‌లను కలిగి ఉండాలి ఈ సేవలు.

వాస్తవానికి, ప్రత్యామ్నాయ మార్గం లేదా సాంప్రదాయ మార్గం ఉంది, ఉదాహరణకు,

• సెషన్ గణాంకాలను నెట్‌ఫ్లో ద్వారా సేకరించవచ్చు మరియు సమాచార విశ్లేషణ మరియు డేటా విజువలైజేషన్ కోసం ప్రత్యేక యుటిలిటీలను ఉపయోగించవచ్చు
• ముప్పు నివారణ - ముగింపు హోస్ట్‌లపై ప్రత్యేక ప్రోగ్రామ్‌లు (యాంటీ వైరస్, యాంటీ-స్పైవేర్, ఫైర్‌వాల్).
• URL ఫిల్టరింగ్, డేటా ఫిల్టరింగ్, ఫైల్ బ్లాకింగ్ – ప్రాక్సీలో
• ఉదా ఉపయోగించి tcpdump విశ్లేషించడం కూడా సాధ్యమే. గురక

మీరు ఈ రెండు విధానాలను మిళితం చేయవచ్చు, తప్పిపోయిన ఫీచర్‌లను పూర్తి చేయవచ్చు లేదా దాడిని గుర్తించే సంభావ్యతను పెంచడానికి వాటిని నకిలీ చేయవచ్చు.

మీరు ఏ విధానాన్ని ఎంచుకోవాలి?
మీ బృందం యొక్క అర్హతలు మరియు ప్రాధాన్యతలపై ఎక్కువగా ఆధారపడి ఉంటుంది.
అక్కడ మరియు అక్కడ రెండింటిలో లాభాలు మరియు నష్టాలు ఉన్నాయి.

ఏకీకృత కేంద్రీకృత ప్రమాణీకరణ మరియు అధికార వ్యవస్థ

చక్కగా రూపొందించబడినప్పుడు, ఈ కథనంలో మేము చర్చించిన మొబిలిటీ మీరు ఆఫీసు నుండి లేదా ఇంటి నుండి, విమానాశ్రయం నుండి, కాఫీ షాప్ నుండి లేదా మరెక్కడైనా (మేము పైన చర్చించిన పరిమితులతో) పని చేసినా మీకు ఒకే విధమైన యాక్సెస్ ఉంటుందని ఊహిస్తుంది. ఇది కనిపిస్తుంది, సమస్య ఏమిటి?
ఈ పని యొక్క సంక్లిష్టతను బాగా అర్థం చేసుకోవడానికి, ఒక సాధారణ రూపకల్పనను చూద్దాం.

ఉదాహరణకు

• మీరు ఉద్యోగులందరినీ సమూహాలుగా విభజించారు. మీరు సమూహాల వారీగా యాక్సెస్‌ను అందించాలని నిర్ణయించుకున్నారు
• కార్యాలయం లోపల, మీరు ఆఫీస్ ఫైర్‌వాల్‌పై యాక్సెస్‌ని నియంత్రిస్తారు
• మీరు డేటా సెంటర్ ఫైర్‌వాల్‌లో కార్యాలయం నుండి డేటా సెంటర్‌కు ట్రాఫిక్‌ని నియంత్రిస్తారు
• మీరు సిస్కో ASAని VPN గేట్‌వేగా ఉపయోగిస్తున్నారు మరియు రిమోట్ క్లయింట్‌ల నుండి మీ నెట్‌వర్క్‌లోకి ప్రవేశించే ట్రాఫిక్‌ను నియంత్రించడానికి, మీరు స్థానిక (ASAలో) ACLలను ఉపయోగిస్తారు

ఇప్పుడు, మీరు ఒక నిర్దిష్ట ఉద్యోగికి అదనపు యాక్సెస్‌ని జోడించమని అడిగారని అనుకుందాం. ఈ సందర్భంలో, మీరు అతనికి మాత్రమే యాక్సెస్‌ని జోడించమని అడగబడతారు మరియు అతని సమూహం నుండి మరెవరూ ఉండకూడదు.

దీని కోసం మేము ఈ ఉద్యోగి కోసం ప్రత్యేక సమూహాన్ని సృష్టించాలి, అంటే

• ఈ ఉద్యోగి కోసం ASAలో ప్రత్యేక IP పూల్‌ని సృష్టించండి
• ASAలో కొత్త ACLని జోడించి, దానిని ఆ రిమోట్ క్లయింట్‌కి బంధించండి
• కార్యాలయం మరియు డేటా సెంటర్ ఫైర్‌వాల్‌లపై కొత్త భద్రతా విధానాలను రూపొందించండి

ఈ సంఘటన చాలా అరుదుగా ఉంటే మంచిది. కానీ నా ఆచరణలో ఉద్యోగులు వేర్వేరు ప్రాజెక్ట్‌లలో పాల్గొన్నప్పుడు పరిస్థితి ఉంది మరియు వాటిలో కొన్నింటికి ఈ ప్రాజెక్ట్‌లు చాలా తరచుగా మారాయి మరియు ఇది 1-2 మంది కాదు, డజన్ల కొద్దీ. వాస్తవానికి, ఇక్కడ ఏదో మార్చాల్సిన అవసరం ఉంది.

ఇది క్రింది విధంగా పరిష్కరించబడింది.

సాధ్యమయ్యే అన్ని ఉద్యోగి యాక్సెస్‌లను నిర్ణయించే సత్యం యొక్క ఏకైక మూలం LDAP అని మేము నిర్ణయించుకున్నాము. మేము యాక్సెస్‌ల సెట్‌లను నిర్వచించే అన్ని రకాల సమూహాలను సృష్టించాము మరియు మేము ప్రతి వినియోగదారుని ఒకటి లేదా అంతకంటే ఎక్కువ సమూహాలకు కేటాయించాము.

కాబట్టి, ఉదాహరణకు, సమూహాలు ఉన్నాయని అనుకుందాం

• అతిథి (ఇంటర్నెట్ యాక్సెస్)
• సాధారణ యాక్సెస్ (భాగస్వామ్య వనరులకు యాక్సెస్: మెయిల్, నాలెడ్జ్ బేస్, ...)
• అకౌంటింగ్
• ప్రాజెక్ట్ 1
• ప్రాజెక్ట్ 2
• డేటాబేస్ అడ్మినిస్ట్రేటర్
• linux నిర్వాహకుడు
• ...

మరియు ఉద్యోగులలో ఒకరు ప్రాజెక్ట్ 1 మరియు ప్రాజెక్ట్ 2 రెండింటిలోనూ నిమగ్నమై ఉంటే మరియు ఈ ప్రాజెక్ట్‌లలో పని చేయడానికి అతనికి అవసరమైన యాక్సెస్ అవసరమైతే, ఈ ఉద్యోగి క్రింది సమూహాలకు కేటాయించబడతారు:

• గెస్ట్
• సాధారణ యాక్సెస్
• ప్రాజెక్ట్ 1
• ప్రాజెక్ట్ 2

ఇప్పుడు మనం ఈ సమాచారాన్ని నెట్‌వర్క్ పరికరాలలో యాక్సెస్‌గా ఎలా మార్చగలము?

సిస్కో ASA డైనమిక్ యాక్సెస్ పాలసీ (DAP) (చూడండి www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) ఈ పనికి పరిష్కారం సరైనది.

మా అమలు గురించి క్లుప్తంగా, గుర్తింపు/అధికార ప్రక్రియ సమయంలో, ASA LDAP నుండి అందించబడిన వినియోగదారుకు సంబంధించిన సమూహాల సమితిని అందుకుంటుంది మరియు అనేక స్థానిక ACLల నుండి (ప్రతి ఒక్కటి సమూహానికి అనుగుణంగా ఉంటుంది) అవసరమైన అన్ని యాక్సెస్‌లతో కూడిన డైనమిక్ ACL నుండి "సేకరిస్తుంది". , ఇది పూర్తిగా మా కోరికలకు అనుగుణంగా ఉంటుంది.

కానీ ఇది VPN కనెక్షన్‌లకు మాత్రమే. VPN ద్వారా కనెక్ట్ చేయబడిన ఉద్యోగులకు మరియు కార్యాలయంలో ఉన్నవారికి పరిస్థితిని ఒకే విధంగా చేయడానికి, క్రింది దశ తీసుకోబడింది.

కార్యాలయం నుండి కనెక్ట్ చేస్తున్నప్పుడు, 802.1x ప్రోటోకాల్‌ని ఉపయోగించే వినియోగదారులు అతిథి LAN (అతిథుల కోసం) లేదా షేర్డ్ LAN (కంపెనీ ఉద్యోగుల కోసం)లో ముగించారు. ఇంకా, నిర్దిష్ట యాక్సెస్ (ఉదాహరణకు, డేటా సెంటర్‌లోని ప్రాజెక్ట్‌లకు) పొందడానికి, ఉద్యోగులు VPN ద్వారా కనెక్ట్ అవ్వాలి.

కార్యాలయం నుండి మరియు ఇంటి నుండి కనెక్ట్ చేయడానికి, ASAలో వివిధ సొరంగం సమూహాలు ఉపయోగించబడ్డాయి. కార్యాలయం నుండి కనెక్ట్ అయ్యే వారికి, భాగస్వామ్య వనరులకు ట్రాఫిక్ (మెయిల్, ఫైల్ సర్వర్లు, టిక్కెట్ సిస్టమ్, dns, ... వంటి ఉద్యోగులందరూ ఉపయోగించబడుతుంది) ASA ద్వారా కాకుండా స్థానిక నెట్‌వర్క్ ద్వారా వెళ్లడానికి ఇది అవసరం. . అందువల్ల, మేము అధిక-తీవ్రత ట్రాఫిక్‌తో సహా అనవసరమైన ట్రాఫిక్‌తో ASAని లోడ్ చేయలేదు.

ఆ విధంగా, సమస్య పరిష్కరించబడింది.
మాకు వచ్చింది

• కార్యాలయం మరియు రిమోట్ కనెక్షన్‌ల నుండి రెండు కనెక్షన్‌లకు ఒకే రకమైన యాక్సెస్‌లు
• ASA ద్వారా అధిక-తీవ్రత ట్రాఫిక్ ప్రసారానికి సంబంధించిన కార్యాలయం నుండి పని చేస్తున్నప్పుడు సేవ క్షీణత లేకపోవడం

ఈ విధానం యొక్క ఇతర ప్రయోజనాలు ఏమిటి?
యాక్సెస్ పరిపాలనలో. యాక్సెస్‌లను ఒకే చోట సులభంగా మార్చవచ్చు.
ఉదాహరణకు, ఒక ఉద్యోగి కంపెనీని విడిచిపెట్టినట్లయితే, మీరు అతనిని LDAP నుండి తీసివేయండి మరియు అతను స్వయంచాలకంగా మొత్తం యాక్సెస్‌ను కోల్పోతాడు.

హోస్ట్ తనిఖీ

రిమోట్ కనెక్షన్ యొక్క అవకాశంతో, మేము ఒక కంపెనీ ఉద్యోగిని నెట్‌వర్క్‌లోకి మాత్రమే కాకుండా, అతని కంప్యూటర్‌లో (ఉదాహరణకు, హోమ్) ఎక్కువగా ఉండే అన్ని హానికరమైన సాఫ్ట్‌వేర్‌లను కూడా అనుమతించే ప్రమాదం ఉంది మరియు అంతేకాకుండా, ఈ సాఫ్ట్‌వేర్ ద్వారా మేము ఈ హోస్ట్‌ను ప్రాక్సీగా ఉపయోగించి దాడి చేసే వ్యక్తికి మా నెట్‌వర్క్‌కు యాక్సెస్‌ను అందిస్తూ ఉండవచ్చు.

రిమోట్‌గా కనెక్ట్ చేయబడిన హోస్ట్‌కి ఇన్-ఆఫీస్ హోస్ట్ వలె అదే భద్రతా అవసరాలను వర్తింపజేయడం అర్ధమే.

ఇది OS యొక్క “సరైన” సంస్కరణ, యాంటీ-వైరస్, యాంటీ-స్పైవేర్ మరియు ఫైర్‌వాల్ సాఫ్ట్‌వేర్ మరియు అప్‌డేట్‌లను కూడా ఊహిస్తుంది. సాధారణంగా, ఈ సామర్ధ్యం VPN గేట్‌వేలో ఉంటుంది (ASA కోసం చూడండి, ఉదాహరణకు, ఇక్కడ).

మీ భద్రతా విధానం కార్యాలయ ట్రాఫిక్‌కు వర్తించే అదే ట్రాఫిక్ విశ్లేషణ మరియు నిరోధించే పద్ధతులను ("అధిక స్థాయి రక్షణ" చూడండి) వర్తింపజేయడం కూడా తెలివైన పని.

మీ ఆఫీస్ నెట్‌వర్క్ ఇకపై ఆఫీస్ భవనం మరియు దానిలోని హోస్ట్‌లకు మాత్రమే పరిమితం కాదని భావించడం సహేతుకమైనది.

ఉదాహరణకు

రిమోట్ యాక్సెస్ అవసరమయ్యే ప్రతి ఉద్యోగికి మంచి, అనుకూలమైన ల్యాప్‌టాప్‌ను అందించడం మరియు వారు ఆఫీసులో మరియు ఇంటి నుండి మాత్రమే పని చేయాలని కోరుకోవడం మంచి సాంకేతికత.

ఇది మీ నెట్‌వర్క్ యొక్క భద్రతను మెరుగుపరచడమే కాకుండా, ఇది నిజంగా సౌకర్యవంతంగా ఉంటుంది మరియు సాధారణంగా ఉద్యోగులు (ఇది నిజంగా మంచి, వినియోగదారు-స్నేహపూర్వక ల్యాప్‌టాప్ అయితే) అనుకూలంగా ఉంటుంది.

నిష్పత్తి మరియు సంతులనం యొక్క భావం గురించి

ప్రాథమికంగా, ఇది మా త్రిభుజం యొక్క మూడవ శీర్షం గురించి - ధర గురించి సంభాషణ.
ఒక ఊహాత్మక ఉదాహరణ చూద్దాం.

ఉదాహరణకు

మీకు 200 మంది వ్యక్తుల కోసం కార్యాలయం ఉంది. మీరు దీన్ని వీలైనంత సౌకర్యవంతంగా మరియు సురక్షితంగా చేయాలని నిర్ణయించుకున్నారు.

అందువల్ల, మీరు అన్ని ట్రాఫిక్‌లను ఫైర్‌వాల్ ద్వారా పంపించాలని నిర్ణయించుకున్నారు మరియు అందువల్ల అన్ని ఆఫీస్ సబ్‌నెట్‌లకు ఫైర్‌వాల్ డిఫాల్ట్ గేట్‌వే. ప్రతి ఎండ్ హోస్ట్‌లో (యాంటీ-వైరస్, యాంటీ-స్పైవేర్ మరియు ఫైర్‌వాల్ సాఫ్ట్‌వేర్) ఇన్‌స్టాల్ చేయబడిన భద్రతా సాఫ్ట్‌వేర్‌తో పాటు, మీరు ఫైర్‌వాల్‌పై సాధ్యమయ్యే అన్ని రక్షణ పద్ధతులను కూడా వర్తింపజేయాలని నిర్ణయించుకున్నారు.

అధిక కనెక్షన్ వేగాన్ని నిర్ధారించడానికి (అన్నీ సౌలభ్యం కోసం), మీరు యాక్సెస్ స్విచ్‌లుగా 10 గిగాబిట్ యాక్సెస్ పోర్ట్‌లతో స్విచ్‌లను మరియు ఫైర్‌వాల్‌లుగా అధిక-పనితీరు గల NGFW ఫైర్‌వాల్‌లను ఎంచుకున్నారు, ఉదాహరణకు, Palo Alto 7K సిరీస్ (40 గిగాబిట్ పోర్ట్‌లతో), సహజంగా అన్ని లైసెన్స్‌లతో చేర్చబడింది మరియు, సహజంగా, అధిక లభ్యత జత.

అలాగే, వాస్తవానికి, ఈ పరికరాలతో పనిచేయడానికి మాకు కనీసం ఇద్దరు అధిక అర్హత కలిగిన సెక్యూరిటీ ఇంజనీర్లు అవసరం.

తర్వాత, మీరు ప్రతి ఉద్యోగికి మంచి ల్యాప్‌టాప్ ఇవ్వాలని నిర్ణయించుకున్నారు.

మొత్తం, అమలు కోసం సుమారు 10 మిలియన్ డాలర్లు, ఇంజనీర్‌లకు వార్షిక మద్దతు మరియు జీతాల కోసం వందల వేల డాలర్లు (నేను మిలియన్‌కు దగ్గరగా అనుకుంటున్నాను).

ఆఫీసు, 200 మంది...
సౌకర్యంగా ఉందా? నేను అవుననే అనుకుంటున్నాను.

మీరు మీ నిర్వహణకు ఈ ప్రతిపాదనతో రండి...
బహుశా ఇది ఆమోదయోగ్యమైన మరియు సరైన పరిష్కారం అయిన అనేక కంపెనీలు ప్రపంచంలో ఉన్నాయి. మీరు ఈ సంస్థ యొక్క ఉద్యోగి అయితే, నా అభినందనలు, కానీ చాలా సందర్భాలలో, మీ జ్ఞానం నిర్వహణచే ప్రశంసించబడదని నేను ఖచ్చితంగా అనుకుంటున్నాను.

ఈ ఉదాహరణ అతిశయోక్తిగా ఉందా? తదుపరి అధ్యాయం ఈ ప్రశ్నకు సమాధానం ఇస్తుంది.

మీ నెట్‌వర్క్‌లో మీరు పైన పేర్కొన్న వాటిలో దేనినీ చూడకపోతే, ఇది కట్టుబాటు.
ప్రతి నిర్దిష్ట సందర్భంలో, మీరు సౌలభ్యం, ధర మరియు భద్రత మధ్య మీ స్వంత సహేతుకమైన రాజీని కనుగొనాలి. తరచుగా మీకు మీ కార్యాలయంలో NGFW అవసరం లేదు మరియు ఫైర్‌వాల్‌పై L7 రక్షణ అవసరం లేదు. దృశ్యమానత మరియు హెచ్చరికల యొక్క మంచి స్థాయిని అందించడానికి ఇది సరిపోతుంది మరియు ఇది ఓపెన్ సోర్స్ ఉత్పత్తులను ఉపయోగించి చేయవచ్చు, ఉదాహరణకు. అవును, దాడికి మీ ప్రతిచర్య తక్షణమే ఉండదు, కానీ ప్రధాన విషయం ఏమిటంటే మీరు దాన్ని చూస్తారు మరియు మీ విభాగంలో సరైన ప్రక్రియలతో, మీరు దానిని త్వరగా తటస్తం చేయగలుగుతారు.

మరియు ఈ కథనాల శ్రేణి యొక్క భావన ప్రకారం, మీరు నెట్‌వర్క్‌ను రూపొందించడం లేదని, మీకు లభించిన వాటిని మెరుగుపరచడానికి మాత్రమే ప్రయత్నిస్తున్నారని నేను మీకు గుర్తు చేస్తాను.

ఆఫీస్ ఆర్కిటెక్చర్ యొక్క సురక్షిత విశ్లేషణ

నేను రేఖాచిత్రంలో ఒక స్థలాన్ని కేటాయించిన ఈ ఎరుపు చతురస్రానికి శ్రద్ధ వహించండి సేఫ్ సెక్యూర్ క్యాంపస్ ఆర్కిటెక్చర్ గైడ్నేను ఇక్కడ చర్చించాలనుకుంటున్నాను.

ఇది వాస్తుశిల్పం యొక్క ముఖ్య ప్రదేశాలలో ఒకటి మరియు అత్యంత ముఖ్యమైన అనిశ్చితులలో ఒకటి.

వ్యాఖ్య

నేను ఎప్పుడూ ఫైర్‌పవర్‌తో సెటప్ చేయలేదు లేదా పని చేయలేదు (సిస్కో యొక్క ఫైర్‌వాల్ లైన్ నుండి - ASA మాత్రమే), కాబట్టి నేను జునిపెర్ SRX లేదా పాలో ఆల్టో వంటి ఇతర ఫైర్‌వాల్‌లాగానే పరిగణిస్తాను.

సాధారణ డిజైన్‌లలో, ఈ కనెక్షన్‌తో ఫైర్‌వాల్‌ను ఉపయోగించడం కోసం నేను 4 సాధ్యమైన ఎంపికలను మాత్రమే చూస్తున్నాను:

• ప్రతి సబ్‌నెట్‌కి డిఫాల్ట్ గేట్‌వే ఒక స్విచ్, అయితే ఫైర్‌వాల్ పారదర్శక మోడ్‌లో ఉంటుంది (అంటే, ట్రాఫిక్ అంతా దాని గుండా వెళుతుంది, కానీ అది L3 హాప్‌ను ఏర్పరచదు)
• ప్రతి సబ్‌నెట్‌కు డిఫాల్ట్ గేట్‌వే ఫైర్‌వాల్ సబ్-ఇంటర్‌ఫేస్‌లు (లేదా SVI ఇంటర్‌ఫేస్‌లు), స్విచ్ L2 పాత్రను పోషిస్తుంది
• స్విచ్‌లో వేర్వేరు VRFలు ఉపయోగించబడతాయి మరియు VRFల మధ్య ట్రాఫిక్ ఫైర్‌వాల్ గుండా వెళుతుంది, ఒక VRF లోపల ట్రాఫిక్ స్విచ్‌లోని ACL ద్వారా నియంత్రించబడుతుంది.
• అన్ని ట్రాఫిక్ విశ్లేషణ మరియు పర్యవేక్షణ కోసం ఫైర్‌వాల్‌కు ప్రతిబింబిస్తుంది; ట్రాఫిక్ దాని గుండా వెళ్ళదు

వ్యాఖ్య 1

ఈ ఎంపికల కలయికలు సాధ్యమే, కానీ సరళత కోసం మేము వాటిని పరిగణించము.

గమనిక 2

PBR (సర్వీస్ చైన్ ఆర్కిటెక్చర్) ను ఉపయోగించే అవకాశం కూడా ఉంది, కానీ ప్రస్తుతానికి ఇది, నా అభిప్రాయం ప్రకారం, ఒక అందమైన పరిష్కారం అయినప్పటికీ, అన్యదేశమైనది, కాబట్టి నేను దానిని ఇక్కడ పరిగణించడం లేదు.

పత్రంలోని ప్రవాహాల వివరణ నుండి, ట్రాఫిక్ ఇప్పటికీ ఫైర్‌వాల్ గుండా వెళుతుందని మేము చూస్తాము, అంటే, సిస్కో డిజైన్‌కు అనుగుణంగా, నాల్గవ ఎంపిక తొలగించబడుతుంది.

మొదట మొదటి రెండు ఎంపికలను చూద్దాం.
ఈ ఎంపికలతో, ట్రాఫిక్ అంతా ఫైర్‌వాల్ గుండా వెళుతుంది.

ఇప్పుడు చూద్దాం సమాచార పట్టిక, చూడండి సిస్కో GPL మరియు మన ఆఫీసు మొత్తం బ్యాండ్‌విడ్త్ కనీసం 10 - 20 గిగాబిట్‌లు ఉండాలంటే, మనం తప్పనిసరిగా 4K వెర్షన్‌ను కొనుగోలు చేయాలి.

వ్యాఖ్య

నేను మొత్తం బ్యాండ్‌విడ్త్ గురించి మాట్లాడేటప్పుడు, నా ఉద్దేశ్యం సబ్‌నెట్‌ల మధ్య ట్రాఫిక్ (మరియు ఒక విలానాలో కాదు).

GPL నుండి థ్రెట్ డిఫెన్స్‌తో కూడిన HA బండిల్ కోసం, మోడల్‌పై ఆధారపడి ధర (4110 - 4150) ~0,5 - 2,5 మిలియన్ డాలర్ల వరకు ఉంటుంది.

అంటే, మా డిజైన్ మునుపటి ఉదాహరణను పోలి ఉంటుంది.

ఈ డిజైన్ తప్పు అని దీని అర్థం?
లేదు, అది అర్థం కాదు. సిస్కో కలిగి ఉన్న ఉత్పత్తి శ్రేణి ఆధారంగా మీకు సాధ్యమైనంత ఉత్తమమైన రక్షణను అందిస్తుంది. అయితే ఇది మీ కోసం తప్పనిసరిగా చేయాల్సిన పని అని కాదు.

సూత్రప్రాయంగా, ఇది కార్యాలయం లేదా డేటా సెంటర్‌ను రూపకల్పన చేసేటప్పుడు ఉత్పన్నమయ్యే సాధారణ ప్రశ్న, మరియు దీని అర్థం రాజీని కోరుకోవడం మాత్రమే అవసరం.

ఉదాహరణకు, మొత్తం ట్రాఫిక్‌ను ఫైర్‌వాల్ ద్వారా వెళ్లనివ్వవద్దు, ఈ సందర్భంలో ఎంపిక 3 నాకు చాలా బాగుంది, లేదా (మునుపటి విభాగాన్ని చూడండి) మీకు థ్రెట్ డిఫెన్స్ అవసరం లేకపోవచ్చు లేదా దానిపై ఫైర్‌వాల్ అవసరం లేదు నెట్‌వర్క్ సెగ్మెంట్, మరియు మీరు చెల్లింపు (ఖరీదైనది కాదు) లేదా ఓపెన్ సోర్స్ సొల్యూషన్‌లను ఉపయోగించి నిష్క్రియ పర్యవేక్షణకు మిమ్మల్ని పరిమితం చేసుకోవాలి లేదా మీకు ఫైర్‌వాల్ అవసరం, కానీ వేరే విక్రేత నుండి.

సాధారణంగా ఈ అనిశ్చితి ఎప్పుడూ ఉంటుంది మరియు మీకు ఏ నిర్ణయం ఉత్తమం అనేదానికి స్పష్టమైన సమాధానం ఉండదు.
ఇది ఈ పని యొక్క సంక్లిష్టత మరియు అందం.

మూలం: www.habr.com