Nkan yii jẹ karun ninu jara “Bi o ṣe le Gba Iṣakoso ti Awọn amayederun Nẹtiwọọki rẹ.” Awọn akoonu ti gbogbo awọn nkan ninu jara ati awọn ọna asopọ le ṣee rii .
Apakan yii yoo jẹ iyasọtọ si Campus (Ọffice) & awọn apakan VPN wiwọle latọna jijin.
Apẹrẹ nẹtiwọọki ọfiisi le dabi irọrun.
Nitootọ, a ya L2 / L3 yipada ki o si so wọn si kọọkan miiran. Nigbamii ti, a ṣe iṣeto ipilẹ ti awọn vilans ati awọn ẹnu-ọna aiyipada, ṣeto ipa-ọna ti o rọrun, so awọn olutona WiFi pọ, awọn aaye iwọle, fi sori ẹrọ ati tunto ASA fun iraye si latọna jijin, a ni idunnu pe ohun gbogbo ṣiṣẹ. Ni ipilẹ, bi Mo ti kọ tẹlẹ ninu ọkan ninu awọn iṣaaju ti yiyiyi, o fẹrẹ jẹ gbogbo ọmọ ile-iwe ti o ti lọ (ti o kọ ẹkọ) awọn igba ikawe meji ti iṣẹ ikẹkọ tẹlifoonu le ṣe apẹrẹ ati tunto nẹtiwọọki ọfiisi kan ki o “bakan ṣiṣẹ.”
Ṣugbọn bi o ṣe n kọ ẹkọ diẹ sii, iṣẹ-ṣiṣe yii kere si bẹrẹ lati dabi. Fun mi tikalararẹ, koko yii, koko-ọrọ ti apẹrẹ nẹtiwọọki ọfiisi, ko dabi rọrun rara, ati ninu nkan yii Emi yoo gbiyanju lati ṣalaye idi.
Ni soki, nibẹ ni o wa oyimbo kan diẹ ifosiwewe lati ro. Nigbagbogbo awọn ifosiwewe wọnyi wa ni ilodisi pẹlu ara wọn ati pe o yẹ ki o wa adehun ti o ni oye.
Aidaniloju yii jẹ iṣoro akọkọ. Nitorinaa, ni sisọ nipa aabo, a ni igun mẹta kan pẹlu awọn igun mẹta: aabo, irọrun fun awọn oṣiṣẹ, idiyele ti ojutu.
Ati ni gbogbo igba ti o ni lati wa fun adehun laarin awọn mẹta wọnyi.
faaji
Gẹgẹbi apẹẹrẹ ti faaji fun awọn apakan meji wọnyi, bi ninu awọn nkan iṣaaju, Mo ṣeduro awoṣe: , .
Iwọnyi jẹ awọn iwe aṣẹ ti igba atijọ. Mo ṣafihan wọn nibi nitori awọn eto ipilẹ ati ọna ko yipada, ṣugbọn ni akoko kanna Mo fẹran igbejade diẹ sii ju ninu .
Laisi iwuri fun ọ lati lo awọn solusan Sisiko, Mo tun ro pe o wulo lati ṣe akiyesi apẹrẹ yii ni pẹkipẹki.
Nkan yii, gẹgẹbi o ṣe deede, ko ṣe dibọn ni eyikeyi ọna lati pe, ṣugbọn kuku jẹ afikun si alaye yii.
Ni ipari nkan naa, a yoo ṣe itupalẹ apẹrẹ ọfiisi Cisco SAFE ni awọn ofin ti awọn imọran ti a ṣe ilana nibi.
Gbogbogbo agbekale
Apẹrẹ ti nẹtiwọọki ọfiisi gbọdọ, dajudaju, ni itẹlọrun awọn ibeere gbogbogbo ti a ti jiroro ni ipin "Awọn ami-afihan fun ṣiṣe ayẹwo didara apẹrẹ". Yato si idiyele ati ailewu, eyiti a pinnu lati jiroro ninu nkan yii, awọn ibeere mẹta tun wa ti a gbọdọ gbero nigbati a ṣe apẹrẹ (tabi ṣiṣe awọn ayipada):
- scalability
- irọrun ti lilo (iṣakoso)
- wiwa
Pupọ ti ohun ti a ti jiroro fun Eyi tun jẹ otitọ fun ọfiisi.
Ṣugbọn sibẹ, apakan ọfiisi ni awọn pato ti ara rẹ, eyiti o ṣe pataki lati oju wiwo aabo. Ohun pataki ti iyasọtọ yii ni pe a ṣẹda apakan yii lati pese awọn iṣẹ nẹtiwọọki si awọn oṣiṣẹ (bakannaa awọn alabaṣiṣẹpọ ati awọn alejo) ti ile-iṣẹ naa, ati, bi abajade, ni ipele ti o ga julọ ti iṣaro iṣoro naa a ni awọn iṣẹ-ṣiṣe meji:
- daabobo awọn orisun ile-iṣẹ lati awọn iṣe irira ti o le wa lati ọdọ awọn oṣiṣẹ (awọn alejo, awọn alabaṣiṣẹpọ) ati lati sọfitiwia ti wọn lo. Eyi tun pẹlu aabo lodi si asopọ laigba aṣẹ si nẹtiwọọki.
- dabobo awọn ọna šiše ati olumulo data
Ati pe eyi jẹ ẹgbẹ kan ti iṣoro naa (tabi dipo, fatesi kan ti igun mẹta naa). Ni apa keji ni irọrun olumulo ati idiyele ti awọn solusan ti a lo.
Jẹ ki a bẹrẹ nipa wiwo kini olumulo n reti lati ọdọ nẹtiwọọki ọfiisi ode oni.
Awọn ohun rere
Eyi ni kini “awọn ohun elo nẹtiwọọki” dabi fun olumulo ọfiisi ni ero mi:
- Iyika
- Agbara lati lo ni kikun ibiti o ti faramọ awọn ẹrọ ati awọn ọna šiše
- Wiwọle irọrun si gbogbo awọn orisun ile-iṣẹ pataki
- Wiwa awọn orisun Intanẹẹti, pẹlu ọpọlọpọ awọn iṣẹ awọsanma
- "Isẹ kiakia" ti nẹtiwọọki
Gbogbo eyi kan si awọn oṣiṣẹ mejeeji ati awọn alejo (tabi awọn alabaṣepọ), ati pe o jẹ iṣẹ-ṣiṣe ti awọn onimọ-ẹrọ ile-iṣẹ lati ṣe iyatọ iwọle fun awọn ẹgbẹ olumulo ti o yatọ ti o da lori aṣẹ.
Jẹ ki a wo ọkọọkan awọn aaye wọnyi ni awọn alaye diẹ sii.
Iyika
A n sọrọ nipa aye lati ṣiṣẹ ati lo gbogbo awọn orisun ile-iṣẹ pataki lati ibikibi ni agbaye (dajudaju, nibiti Intanẹẹti wa).
Eyi kan ni kikun si ọfiisi. Eyi jẹ rọrun nigbati o ba ni aye lati tẹsiwaju ṣiṣẹ lati ibikibi ni ọfiisi, fun apẹẹrẹ, gba meeli, ibaraẹnisọrọ ni ojiṣẹ ajọ, wa fun ipe fidio, ... Bayi, eyi gba ọ laaye, ni apa kan, lati yanju diẹ ninu awọn ibaraẹnisọrọ ibaraẹnisọrọ "ifiwe" (fun apẹẹrẹ, kopa ninu awọn apejọ), ati ni apa keji, jẹ nigbagbogbo lori ayelujara, tọju ika rẹ lori pulse ati yarayara yanju diẹ ninu awọn iṣẹ-ṣiṣe pataki-pataki pataki. Eyi rọrun pupọ ati pe o mu didara awọn ibaraẹnisọrọ pọ si gaan.
Eyi jẹ aṣeyọri nipasẹ apẹrẹ nẹtiwọọki WiFi to dara.
Akiyesi
Nibi ibeere nigbagbogbo waye: Ṣe o to lati lo WiFi nikan? Ṣe eyi tumọ si pe o le da lilo awọn ibudo Ethernet duro ni ọfiisi? Ti a ba n sọrọ nikan nipa awọn olumulo, kii ṣe nipa awọn olupin, eyiti o tun jẹ oye lati sopọ pẹlu ibudo Ethernet deede, lẹhinna ni gbogbogbo idahun ni: bẹẹni, o le fi opin si ara rẹ si WiFi nikan. Ṣugbọn awọn nuances wa.
Awọn ẹgbẹ olumulo pataki wa ti o nilo ọna lọtọ. Awọn wọnyi ni, dajudaju, awọn alakoso. Ni opo, asopọ WiFi ko ni igbẹkẹle (ni awọn ofin ti ipadanu ijabọ) ati losokepupo ju ibudo Ethernet deede. Eyi le ṣe pataki fun awọn alakoso. Ni afikun, awọn alabojuto nẹtiwọọki, fun apẹẹrẹ, le, ni ipilẹ, ni nẹtiwọọki Ethernet iyasọtọ tiwọn fun awọn asopọ ti ita-band.
O le wa awọn ẹgbẹ / awọn ẹka miiran ninu ile-iṣẹ rẹ fun eyiti awọn nkan wọnyi tun ṣe pataki.
Nibẹ ni miran pataki ojuami - telephony. Boya fun idi kan o ko fẹ lati lo VoIP Alailowaya ati pe o fẹ lati lo awọn foonu IP pẹlu asopọ Ethernet deede.
Ni gbogbogbo, awọn ile-iṣẹ ti Mo ṣiṣẹ fun nigbagbogbo ni asopọ WiFi mejeeji ati ibudo Ethernet kan.
Emi yoo fẹ arinbo ko ni opin si ọfiisi nikan.
Lati rii daju agbara lati ṣiṣẹ lati ile (tabi eyikeyi aaye miiran pẹlu Intanẹẹti wiwọle), asopọ VPN kan lo. Ni akoko kanna, o jẹ iwunilori pe awọn oṣiṣẹ ko ni rilara iyatọ laarin ṣiṣẹ lati ile ati iṣẹ latọna jijin, eyiti o dawọle iwọle kanna. A yoo jiroro bi a ṣe le ṣeto eyi ni igba diẹ ni ori “Ijeri si aarin ti iṣọkan ati eto aṣẹ.”
Akiyesi
O ṣeese julọ, iwọ kii yoo ni anfani lati pese didara awọn iṣẹ kanna fun iṣẹ latọna jijin ti o ni ni ọfiisi. Jẹ ki a ro pe o nlo Sisiko ASA 5520 bi ẹnu-ọna VPN rẹ Ẹrọ yii ni agbara lati “digesting” nikan 225 Mbit ti ijabọ VPN. Iyẹn ni, dajudaju, ni awọn ofin ti bandiwidi, sisopọ nipasẹ VPN yatọ pupọ lati ṣiṣẹ lati ọfiisi. Paapaa, ti, fun idi kan, lairi, pipadanu, jitter (fun apẹẹrẹ, o fẹ lo tẹlifoonu IP ọfiisi) fun awọn iṣẹ nẹtiwọọki rẹ ṣe pataki, iwọ kii yoo tun gba didara kanna bi ẹnipe o wa ni ọfiisi. Nitorina, nigba ti a ba sọrọ nipa iṣipopada, a gbọdọ mọ awọn idiwọn ti o ṣeeṣe.
Wiwọle irọrun si gbogbo awọn orisun ile-iṣẹ
Iṣẹ yii yẹ ki o yanju ni apapọ pẹlu awọn apa imọ-ẹrọ miiran.
Ipo ti o dara julọ ni nigbati olumulo nikan nilo lati jẹri ni ẹẹkan, ati lẹhin eyi o ni iwọle si gbogbo awọn orisun pataki.
Pese iraye si irọrun laisi fifipamọ aabo le mu ilọsiwaju pọ si ati dinku aapọn laarin awọn ẹlẹgbẹ rẹ.
Ifesi 1
Irọrun wiwọle kii ṣe nipa iye igba ti o ni lati tẹ ọrọ igbaniwọle sii. Ti, fun apẹẹrẹ, ni ibamu pẹlu eto imulo aabo rẹ, lati le sopọ lati ọfiisi si ile-iṣẹ data, o gbọdọ kọkọ sopọ si ẹnu-ọna VPN, ati ni akoko kanna o padanu iwọle si awọn orisun ọfiisi, lẹhinna eyi tun jẹ pupọ. , gan inconvenient.
Ifesi 2
Awọn iṣẹ wa (fun apẹẹrẹ, iraye si ohun elo nẹtiwọọki) nibiti a ti nigbagbogbo ni awọn olupin AAA ti a ṣe iyasọtọ ati pe eyi ni iwuwasi nigbati ninu ọran yii a ni lati jẹrisi ni igba pupọ.
Wiwa ti awọn orisun Ayelujara
Intanẹẹti kii ṣe idanilaraya nikan, ṣugbọn tun ṣeto awọn iṣẹ ti o le wulo pupọ fun iṣẹ. Nibẹ ni o wa tun odasaka àkóbá ifosiwewe. Eniyan ode oni ni asopọ pẹlu awọn eniyan miiran nipasẹ Intanẹẹti nipasẹ ọpọlọpọ awọn okun foju, ati, ni ero mi, ko si ohun ti ko tọ ti o ba tẹsiwaju lati ni rilara asopọ yii paapaa lakoko ti o n ṣiṣẹ.
Lati oju-ọna ti sisọnu akoko, ko si ohun ti ko tọ ti oṣiṣẹ kan, fun apẹẹrẹ, ni Skype nṣiṣẹ ati lo awọn iṣẹju 5 lati ba ẹni ti o fẹràn sọrọ ti o ba jẹ dandan.
Ṣe eyi tumọ si pe Intanẹẹti yẹ ki o wa nigbagbogbo, ṣe eyi tumọ si pe awọn oṣiṣẹ le ni iwọle si gbogbo awọn orisun ati pe ko ṣakoso wọn ni eyikeyi ọna?
Rara ko tumọ si iyẹn, dajudaju. Ipele ṣiṣi ti Intanẹẹti le yatọ fun awọn ile-iṣẹ oriṣiriṣi - lati pipade pipe lati pari ṣiṣi. A yoo jiroro awọn ọna lati ṣakoso ijabọ nigbamii ni awọn apakan lori awọn igbese aabo.
Agbara lati lo ni kikun ibiti o ti faramọ awọn ẹrọ
O rọrun nigbati, fun apẹẹrẹ, o ni aye lati tẹsiwaju ni lilo gbogbo awọn ọna ibaraẹnisọrọ ti o lo lati ṣiṣẹ. Ko si iṣoro ni imuse eyi ni imọ-ẹrọ. Fun eyi o nilo WiFi ati wilan alejo kan.
O tun dara ti o ba ni aye lati lo ẹrọ ṣiṣe ti o lo lati. Ṣugbọn, ninu akiyesi mi, eyi nigbagbogbo gba laaye si awọn alakoso, awọn alabojuto ati awọn idagbasoke.
Apeere:
O le, nitorinaa, tẹle ọna ti awọn idinamọ, ṣe idiwọ iwọle latọna jijin, ṣe idiwọ sisopọ lati awọn ẹrọ alagbeka, fi opin si ohun gbogbo si awọn asopọ Ethernet aimi, fi opin si iwọle si Intanẹẹti, fi agbara mu awọn foonu alagbeka ati awọn irinṣẹ ni ibi ayẹwo… ati ọna yii. kosi atẹle nipa diẹ ninu awọn ajo pẹlu awọn ibeere aabo ti o pọ si, ati boya ni awọn igba miiran eyi le jẹ idalare, ṣugbọn ... o gbọdọ gba pe eyi dabi igbiyanju lati da ilọsiwaju duro ni agbari kan. Nitoribẹẹ, Emi yoo fẹ lati darapọ awọn aye ti awọn imọ-ẹrọ ode oni pese pẹlu ipele aabo to to.
"Isẹ kiakia" ti nẹtiwọọki
Iyara gbigbe data ni imọ-ẹrọ ni ọpọlọpọ awọn ifosiwewe. Ati iyara ti ibudo asopọ rẹ nigbagbogbo kii ṣe pataki julọ. Iṣiṣẹ ti o lọra ti ohun elo ko nigbagbogbo ni nkan ṣe pẹlu awọn iṣoro nẹtiwọọki, ṣugbọn fun bayi a nifẹ si apakan nẹtiwọọki nikan. Iṣoro ti o wọpọ julọ pẹlu nẹtiwọọki agbegbe “idiwọn” jẹ ibatan si pipadanu soso. Eyi maa nwaye nigbati igo kan wa tabi awọn iṣoro L1 (OSI). Niwọnba diẹ sii, pẹlu diẹ ninu awọn aṣa (fun apẹẹrẹ, nigbati awọn subnets rẹ ni ogiriina bi ẹnu-ọna aiyipada ati nitorinaa gbogbo awọn ijabọ n lọ nipasẹ rẹ), iṣẹ ohun elo le jẹ alaini.
Nitorinaa, nigbati o ba yan ohun elo ati faaji, o nilo lati ṣe atunṣe awọn iyara ti awọn ebute oko oju omi, awọn ẹhin mọto ati iṣẹ ẹrọ.
Apeere:
Jẹ ki a ro pe o nlo awọn iyipada pẹlu awọn ebute oko oju omi gigabit 1 bi awọn iyipada Layer wiwọle. Wọn ti sopọ si ara wọn nipasẹ Etherchannel 2 x 10 gigabits. Gẹgẹbi ẹnu-ọna aiyipada, o lo ogiriina pẹlu awọn ebute oko oju omi gigabit, lati sopọ eyiti o si nẹtiwọọki ọfiisi L2 ti o lo awọn ebute oko oju omi gigabit 2 ni idapo sinu Etherchannel kan.
Itumọ yii jẹ irọrun pupọ lati oju wiwo iṣẹ, nitori… Gbogbo awọn ijabọ lọ nipasẹ ogiriina, ati pe o le ni itunu ṣakoso awọn eto imulo wiwọle, ati lo awọn algoridimu eka lati ṣakoso awọn ijabọ ati yago fun awọn ikọlu ti o ṣeeṣe (wo isalẹ), ṣugbọn lati iwoye ati oju-ọna iṣẹ ṣiṣe apẹrẹ yii, dajudaju, ni awọn iṣoro ti o pọju. Nitorinaa, fun apẹẹrẹ, awọn ogun gbigba data 2 (pẹlu iyara ibudo ti 1 gigabit) le ṣajọpọ asopọ gigabit 2 kan patapata si ogiriina, ati nitorinaa yorisi ibajẹ iṣẹ fun gbogbo apakan ọfiisi.
A ti wo ọkan fatesi ti onigun mẹta, ni bayi jẹ ki a wo bii a ṣe le rii daju aabo.
Awọn ọna aabo
Nitorinaa, nitorinaa, nigbagbogbo ifẹ wa (tabi dipo, ifẹ ti iṣakoso wa) ni lati ṣaṣeyọri eyiti ko ṣee ṣe, eyun, lati pese irọrun ti o pọ julọ pẹlu aabo ti o pọju ati idiyele to kere julọ.
Jẹ ki a wo awọn ọna ti a ni lati pese aabo.
Fun ọfiisi, Emi yoo ṣe afihan atẹle naa:
- odo igbekele ona si oniru
- ga ipele ti Idaabobo
- nẹtiwọki hihan
- ìfàṣẹsí si aarin ti iṣọkan ati eto aṣẹ
- ogun yiyewo
Nigbamii ti, a yoo gbe ni alaye diẹ sii lori ọkọọkan awọn aaye wọnyi.
Igbẹkẹle Zero
Aye IT n yipada ni iyara pupọ. Ni awọn ọdun 10 sẹhin, ifarahan ti awọn imọ-ẹrọ tuntun ati awọn ọja ti yori si atunyẹwo pataki ti awọn imọran aabo. Ni ọdun mẹwa sẹyin, lati oju wiwo aabo, a pin nẹtiwọọki naa sinu igbẹkẹle, dmz ati awọn agbegbe ti ko ni igbẹkẹle, ati lo ohun ti a pe ni “Idaabobo agbegbe”, nibiti awọn laini aabo 2 wa: aigbagbọ -> dmz ati dmz -> igbekele. Paapaa, aabo nigbagbogbo ni opin si awọn atokọ wiwọle ti o da lori awọn akọle L3/L4 (OSI) (IP, awọn ebute oko oju omi TCP/UDP, awọn asia TCP). Ohun gbogbo ti o ni ibatan si awọn ipele ti o ga julọ, pẹlu L7, ni a fi silẹ si OS ati awọn ọja aabo ti a fi sori ẹrọ lori awọn ogun ipari.
Bayi ipo ti yipada ni iyalẹnu. Modern Erongba ba wa ni lati ni otitọ wipe o ti wa ni ko si ohun to ṣee ṣe lati ro ti abẹnu awọn ọna šiše, ti o ni, awon ti o wa ni inu awọn agbegbe, bi gbẹkẹle, ati awọn Erongba ti awọn agbegbe ara ti di gaara.
Ni afikun si isopọ Ayelujara a tun ni
- latọna wiwọle VPN awọn olumulo
- orisirisi awọn irinṣẹ ti ara ẹni, mu kọǹpútà alágbèéká, ti a ti sopọ nipasẹ WiFi ọfiisi
- miiran (ẹka) awọn ọfiisi
- Integration pẹlu awọsanma amayederun
Kini ọna igbẹkẹle Zero dabi ni iṣe?
Bi o ṣe yẹ, nikan ijabọ ti o nilo yẹ ki o gba laaye ati pe, ti a ba n sọrọ nipa apẹrẹ, lẹhinna iṣakoso ko yẹ ki o wa ni ipele L3 / L4 nikan, ṣugbọn ni ipele ohun elo.
Ti, fun apẹẹrẹ, o ni agbara lati kọja gbogbo awọn ijabọ nipasẹ ogiriina kan, lẹhinna o le gbiyanju lati sunmọ si bojumu. Ṣugbọn ọna yii le dinku bandiwidi lapapọ ti nẹtiwọọki rẹ ni pataki, ati ni afikun, sisẹ nipasẹ ohun elo ko ṣiṣẹ daradara nigbagbogbo.
Nigbati o ba n ṣakoso ijabọ lori olulana tabi yipada L3 (lilo awọn ACL boṣewa), o ba pade awọn iṣoro miiran:
- Eyi jẹ sisẹ L3/L4 nikan. Ko si ohun ti o dẹkun ikọlu lati lo awọn ebute oko oju omi ti a gba laaye (fun apẹẹrẹ TCP 80) fun ohun elo wọn (kii ṣe http)
- iṣakoso ACL ti o nipọn (ṣoro lati sọ awọn ACLs)
- Eyi kii ṣe ogiriina ti ipinlẹ, afipamo pe o nilo lati gba laaye ni gbangba awọn ijabọ iyipada
- pẹlu awọn iyipada o nigbagbogbo ni opin ni wiwọ nipasẹ iwọn TCAM, eyiti o le di iṣoro ni iyara ti o ba mu ọna “gba ohun ti o nilo nikan”
Akiyesi
Nigbati on soro nipa ijabọ iyipada, a gbọdọ ranti pe a ni aye atẹle (Cisco)
gba tcp eyikeyi ti iṣeto
Ṣugbọn o nilo lati ni oye pe laini yii jẹ deede si awọn laini meji:
laye tcp eyikeyi ack
laye tcp eyikeyi rstEyi ti o tumọ si pe paapaa ti ko ba si apakan TCP akọkọ pẹlu asia SYN (iyẹn ni, igba TCP ko ti bẹrẹ lati fi idi mulẹ), ACL yii yoo gba apo-iwe kan pẹlu asia ACK, eyiti ikọlu le lo lati gbe data.
Iyẹn ni, laini yii ni ọna kii ṣe tan olulana rẹ tabi yipada L3 sinu ogiriina ipinle kan.
Ipele giga ti aabo
В Ni apakan lori awọn ile-iṣẹ data, a gbero awọn ọna aabo atẹle.
- ogiriina ipinle (aiyipada)
- ddos / dos Idaabobo
- ohun elo ogiriina
- idena irokeke ewu (apakokoro, egboogi-spyware, ati ailagbara)
- URL sisẹ
- sisẹ data (sisẹ akoonu)
- ìdènà fáìlì (ìdènà irú àwọn fáìlì)
Ninu ọran ti ọfiisi, ipo naa jẹ iru, ṣugbọn awọn ayo jẹ iyatọ diẹ. Wiwa ọfiisi (wiwa) kii ṣe pataki bi ninu ọran ti ile-iṣẹ data kan, lakoko ti o ṣeeṣe ti ijabọ irira “ti abẹnu” jẹ awọn aṣẹ ti o ga julọ.
Nitorinaa, awọn ọna aabo atẹle fun apakan yii di pataki:
- ohun elo ogiriina
- idena ewu (egboogi-kokoro, egboogi-spyware, ati ailagbara)
- URL sisẹ
- sisẹ data (sisẹ akoonu)
- ìdènà fáìlì (ìdènà irú àwọn fáìlì)
Botilẹjẹpe gbogbo awọn ọna aabo wọnyi, pẹlu ayafi ti ogiriina ohun elo, ti jẹ aṣa ati tẹsiwaju lati yanju lori awọn ogun ipari (fun apẹẹrẹ, nipa fifi awọn eto antivirus sori ẹrọ) ati lilo awọn aṣoju, awọn NGFW ode oni tun pese awọn iṣẹ wọnyi.
Awọn olutaja ohun elo aabo n gbiyanju lati ṣẹda aabo okeerẹ, nitorinaa pẹlu aabo agbegbe, wọn funni ni ọpọlọpọ awọn imọ-ẹrọ awọsanma ati sọfitiwia alabara fun awọn ọmọ-ogun (Idabobo aaye ipari/EPP). Nitorina, fun apẹẹrẹ, lati A rii pe Palo Alto ati Cisco ni awọn EPP tiwọn (PA: Traps, Cisco: AMP), ṣugbọn o jina si awọn oludari.
Muu awọn aabo wọnyi ṣiṣẹ (nigbagbogbo nipasẹ awọn iwe-aṣẹ rira) lori ogiriina rẹ dajudaju kii ṣe ọranyan (o le lọ ni ipa ọna ibile), ṣugbọn o pese awọn anfani diẹ:
- ninu ọran yii, aaye kan wa ti ohun elo ti awọn ọna aabo, eyiti o ṣe ilọsiwaju hihan (wo koko-ọrọ atẹle).
- Ti ẹrọ ti ko ni aabo wa lori nẹtiwọọki rẹ, lẹhinna o tun ṣubu labẹ “agboorun” ti aabo ogiriina
- Nipa lilo aabo ogiriina ni apapo pẹlu aabo-ogun opin, a pọ si iṣeeṣe ti wiwa ijabọ irira. Fun apẹẹrẹ, lilo idena irokeke ewu lori awọn agbalejo agbegbe ati lori ogiriina kan mu o ṣeeṣe wiwa (ti a pese, dajudaju, pe awọn solusan wọnyi da lori awọn ọja sọfitiwia oriṣiriṣi)
Akiyesi
Ti, fun apẹẹrẹ, o lo Kaspersky bi antivirus mejeeji lori ogiriina ati lori awọn ogun ipari, lẹhinna eyi, nitorinaa, kii yoo mu awọn aye rẹ pọ si ti idilọwọ ikọlu ọlọjẹ lori nẹtiwọọki rẹ.
Wiwo nẹtiwọki
O rọrun - “wo” ohun ti n ṣẹlẹ lori nẹtiwọọki rẹ, mejeeji ni akoko gidi ati data itan.
Emi yoo pin “iran” yii si awọn ẹgbẹ meji:
Ẹgbẹ kan: kini eto ibojuwo rẹ nigbagbogbo pese fun ọ.
- ikojọpọ ẹrọ
- ikojọpọ awọn ikanni
- iranti lilo
- disk lilo
- iyipada tabili afisona
- ipo asopọ
- wiwa ohun elo (tabi ogun)
- ...
Ẹgbẹ meji: ailewu jẹmọ alaye.
- orisirisi awọn iṣiro (fun apẹẹrẹ, nipasẹ ohun elo, nipasẹ URL ijabọ, iru data wo ni o ṣe igbasilẹ, data olumulo)
- Kini idinamọ nipasẹ awọn eto imulo aabo ati fun idi wo, eyun
- leewọ elo
- leewọ da lori ip / Ilana / ibudo / awọn asia / awọn agbegbe
- idena irokeke
- url sisẹ
- data sisẹ
- ìdènà faili
- ...
- awọn iṣiro lori awọn ikọlu DOS/DDOS
- kuna idanimọ ati awọn igbiyanju aṣẹ
- awọn iṣiro fun gbogbo awọn iṣẹlẹ irufin eto imulo aabo loke
- ...
Ninu ori aabo yii, a nifẹ si apakan keji.
Diẹ ninu awọn ogiriina ode oni (lati iriri Palo Alto mi) pese ipele hihan to dara. Ṣugbọn, dajudaju, ijabọ ti o nifẹ si gbọdọ lọ nipasẹ ogiriina yii (ninu eyiti o ni agbara lati dènà ijabọ) tabi ṣe afihan si ogiriina (ti a lo nikan fun ibojuwo ati itupalẹ), ati pe o gbọdọ ni awọn iwe-aṣẹ lati mu gbogbo ṣiṣẹ. awọn iṣẹ wọnyi.
Dajudaju, ọna yiyan wa, tabi dipo ọna ibile, fun apẹẹrẹ,
- Awọn iṣiro igba ni a le gba nipasẹ netflow ati lẹhinna lo awọn ohun elo pataki fun itupalẹ alaye ati iworan data
- idena irokeke ewu - awọn eto pataki (egboogi-kokoro, egboogi-spyware, ogiriina) lori awọn ogun opin
- Sisẹ URL, sisẹ data, idinamọ faili – lori aṣoju
- o tun ṣee ṣe lati ṣe itupalẹ tcpdump nipa lilo f.eks.
O le darapọ awọn ọna meji wọnyi, ni ibamu pẹlu awọn ẹya ti o padanu tabi pidánpidán wọn lati mu iṣeeṣe wiwa ikọlu kan pọ si.
Ọna wo ni o yẹ ki o yan?
Giga da lori awọn afijẹẹri ati awọn ayanfẹ ti ẹgbẹ rẹ.
Mejeeji nibẹ ati nibẹ ni o wa Aleebu ati awọn konsi.
Ijeri si aarin ti iṣọkan ati eto aṣẹ
Nigbati a ba ṣe apẹrẹ daradara, iṣipopada ti a jiroro ninu nkan yii dawọle pe o ni iwọle kanna boya o ṣiṣẹ lati ọfiisi tabi lati ile, lati papa ọkọ ofurufu, lati ile itaja kọfi tabi nibikibi miiran (pẹlu awọn idiwọn ti a sọrọ loke). O dabi pe, kini iṣoro naa?
Lati ni oye daradara ti iṣẹ-ṣiṣe yii, jẹ ki a wo apẹrẹ aṣoju kan.
Apeere:
- O ti pin gbogbo awọn oṣiṣẹ si awọn ẹgbẹ. O ti pinnu lati pese iraye si nipasẹ awọn ẹgbẹ
- Ninu ọfiisi, o ṣakoso iwọle si ogiriina ọfiisi
- O ṣakoso ijabọ lati ọfiisi si ile-iṣẹ data lori ogiriina ile-iṣẹ data
- O lo Sisiko ASA bi ẹnu-ọna VPN ati lati ṣakoso ijabọ ti nwọle nẹtiwọọki rẹ lati ọdọ awọn alabara latọna jijin, o lo agbegbe (lori ASA) ACLs
Bayi, jẹ ki a sọ pe o beere lọwọ rẹ lati ṣafikun iraye si afikun si oṣiṣẹ kan. Ni idi eyi, a beere lọwọ rẹ lati ṣafikun iwọle si oun nikan ko si si ẹlomiran lati ẹgbẹ rẹ.
Fun eyi a ni lati ṣẹda ẹgbẹ ọtọtọ fun oṣiṣẹ yii, iyẹn
- ṣẹda adagun IP lọtọ lori ASA fun oṣiṣẹ yii
- ṣafikun ACL tuntun lori ASA ki o so pọ mọ alabara latọna jijin yẹn
- ṣẹda titun aabo imulo lori ọfiisi ati data aarin ogiriina
O dara ti iṣẹlẹ yii ba ṣọwọn. Sugbon ni mi iwa nibẹ je kan ipo nigbati awọn abáni kopa ninu orisirisi ise agbese, ki o si yi ṣeto ti ise agbese fun diẹ ninu awọn ti wọn yi pada oyimbo igba, ati awọn ti o je ko 1-2 eniyan, ṣugbọn dosinni. Dajudaju, ohun kan nilo lati yipada nibi.
Eyi ni a yanju ni ọna atẹle.
A pinnu pe LDAP yoo jẹ orisun otitọ nikan ti o pinnu gbogbo awọn iraye si oṣiṣẹ ti o ṣeeṣe. A ṣẹda gbogbo iru awọn ẹgbẹ ti o ṣalaye awọn eto wiwọle, ati pe a yan olumulo kọọkan si ẹgbẹ kan tabi diẹ sii.
Nitorina, fun apẹẹrẹ, ṣebi awọn ẹgbẹ wa
- alejo (Wiwọle si Intanẹẹti)
- iraye si wọpọ (iwọle si awọn orisun pinpin: meeli, ipilẹ oye,…)
- iṣiro
- ise agbese 1
- ise agbese 2
- data mimọ IT
- linux alakoso
- ...
Ati pe ti ọkan ninu awọn oṣiṣẹ ba ni ipa ninu iṣẹ akanṣe 1 mejeeji ati iṣẹ akanṣe 2, ati pe o nilo iraye si pataki lati ṣiṣẹ ninu awọn iṣẹ akanṣe wọnyi, lẹhinna oṣiṣẹ yii ni a yàn si awọn ẹgbẹ wọnyi:
- alejo
- wọpọ wiwọle
- ise agbese 1
- ise agbese 2
Bawo ni a ṣe le yi alaye yii pada si iraye si ẹrọ nẹtiwọọki?
Cisco ASA Yiyi Wiwọle Afihan (DAP) (wo ) ojutu jẹ ẹtọ fun iṣẹ yii.
Ni ṣoki nipa imuse wa, lakoko ilana idanimọ / ilana aṣẹ, ASA gba lati ọdọ LDAP akojọpọ awọn ẹgbẹ ti o baamu si olumulo ti a fun ati “nkojọ” lati ọpọlọpọ awọn ACL agbegbe (ọkọọkan eyiti o baamu si ẹgbẹ kan) ACL ti o ni agbara pẹlu gbogbo awọn iraye si pataki , eyiti o ni ibamu ni kikun si awọn ifẹ wa.
Ṣugbọn eyi jẹ fun awọn asopọ VPN nikan. Lati jẹ ki ipo naa jẹ kanna fun awọn oṣiṣẹ mejeeji ti o sopọ nipasẹ VPN ati awọn ti o wa ni ọfiisi, igbesẹ atẹle ni a mu.
Nigbati o ba sopọ lati ọfiisi, awọn olumulo ti nlo ilana 802.1x pari ni boya LAN alejo (fun awọn alejo) tabi LAN ti o pin (fun awọn oṣiṣẹ ile-iṣẹ). Siwaju sii, lati gba iraye si pato (fun apẹẹrẹ, si awọn iṣẹ akanṣe ni ile-iṣẹ data), awọn oṣiṣẹ ni lati sopọ nipasẹ VPN.
Lati sopọ lati ọfiisi ati lati ile, awọn ẹgbẹ oju eefin oriṣiriṣi ni a lo lori ASA. Eyi jẹ pataki ki fun awọn ti n ṣopọ lati ọfiisi, ijabọ si awọn orisun pinpin (ti gbogbo awọn oṣiṣẹ lo, gẹgẹbi meeli, awọn olupin faili, eto tikẹti, dns, ...) ko lọ nipasẹ ASA, ṣugbọn nipasẹ nẹtiwọki agbegbe. . Nitorinaa, a ko kojọpọ ASA pẹlu ijabọ ti ko wulo, pẹlu ijabọ agbara-giga.
Bayi, iṣoro naa ti yanju.
A gba
- Eto kanna ti awọn iraye si fun awọn asopọ mejeeji lati ọfiisi ati awọn asopọ latọna jijin
- isansa ibajẹ iṣẹ nigbati o ba n ṣiṣẹ lati ọfiisi ti o ni nkan ṣe pẹlu gbigbe ti ijabọ kikankikan nipasẹ ASA
Awọn anfani miiran wo ni ọna yii?
Ni wiwọle isakoso. Awọn iwọle le yipada ni irọrun ni aye kan.
Fun apẹẹrẹ, ti oṣiṣẹ ba fi ile-iṣẹ silẹ, lẹhinna o kan yọ kuro lati LDAP, ati pe o padanu gbogbo iwọle laifọwọyi.
Ṣiṣayẹwo ogun
Pẹlu iṣeeṣe ti asopọ latọna jijin, a ṣiṣe eewu ti gbigba kii ṣe oṣiṣẹ ile-iṣẹ nikan sinu nẹtiwọọki, ṣugbọn gbogbo sọfitiwia irira ti o ṣee ṣe pupọ lori kọnputa rẹ (fun apẹẹrẹ, ile), ati paapaa, nipasẹ sọfitiwia yii a le ṣe ipese iraye si nẹtiwọọki wa si ikọlu ti nlo ogun yii bi aṣoju.
O jẹ oye fun agbalejo ti o sopọ latọna jijin lati lo awọn ibeere aabo kanna bi agbalejo ọfiisi.
Eyi tun dawọle ẹya “tọ” ti OS, egboogi-kokoro, egboogi-spyware, ati sọfitiwia ogiriina ati awọn imudojuiwọn. Ni deede, agbara yii wa lori ẹnu-ọna VPN (fun ASA wo, fun apẹẹrẹ, ).
O tun jẹ ọlọgbọn lati lo itupalẹ ijabọ kanna ati awọn ilana idinamọ (wo “Ipele aabo giga”) ti eto imulo aabo rẹ kan si ijabọ ọfiisi.
O jẹ ohun ti o bọgbọnwa lati ro pe nẹtiwọọki ọfiisi rẹ ko ni opin si ile ọfiisi ati awọn agbalejo laarin rẹ.
Apeere:
Ilana ti o dara ni lati pese oṣiṣẹ kọọkan ti o nilo iraye si latọna jijin pẹlu kọǹpútà alágbèéká ti o dara, rọrun ati nilo ki wọn ṣiṣẹ, mejeeji ni ọfiisi ati lati ile, lati ọdọ rẹ nikan.
Kii ṣe nikan ni o mu aabo ti nẹtiwọọki rẹ pọ si, ṣugbọn o tun rọrun pupọ ati pe awọn oṣiṣẹ nigbagbogbo n wo oju rere (ti o ba dara gaan, kọǹpútà alágbèéká ore-olumulo).
Nipa ori ti ipin ati iwọntunwọnsi
Ni ipilẹ, eyi jẹ ibaraẹnisọrọ nipa fatesi kẹta ti igun mẹta wa - nipa idiyele.
Jẹ ká wo ni a hypothetical apẹẹrẹ.
Apeere:
O ni ọfiisi fun eniyan 200. O pinnu lati jẹ ki o rọrun ati bi ailewu bi o ti ṣee.
Nitorinaa, o pinnu lati kọja gbogbo awọn ijabọ nipasẹ ogiriina ati nitorinaa fun gbogbo awọn subnets ọfiisi ogiriina jẹ ẹnu-ọna aiyipada. Ni afikun si sọfitiwia aabo ti a fi sori ẹrọ lori ogun opin kọọkan (egboogi-kokoro, egboogi-spyware, ati sọfitiwia ogiriina), o tun pinnu lati lo gbogbo awọn ọna aabo ti o ṣeeṣe lori ogiriina.
Lati rii daju iyara asopọ giga (gbogbo fun irọrun), o yan awọn iyipada pẹlu awọn ebute iwọle Gigabit 10 bi awọn iyipada iwọle, ati iṣẹ-ṣiṣe giga NGFW firewalls bi awọn ogiriina, fun apẹẹrẹ, Palo Alto 7K jara (pẹlu awọn ebute 40 Gigabit), nipa ti ara pẹlu gbogbo awọn iwe-aṣẹ. to wa ati, nipa ti, a High Wiwa bata.
Paapaa, nitorinaa, lati ṣiṣẹ pẹlu laini ohun elo yii a nilo o kere ju tọkọtaya kan ti awọn onimọ-ẹrọ aabo ti o ni oye giga.
Nigbamii ti, o pinnu lati fun oṣiṣẹ kọọkan ni kọǹpútà alágbèéká ti o dara.
Lapapọ, nipa 10 milionu dọla fun imuse, awọn ọgọọgọrun egbegberun dọla (Mo ro pe o sunmọ miliọnu kan) fun atilẹyin ọdun ati owo osu fun awọn onimọ-ẹrọ.
Office, eniyan 200 ...
Itunu? Mo gboju pe bẹẹni.O wa pẹlu imọran yii si iṣakoso rẹ...
Boya awọn ile-iṣẹ nọmba kan wa ni agbaye fun eyiti eyi jẹ itẹwọgba ati ojutu ti o tọ. Ti o ba jẹ oṣiṣẹ ti ile-iṣẹ yii, oriire mi, ṣugbọn ninu ọpọlọpọ awọn ọran, Mo ni idaniloju pe imọ rẹ kii yoo ni riri nipasẹ iṣakoso.
Ṣe apẹẹrẹ yii jẹ abumọ bi? Orí tó kàn yóò dáhùn ìbéèrè yìí.
Ti o ba wa lori nẹtiwọọki rẹ o ko rii eyikeyi ninu eyi, lẹhinna eyi ni iwuwasi.
Fun ọran kọọkan pato, o nilo lati wa adehun ti o ni oye ti ara rẹ laarin irọrun, idiyele ati ailewu. Nigbagbogbo o ko nilo NGFW ninu ọfiisi rẹ, ati aabo L7 lori ogiriina ko nilo. O to lati pese ipele ti o dara ti hihan ati awọn itaniji, ati pe eyi le ṣee ṣe nipa lilo awọn ọja orisun ṣiṣi, fun apẹẹrẹ. Bẹẹni, idahun rẹ si ikọlu kii yoo jẹ lẹsẹkẹsẹ, ṣugbọn ohun akọkọ ni pe iwọ yoo rii, ati pẹlu awọn ilana ti o tọ ni aye ni ẹka rẹ, iwọ yoo ni anfani lati yomi rẹ ni kiakia.
Ati pe jẹ ki n leti pe, ni ibamu si imọran ti jara awọn nkan yii, iwọ kii ṣe apẹrẹ nẹtiwọọki kan, o n gbiyanju lati mu ohun ti o ni dara si.
Ailewu igbekale ti ọfiisi faaji
San ifojusi si yi pupa square pẹlu eyi ti mo ti soto kan ibi lori aworan atọka lati eyi ti Emi yoo fẹ lati jiroro nibi.
Eyi jẹ ọkan ninu awọn aaye pataki ti faaji ati ọkan ninu awọn aidaniloju pataki julọ.
Akiyesi
Emi ko ti ṣeto tabi sise pẹlu FirePower (lati Sisiko ká ogiriina ila - nikan ASA), ki Emi yoo toju o bi eyikeyi miiran ogiriina, bi Juniper SRX tabi Palo Alto, ro o ni o ni kanna agbara.
Ninu awọn aṣa deede, Mo rii awọn aṣayan ṣee ṣe 4 nikan fun lilo ogiriina pẹlu asopọ yii:
- ẹnu-ọna aiyipada fun subnet kọọkan jẹ iyipada, lakoko ti ogiriina wa ni ipo sihin (iyẹn ni, gbogbo awọn ijabọ lọ nipasẹ rẹ, ṣugbọn ko ṣe agbekalẹ hop L3)
- ẹnu-ọna aiyipada fun subnet kọọkan ni awọn atọkun ogiriina (tabi awọn atọkun SVI), iyipada naa ṣe ipa ti L2
- Awọn VRF oriṣiriṣi lo lori iyipada, ati ijabọ laarin VRFs lọ nipasẹ ogiriina, ijabọ laarin VRF kan jẹ iṣakoso nipasẹ ACL lori yipada.
- gbogbo awọn ijabọ jẹ digi si ogiriina fun itupalẹ ati ibojuwo; ijabọ ko lọ nipasẹ rẹ
Ifesi 1
Awọn akojọpọ awọn aṣayan wọnyi ṣee ṣe, ṣugbọn fun ayedero a kii yoo ṣe akiyesi wọn.
Akiyesi2
O tun ṣee ṣe lati lo PBR (faaji pq iṣẹ), ṣugbọn fun bayi eyi, botilẹjẹpe ojutu ti o lẹwa ni ero mi, kuku jẹ nla, nitorinaa Emi ko gbero rẹ nibi.
Lati awọn apejuwe ti awọn sisan ninu iwe, ti a ba ri pe awọn ijabọ si tun lọ nipasẹ awọn ogiriina, ti o ni, ni ibamu pẹlu awọn Sisiko oniru, kẹrin aṣayan ti wa ni kuro.
Jẹ ki a wo awọn aṣayan akọkọ meji akọkọ.
Pẹlu awọn aṣayan wọnyi, gbogbo awọn ijabọ lọ nipasẹ ogiriina.
Bayi jẹ ki a wo , wo ati pe a rii pe ti a ba fẹ bandiwidi lapapọ fun ọfiisi wa lati wa ni o kere ju 10 - 20 gigabits, lẹhinna a gbọdọ ra ẹya 4K naa.
Akiyesi
Nigbati mo ba sọrọ nipa bandiwidi lapapọ, Mo tumọ si ijabọ laarin awọn subnets (ati kii ṣe laarin ọkan vina).
Lati GPL a rii pe fun lapapo HA pẹlu Idaabobo Irokeke, idiyele ti o da lori awoṣe (4110 - 4150) yatọ lati ~ 0,5 - 2,5 milionu dọla.
Iyẹn ni, apẹrẹ wa bẹrẹ lati jọ apẹẹrẹ ti tẹlẹ.
Ṣe eyi tumọ si pe apẹrẹ yii jẹ aṣiṣe?
Rara, iyẹn ko tumọ si. Cisco fun ọ ni aabo ti o dara julọ ti o da lori laini ọja ti o ni. Ṣugbọn eyi ko tumọ si pe o jẹ dandan-ṣe fun ọ.
Ni opo, eyi jẹ ibeere ti o wọpọ ti o waye nigbati o ṣe apẹrẹ ọfiisi tabi ile-iṣẹ data, ati pe o tumọ si pe adehun nilo lati wa.
Fun apẹẹrẹ, maṣe jẹ ki gbogbo awọn ijabọ lọ nipasẹ ogiriina kan, ninu eyiti aṣayan 3 dabi pe o dara fun mi, tabi (wo apakan ti tẹlẹ) boya o ko nilo Irokeke Irokeke tabi ko nilo ogiriina rara lori iyẹn. apakan nẹtiwọki, ati pe o kan nilo lati fi opin si ararẹ si ibojuwo palolo nipa lilo isanwo (kii ṣe gbowolori) tabi awọn solusan orisun ṣiṣi, tabi o nilo ogiriina, ṣugbọn lati ọdọ olutaja ti o yatọ.
Nigbagbogbo aidaniloju yii nigbagbogbo wa ati pe ko si idahun ti o han gbangba si iru ipinnu wo ni o dara julọ fun ọ.
Eyi ni idiju ati ẹwa ti iṣẹ yii.
orisun: www.habr.com