许多组织使用云服务或将设备移动到
数据中心。 留在服务器机房有什么意义?在这种情况下组织办公室网络外围保护的最佳方法是什么?
曾几何时,一切都在服务器上
在Runet开发之初,大多数公司都按照大致相同的方案解决了IT基础设施的问题:他们分配了一个安装空调的房间,几乎所有的网络和服务器设备都集中在那里。
系统管理员在 FreeBSD、Linux 或 OpenSolaris 等上设置一台或多台服务器。然后在这台“主机”上启动必要的服务:从 Web 服务器、公司邮件到文件托管服务。
当一个公司发展壮大的时候,不可避免地会面临机房不再满足要求的情况。 如果你有钱,你可以建立自己的数据中心。 从商业数据中心租用机架可能更有利可图。 基于 DRUPS 的高质量电源、工业空调系统、高度专业化的专家团队 - 这些东西在办公室服务器机房中几乎不具备。
继大企业之后,中小企业管理层的心态也逐渐从“我什么都带在身上”、“我的家就是我的堡垒”的心理转变为“给别人而不是给别人”的心态。遭受。”
对于小型企业来说,云提供商已经成为这样的“外包”选择。 如果说以前对于一家拥有 40 名员工的公司来说,拥有自己的邮件服务器是理所当然的事情,那么今天,来自同一个 Google 的服务正在赢得所有那些以前无法想象没有自己的 Sendmail 或 Postfix 工作的人的支持。
虚拟系统为这样的“搬迁”提供了很大的帮助。 如果在它们出现之前需要运输整个物理服务器,或者在新硬件上配置所有内容,那么现在传输虚拟机的映像就足够了。
那个有空调的小房间里还剩下什么?
首先,这是网络设备。 分为主动式和被动式。 通常,在“服务器”这个响亮的名字背后,他们理解与网络设备残余物的交叉连接。 对于这种情况,不需要配备强大的空调系统、电源等的特殊房间。
第二组仍然难以从机房移除的设备是网关
安全性。
但这些网关是什么? 如上所述,如果在不久的过去,系统管理员可以使用一台或多台服务器来部署他想要的任何东西,那么现在这种奢侈可能不存在了。
但抵御外部威胁的需要并没有消失。 当然,您可以将所有服务和必要的设备完全转移到数据中心,并通过安全通道(例如通过 VPN)将流量从此类网关驱动到办公室交叉连接。
如果不是因为现有通道的负载增加,这个方案乍一看很有吸引力。 如果您不想支付更厚的通道费用,那么这并不是您所需要的。
另一种选择是购买专门的流量保护设备,其架构由于其关注点较窄,因此您无需使用强大的耗能和发热组件。
不需要动物园
在没有经典服务器机房的情况下,一次“在一个盒子中”获得多项服务比在一个小房间甚至在一个小型交叉机柜内创建一个“动物园”要好得多。 同时,该解决方案应该价格低廉、经过验证并得到俄语的正常支持。
笔记。 我们现在讨论的是超小型、中型和大型办公室。 我们还没有考虑建立自己的数据中心的大公司——在一篇文章中“不可能掌握其巨大性。”
对于每种情况,合勤科技已经在同一产品线中提供了解决方案。 简而言之,你不需要“动物园”。
ZyWALL ATP 安全网关
我们之前已经使用示例讨论了此类设备的操作原理 它们的主要功能是将防火墙与合勤云安全服务相结合。 由于这种职责分配,ZyWALL ATP 可以解决相当广泛的周界保护问题,而无需额外的硬件资源。
保护功能列表相当丰富(见表1),包括SecuReporter分析工具和Sandboxing——用于对下载内容进行初步分析的“沙箱”。
值得再次强调的是,在这种情况下,我们只是将服务从本地办公室转移到云端。 合勤云以匿名模式为我们完成其他所有工作。 除了方便之外,这种方法还通过机器学习和世界各地 ATP 网关之间的信息交换,提供针对零日威胁的有效保护。 已经建立了整个神经网络来进行保护。
:“当检测到未知文件时,Cloud Query 会快速(几秒钟内)根据云数据库检查其哈希码,并确定它是否危险。 该服务需要最少的网络资源来运行,因此不会降低设备的性能。 通过使用包含数十亿威胁数据的不断更新的云数据库来确保威胁防护的有效性。 Cloud Query 还加速了合勤安全云新兴威胁检测功能的智能化,增强了每个 ATP 防火墙的恶意软件防护。”
表 1. ZyWALL ATP 系列的技术特性.
注:
(1) 实际性能高度依赖于网络状况和活跃应用程序。
(2) 最大吞吐量基于 RFC 2544(1,518 字节 UDP 数据包)。
(3) 测量的 VPN 吞吐量基于 RFC 2544(1,424 字节 UDP 数据包)。
(4) AV 和 IDP 吞吐量指标使用行业标准 HTTP 性能测试(1,460 字节 HTTP 数据包)。 测试是在多线程模式下进行的。
(5) 在测量最大可能会话数时,使用了行业标准工具——IXIA IxLoad 测试工具。
(6) 1Gbps WAN 速度测试结果是在实际条件下进行的,可能会因链路质量而略有不同。
(7):黄金包到期后,仅支持2个AP。
(8):您可以通过购买 Zyxel 服务的附加许可证来启用或扩展功能。
请注意受支持的 VPN 服务集。 与总部或家庭办公室通信所需的几乎所有内容都已“集中在一个瓶子中”,因此我们可以安全地推荐该设备作为分支机构的最终通信节点并支持员工的远程工作。
小型办公室解决方案
小型办公室可分为两类:独立企业和大公司的分支机构。
独立企业是新生企业,也是注定规模较小的企业。 比如设计局、建筑工作室、小型媒体编辑部等等。 此类业务单位经常使用云服务,至少是邮件和文件共享。
大型组织的分支机构 - 对他们来说最重要的是与中央办公室建立稳定的连接。 其他一切都在“中心”。
通常这样的“婴儿”需要一个简单的界面来进行控制。 来自总部的网络管理员通常没有机会快速赶到遥远的地方去解决新分支机构的问题。 本土小公司根本没有这个机会。 我们必须求助于“即将到来的服务”
行政。” 对于这种情况,需要按照“越简单、越可靠”的原则进行控制。
对于小型办公室,使用 ZyWALL ATP100 和 ZyWALL ATP200 型号是有意义的。
网络网关 最近才出现,但已经进入 .
与其哥哥的主要区别() - 它专为较小的负载而设计,并且没有适用于 19 英寸机架的安装座。 推荐用于家庭办公室、小型公司、分支机构等。
图 1.ZyWALL ATP100。
设计特点:ATP100和ATP200为无风扇型号。 为什么这样好:一是没有噪音,二是不用换风扇。 在“新任管理员”的情况下,这是一个相当重要的指标。
图 2.ZyWALL ATP200。
ATP200 型号支持两个 WAN 端口,并且可以连接到两条独立的线路,例如来自不同提供商的线路。
如上所述,对于小型办公室来说,除了稳定的电力供应之外,最重要的是稳定的连接。 不幸的是,当地供应商不能总是保证不会发生事故。 我们必须寻找备份选项。
重要! 除了专用 WAN 端口外,ATP 型号还具有 USB 端口,您可以连接 USB 调制解调器并将其用作 WAN。 所有 ATP 均可使用此功能。
如果设备有 SFP 端口,也可以用作 WAN。 此功能适用于所有 ATP。
这是合勤 (Zyxel) 的生活窍门。
中型企业
对于中型企业来说,合勤有自己不错的硬件——
它是下一代网关,具有针对不断变化的威胁的高级保护。
有趣的功能包括:
7 个可配置端口允许灵活配置,例如 2 个 WAN、2 个 DMZ 和 3 个 LAN 端口,同时连接 3 个独立的 VLAN 供内部使用。 还有 1 个 SFP 端口。
图 3.ZyWALL ATP500。
可以通过两个 ZyWALL ATP500 在设备 HA Pro 高可用性集群模式下运行。 如果其中一个不起作用,第二个仍将提供通信。
充分利用 ATP500 功能,您可以获得灵活、
与外界或单独节点进行高度可靠、安全的通信,例如,
总部。
更大的办公室
对于他们来说,推荐该系列最强大的版本 - ATP800。
该型号具有相当数量的端口:12 个 RJ-45 和 2 个 SFP,所有端口都可以配置为 WAN、LAN 或 DNZ 模式,这允许您使用多个 WLAN、组织多个 DMZ 并且仍然有机会连接到用于复杂内部基础设施的外部网络。 适用于规模较大、网络发达、对安全和访问控制要求较高的办公场所。
图 4.ZyWALL ATP800。
另外值得注意的是,该机型建议有“成长”倾向的用户购买。 如果您计划发展您的公司,例如,开发本地连锁店,那么立即购买更强大的型号是有意义的,以免花两次钱。
正如您所看到的,即使在最简陋的条件下,也可以提供良好的保护水平、容错能力和操作灵活性。
技术支持、建议、讨论、新闻、促销和公告 - 通过 Telegram 联系我们!
有用的链接
来源: habr.com