許多組織使用雲端服務或將設備移動到
數據中心。 留在伺服器機房有什麼意義?在這種情況下組織辦公室網路外圍保護的最佳方法是什麼?
曾幾何時,一切都在伺服器上
在Runet開發之初,大多數公司都按照大致相同的方案解決了IT基礎設施的問題:他們分配了一個安裝空調的房間,幾乎所有的網路和伺服器設備都集中在那裡。
系統管理員在 FreeBSD、Linux 或 OpenSolaris 等上設定一台或多台伺服器。然後在這台「主機」上啟動必要的服務:從 Web 伺服器、公司郵件到檔案託管服務。
當一個公司發展壯大的時候,不可避免地會面臨機房不再滿足要求的情況。 如果你有錢,你可以建立自己的資料中心。 從商業資料中心租用機架可能更有利可圖。 基於 DRUPS 的高品質電源、工業空調系統、高度專業化的專家團隊 - 這些東西在辦公室伺服器機房中幾乎不具備。
繼大企業之後,中小企業管理層的心態也逐漸從“我什麼都帶在身上”、“我的家就是我的堡壘”的心理轉變為“給別人而不是給別人”的心態。遭受。”
對於小型企業來說,雲端供應商已經成為這樣的「外包」選擇。 如果說以前對於一家擁有40 名員工的公司來說,擁有自己的郵件伺服器是不言而喻的事情,那麼今天,來自同一個Google 的服務正在贏得所有那些以前無法想像沒有自己的Sendmail 或Postfix 工作的人的支持。
虛擬系統為這樣的「搬遷」提供了很大的幫助。 如果在它們出現之前需要運輸整個實體伺服器,或者在新硬體上配置所有內容,那麼現在傳輸虛擬機器的映像就足夠了。
那個有空調的小房間裡還剩下什麼?
首先,這是網路設備。 分為主動式和被動式。 通常,在「伺服器」這個響亮的名字背後,他們理解與網路設備殘餘物的交叉連接。 對於這種情況,不需要配備強大的空調系統、電源供應器等的特殊房間。
第二組仍難以從機房移除的設備是網關
安全。
但這些網關是什麼? 如上所述,如果在不久的過去,系統管理員可以使用一台或多台伺服器來部署他想要的任何東西,那麼現在這種奢侈可能不存在了。
但抵禦外部威脅的需要並沒有消失。 當然,您可以將所有服務和必要的設備完全轉移到資料中心,並透過安全通道(例如透過 VPN)將流量從此類網關驅動到辦公室交叉連接。
如果不是因為現有通道的負載增加,這個方案乍看之下很有吸引力。 如果您不想支付更厚的通道費用,那麼這並不是您所需要的。
另一種選擇是購買專門的流量保護設備,其架構由於其關注範圍較窄,因此您無需使用強大的耗能和發熱組件。
不需要動物園
在沒有經典伺服器機房的情況下,一次性「在一個盒子中」獲得多項服務比在一個小房間甚至在一個小型交叉機櫃內創建一個「動物園」要好得多。 同時,該解決方案應該價格低廉、經過驗證並得到俄語的正常支援。
筆記。 我們現在討論的是超小型、中型和大型辦公室。 我們還沒有考慮建立自己的數據中心的大公司——在一篇文章中“不可能掌握其巨大性。”
對於每種情況,合勤科技已經在同一產品線中提供了解決方案。 簡而言之,你不需要「動物園」。
ZyWALL ATP 安全網關
我們之前已經使用範例討論了此類設備的操作原理 它們的主要功能是將防火牆與合勤雲端安全服務結合。 由於這種職責分配,ZyWALL ATP 可以解決相當廣泛的周界保護問題,而無需額外的硬體資源。
保護功能清單相當豐富(見表1),包括SecuReporter分析工具和Sandboxing-用於對下載內容進行初步分析的「沙箱」。
值得再次強調的是,在這種情況下,我們只是將服務從本地辦公室轉移到雲端。 合勤雲端以匿名模式為我們完成其他所有工作。 除了方便之外,這種方法還透過機器學習和世界各地 ATP 網關之間的資訊交換,提供針對零日威脅的有效保護。 已經建立了整個神經網路來進行保護。
:「當偵測到未知檔案時,Cloud Query 會快速(幾秒鐘內)根據雲端資料庫檢查其雜湊碼,並確定它是否危險。 該服務需要最少的網路資源來運行,因此不會降低設備的效能。 透過使用包含數十億威脅資料的不斷更新的雲端資料庫來確保威脅防護的有效性。 Cloud Query 還加速了合勤安全雲端新興威脅偵測功能的智慧化,增強了每個 ATP 防火牆的惡意軟體防護。”
表 1. ZyWALL ATP 系列的技術特性.
注:
(1) 實際效能高度依賴網路狀況和活躍應用程式。
(2) 最大吞吐量基於 RFC 2544(1,518 位元組 UDP 封包)。
(3) 測量的 VPN 吞吐量基於 RFC 2544(1,424 位元組 UDP 封包)。
(4) AV 和 IDP 吞吐量指標使用業界標準 HTTP 效能測試(1,460 位元組 HTTP 封包)。 測試是在多執行緒模式下進行的。
(5) 在測量最大可能會話數時,使用了業界標準工具-IXIA IxLoad 測試工具。
(6) 1Gbps WAN 速度測試結果是在實際條件下進行的,可能會因連結品質而略有不同。
(7):黃金包到期後,僅支援2個AP。
(8):您可以透過購買 Zyxel 服務的附加授權來啟用或擴充功能。
請注意受支援的 VPN 服務集。 與總部或家庭辦公室通信所需的幾乎所有內容都已“集中在一個瓶子中”,因此我們可以安全地推薦該設備作為分支機構的最終通信節點並支援員工的遠端工作。
小型辦公室解決方案
小型辦公室可分為兩類:獨立企業和大公司的分公司。
獨立企業是新生企業,也是注定規模較小的企業。 例如設計局、建築工作室、小型媒體編輯部等等。 此類業務單位經常使用雲端服務,至少是郵件和文件共用。
大型組織的分支機構 - 對他們來說最重要的是與中央辦公室建立穩定的連接。 其他一切都在「中心」。
通常這樣的「嬰兒」需要一個簡單的介面來進行控制。 來自總部的網路管理員通常沒有機會快速趕到遙遠的地方去解決新分公司的問題。 本土小公司根本沒有這個機會。 我們必須求助於“即將到來的服務”
行政。” 對於這種情況,就需要按照「越簡單、越可靠」的原則來控制。
對於小型辦公室,使用 ZyWALL ATP100 和 ZyWALL ATP200 型號是有意義的。
網路網關 最近才出現,但已經進入 .
與其哥哥的主要區別() - 它專為較小的負載而設計,並且沒有適用於 19 吋機架的安裝座。 推薦用於家庭辦公室、小型公司、分公司等。
圖 1.ZyWALL ATP100。
設計特點:ATP100和ATP200為無風扇型號。 為什麼這樣好:一是沒有噪音,二是不用換風扇。 在「新任管理員」的情況下,這是一個相當重要的指標。
圖 2.ZyWALL ATP200。
ATP200 型號支援兩個 WAN 端口,並且可以連接到兩條獨立的線路,例如來自不同提供者的線路。
如上所述,對於小型辦公室來說,除了穩定的電力供應之外,最重要的是穩定的連接。 不幸的是,當地供應商不能總是保證不會發生事故。 我們必須尋找備份選項。
重要! 除了專用 WAN 連接埠外,ATP 型號還具有 USB 端口,您可以連接 USB 數據機並將其用作 WAN。 所有 ATP 均可使用此功能。
如果設備有 SFP 端口,也可以用作 WAN。 此功能適用於所有 ATP。
這是合勤 (Zyxel) 的生活小撇步。
中型企業
對於中型企業來說,合勤有自己不錯的硬體——
它是下一代網關,具有針對不斷變化的威脅的高級保護。
有趣的功能包括:
7 個可設定端口允許靈活配置,例如 2 個 WAN、2 個 DMZ 和 3 個 LAN 端口,同時連接 3 個獨立的 VLAN 供內部使用。 還有 1 個 SFP 連接埠。
圖 3.ZyWALL ATP500。
可以透過兩個 ZyWALL ATP500 在設備 HA Pro 高可用性叢集模式下運作。 如果其中一個不起作用,第二個仍將提供通訊。
充分利用 ATP500 功能,您可以獲得靈活、
與外界或單獨節點進行高度可靠、安全的通信,例如,
總部。
更大的辦公室
對於他們來說,推薦該系列最強大的版本 - ATP800。
此型號具有相當數量的連接埠:12 個 RJ-45 和 2 個 SFP,所有連接埠都可以配置為 WAN、LAN 或 DNZ 模式,這允許您使用多個 WLAN、組織多個 DMZ 並且仍然有機會連接到用於複雜內部基礎架構的外部網路。 適用於規模較大、網路發達、對安全和存取控制要求較高的辦公室。
圖 4.ZyWALL ATP800。
另外值得注意的是,該機型建議有「成長」傾向的用戶購買。 如果您計劃發展您的公司,例如,開發本地連鎖店,那麼立即購買更強大的型號是有意義的,以免花兩次錢。
正如您所看到的,即使在最簡陋的條件下,也可以提供良好的保護等級、容錯能力和操作靈活性。
技術支援、建議、討論、新聞、促銷和公告 - 透過 Telegram 聯絡我們!
有用的鏈接
來源: www.habr.com