本文是「如何控制網路基礎設施」系列的第五篇文章。 此系列所有文章內容及連結均可找到 .
這部分將專門討論校園(辦公室)和遠端存取 VPN 部分。
辦公室網路設計看似簡單。
事實上,我們採用 L2/L3 交換器並將它們相互連接。 接下來,我們進行 vilan 和預設網關的基本設置,設定簡單的路由,連接 WiFi 控制器、接入點,安裝和配置 ASA 進行遠端訪問,我們很高興一切正常。 基本上,正如我在之前的一篇文章中已經寫過的 在這個週期中,幾乎每個參加(並學習)了兩個學期電信課程的學生都可以設計和配置一個辦公室網絡,使其「以某種方式工作」。
但你學得越多,這個任務就開始顯得越不簡單。 對我個人來說,辦公室網路設計這個主題似乎一點也不簡單,在這篇文章中我將嘗試解釋原因。
簡而言之,有很多因素需要考慮。 這些因素常常相互衝突,必須尋求合理的折衷方案。
這種不確定性是主要的困難。 因此,談到安全性,我們有一個具有三個頂點的三角形:安全性、員工便利性、解決方案的價格。
每次你都必須在這三者之間尋找折衷方案。
架構
作為這兩個部分的架構範例,如之前的文章所示,我推薦 模型: , .
這些文件有些過時了。 我在這裡展示它們是因為基本方案和方法沒有改變,但同時我比在 .
在不鼓勵大家使用思科解決方案的情況下,我仍然認為仔細研究這個設計是有用的。
像往常一樣,本文並不以任何方式假裝完整,而是對此資訊的補充。
在本文的最後,我們將根據此處概述的概念來分析思科 SAFE 辦公室設計。
一般原則
當然,辦公室網路的設計必須滿足已經討論過的一般要求 在「評估設計品質的標準」一章中。 除了我們打算在本文中討論的價格和安全性之外,我們在設計(或進行更改)時還必須考慮三個標準:
- 可擴展性
- 易用性(可管理性)
- 可用性
討論的大部分內容 對於辦公室也是如此。
但辦公部分仍有其自身的特點,從安全角度來看,這些特點至關重要。 這種特殊性的本質是,該細分市場的創建是為了向公司員工(以及合作夥伴和客人)提供網路服務,因此,從最高層面考慮問題,我們有兩個任務:
- 保護公司資源免受可能來自員工(訪客、合作夥伴)及其使用的軟體的惡意行為。 這也包括防止未經授權的網路連線。
- 保護系統和使用者數據
這只是問題的一方面(或更確切地說,三角形的一個頂點)。 另一方面是使用者便利性和所使用解決方案的價格。
讓我們先了解使用者對現代辦公室網路的期望。
便利
在我看來,對於辦公室使用者來說,「網路設施」是這樣的:
- Мобильность
- 能夠使用各種熟悉的裝置和作業系統
- 輕鬆存取所有必要的公司資源
- 網路資源的可用性,包括各種雲端服務
- 網路“快速運行”
所有這些都適用於員工和客人(或合作夥伴),公司工程師的任務是根據授權區分不同使用者群組的存取權限。
讓我們更詳細地看看每個方面。
Мобильность
我們談論的是在世界任何地方(當然,在有網路的地方)工作和使用所有必要的公司資源的機會。
這完全適用於辦公室。 當您有機會在辦公室的任何地方繼續工作時,這很方便,例如,接收郵件、透過公司信使進行交流、進行視訊通話……因此,一方面,這使您可以一方面要「即時」溝通解決一些問題(例如參加集會),另一方面要始終在線,掌握脈搏,快速解決一些緊急的高優先級任務。 這非常方便,確實提高了通訊品質。
這是透過適當的 WiFi 網路設計來實現的。
備註
這裡通常會出現一個問題:光是使用 WiFi 就足夠了嗎? 這是否意味著您可以停止在辦公室使用乙太網路連接埠? 如果我們只討論用戶,而不討論伺服器,而伺服器仍然可以合理地連接常規乙太網路端口,那麼一般來說答案是:是的,您可以將自己限制為僅使用 WiFi。 但也存在細微差別。
有些重要的用戶群組需要單獨的方法。 當然,他們是管理員。 原則上,WiFi 連接的可靠性較低(就流量損失而言),並且速度比常規乙太網路連接埠慢。 這對管理員來說意義重大。 此外,例如,網路管理員原則上可以擁有自己的專用乙太網路用於帶外連接。
您公司可能還有其他團體/部門,這些因素也很重要。
還有一個重要的點——電話。 也許由於某種原因,您不想使用無線 VoIP,而是希望使用具有常規乙太網路連接的 IP 電話。
一般來說,我工作的公司通常都有 WiFi 連接和乙太網路連接埠。
我希望流動性不僅限於辦公室。
為了確保能夠在家中(或任何其他可以存取網路的地方)工作,使用了 VPN 連線。 同時,希望員工感覺不到在家工作和遠距工作之間的差異,因為遠距工作假設具有相同的存取權限。 我們將在稍後的「統一集中認證和授權系統」一章中討論如何組織它。
備註
最有可能的是,您將無法完全為遠距工作提供與在辦公室相同品質的服務。 假設您使用 Cisco ASA 5520 作為 VPN 閘道。根據 該設備只能「消化」225 Mbit 的 VPN 流量。 當然,就頻寬而言,透過 VPN 連線與在辦公室工作有很大不同。 此外,如果由於某種原因,網路服務的延遲、遺失、抖動(例如,您想使用辦公室 IP 電話)很嚴重,您也將無法獲得與在辦公室相同的品質。 因此,在談論移動性時,我們必須意識到可能的限制。
輕鬆存取公司所有資源
該任務應與其他技術部門共同解決。
理想的情況是使用者只需要進行一次身份驗證,之後就可以存取所有必要的資源。
在不犧牲安全性的情況下提供輕鬆存取可以顯著提高工作效率並減輕同事的壓力。
註1
訪問的便利性不僅在於您需要輸入密碼多少次。 比如說,如果按照你的安全策略,為了從辦公室連接到數據中心,你必須先連接VPN網關,同時你就失去了對辦公室資源的訪問權限,那麼這也是很嚴重的。 ,非常不方便。
註2
對於某些服務(例如,存取網路設備),我們通常擁有自己的專用 AAA 伺服器,在這種情況下,我們必須多次進行身份驗證,這是常態。
網路資源的可用性
網路不僅是娛樂,也是一套對工作非常有用的服務。 還有純粹的心理因素。 現代人透過網路透過許多虛擬線程與其他人聯繫,在我看來,如果他在工作時繼續感受到這種聯繫並沒有什麼問題。
例如,從浪費時間的角度來看,如果員工在執行 Skype,並在必要時花 5 分鐘與親人溝通,這並沒有什麼問題。
這是否意味著互聯網應該始終可用,這是否意味著員工可以訪問所有資源而不以任何方式控制它們?
當然,「不」並不意味著這個。 對於不同的公司來說,網路的開放程度可能有所不同——從完全封閉到完全開放。 我們將在稍後的安全措施部分討論控制流量的方法。
能夠使用各種熟悉的設備
例如,當您有機會繼續使用您在工作中習慣的所有溝通方式時,這會很方便。 這在技術上實現起來沒有困難。 為此,您需要 WiFi 和訪客 Wilan。
如果您有機會使用您習慣的作業系統,那也很好。 但是,根據我的觀察,這通常只允許經理、管理員和開發人員使用。
例子
當然,你可以走禁止的道路,禁止遠端訪問,禁止從移動設備連接,限制一切靜態以太網連接,限制對互聯網的訪問,在檢查站強制沒收手機和小玩意......而這條道路實際上,一些組織提出了更高的安全要求,也許在某些情況下這可能是合理的,但是......您必須同意,這看起來像是試圖阻止單一組織的進步。 當然,我想將現代技術提供的機會與足夠的安全等級結合。
網路“快速運行”
從技術上講,資料傳輸速度由許多因素組成。 連接埠的速度通常不是最重要的。 應用程式運行緩慢並不總是與網路問題相關,但目前我們只對網路部分感興趣。 本地網路「速度變慢」最常見的問題與資料包遺失有關。 當存在瓶頸或 L1 (OSI) 問題時通常會發生這種情況。 更罕見的是,在某些設計中(例如,當您的子網路將防火牆作為預設網關,因此所有流量都經過它時),硬體效能可能會缺乏。
因此,在選擇設備和架構時,需要將終端連接埠、中繼的速度和設備效能連結起來。
例子
假設您使用具有 1 個千兆埠的交換器作為存取層交換器。 它們透過 Etherchannel 2 x 10 GB 相互連接。 作為預設網關,您使用具有千兆連接埠的防火牆,將其連接到 L2 辦公室網絡,您使用 2 個千兆連接埠組合成 Etherchannel。
從功能的角度來看,這種架構非常方便,因為… 所有流量都經過防火牆,您可以輕鬆地管理存取策略,並應用複雜的演算法來控制流量並防止可能的攻擊(見下文),但從吞吐量和效能的角度來看,這種設計當然存在潛在的問題。 因此,例如,2台下載資料的主機(連接埠速度為1G)可以完全載入到防火牆的2G連接,從而導致整個辦公室網段的服務降級。
我們已經研究了三角形的一個頂點,現在讓我們看看如何確保安全。
保護手段
因此,當然,通常我們的願望(或更確切地說,我們管理層的願望)是實現不可能的目標,即以最大的安全性和最小的成本提供最大的便利。
讓我們看看我們有哪些方法可以提供保護。
對於辦公室,我想強調以下幾點:
- 零信任設計方法
- 高防護等級
- 網路可見性
- 統一集中認證授權系統
- 主機檢查
接下來,我們將更詳細地討論每個方面。
零信任
IT 世界瞬息萬變。 僅僅過去10年,新技術、新產品的不斷湧現,引發了安全理念的重大修正。 十年前,從安全角度來看,我們將網路劃分為trust、dmz和untrust區域,並使用所謂的“邊界保護”,其中有兩道防線:untrust -> dmz和dmz ->相信。 此外,保護通常僅限於基於 L2/L3 (OSI) 標頭(IP、TCP/UDP 連接埠、TCP 標誌)的存取清單。 與更高層級(包括 L4)相關的所有內容都留給了終端主機上安裝的作業系統和安全產品。
現在情況發生了巨大的變化。 現代概念 源自於這樣一個事實:不再可能將內部系統(即位於邊界內部的系統)視為可信的,並且邊界本身的概念已變得模糊。
除了網路連線之外,我們還擁有
- 遠端存取 VPN 用戶
- 各種個人小工具、自備筆記型電腦、透過辦公室 WiFi 連接
- 其他(分)辦事處
- 與雲端基礎設施集成
零信任方法在實務上是什麼樣的?
理想情況下,只允許所需的流量,如果我們談論的是理想情況,那麼控制不僅應該在 L3/L4 級別,而且應該在應用程式級別。
例如,如果您有能力讓所有流量通過防火牆,那麼您可以嘗試更接近理想狀態。 但這種方法會顯著減少網路的總頻寬,而且按應用程式過濾並不總是有效。
當控制路由器或 L3 交換器上的流量(使用標準 ACL)時,您會遇到其他問題:
- 這僅是 L3/L4 過濾。 沒有什麼可以阻止攻擊者將允許的連接埠(例如 TCP 80)用於其應用程式(不是 http)
- ACL管理複雜(ACL解析困難)
- 這不是全狀態防火牆,這意味著您需要明確允許反向流量
- 使用交換器時,您通常會受到 TCAM 大小的嚴格限制,如果您採取「只允許您需要的內容」的方法,這很快就會成為一個問題
備註
說到反向流量,我們必須記住我們有以下機會(思科)
允許 TCP 任何任何已建立的
但你要明白,這一行相當於兩行:
允許 TCP 任何任何 ack
允許 TCP 任何 任何 rst這意味著即使沒有帶有 SYN 標誌的初始 TCP 段(即 TCP 會話甚至沒有開始建立),該 ACL 也會允許帶有 ACK 標誌的資料包,攻擊者可以利用該資料包來傳輸資料。
也就是說,這條線絕對不會將您的路由器或 L3 交換器變成全狀態防火牆。
高防護等級
В 在資料中心部分,我們考慮了以下保護方法。
- 狀態防火牆(預設)
- DDoS/DoS 防護
- 應用程式防火牆
- 威脅預防(防毒、反間諜軟體和漏洞)
- URL過濾
- 數據過濾(內容過濾)
- 文件阻止(文件類型阻止)
對於辦公室來說,情況類似,但優先順序略有不同。 辦公室可用性(可用性)通常不像資料中心那樣重要,而「內部」惡意流量的可能性要高出幾個數量級。
因此,該細分市場的以下保護方法變得至關重要:
- 應用程式防火牆
- 威脅預防(防毒、反間諜軟體和漏洞)
- URL過濾
- 數據過濾(內容過濾)
- 文件阻止(文件類型阻止)
儘管所有這些保護方法(應用程式防火牆除外)傳統上已經並將繼續在終端主機上解決(例如,透過安裝防毒程式)並使用代理,但現代 NGFW 也提供這些服務。
安全設備供應商致力於創建全面的保護,因此除了本地保護之外,他們還為主機提供各種雲端技術和用戶端軟體(端點保護/EPP)。 因此,例如,從 我們看到帕洛阿爾托和思科都有自己的 EPP(PA:Traps,思科:AMP),但距離領先者還很遠。
在防火牆上啟用這些保護(通常透過購買許可證)當然不是強制性的(您可以採用傳統途徑),但它確實提供了一些好處:
- 在這種情況下,存在保護方法的單點應用,這提高了可見性(請參閱下一個主題)。
- 如果您的網路上有未受保護的設備,那麼它仍然處於防火牆保護的「保護傘」之下
- 透過將防火牆保護與終端主機保護結合使用,我們增加了偵測惡意流量的可能性。 例如,在本地主機和防火牆上使用威脅防禦會增加偵測的可能性(當然,前提是這些解決方案是基於不同的軟體產品)
備註
例如,如果您在防火牆和終端主機上使用卡巴斯基作為防毒軟體,那麼這當然不會大大增加您防止網路病毒攻擊的機會。
網路可視性
很簡單 - “查看”網路上正在發生的情況,包括即時數據和歷史數據。
我將這個「願景」分為兩組:
第一組: 您的監控系統通常會為您提供什麼。
- 設備裝載
- 載入通道
- 記憶體使用情況
- 磁碟使用情況
- 更改路由表
- 連結狀態
- 設備(或主機)的可用性
- ...
第二組: 安全相關資訊。
- 各種類型的統計資料(例如,按應用程式、按 URL 流量、下載了哪些類型的資料、使用者資料)
- 安全策略阻止了什麼以及出於什麼原因,即
- 禁止應用
- 基於 ip/協定/連接埠/標誌/區域禁止
- 威脅預防
- 網址過濾
- 數據過濾
- 文件阻塞
- ...
- DOS/DDOS攻擊統計
- 失敗的識別和授權嘗試
- 上述所有安全策略違規事件的統計
- ...
在關於安全的這一章中,我們對第二部分感興趣。
一些現代防火牆(根據我在帕洛阿爾託的經驗)提供了良好的可見性。 但是,當然,您感興趣的流量必須經過此防火牆(在這種情況下您有能力阻止流量)或鏡像到防火牆(僅用於監控和分析),並且您必須擁有許可證才能啟用所有這些服務。
當然,還有一種替代方法,或者更確切地說是傳統方法,例如,
- 可以透過 netflow 收集會話統計信息,然後使用特殊實用程式進行資訊分析和資料視覺化
- 威脅預防 – 終端主機上的特殊程式(防毒、反間諜軟體、防火牆)
- URL 過濾、資料過濾、檔案封鎖 – 在代理程式上
- 也可以使用例如來分析 tcpdump
您可以結合這兩種方法,補充缺少的功能或複製它們,以增加偵測到攻擊的可能性。
您應該選擇哪一種方法?
很大程度上取決於您團隊的資格和偏好。
兩者都有優點和缺點。
統一集中認證授權系統
如果設計得當,我們在本文中討論的移動性假設您無論在辦公室還是在家、在機場、在咖啡店還是在其他任何地方工作(具有我們上面討論的限制)都具有相同的訪問權限。 如此看來,問題出在哪裡呢?
為了更好地理解此任務的複雜性,讓我們來看看典型的設計。
例子
- 您已將所有員工分成幾組。 您已決定按群組提供存取權限
- 在辦公室內,您可以控制辦公室防火牆上的訪問
- 您可以在資料中心防火牆上控制從辦公室到資料中心的流量
- 您使用 Cisco ASA 作為 VPN 閘道並控制從遠端用戶端進入網路的流量,您使用本機(在 ASA 上)ACL
現在,假設您被要求為某個員工添加額外的存取權限。 在這種情況下,系統會要求您僅向他新增存取權限,而不會向其群組中的其他人新增存取權限。
為此我們必須為該員工建立一個單獨的群組,即
- 在 ASA 上為此員工建立單獨的 IP 池
- 在 ASA 上新增的 ACL 並將其綁定到該遠端用戶端
- 在辦公室和資料中心防火牆上建立新的安全策略
如果這種情況很少見就好了。 但在我的實踐中,有一種情況,員工參與不同的項目,其中有的人的這套項目變化比較頻繁,而且不是1-2人,而是幾十個人。 當然,這裡需要改變一些東西。
這是透過以下方式解決的。
我們決定 LDAP 將成為確定所有可能的員工存取的唯一事實來源。 我們建立了定義存取權限集的各種群組,並將每個使用者指派到一個或多個群組。
例如,假設有組
- 訪客(上網)
- 公共存取(存取共享資源:郵件、知識庫…)
- 會計
- 項目1
- 項目2
- 資料庫管理員
- linux管理員
- ...
如果其中一位員工同時參與專案 1 和專案 2,並且他需要在這些專案中工作所需的存取權限,則該員工會被指派到下列群組:
- 客人
- 共同訪問
- 項目1
- 項目2
現在我們如何將這些資訊轉化為對網路設備的存取?
Cisco ASA 動態存取原則 (DAP)(請參閱 )解決方案非常適合此任務。
簡單介紹一下我們的實施,在識別/授權過程中,ASA 從LDAP 接收一組與給定使用者相對應的群組,並從多個本地ACL(每個ACL 對應一個群組)「收集」具有所有必要訪問權限的動態ACL ,完全符合我們的願望。
但這僅適用於 VPN 連線。 為了使透過 VPN 連線的員工和辦公室內的員工的情況相同,採取了以下步驟。
從辦公室連線時,使用 802.1x 協定的使用者最終會進入訪客 LAN(針對訪客)或共用 LAN(針對公司員工)。 此外,為了獲得特定存取權限(例如,存取資料中心的項目),員工必須透過 VPN 進行連線。
為了從辦公室和家中連接,ASA 上使用了不同的隧道組。 這是必要的,這樣對於從辦公室連接的人員來說,到共享資源(由所有員工使用,例如郵件、文件伺服器、票證系統、DNS 等)的流量不會通過 ASA,而是通過本地網路。 因此,我們沒有向 ASA 加載不必要的流量,包括高強度流量。
這樣,問題就解決了。
我們有
- 來自辦公室的連接和遠端連接的存取權限相同
- 在辦公室工作時不會出現與透過 ASA 傳輸高強度流量相關的服務降級
這種方法還有哪些優點?
在訪問管理中。 可以在一個地方輕鬆更改存取權限。
例如,如果員工離開公司,那麼您只需將他從 LDAP 中刪除,他就會自動失去所有存取權限。
主機檢查
由於遠端連線的可能性,我們不僅面臨著允許公司員工進入網路的風險,而且還面臨著他的電腦(例如家庭)上很可能存在的所有惡意軟體的風險,而且,透過該軟體,我們可能會使用該主機作為代理程式向攻擊者提供對我們網路的存取。
對於遠端連線的主機來說,應用與辦公室主機相同的安全需求是有意義的。
這也假設作業系統、防毒、反間諜軟體、防火牆軟體和更新具有「正確」版本。 通常,此功能存在於 VPN 閘道上(例如,對於 ASA,請參閱: ).
應用與辦公室流量相同的流量分析和阻止技術(請參閱“高級別保護”)也是明智的做法。
可以合理地假設您的辦公網路不再局限於辦公大樓及其內的主機。
例子
一個好的技術是為每個需要遠端存取的員工提供一台優質、方便的筆記型電腦,並要求他們無論在辦公室還是在家中都只能使用它來工作。
它不僅可以提高網路的安全性,而且非常方便,通常會受到員工的青睞(如果它是一台非常好的、用戶友好的筆記型電腦)。
關於比例感和平衡感
基本上,這是關於三角形第三個頂點的對話——關於價格。
讓我們來看一個假設的例子。
例子
您有一間可容納 200 人的辦公室。 您決定讓它盡可能方便和安全。
因此,您決定讓所有流量通過防火牆,因此對於所有辦公室子網,防火牆是預設網關。 除了在每個終端主機上安裝的安全軟體(防毒軟體、反間諜軟體和防火牆軟體)之外,您還決定在防火牆上套用所有可能的保護方法。
為了確保高連線速度(都是為了方便),您選擇了10個千兆存取埠的交換器作為存取交換機,並選擇了高效能的NGFW防火牆作為防火牆,例如Palo Alto 7K系列(40個千兆連接埠),自然帶有所有許可證包括在內,當然還有高可用性對。
當然,為了使用這一系列設備,我們至少需要幾個高素質的安全工程師。
接下來,您決定為每位員工提供一台好的筆記型電腦。
總計約 10 萬美元用於實施,數十萬美元(我認為接近一百萬美元)用於年度支援和工程師薪資。
辦公室,200人...
舒服的? 我想是的。您將此提案提交給您的管理層...
也許世界上有許多公司認為這是可以接受的正確解決方案。 如果你是這家公司的員工,我恭喜你,但在絕大多數情況下,我確信你的知識不會得到管理階層的讚賞。
這個例子誇張了嗎? 下一章將會回答這個問題。
如果在您的網路上您沒有看到上述任何內容,那麼這是正常情況。
對於每種具體情況,您需要在便利性、價格和安全性之間找到自己合理的折衷方案。 通常,您的辦公室甚至不需要 NGFW,並且不需要防火牆上的 L7 保護。 提供良好的可見性和警報就足夠了,例如,這可以使用開源產品來完成。 是的,您對攻擊的反應不會立即發生,但最重要的是您會看到它,並且透過您的部門制定正確的流程,您將能夠快速消除它。
讓我提醒您,根據本系列文章的概念,您不是在設計網絡,您只是在嘗試改進您所獲得的網絡。
辦公建築SAFE分析
注意這個紅色方塊,我用它在圖表上分配了一個位置 我想在這裡討論一下。
這是建築學的關鍵地方之一,也是最重要的不確定性之一。
備註
我從未設定或使用過 FirePower(來自 Cisco 的防火牆系列 - 僅 ASA),因此我會將其視為任何其他防火牆(如 Juniper SRX 或 Palo Alto),假設它具有相同的功能。
在通常的設計中,我只看到 4 種使用防火牆與此連接的可能選項:
- 每個子網路的預設閘道是交換機,而防火牆處於透明模式(即所有流量都經過它,但不形成 L3 跳)
- 每個子網路的預設閘道是防火牆子介面(或SVI介面),交換器扮演L2的角色
- 交換器上使用不同的VRF,VRF之間的流量經過防火牆,一個VRF內的流量由交換器上的ACL控制
- 所有流量都鏡像到防火牆進行分析和監控;流量不經過防火牆
註1
這些選項的組合是可能的,但為了簡單起見,我們不會考慮它們。
筆記2
還有使用 PBR(服務鏈架構)的可能性,但就目前而言,雖然在我看來這是一個漂亮的解決方案,但相當奇特,所以我在這裡不考慮它。
從文件中對流量的描述可以看出,流量仍然經過防火牆,也就是依照Cisco的設計,第四種方案被取消。
我們先來看看前兩個選項。
使用這些選項,所有流量都會通過防火牆。
現在讓我們來看看 , 看 我們發現,如果我們希望辦公室的總頻寬至少在 10 - 20 GB 左右,那麼我們必須購買 4K 版本。
備註
當我談論總頻寬時,我指的是子網路之間的流量(而不是一個別墅內的流量)。
從 GPL 中我們可以看到,對於具有威脅防禦功能的 HA 捆綁包,根據型號(4110 - 4150),價格從約 0,5 - 2,5 萬美元不等。
也就是說,我們的設計開始類似前面的例子。
這是否意味著這個設計是錯的?
不,那不是這個意思。 思科根據其擁有的產品線為您提供最佳的保護。 但這並不意味著這對您來說是必須做的。
原則上,這是設計辦公室或資料中心時出現的常見問題,這只意味著需要尋求妥協。
例如,不要讓所有流量都通過防火牆,在這種情況下,選項 3 對我來說似乎相當不錯,或者(請參閱上一節)也許您不需要威脅防禦或根本不需要防火牆網段,您只需要使用付費(不昂貴)或開源解決方案限制自己進行被動監控,或者您需要來自不同供應商的防火牆。
通常總是存在這種不確定性,並且對於哪個決定最適合您沒有明確的答案。
這就是這項任務的複雜性和美妙之處。
來源: www.habr.com