EN
Кәсіпорын желісін қорғау үшін қажетті қауіпсіздік мүмкіндіктері
Бүгінгі дәуірдегі гипербайланысты бизнес ортасында желілік қауіпсіздік әрқашан болғаннан гөрі маңыздырақ. Көптеген кәсіпорындардың желілерінің ортасында тұрған Cisco ауыстырғышы , бұл қуатты құрылғы байланыс пен қауіпсіздіктің негізі болып табылады. Бұл құрылғылар көптеген қауіпсіздік мүмкіндіктерімен жабдықталғанымен, көптеген ұйымдар олардың толық потенциалын пайдаланбайды, бұл желілерді әртүрлі қауіп-қатерлерге қарсы сезімтал етеді.
Cisco коммутаторлар инфрақұрылымында дұрыс қауіпсіздік функцияларын түсіну және енгізу желіңіздің қорғану механизмдерін айтарлықтай күшейтуге мүмкіндік береді. Бұл функциялар бірлесіп көптеген қорғаныс деңгейлерін құрады және ұйымыңыздың деректері қауіпсіз болып қала береді, сонымен қатар желілік өнімділік оптималды деңгейде сақталады.
Порттық қауіпсіздікті іске асыру
MAC-адрестерді басқару
Cisco коммутаторында қолжетімді негізгі қауіпсіздік функцияларының бірі — порттық қауіпсіздік. Бұл функция желілік әкімшілерге құрылғылардың MAC-адресіне негізделе отырып, нақты коммутатор порттарына қосылуын бақылауға мүмкіндік береді. Порттық қауіпсіздікті енгізу арқылы физикалық түрде коммутатор портына қосылғанымен, желіңізге рұқсатсыз құрылғылардың қосылуын болдырмауға болады.
Конфигурация процесі әрбір порттағы максималды MAC-адрес шектерін орнатуды және бұзушылықтарға қарсы шараларды анықтауды қамтиды. Бұзушылық орын алған кезде коммутатор автоматты түрде портты сөндіре алады, хабарлама жібере алады немесе оқиғаны журналға тіркеуге болады, бұл сіздің қауіпсіздік талаптарыңызға байланысты.
Жабысқақ MAC-оқу
Стекті MAC оқыту автоматты түрде коммутатордың жұмыс істеп тұрған конфигурациясында MAC адрестерін үйрену және сақтау арқылы порт қауіпсіздігін арттырады. Бұл мүмкіндік, әсіресе, қолмен баптаудың шығындарын азайта отырып, қауіпсіздікті сақтауды қалаған ортада пайдалы. Белсендірілгеннен кейін Cisco коммутаторы қосылған құрылғылардың MAC адрестерін динамикалық түрде біледі және оларды статикалық түрде конфигурацияланғандай қарайды.
Бұл тәсіл қауіпсіздік пен операциялық тиімділік арасындағы тамаша тепе-теңдікті қамтамасыз етеді, әсіресе үлкен желілерде, онда MAC адрестерін қолмен баптау уақытты қажет етеді және қатеге бейім.
VLAN қауіпсіздік шаралары
VLAN қатынас бақылау тізімдері
VLAN қолжеткізу тізімдері (VACL) Cisco коммутатор желісіндегі және VLAN арасындағы трафикке мұқтаж бақылау мүмкіндігін береді. Бұл қолжеткізу тізімдері көздеген және шығу мекен-жайлары, протоколдар мен порт нөмірлері сияқты әртүрлі критерийлерге негізделе отырып, трафикті сүзгілеуі мүмкін. VACL-ды енгізу желіңізді тиімді бөлшектеуге және әртүрлі желілік бөліктер арасындағы рұқсатсыз қолжеткізуден сақтануға көмектеседі.
VACL-ды конфигурациялау кезінде тек қажетті трафикке рұқсат беріп, басқаларын блоктау арқылы ең аз ықтималдық принципіне қатаң ұстану маңызды. Бұл тәсіл мүмкін болатын қауіп-қатерлер үшін қолжеткізу бетінің көлемін әлдеқайда азайтады.
Жеке VLAN конфигурациясы
Жеке VLAN (PVLAN) бір VLAN ішінде жекеленген желілік сегменттерді құру арқылы қосымша қауіпсіздік деңгейін ұсынады. Бұл мүмкіндік көптеген клиенттер ортақ ресурстарға қатынасуы керек, бірақ бір-бірінен бөлініп тұруы қажет ортада ерекше маңызды. Cisco коммутаторы негізгі және қосымша VLAN-ды қолдау үшін бапталуы мүмкін, осылайша желіңізде микросегменттерді тиімді түрде құрады.
PVLAN-ды енгізу арқылы ұйымдар көптеген дәстүрлі VLAN-дарды басқарудың қосымша жұктемесінсіз жақсырақ желілік бөлуге қол жеткізе алады, бұл қауіпсіздікті арттыруға және желілік басқаруды ықшамдауға әкеледі.
Басқару жазықтығын қорғау
Басқару жазықтығын полисингтеу
Басқару жазықтығын полисингтеу (CoPP) — Cisco коммутаторының басқару жазықтығын DoS-шабуылдары мен басқа да зиянды трафиктен қорғайтын маңызды қауіпсіздік мүмкіндігі. CoPP-ды енгізу арқылы сіз шабуыл кезінде немесе үлкен жүктеме кезінде де коммутатордың CPU ресурстары негізгі басқару және басқару функциялары үшін қолжетімді болып қалатынына кепілдік бересіз.
Бұл конфигурация коммутатордың басқару жоспарына арналған трафикті жылдамдықпен шектеу саясаттарын құруды қамтиды. Бұл маршруттау жаңартулары мен басқаруға қол жеткізу сияқты заңды басқару трафигіне басымдық беріп, әлеуетті зиянды трафикті шектеуді қамтамасыз етеді.
Басқару жазықтығын қорғау
Желі инфрақұрылымының бүтіндігін сақтау үшін басқару жазықтығын қорғау маңызды. Cisco коммутаторы SSH шифрлау, TACACS+ немесе RADIUS аутентификациясы және рөлге негізделген қол жеткізу сияқты мүмкіндіктер арқылы басқаруға қол жеткізуді қорғайды. Бұл мүмкіндіктер желілік құрылғыларға тек ұйымдастырылған әкімшілер ғана қол жеткізе алатынын қамтамасыз етеді.
Қатаң аутентификация механизмдерін енгізу және басқару трафигін шифрлау өз бетінше қол жеткізуді болдырмауға және сезімтал конфигурациялық ақпараттың түсірілуінен қорғауға көмектеседі.
Температураны бақылау жүйесін енгізу
Дұрыс бағытталмаған шақырулардан қорғау
Желілік дауылдар желінің өнімділігі мен қолжетімділігіне үлкен әсер етуі мүмкін. Cisco коммутаторындағы дауылды басқару функциясы таратылатын, көптеген және жеке нұсқаулық трафик деңгейлерін бақылау арқылы және шектеу арқылы осындай бұзылуларды болдырмақа көмектеседі. Дұрыс конфигурацияланған жағдайда дауылды басқару трафик деңгейі белгіленген порогтардан асып кеткенде автоматты түрде шара қолданады.
Бұл функция желіңіздің құлдырауына немесе оның өнімділігінің күрт төмендеуіне әкеп соғатын кездейсоқ және мақсатты трафик дауылдарын болдырмау үшін ерекше маңызды.
Трафикті басу әдістері
Негізгі дауылды басқарудан тыс, желі трафигіне дәлірек басқару үшін сіздің Cisco коммутаторыңызда алдын-ала дамытылған трафикті басу әдістерін іске асыруға болады. Оларға нақты түрлерінің трафигін бағалау, сапа қызметін (QoS) саясатын енгізу және желі тұрақтылығын қамтамасыз ету үшін трафик формаластыру құралдарын пайдалану жатады.
Бұл функцияларды мұқият баптау арқылы желілік өнімділікті сақтай отырып, трафиктің аномалияларынан туындауы мүмкін қауіпсіздік оқиғаларын болдырмауға болады.
Жиі қойылатын сұрақтар
Мен өзімнің Cisco коммутаторының қауіпсіздік баптауларын қанша жиі қарап шығуым керек?
Қауіпсіздік баптауларын кем дегенде тоқсандық сайын қарап шығу керек, ал жаңа қауіптерге, ұйымдағы өзгерістерге немесе қауіпсіздік бойынша ең жақсы тәжірибелерге сәйкес қажетті жаңартуларды енгізу керек. Сонымен қатар, қауіпсіздік оқиғаларынан кейін немесе желіде маңызды өзгерістерден кейін дер кезде тексеру жүргізу қажет.
Бұл қауіпсіздік функциялары коммутатордың өнімділігіне қандай әсер етеді?
Дұрыс бапталған кезде көбінесе қауіпсіздік функциялары коммутатордың өнімділігіне минималды әсер етеді. Дегенмен, кеңейтілген қолжеткізу тізімдері немесе күрделі QoS саясаттары сияқты функциялар қосымша CPU ресурстарын талап етуі мүмкін. Жаңа қауіпсіздік функцияларын енгізгеннен кейін коммутатордың өнімділік көрсеткіштерін бақылау және қажет болған жағдайда баптауларды түзету маңызды.
Мен барлық осы қауіпсіздік функцияларын бір уақытта іске асыра аламын ба?
Бірнеше қауіпсіздік функцияларын бір уақытта енгізу мүмкін болса да, сатылы тәсілді ұстану ұсынылады. Бұл желіңізге әрбір функцияның әсерін дұрыс тексеріп және тексеруін растауға мүмкіндік береді. Порттың қауіпсіздігі мен VLAN сияқты негізгі қауіпсіздік функцияларынан бастаңыз, содан кейін желі тұрақтылығын бақылай отырып, біртіндеп одан әрі дамыған функцияларды енгізіңіз.