သင်ဖွင့်သင့်သော စစ်ကို စက်ဝိုင်းလုံခြုံရေး၏ ထိပ်တန်း ၅ ခု

လုပ်ငန်းကြီးမားသော ကွန်ရက်လုံခြုံရေးအတွက် အရေးကြီးသော လုံခြုံရေးလုပ်ဆောင်ချက်များ

ယနေ့ခေတ် အင်တာနက်နှင့် အလွန်ချိတ်ဆက်နေသော လုပ်ငန်းပတ်ဝန်းကျင်တွင် ကွန်ရက်လုံခြုံရေးသည် ယခင်ကထက် ပို၍ အရေးကြီးလာပါသည်။ လုပ်ငန်းကြီးများ၏ ကွန်ရက်များ၏ ဗဟိုချက်တွင် တည်ရှိသော Cisco switch ၊ ချိတ်ဆက်မှုနှင့် လုံခြုံရေးနှစ်ခုစလုံးအတွက် အခြေခံအုတ်မြစ်အဖြစ် ဆောင်ရွက်ပေးသည့် အင်အားကြီးသော ကိရိယာတစ်ခုဖြစ်ပါသည်။ ဤကိရိယာများသည် လုံခြုံရေးစွမ်းရည်များစွာပါဝင်သော်လည်း အဖွဲ့အစည်းအများအပြားသည် ၎င်းတို့၏ အပြည့်အဝ စွမ်းရည်ကို အသုံးမချနိုင်ကြပါ၊ ထို့ကြောင့် ကွန်ရက်များသည် ခြိမ်းခြောက်မှုအမျိုးမျိုးကို ရင်ဆိုင်နေရပါသည်။

Cisco စပ်ချိတ်ကိရိယာအခြေခံအဆောက်အအုံတွင် သင့်လျော်သော လုံခြုံရေးလုပ်ဆောင်ချက်များကို နားလည်ခြင်းနှင့် အကောင်အထည်ဖော်ခြင်းသည် သင့်ကွန်ရက်၏ ကာကွယ်ရေးစနစ်များကို သိသိသာသာ မြှင့်တင်ပေးနိုင်ပါသည်။ ဤလုပ်ဆောင်ချက်များသည် အဆင့်များစွာသော ကာကွယ်မှုများကို ဖန်တီးရန် အတူတကွ အလုပ်လုပ်ကြပြီး သင့်အဖွဲ့အစည်း၏ ဒေတာများ လုံခြုံစွာ ရှိနေစေရန်နှင့် ကွန်ရက်စွမ်းဆောင်ရည်ကို အကောင်းဆုံးဖြစ်အောင် ထိန်းသိမ်းပေးနိုင်ပါသည်။

ပေါ့(သ) လုံခြုံရေး အကောင်အထည်ဖော်မှု

MAC လိပ်စာစီမံခန့်ခွဲမှု

Cisco စပ်ချိတ်ကိရိယာတစ်ခုတွင် ရရှိနိုင်သော အခြေခံလုံခြုံရေးလုပ်ဆောင်ချက်များအနက် တစ်ခုမှာ ပေါ်တ်လုံခြုံရေးဖြစ်ပါသည်။ ဤလုပ်ဆောင်ချက်သည် ကွန်ရက်စီမံသူများအား ၎င်းတို့၏ MAC လိပ်စာများအပေါ် အခြေခံ၍ သတ်မှတ်ထားသော စပ်ချိတ်ပေါ်တ်များနှင့် ချိတ်ဆက်နိုင်မည့် ကိရိယာများကို ထိန်းချုပ်ခွင့်ပြုပါသည်။ ပေါ်တ်လုံခြုံရေးကို အကောင်အထည်ဖော်ခြင်းဖြင့် ကိရိယာများသည် စပ်ချိတ်ပေါ်တ်နှင့် ရုပ်ပိုင်းဆိုင်ရာ ချိတ်ဆက်ထားသည်ဖြစ်စေ၊ သင့်ကွန်ရက်သို့ ခွင့်မပြုထားသော ကိရိယာများမှ ဝင်ရောက်မှုကို ကာကွယ်နိုင်ပါသည်။

ကွန်ဖစ်ဂျာရှင်လုပ်ငန်းစဉ်တွင် ပေါ်တ်တစ်ခုချင်းစီအတွက် MAC လိပ်စာအများဆုံးအကန့်အသတ်များ သတ်မှတ်ခြင်းနှင့် ချိုးဖောက်မှုအပေါ် တုံ့ပြန်ဆောင်ရွက်မှုများ သတ်မှတ်ခြင်းတို့ ပါဝင်ပါသည်။ ချိုးဖောက်မှုဖြစ်ပွားပါက သင့်လုံခြုံရေးလိုအပ်ချက်များအပေါ် မူတည်၍ စပ်ချိတ်ကိရိယာသည် ပေါ်တ်ကို အလိုအလျောက် ပိတ်ဆို့နိုင်ပြီး သတိပေးချက်ပို့နိုင်သည် သို့မဟုတ် ဖြစ်ရပ်ကို မှတ်တမ်းတင်နိုင်ပါသည်။

Sticky MAC Learning

Sticky MAC learning သည် switch ၏ running configuration တွင် MAC လိပ်စာများကို အလိုအလျောက်သင်ယူ၍ သိမ်းဆည်းခြင်းဖြင့် port security ကို မြှင့်တင်ပေးပါသည်။ လက်ဝှေ့ဖြင့် ပြုလုပ်ရန် လိုအပ်သော ပမာဏကို လျှော့ချရင်း လုံခြုံရေးကို ထိန်းသိမ်းလိုသည့် ပတ်ဝန်းကျင်များတွင် ဤလုပ်ဆောင်ချက်သည် အထူးအသုံးဝင်ပါသည်။ တပ်ဆင်ပြီးနောက် Cisco switch သည် ချိတ်ဆက်ထားသော device များ၏ MAC လိပ်စာများကို အလိုအလျောက်သင်ယူပြီး ၎င်းတို့ကို static အဖြစ် သတ်မှတ်ထားသည့်အတိုင်း ဆက်ဆံပါသည်။

ဤနည်းလမ်းသည် လက်ဝှေ့ဖြင့် MAC လိပ်စာများကို ပြုလုပ်ခြင်းသည် အချိန်ကုန်များပြီး အမှားများနိုင်သည့် ကွန်ရက်ကြီးများတွင် လုံခြုံရေးနှင့် လည်ပတ်မှု ထိရောက်မှုတို့အကြား ကောင်းမွန်သော ဟန်ချက်ညီမှုကို ပေးဆောင်ပါသည်။

VLAN လုံခြုံရေး measures

VLAN Access Control Lists

VLAN ဝင်ရောက်ခွင့်ကို ထိန်းချုပ်သည့်စာရင်း (VACLs) သည် သင့် Cisco စက်တွင် VLAN များအတွင်းနှင့် VLAN များကြားရှိ ဆက်သွယ်မှုများကို အသေးစိတ်ထိန်းချုပ်နိုင်စေပါသည်။ ဤဝင်ရောက်ခွင့်စာရင်းများသည် မူလနှင့် သတ်မှတ်နေရာလိပ်စာ၊ ပရိုတိုကောလ်များ၊ ပေါ့(ခ််)နံပါတ်များ အစရှိသည့် အချက်အလက်များအပေါ် အခြေခံ၍ ဆက်သွယ်မှုများကို စစ်ထုတ်နိုင်ပါသည်။ VACLs များကို အသုံးပြုခြင်းဖြင့် သင့်ကွန်ရက်ကို ထိရောက်စွာ အပိုင်းလိုက်ခွဲခြားနိုင်ပြီး ကွန်ရက်၏ အပိုင်းအစများကြား မလိုလားအပ်သော ဝင်ရောက်မှုများကို ကာကွယ်နိုင်ပါသည်။

VACLs များကို ပြင်ဆင်သည့်အခါတွင် မဖြစ်မနေလိုအပ်သော ဆက်သွယ်မှုများကိုသာ ခွင့်ပြုပြီး ကျန်အရာအားလုံးကို ပိတ်ပင်ထားရန် အနိမ့်ဆုံးအဆင့် ဝင်ရောက်ခွင့် မူဝါဒကို လိုက်နာရန် အရေးကြီးပါသည်။ ဤနည်းလမ်းသည် ဖြစ်နိုင်ခြေရှိသော ခြိမ်းခြောက်မှုများအတွက် တိုက်ခိုက်နိုင်သည့် ဧရိယာကို သိသိသာသာ လျော့နည်းစေပါသည်။

ပုဂ္ဂလိက VLAN ပြင်ဆင်မှု

ပရိုင်းဗီလန် (PVLANs) များသည် VLAN တစ်ခုအတွင်း ကွဲပြားသော ကွန်ရက်အပိုင်းများဖန်တီးခြင်းဖြင့် လုံခြုံရေးအဆင့်တစ်ခုကို ထပ်မံပေးစွမ်းပါသည်။ ဤလုပ်ဆောင်ချက်သည် မျှဝေသုံးစွဲသည့် အရင်းအမြစ်များကို အသုံးပြုရန် လိုအပ်သော်လည်း တစ်ချင်းချင်း ခွဲခြားထားရန် လိုအပ်သည့် ပတ်ဝန်းကျင်များတွင် အထူးတန်ဖိုးရှိပါသည်။ Cisco စဝ်ချ်ကို ပုံမှန် VLAN နှင့် ဒုတိယအဆင့် VLAN များကို ပံ့ပိုးပေးရန် ပြင်ဆင်နိုင်ပြီး သင့်ကွန်ရက်အတွင်း မိုက်ခရို-အပိုင်းများကို ထိရောက်စွာ ဖန်တီးပေးပါသည်။

PVLAN များကို အသုံးပြုခြင်းဖြင့် အဖွဲ့အစည်းများသည် ရိုးရာ VLAN များစွာကို စီမံခန့်ခွဲရန် လိုအပ်မှုမရှိဘဲ ပိုမိုကောင်းမွန်သော ကွန်ရက်ခွဲခြားမှုကို ရရှိနိုင်ပြီး လုံခြုံရေးကို မြှင့်တင်ပေးကာ ကွန်ရက်စီမံခန့်ခွဲမှုကို ရိုးရှင်းစေပါသည်။

ထိန်းချုပ်မှုလိုင်း ကာကွယ်ရေး

ထိန်းချုပ်မှုလိုင်း စည်းကမ်းထိန်းသိမ်းခြင်း

ထိန်းချုပ်မှုလိုင်း စည်းကမ်းထိန်းသိမ်းခြင်း (CoPP) သည် Cisco စဝ်ချ်၏ ထိန်းချုပ်မှုလိုင်းကို ဝန်ဆောင်မှုငြင်းပယ်ခြင်း တိုက်ခိုက်မှုများနှင့် အခြားသော အန္တရာယ်ရှိသည့် ကွန်ရက်အသွားအလာများမှ ကာကွယ်ပေးသည့် အရေးကြီးသော လုံခြုံရေးလုပ်ဆောင်ချက်ဖြစ်ပါသည်။ CoPP ကို အသုံးပြုခြင်းဖြင့် စဝ်ချ်၏ CPU အရင်းအမြစ်များသည် ပြင်းထန်သော ဝန်အပြည့် သို့မဟုတ် တိုက်ခိုက်မှုအတွင်းတွင်ပါ အဓိက ထိန်းချုပ်မှုနှင့် စီမံခန့်ခွဲမှုလုပ်ဆောင်ချက်များအတွက် အသုံးပြုနိုင်မှုကို သေချာစေပါသည်။

ဤကွန်ဖစ်ဂျူးရိုက်သည် စဝ်ချ်၏ ထိန်းချုပ်မှုအတွက် လမ်းကြောင်းသတ်မှတ်ထားသော မူဝါဒများကို ဖန်တီးခြင်းပါဝင်ပါသည်။ ထိုသို့ဖြင့် မှတ်ပုံတင်မှုများနှင့် စီမံခန့်ခွဲမှုဝင်ရောက်မှုကဲ့သို့သော ထိန်းချုပ်မှုဆိုင်ရာ အချက်အလက်များအတွက် ဦးစားပေးမှုရရှိပြီး ဖျက်ဆီးနိုင်သည့် အချက်အလက်များကို ကန့်သတ်နိုင်ပါသည်။

စီမံခန့်ခွဲမှုအတွက် ကာကွယ်မှု

သင့်ကွန်ရက်အခြေခံအဆောက်အအုံ၏ တည်ငြိမ်မှုကို ထိန်းသိမ်းရန်အတွက် စီမံခန့်ခွဲမှုအတွက် ကာကွယ်မှုသည် အလွန်အရေးကြီးပါသည်။ Cisco စဝ်ချ်သည် SSH အသုတ်အမှတ်၊ TACACS+ သို့မဟုတ် RADIUS အတည်ပြုမှုနှင့် အခန်းကဏ္ဍအလိုက် ဝင်ရောက်ခွင့်ထိန်းချုပ်မှုတို့ကဲ့သို့သော စီမံခန့်ခွဲမှုဝင်ရောက်မှုကို ကာကွယ်ပေးသည့် လုပ်ဆောင်ချက်များကို ပံ့ပိုးပေးပါသည်။ ဤလုပ်ဆောင်ချက်များသည် ခွင့်ပြုထားသော စီမံသူများသာ ကွန်ရက်ကိရိယာများကို ဝင်ရောက်ကြည့်ရှုခြင်းနှင့် ကွန်ဖစ်ဂျူးရိုက်လုပ်နိုင်ကြောင်း သေချာစေပါသည်။

အားကောင်းသော အတည်ပြုမှုစနစ်များကို အကောင်အထည်ဖော်ခြင်းနှင့် စီမံခန့်ခွဲမှုအချက်အလက်များကို အသုတ်အမှတ်လုပ်ခြင်းတို့သည် ခွင့်မပြုထားသော ဝင်ရောက်မှုကို ကာကွယ်ပေးပြီး အရေးကြီးသော ကွန်ဖစ်ဂျူးရိုက်အချက်အလက်များ ဖမ်းယူခံရခြင်းမှ ကာကွယ်ပေးပါသည်။

မုန်တိုင်းထိန်းချုပ်မှု အကောင်အထည်ဖော်ခြင်း

ပျံ့နှံ့သော မုန်တိုင်းကာကွယ်မှု

ကွန်ရက်မုန်တိုင်းတွေဟာ ကွန်ရက် စွမ်းဆောင်ရည်နဲ့ ရရှိနိုင်မှုကို ပြင်းထန်စွာ သက်ရောက်နိုင်ပါတယ်။ Cisco switch ပေါ်က မုန်တိုင်းထိန်းချုပ်ရေး feature က Broadcast, Multicast, နှင့် Unicast Traffic Level များကို စောင့်ကြည့်ကာ ကန့်သတ်ခြင်းဖြင့် ဒီပျက်စီးမှုတွေကို ကာကွယ်ပေးပါတယ်။ မှန်ကန်စွာ ညှိနှိုင်းထားရင် မုန်တိုင်းထိန်းချုပ်ရေးစနစ်ဟာ သတ်မှတ်ထားတဲ့ နှုန်းတွေကို ဖြတ်ကျော်သွားတဲ့အခါ အလိုအလျောက် လုပ်ဆောင်ပါတယ်။

ဒီအချက်က သင့်ကွန်ရက်ကို ပျက်စီးစေနိုင် (သို့) ၎င်းရဲ့ စွမ်းဆောင်ရည်ကို ပြင်းထန်စွာ ကျဆင်းစေနိုင်တဲ့ မတော်တဆနဲ့ ဆိုးဝါးတဲ့ ယာဉ်မုန်တိုင်းတွေကို ကာကွယ်ဖို့ အထူးအရေးကြီးပါတယ်။

ယာဉ်ကြောထိန်းချုပ်ရေးနည်းပညာများ

အခြေခံ မုန်တိုင်းထိန်းချုပ်မှုအပြင် Cisco switch မှာ အဆင့်မြင့် ယာဉ်ထိန်းချုပ်မှု နည်းစနစ်တွေကို အကောင်အထည်ဖော်နိုင်ပြီး ကွန်ရက် ယာဉ်ထိန်းချုပ်မှုကို ပိုမိုကျယ်ပြန့်တဲ့ ထိန်းချုပ်မှုပေးနိုင်ပါတယ်။ ၎င်းတို့တွင် အထူးသဘာဝ ယာဉ်ကြော အမျိုးအစားများကို နှုန်းသတ်မှတ်ခြင်း၊ ဝန်ဆောင်မှု အရည်အသွေး (QoS) မူဝါဒများ အကောင်အထည်ဖော်ခြင်း၊ ကွန်ရက် တည်ငြိမ်မှုကို အာမခံရန် ယာဉ်ကြော ပုံသွင်းမှု လုပ်ဆောင်ချက်များကို အသုံးပြုခြင်းတို့ ပါဝင်သည်။

ဤလုံခြုံရေးလက္ခဏာများကို သေချာစွာ ပြင်ဆင်ခြင်းဖြင့် စက်ဝိုင်းအတွင်း အန္တရာယ်ရှိသော အသုံးပြုမှုများကို ကာကွယ်ထားနိုင်ပြီး ကွန်ရက်စွမ်းဆောင်ရည်ကိုလည်း ထိန်းသိမ်းနိုင်ပါသည်။

မေးလေ့ရှိသောမေးခွန်းများ

ကျွန်ုပ်၏ Cisco switch လုံခြုံရေး ပြင်ဆင်မှုများကို မည်မျှခန့်မှန်း၍ ပြန်လည်စစ်ဆေးပြီး အပ်ဒိတ်လုပ်သင့်ပါသလဲ။

လုံခြုံရေးပြင်ဆင်မှုများကို လစဉ် (၃) လတစ်ကြိမ် အနည်းဆုံး ပြန်လည်စစ်ဆေးသင့်ပြီး အသစ်ပေါ်လာသော ခြိမ်းခြောက်မှုများ၊ အဖွဲ့အစည်း၏ ပြောင်းလဲမှုများ သို့မဟုတ် လုံခြုံရေး အကောင်းဆုံး လုပ်ဆောင်နည်းများအပေါ် အခြေခံ၍ လိုအပ်ပါက အပ်ဒိတ်များ ပြုလုပ်သင့်ပါသည်။ ထို့အပြင် လုံခြုံရေး ဖြစ်ရပ်များ သို့မဟုတ် ကွန်ရက်ပြောင်းလဲမှုကြီးများကို အချိန်နှင့်တစ်ပြေးညီ ပြန်လည်စစ်ဆေးသင့်ပါသည်။

ဤလုံခြုံရေးလက္ခဏာများကို switch စွမ်းဆောင်ရည်အပေါ် မည်သည့်သက်ရောက်မှုရှိပါသလဲ။

သင့်တော်စွာ ပြင်ဆင်ထားပါက လုံခြုံရေးလက္ခဏာအများစုသည် switch စွမ်းဆောင်ရည်အပေါ် သက်ရောက်မှု အနည်းငယ်သာ ရှိပါသည်။ သို့သော် access list များ သို့မဟုတ် QoS policy များကဲ့သို့သော လုပ်ဆောင်ချက်များသည် CPU အရင်းအမြစ်များကို ပိုမိုတောင်းဆိုနိုင်ပါသည်။ လုံခြုံရေးလက္ခဏာအသစ်များ အသုံးပြုပြီးနောက် switch ၏ စွမ်းဆောင်ရည်ကို စောင့်ကြည့်ပြီး လိုအပ်ပါက ပြင်ဆင်မှုများကို ညှိနှိုင်းပြင်ဆင်သင့်ပါသည်။

ဤလုံခြုံရေးလက္ခဏာအားလုံးကို တစ်ပြိုင်နက် အကောင်အထည်ဖော်နိုင်ပါသလား။

လုံခြုံရေးစွမ်းရည်အများအပြားကို တစ်ပြိုင်နက်တည်း အကောင်အထည်ဖော်နိုင်သော်လည်း အဆင့်လိုက်ချဉ်းကပ်မှုကို လိုက်နာရန် အကြံပြုပါသည်။ ၎င်းသည် သင့်ကွန်ရက်အပေါ် အင်္ဂါရပ်တစ်ခုစီ၏ သက်ရောက်မှုကို စမ်းသပ်ခြင်းနှင့် အတည်ပြုခြင်းကို ခွင့်ပြုပေးပါသည်။ ပေါ့စ်လုံခြုံရေးနှင့် VLAN များကဲ့သို့သော အခြေခံလုံခြုံရေးစွမ်းရည်များဖြင့် စတင်ပြီး ကွန်ရက်တည်ငြိမ်မှုကို စောင့်ကြည့်ရင်း တဖြည်းဖြည်း ပိုမိုတိုးတက်သော စွမ်းရည်များကို အကောင်အထည်ဖော်ပါ။