EN
Korxona tarmogini himoya qilish uchun zarur xavfsizlik xususiyatlari
Bugungi kunda giper bog'langan biznes muhitida tarmoq xavfsizligi hech bo'lmaganda juda muhim. Ko'plab korporativ tarmoqlarning asosida Cisco switch , ulanish hamda xavfsizlik uchun asos bo'lib xizmat qiladigan quvvatli qurilma. Ushbu qurilmalar ko'plab xavfsizlik imkoniyatlariga ega bo'lsada, ko'plab tashkilotlar ularning barcha imkoniyatlaridan to'liq foydalanmaydi va natijada tarmoqlar turli xil tahdidlarga duch keladi.
Cisco kommutator infratuzilmangizda to'g'ri xavfsizlik funksiyalarini tushunish va joriy etish tarmoqning himoya mexanizmlarini sezilarli darajada oshirishi mumkin. Ushbu funksiyalar birgalikda ko'plab himoya qatlamlarini yaratadi, tashkilot ma'lumotlari xavfsizligini ta'minlab, tarmoq samaradorligini saqlab turadi.
Portning xavfsizligini joriy etish
MAC manzillarini boshqarish
Cisco kommutatorida mavjud bo'lgan asosiy xavfsizlik funksiyalaridan biri port xavfsizligidir. Bu funksiya tarmoq administratorlariga qurilmalarning MAC manzillariga asoslanib, aniq kommutator portlariga qaysi qurilmalarning ulanishini nazorat qilish imkonini beradi. Port xavfsizligini joriy etish orqali jismonan kommutator portiga ulangan bo'lsalar ham, ruxsatsiz qurilmalarning tarmoqingizga kirishini oldini olishingiz mumkin.
Konfiguratsiya jarayoni port uchun maksimal MAC manzillar sonini belgilashni va buzilishlar sodir bo'lganda qanday harakatlar amalga oshirilishini aniqlashni o'z ichiga oladi. Buzilish sodir bo'lganda, xavfsizlik talablaringizga qarab, kommutator portni avtomatik ravishda o'chirib qo'yishi, ogohlantirish yuborishi yoki faqat voqeani jurnallashi mumkin.
Yopishqoq MAC o'rganish
Stikli MAC o'rganish port xavfsizligini oshiradi, bu tizim avtomatik ravishda MAC manzillarini o'rganib, ulardan kommutatorning ishlayotgan konfiguratsiyasida saqlaydi. Bu funksiya ayniqsa, xavfsizlikni saqlab qolish hamda qo'lda sozlash hajmini kamaytirish kerak bo'lgan muhitlarda foydali. Yoqilgandan keyin Cisco kommutatori ulangan qurilmalarning MAC manzillarini dinamik ravishda o'rganadi va ularni statik tarzda sozlanganidek qaraydi.
Bu yondashuv xavfsizlik hamda operatsion samaradorlik o'rtasida ajoyib muvozanat o'rnatadi, ayniqsa katta tarmoqlarda, bunda MAC manzillarni qo'lda sozlash vaqt talab qiladigan hamda xatoga moyil jarayon bo'ladi.
VLAN xavfsizlik choralari
VLAN kirish nazorat ro'yxatlari
VLANga kirishni boshqarish ro'yxatlari (VACL) Cisco tarmoq ulagichidagi VLANlarning o'zaro va ichki trafikka aniq nazorat qilish imkonini beradi. Ushbu kirish ro'yxatlari manba va maqsad manzillari, protokollar hamda port raqamlari jumladan, turli mezonlarga asoslanib trafikni filtrlash imkonini beradi. VACLlarni joriy etish tarmoqni samarali ravishada bo'lishiga yordam beradi hamda turli tarmoq segmentlari o'rtasida ruxsatsiz kirishdan himoya qiladi.
VACLlarni sozlashda faqat kerakli trafikka ruxsat berish hamda barcha boshqa trafikni blokirovka qilish orqali minimal imtiyozlar tamoyiliga amal qilish muhimdir. Bu yondashuv ehtimoliy xavf-tahdidlar uchun mavjud bo'lgan hujum maydonini sezilarli darajada kamaytiradi.
Shaxsiy VLAN Konfiguratsiyasi
Shaxsiy VLAN (PVLAN) bitta VLAN ichida alohida tarmoq segmentlarini yaratish orqali qo'shimcha xavfsizlik qatlamini taqdim etadi. Bu ko'plab mijozlarning umumiy resurslarga kirish huquqi bo'lishi kerak, lekin bir-biridan ajratilgan holda qolishi kerak bo'lgan muhitlarda ayniqsa qimmatlidir. Cisco kommutatorini asosiy va ikkilamchi VLANlarni qo'llab-quvvatlash uchun sozlash mumkin, bu esa tarmoqingizda mikrosegmentlarni samarali ravishada yaratadi.
PVLANlarni joriy etish orqali tashkilotlar an'anaviy VLANlarning ko'plab boshqaruv qiymatlarisiz yaxshiroq tarmoq ajratishga erisha oladi, natijada xavfsizlikni oshirish hamda tarmoqni boshqarishni soddalashtirish amalga oshiriladi.
Boshqaruv tekisligini himoya qilish
Boshqaruv tekisligini nazorat qilish
Boshqaruv tekisligini nazorat qilish (CoPP) Cisco kommutatorining boshqaruv tekisligini xizmat ko'rsatishdan voz kechish hujumlari va boshqa zararli trafiklardan himoya qiladigan muhim xavfsizlik funksiyasidir. CoPP ni joriy etish orqali og'ir yuklama ostida yoki hujum davrida ham kommutator CPU resurslari asosiy boshqaruv va boshqaruv vazifalari uchun mavjud bo'lib qolishini ta'minlashingiz mumkin.
Konfiguratsiya — bu marshrutlash yangilanishlari va boshqaruvga kirish kabi yaroqli boshqaruv trafikiga ustunlik beriladigan, shu bilan bir qatorda ehtimoliy zararli trafik cheklovga ega bo'lgan, trafikni tezlik chegarasini belgilovchi aniq siyosatlarni yaratishni o'z ichiga oladi.
Boshqaruv tekisligining himoyasi
Tarmoq infratuzilmangizning butunligini saqlash uchun boshqaruv tekisligini xavfsizlashtirish juda muhim. Cisco kommutatori TACACS+ yoki RADIUS autentifikatsiyasi, SSH shifrlash hamda roldan kelib chiqqan holda kirishni boshqarish kabi tarmoq qurilmalariga faqat ruxsat etilgan administratorlar kirishlari va ularni sozlashlari ta'minlanishi uchun bir nechta imkoniyatlarni taqdim etadi. Bu xususiyatlar birgalikda ishlaydi.
Kuchli autentifikatsiya mexanizmlarini joriy etish hamda boshqaruv trafigini shifrlash ruxsatsiz kirishni oldini oladi hamda nozik konfiguratsiya ma'lumotlarini o'g'irlab olinishdan himoya qiladi.
Dengiz to'lqinini nazorat qilishni joriy etish
Broadcast muttasilikni himoya qilish
Tarmoq dovonlari tarmoq ishlashiga va mavjudligiga jiddiy ta'sir qilishi mumkin. Cisco kommutatoridagi 'storm control' (dovonlarni boshqarish) funksiyasi broadcast, multicast va unicast trafik darajasini nazorat qilish orqali ushbu uzilishlarni oldini olishga yordam beradi. To'g'ri sozlanganda, bu funksiya trafik darajasi belgilangan chegaradan oshganida avtomatik ravishada chora ko'radi.
Bu funksiya tarmoqqa xavf soladigan, uning ishlashini sezilarli darajada pasaytiradigan tasodifiy hamda maqsadli trafik dovonlarini oldini olishda ayniqsa muhim rol o'ynaydi.
Trafikni Bosib Turaish Usullari
Oddiy dovonlarni boshqarishdan tashqari, tarmoq trafigi ustidan yanada aniqroq nazorat o'rnatish uchun Cisco kommutatoringizda ilg'or trafikni bosib turaish usullarini amalga oshirishingiz mumkin. Bu maxsus turdagi trafikka tezlik cheklovi qo'yish, sifatli xizmat (QoS) siyosatini joriy etish hamda tarmoq barqarorligini ta'minlash uchun trafik shakllantirish imkoniyatlaridan foydalanishni o'z ichiga oladi.
Ushbu xususiyatlarni ehtimolli tarmoq anomaliyalari tufayli vujudga keladigan xavfsizlik hodisalarini oldini olish bilan bir vaqtda tarmoq ishlashini saqlash uchun diqqat bilan sozlash kerak.
Koʻpincha soʻraladigan savollar
Men Cisco kommutatorining xavfsizlik sozlamalarini qanchalik tez-tez ko'rib chiqishim va yangilashim kerak?
Xavfsizlik sozlamalari yangi tahdidlar, tashkilotdagi o'zgarishlar yoki xavfsizlik bo'yicha eng yaxshi amaliyotlarga asoslanib, kamida har chorakda bir marta ko'rib chiqilishi va zarur bo'lganda yangilanishi kerak. Shuningdek, xavfsizlik hodisalari yoki katta tarmoq o'zgarishlaridan keyin darhol ko'rib chiqish o'tkazilishi kerak.
Ushbu xavfsizlik funksiyalarining kommutator ishlashiga qanday ta'siri bor?
To'g'ri sozlanganda, aksariyat xavfsizlik funksiyalari kommutator ishlashiga minimal ta'sir qiladi. Biroq, keng qamrovli kirish ro'yxatlari yoki murakkab QoS siyosatlari kabi funksiyalar qo'shimcha CPU resurslarini talab qilishi mumkin. Yangi xavfsizlik funksiyalarini joriy etgandan so'ng kommutator ishlash ko'rsatkichlarini kuzatish va sozlamalarni zarur bo'lganda sozlashing muhim.
Barcha ushbu xavfsizlik funksiyalarini bir vaqtda joriy etishim mumkinmi?
Bir nechta xavfsizlik funksiyalarini bir vaqtda joriy etish mumkin bo'lsada, bosqichma-bosqich yondashuvni amalga oshirish tavsiya etiladi. Bu tarmoqqa har bir funksiyaning ta'sirini to'g'ri sinab ko'rish va tekshirish imkonini beradi. Portlarning xavfsizligi va VLAN kabi asosiy xavfsizlik funksiyalaridan boshlang, so'ngra tarmoq barqarorligini nazorat qilish bilan yanada murakkabroq funksiyalarni asta-sekin joriy eting.