أفضل الممارسات لمقبس الشبكة: VLANs مقابل نطاقات التوجيه

تغطي المقالة التالية الحالة التي يُستخدم فيها مقبس كاتو لكل من اتصال الشبكة WAN والخدمة كجدار الحماية. في هذه الحالة، تُعدُّ الأمان هدفًا رئيسيًا للانتشار. هذه المقالة أقل ارتباطًا بالمواقف التي يُستخدم فيها كاتو نتوركس بشكل أساسي للاتصال العالمي أو بالشبكة WAN.

مقدمة

حتى وقت قريب كانت من الشائع أن تكون هناك هيكلية للمفاتيح الداخلية L3 تدير جميع VLANs الداخلية. يحتوي مفتاح العمود الفقري على واجهة L3 لكل VLAN تعمل كالبوابة الافتراضية. كانت التوجيهات تتم داخليًا على المفتاح، أي أن حركة المرور بين VLANs تبقى داخل المفتاح. تذهب حركة المرور إلى الإنترنت أو الشبكة WAN فقط إلى جدار الحماية. انظر المثال أدناه:

L3Switch.png

في الهيكلية أعلاه، يتم التوجيه بين VLANs الداخلية على مفتاح العمود الفقري L3. فقط حركة المرور إلى الإنترنت تذهب إلى جدار الحماية للتفتيش L4. من النادر أن تحتوي على قوائم التحكم في الوصول (ACL) بين VLANs الداخلية لعدة أسباب:

  1. صعب الإدارة - يجب إنشاء قوائم التحكم في الوصول بواسطة CLI، وهو أمر شديد الصعوبة.

  2. مراجعة حركة المرور المحجوبة - يمكن مراجعة سجلات الحركة أساساً باستخدام أوامر CLI وليس بواجهات مرئية واضحة تحدثها جدران الحماية هذه الأيام.

  3. تمكين قوائم التحكم في الوصول L3 سيستهلك طاقة معالجة وحدة المعالجة المركزية (CPU) للمحول.

  4. شديد التعقيد للحصول على VLAN معزولة لا تحتوي على الوصول للشركة.

في النهاية، كانت معظم الشبكات تحتوي على توجيه غير محدود والوصول بين VLANs الداخلية. تفشي الفيروس في واحدة من VLANs سيكون من الصعب جدًا احتوائها (يكاد يكون مستحيلاً).

نقل L3 إلى جهاز أمني

مع استمرار نمو الهجمات السيبرانية ونمو البرامج الضارة في البيئة، بدأت تصميمات الشبكات بالنقل إلى التوجيه L3 على الجهاز الأمني - جدار الحماية. مشابه للهيكلية أعلاه، ولكن مع اختلاف رئيسي واحد - جميع المفاتيح تعمل كجهاز L2، بينما جهاز الجدار الناري يقوم بالتوجيه L3 بين VLANs الداخلية. انظر المثال أدناه:

L2_Switch_and_Firewall_inter-VLAN_routing.png

في الهيكلية أعلاه، يعمل الجدار الناري كنظام التوجيه عبر العصا. حركة المرور بين أجهزة الكمبيوتر في VLAN 10 وأجهزة الكمبيوتر في VLAN 20 ستذهب عبر الجدار الناري.

طبيعيًا، هذا النهج يوفر الكثير من التحكم والأمان. من السهل جدًا عزل VLAN المصابة عن الشبكة. من السهل أيضًا الحصول على VLAN مع الوصول فقط إلى الإنترنت (على سبيل المثال شبكة الضيوف).

مقبس كاتو: VLANs مقابل نطاقات التوجيه

يدعم مقبس كاتو (أساسيًا) تكوينين:

  • VLAN - مشابه للتوجيه L3 على الجدار الناري، يحتوي المقبس على واجهة L3 لكل VLAN ويعمل كبوابة افتراضية.

  • النطاق المُوجه - توجيه ثابت. يُستخدم في الهيكلية الأولى التي تحتوي فيها المقابس على التوجيهات عبر مفتاح L3 إلى VLANs الداخلية.

على الرغم من أن كلا تصميمي الشبكة مدعومان من كاتو، فإن أفضل الممارسات لتصميم جديد ستكون استخدام VLANs. طالما لا توجد قيود أو متطلبات خاصة، فإن أفضل طريقة لتكوين المقبس ستكون مشابهة للتوجيه L3 على هيكلية الجدار الناري. انظر المثال أدناه:

L3_switch_catoCloud.png

فوائد وجود VLANs على المقبس

  1. الإدارة - يمكن للمقبس أن يعمل كبوابة افتراضية لكل VLAN + توفير نطاق DHCP لكل VLAN. يتم إدارة كل شيء من تطبيق إدارة كاتو.

  2. التحكم - في حالة تفشي فيروس في واحدة من VLANs، يمكن عزل هذه VLAN مباشرة وبسهولة إما بواسطة قاعدة جدار الحماية WAN أو حتى بحذف البوابة الافتراضية لتلك VLAN.

  3. الأمان - عندما يكون هناك حاجة لإنشاء VLAN معزولة تمامًا مثل شبكة Wifi للضيوف، يمكن للمقبس حجب الوصول إلى WAN/ للشركة بكل سهولة والسماح فقط بالوصول إلى الإنترنت.

  • انتبه أن جميع حركة مرور WAN تذهب حسب التصميم إلى PoP. يشمل ذلك كل من حركة المرور من موقع إلى موقع وبين VLANs. يعني ذلك أن حركة المرور بين VLANs في نفس المكتب لن يتم توجيهها في المقبس افتراضيًا. يتم تغطية هذه النقطة في القسم التالي.

المخاوف الشائعة والحلول الموصى بها لتوجيه L3 على المقبس

  1. إنشاء وإدارة قواعد الأمان بين VLANs الداخلية - ليس بالأمر الأهم الحصول على مئات القواعد الفريدة التي تسمح بحركة المرور بين VLANs. القدرة الأهم هي وجود الطريقة الفورية لعزل VLAN المصابة. سيتم توفير دفاع أمني فعال بواسطة خدمات الأمان المتقدمة من كاتو مثل مكافحة البرامج الضارة وIPS. ستوفر مكافحة البرامج الضارة وIPS فحص L7 حقيقي لحركة المرور الداخلية والخارجية.

  2. الأداء - عندما يتعلق الأمر بنقل التوجيه بين VLANs إلى جهاز أمني، تبرز المخاوف الفورية المتعلقة بسعة عرض النطاق الترددي. افتقرت مفاتيح L3 القديمة إلى الأمان، ولكن كان لديها أداء عالي بشكل واضح. لمعالجة هذه النقطة، نود أن نقدم بعض الحقائق:

    • بجانب مراكز البيانات، يكون لدى المكاتب الشائعة بضع VLANs مثل المستخدمين، الطابعات وWifi للضيوف. عندما تفكر في الأمر، لا يوجد سبب حقيقي للسماح بحركة المرور بين تلك VLANs. هم بالحاجة أساساً للوصول إلى الموارد المؤسسية في مركز البيانات، أو حتى الوصول إلى خدمات السحاب مثل Office 365، Skype وSalesforce.

    • يمكن لحركة المرور الصغيرة الحجم مثل المستخدمين إلى الطابعات أن تعمل بشكل مثالي من خلال الذهاب إلى PoP ثم العودة من المقبس. لن يلاحظ المستخدمون أي فرق عند حدوث تأخير إضافي في مهمة الطباعة لكن مسؤولي تقنية المعلومات سيحصلون على أمان وتحكم أفضل بكثير.

    • إذا كان التوجيه عالي السرعة 1Gbps لا يزال ضروريًا، فإن مقبس كاتو يدعم قدرة التوجيه المحلي. يتيح التوجيه المحلي التوجيه داخل المقبس، أي أن حركة المرور بين زوج من VLANs ستبقى في المقبس. هذا النوع من التكوين يتجاوز خدمات الأمان L7 الخاصة بكاتو (مكافحة البرامج الضارة وIPS). مع ذلك، إذا كانت هناك محطة عمل مصابة، بمجرد أن تتواصل مع مركز القيادة والسيطرة (C&C) الخارجي أو وكيل ضار، سيتم اكتشافها وإصدار تنبيه بها.

هل كان هذا المقال مفيداً؟

13 من 13 وجدوا هذا مفيداً

لا توجد تعليقات