माइक्रोसेगमेंटेशन (होस्ट-स्तरीय विभाजन) एक ही प्रसारण डोमेन में यातायात को सुरक्षित करता है (जैसे कि एक VLAN) होस्ट के बीच पार्श्व गति के लिए पहुंच नियंत्रण जोड़कर। पारंपरिक नेटवर्क फ़ायरवॉल अक्सर स्तर 3 पर काम करते हैं, जहां वे हमेशा इंट्रा-VLAN (स्तर 2) यातायात की जांच या रोक नहीं करते हैं।
जब आप Cato में एक साइट के लिए माइक्रोसेगमेंटेशन सक्षम करते हैं, तो श्रेणी के सबनेट मास्क को कई /32 पतों में विभाजित किया जाता है। उस VLAN में सभी होस्ट-से-होस्ट यातायात को डिफ़ॉल्ट गेटवे (सॉकेट) को भेजा जाने के लिए मजबूर किया जाता है, जहां प्रासंगिक Cato फ़ायरवॉल इंजन यातायात का मूल्यांकन करता है इससे पहले कि यह गंतव्य होस्ट तक पहुंचे। यह होस्ट के बीच "पूर्व-पश्चिम" यातायात को मजबूर करता है जो एक VLAN साझा करते हैं फ़ायरवॉल के माध्यम से निरीक्षण और नीति प्रवर्तन के लिए गुजरने के लिए।
हम अनुशंसा करते हैं कि आप माइक्रोसेगमेंटेशन के लिए Socket Next Gen LAN फ़ायरवॉल का उपयोग करें ताकि उपकरणों के लिए आदर्श ऑन-प्रेम सुरक्षा प्रदान की जा सके।
-
जोखिम को कम करें - वही लैन में होस्ट्स के बीच अनधिकृत ट्रैफ़िक को रोककर
-
लेयर 2 ट्रैफ़िक में दृश्यता प्राप्त करें ताकि सभी होस्ट-से-होस्ट संचार आपकी ज़ीरो-ट्रस्ट नीतियों के अधीन हो
-
खंडन को आसान बनाएं - कई वीएलएन बनाने के बजाय आप होस्ट स्तर पर नीति नियम लागू कर सकते हैं
माइक्रोसेग्मेंटेशन DHCP पर निर्भर करता है ताकि प्रत्येक डिवाइस को /32 पता सौंपकर होस्ट स्तर की अलगाव को लागू किया जा सके और सभी पूर्व-पश्चिम ट्रैफ़िक को नीति मूल्यांकन के लिए सॉकेट के माध्यम से मजबूर किया जा सके। आप माइक्रोसेग्मेंटेशन को Cato को DHCP सर्वर के रूप में उपयोग करके या Cato के DHCP रिले के माध्यम से एकीकृत किए गए तृतीय-पक्ष DHCP सर्वर का उपयोग करके सक्षम कर सकते हैं।
ये माइक्रोसेग्मेंटेशन के लिए DHCP कॉन्फ़िगरेशन विकल्पों के वर्णन हैं:
-
DHCP सर्वर के रूप में Cato - Cato नेटवर्क रेंज में होस्ट को सीधे IP पते सौंपता है। जब माइक्रोसेग्मेंटेशन सक्रिय होता है, तो Cato स्वचालित रूप से प्रत्येक DHCP आवंटन को /32 एड्रेसिंग लागू करता है और सॉकेट के माध्यम से पूर्व-पश्चिम निरीक्षण लागू करता है।
-
DHCP रिले का उपयोग कर तृतीय-पक्ष DHCP सर्वर - यह माइक्रोसेग्मेंटेशन को सक्षम करता है उन नेटवर्क रेंज के लिए जो बाहरी DHCP सर्वर का उपयोग करते हैं, Cato को एक DHCP रिले के रूप में कॉन्फ़िगर किया गया है। इस कॉन्फ़िगरेशन में, बाहरी सर्वर IP पता सौंपता है, और Cato उसी /32 होस्ट रूटिंग और पूर्व-पश्चिम ट्रैफ़िक निरीक्षण को पारदर्शी रूप से लागू करता है जैसे कि Cato-प्रबंधित DHCP के साथ। यह आपको अपनी मौजूदा DHCP इन्फ्रास्ट्रक्चर को बदले बिना शून्य-भरोसा खंडन लागू करने की अनुमति देता है।
नोट
नोट: DHCP रिले के लिए माइक्रोसेग्मेंटेशन सपोर्ट को सक्षम करने के लिए एक भौतिक सॉकेट साइट की आवश्यकता होती है जिसमें सॉकेट संस्करण 24.0.21570 या उच्चतर चल रहा हो।
-
फिजिकल सॉकेट्स जो सॉकेट v22.x या उच्चतर वर्शन के हैं
-
देशी और वीएलएन नेटवर्क रेंज के लिए समर्थित
-
आपकी सुरक्षा आवश्यकताओं के आधार पर, स्थानीय या वैन फ़ायरवॉल नीति को कॉन्फ़िगर करें ताकि माइक्रोसेगमेंटेशन द्वारा कवर किए गए उपकरणों के लिए उचित ट्रैफ़िक की अनुमति हो
निम्नलिखित ऑपरेटिंग सिस्टम्स काटो द्वारा माइक्रोसेग्मेंटेशन का समर्थन करने के लिए सत्यापित हैं। विभिन्न ओएस का उपयोग करने वाले उपकरणों के लिए माइक्रोसेगमेंटेशन लागू करने से पहले, हम अनुशंसा करते हैं कि आप जांच लें कि ओएस आपके वातावरण में सही ढंग से कार्य करता है।
-
एंड्रॉयड सैमसंग गैलेक्सी ए24 SM-A245F/DSN
-
BusyBox DHCP क्लाइंट (Linux 18.04.6 LTS Ubuntu Debian OS पर आधारित)
-
iOS 18.3.1
-
लिनक्स 18.04.6 LTS Ubuntu Debian (Bionic Beaver)
-
macOS Apple M4 Pro 15.3.2 (24D81)
-
प्रिंटर HP LaserJet Pro MFP M428fdn
-
प्रिंटर ब्रदर मॉडल MFC-L2700DW
-
विंडोज 11
-
विंडोज 10 ESX VM: विंडोज 10 एंटरप्राइज, 22H2 19045.5608 (64-बिट ऑपरेटिंग सिस्टम, x64-आधारित प्रोसेसर)
-
विंडोज सर्वर 2022 ESX VM डेटासेंटर, AMD EPYC 7413 24-कोर प्रोसेसर 2.65 GHz (64-बिट ऑपरेटिंग सिस्टम, x64-आधारित प्रोसेसर)
-
विंडोज सर्वर 2019 ESX VM स्टैंडर्ड AMD EPYC 7413 24-कोर प्रोसेसर 2.65 GHz (64-बिट ऑपरेटिंग सिस्टम, x64-आधारित प्रोसेसर)
-
Yealink IP Phone SIP-T23G & SIP-T40G
जब आप नेटवर्क के भीतर पार्श्व गति को सीमित करने वाली सुरक्षा नीतियों का सटीक प्रवर्तन सुनिश्चित करते हैं, तो माइक्रोसेगमेंटेशन को तैनात करने से वैध यातायात व्यवधानित हो सकता है। अपने नेटवर्क में सफलतापूर्वक माइक्रोसेगमेंटेशन तैनात करने के लिए इन अनुशंसाओं का पालन करें।
-
धीरे-धीरे आपके खाते में माइक्रोसेगमेंटेशन सक्षम करें, एक ही रेंज से शुरू करते हुए।
-
चूंकि माइक्रोसेगमेंटेशन का प्रभाव केवल तब होता है जब वर्तमान DHCP लीज़ समय समाप्त होता है, और उपकरण एक नया DHCP IP अनुरोध करते हैं, आपको ऐसा करना चाहिए:
-
DHCP लीज़ समय की ओवरराइड करें और नेटवर्क रेंज के लिए DHCP लीज़ समय को घटाएँ। न्यूनतम मूल्य 1 मिनट है।
-
जब आप पूरे खाते के लिए माइक्रोसेगमेंटेशन सक्षम कर रहे हों, तब अस्थायी रूप से खाता-स्तरीय DHCP लीज़ समय को घटाएं। आप पुष्टि करने के बाद कि माइक्रोसेगमेंटेशन सही ढंग से कार्य कर रहा है, आप DHCP लीज़ समय को वापस पिछली सेटिंग में बदल सकते हैं।
नोट: डिफ़ॉल्ट DHCP लीज़ समय 72 घंटे (3 दिन) है।
-
-
नेटवर्क रेंज में उपकरणों पर प्रभाव की निगरानी करें:
-
सुनिश्चित करें कि उपकरण आपके खाते में अनुमत संस्थाओं के साथ फ़ायरवॉल नीति के आधार पर संचार कर सकते हैं।
-
सुनिश्चित करें कि उपकरण इंटरनेट संसाधनों के साथ पूर्ण कनेक्टिविटी रखते हैं।
माइक्रोसेगमेंटेशन पूर्व-पश्चिम इंट्रा-VLAN यातायात के लिए है, और इंटरनेट यातायात पर कोई प्रभाव नहीं होना चाहिए
-
-
असममित रूटिंग से बचें ताकि इंट्रा-VLAN यातायात सॉकेट के माध्यम से एक सममित तरीके से रूट किया जा सके। हम अनुशंसा करते हैं कि माइक्रोसेगमेंटेशन द्वारा संरक्षित उपकरणों का Cato को DHCP सर्वर के रूप में उपयोग करें।
उदाहरण के लिए, एक स्टेटिक आईपी वाला प्रिंटर जिसे Cato /32 असाइन सबनेट मास्क के साथ गलती से कॉन्फ़िगर नहीं किया गया है, साइट के पीछे अन्य उपकरण के साथ संचार करने में सक्षम नहीं होगा।
माइक्रोसेगमेंटेशन के लिए नए या मौजूदा नेटवर्क रेंज को कॉन्फ़िगर करें। यह कॉन्फ़िगरेशन साइट में प्रत्येक होस्ट के लिए स्वचालित /32 सबनेट मास्क असाइनमेंट लागू करता है। फिर सुनिश्चित करें कि खंडित यातायात की अनुमति प्राप्त है यह पुष्टि करने के लिए सॉकेट LAN या WAN फ़ायरवॉल नीति की समीक्षा करें।
साइट के पीछे नेटवर्क रेंज के लिए माइक्रोसेग्मेंटेशन को सक्षम करने के लिए
-
नेविगेशन मेनू से क्लिक करें नेटवर्क > साइट्स और साइट का चयन करें।
-
नेविगेशन मेनू से क्लिक करें साइट कॉन्फ़िगरेशन > नेटवर्क्स.
-
नया पर क्लिक करें, या DHCP सेटिंग्स कॉलम में, नेटवर्क रेंज पर क्लिक करें।
IP रेंज पैनल खुलता है।
-
नेटवर्क प्रकार को समर्थित रेंज पर सेट करें।
-
अन्य नेटवर्क रेंज सेटिंग्स दर्ज करें, जैसे: VLAN, सबनेट, आदि...
-
DHCP कॉन्फ़िगरेशन को परिभाषित करें:
-
Cato को DHCP सर्वर के रूप में उपयोग करने के लिए:
-
DHCP प्रकार को DHCP रेंज पर सेट करें और इस DHCP रेंज में होस्ट्स के लिए आईपी पता रेंज दर्ज करें।
-
-
DHCP रिले का उपयोग कर एक तृतीय-पक्ष DHCP सर्वर को कॉन्फ़िगर करने के लिए:
-
DHCP प्रकार को DHCP रिले पर सेट करें।
-
DHCP रिले समूह में, इस नेटवर्क के लिए DHCP रिले समूह का चयन करें।
DHCP रिले समूहों और Cato को DHCP रिले के रूप में कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, देखें Configuring Cato as the DHCP Relay.
-
-
-
DHCP आधारित माइक्रोसेग्मेंटेशन चुनें।
-
लागू करें पर क्लिक करें, फिर सहेजें पर क्लिक करें।
अगर आपको अपने नेटवर्क में तैनात माइक्रोसेगमेंटेशन को वापस रोल करना और इसे पूर्ववत करना है, तो अपने नेटवर्क पर प्रभाव को न्यूनतम रखने के लिए इन अनुशंसाओं का पालन करें।
-
धीरे-धीरे अपने खाते में माइक्रोसेगमेंटेशन अक्षम करें, एक ही रेंज से शुरू करते हुए।
-
क्योंकि माइक्रोसेगमेंटेशन अक्षम करने का प्रभाव केवल तब होता है जब वर्तमान DHCP लीज़ समय समाप्त होता है, और उपकरण एक नया DHCP IP अनुरोध करते हैं, आपको ऐसा करना चाहिए:
-
DHCP लीज़ समय की ओवरराइड करें और नेटवर्क रेंज के लिए DHCP लीज़ समय को घटाएँ। न्यूनतम मूल्य 1 मिनट है।
-
जब आप पूरे खाते के लिए माइक्रोसेगमेंटेशन अक्षम कर रहे हों, तब अस्थायी रूप से खाता-स्तरीय DHCP लीज़ समय को घटाएं। आप पुष्टि करने के बाद कि माइक्रोसेगमेंटेशन सही ढंग से कार्य कर रहा है, आप DHCP लीज़ समय को वापस पिछली सेटिंग में बदल सकते हैं।
नोट: डिफ़ॉल्ट DHCP लीज़ समय 72 घंटे (3 दिन) है।
-
-
लिनक्स-आधारित सिस्टम के लिए, जब दो डिफ़ॉल्ट राउटर होते हैं, तब माइक्रो-सेगमेंटेशन सक्षम करते समय डिफ़ॉल्ट गेटवे के लिए एक रूट एंट्री नहीं बनाता है।
के लिए और जानकारी के लिए समाधान के बारे में, इस लेख को देखें।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.