नेटवर्क विभाजन - सर्वोत्तम प्रथाएं

अवलोकन

नेटवर्क विभाजन कॉर्पोरेट नेटवर्क को छोटे नेटवर्क खंडों में विभाजित करके सुरक्षा को बेहतर बनाता है और इसे प्रबंधित करना आसान बनाता है। यह लेख वेलन नेटवर्क खंडों का उपयोग करने और संभावित नेटवर्क घुसपैठ के प्रभाव को कम करने के लिए Cato प्रबंधन अनुप्रयोग का उपयोग करने पर केंद्रित है। यदि नेटवर्क में सेंध होती है, तो संक्रमित वीएलएन को अलग कर दिया जाता है और यह पूरे नेटवर्क में नहीं फैल सकता है। वीएलएन भी सूक्ष्म पहुंच नियंत्रण प्रदान कर सकते हैं, आप संगठन में उपयोगकर्ता की भूमिका के आधार पर पहुंच नियंत्रण को परिभाषित करने के लिए फ़ायरवॉल नियम बना सकते हैं।

Cato Networks के साथ नेटवर्क विभाजन

Cato प्रबंधन अनुप्रयोग आपको Cato सॉकेट का उपयोग करने वाली साइट के लिए आसानी से वीएलएन को परिभाषित करने की अनुमति देता है। साइट के लिए नेटवर्क खंडों को परिभाषित करने के लिए वीएलएन के रेंज प्रकार के साथ नेटवर्क अनुभाग का उपयोग करें। वीएलएन नेटवर्क खंडों का उदाहरण देखने के लिए निम्नलिखित स्क्रीनशॉट देखें (नेटवर्क > साइट्स > साइट का नाम > साइट कॉन्फ़िगरेशन > नेटवर्क्स):

Sites_Network.png

आप फिर साइट की सुरक्षा बढ़ाने के लिए इन नेटवर्क खंडों का उपयोग कर सकते हैं। उदाहरण के लिए, आप कॉर्पोरेट वित्त विभाग के लिए एक अलग वीएलएन बना सकते हैं और इसे वैन फ़ायरवॉल नियम में उपयोग कर सकते हैं। चूंकि वीएलएन के बीच ट्रैफ़िक Cato Cloud के माध्यम से रूट किया जाता है, इसलिए इस ट्रैफ़िक के लिए नेटवर्क प्रदर्शन पर प्रभाव पड़ सकता है। यह बात सही है भले ही वीएलएन उसी भौतिक स्थान में हों।

सुरक्षा बढ़ाने के लिए सर्वरों का विभाजन

जो सर्वर आवश्यक और संवेदनशील डेटा रखते हैं, वे अक्सर सुरक्षा की अतिरिक्त परतों की मांग करते हैं। आप इन सर्वरों को एक अलग वीएलएन में अलग कर सकते हैं और इन सर्वरों की पहुंच को सीमित कर सकते हैं। उदाहरण के लिए, आप अपने कॉर्पोरेट मुख्यालय में डेटाबेस सर्वरों के लिए एक अलग वीएलएन का उपयोग कर सकते हैं।

दूसरी ओर, एप्लिकेशन सर्वर अक्सर सार्वजनिक इंटरनेट से इनबाउंड पहुंच रखते हैं और वे संभावित सुरक्षा जोखिम हो सकते हैं। हम अनुशंसा करते हैं कि आप इन सर्वरों को एक अलग वीएलएन में असाइन करें और हमलावरों को आंतरिक और संवेदनशील सर्वरों तक पहुंचने से रोकें। आप इस वीएलएन का उपयोग सार्वजनिक रूप से पहुंच वाले सर्वरों के लिए डिमीलिट्राइज्ड ज़ोन (DMZ) के रूप में कर सकते हैं।

वीएलएन का उपयोग कर सर्वरों और वर्कस्टेशनों की सुरक्षा

कॉर्पोरेट वर्कस्टेशन और सर्वर आपके नेटवर्क के लिए सुरक्षा जोखिम हो सकते हैं क्योंकि यदि वर्कस्टेशन बैकफुट होता है, तो यह पूरे नेटवर्क में जल्दी फैल सकता है। हालांकि, जब वर्कस्टेशन एक अलग वीएलएन में होते हैं, तो आप वीएलएन को अलग कर सकते हैं और नेटवर्क से कनेक्टिविटी को ब्लॉक कर सकते हैं। नेटवर्क के बीच संचार की अनुमति देने के लिए, आपको प्रत्येक वीएलएन नेटवर्क के लिए गेटवे आईपी पता कॉन्फ़िगर करना होगा। निम्नलिखित स्क्रीनशॉट सर्वर और वर्कस्टेशन के लिए अलग वीएलएन के उदाहरण को दिखाता है:

servers_and_work.png

इन वीएलएन के बीच कनेक्टिविटी की अनुमति देने वाला एक वैन फ़ायरवॉल नियम बनाएँ। यदि आपके नेटवर्क में से किसी भी वर्कस्टेशन को संक्रमण हो जाता है, तो आप आसानी से इस नियम को निष्क्रिय कर सकते हैं और संक्रमण के सर्वरों तक फैलने से रोक सकते हैं। संक्रमित वर्कस्टेशन को पुनर्स्थापित करने के बाद, आप वर्कस्टेशन और एप्लिकेशन सर्वर के बीच कनेक्टिविटी की अनुमति देने के लिए नियम को फिर से सक्रिय कर सकते हैं।

विभिन्न प्रकार के उपयोगकर्ताओं के लिए नेटवर्क को अलग करना

नेटवर्क विभाजन आपको अपनी संगठन में विभिन्न उपयोगकर्ता समूहों के लिए विभिन्न पहुंच स्तरों को परिभाषित करने की अनुमति देता है। उदाहरण के लिए, प्रबंधन, सामान्य उपयोगकर्ता, और अतिथियों के लिए अलग वीएलएन परिभाषित करें।

यदि आप अतिथियों के लिए वाईफ़ाई या नेटवर्क एक्सेस प्रदान करना चाहते हैं, तो यह एक संभावित सुरक्षा जोखिम हो सकता है। अतिथि नेटवर्क को एक अलग VLAN में विभाजित करें जो केवल इंटरनेट तक पहुंच की अनुमति देता है, और वे आंतरिक संसाधनों तक नहीं पहुँच सकते। निम्नलिखित स्क्रीनशॉट अतिथि वाईफाई उपयोगकर्ताओं के लिए एक VLAN दिखाता है:

vlans1.png

फिर इंटरनेट फ़ायरवॉल में एक नियम बनाएँ जो इस VLAN को इंटरनेट तक पहुँच की अनुमति देता है। निम्नलिखित स्क्रीनशॉट एक इंटरनेट फ़ायरवॉल नियम दिखाता है जो अतिथि वाईफाई VLAN को इंटरनेट तक पहुँच की अनुमति देता है:

GuestWiFi_Internet.png

सुरक्षा जोखिम के साथ ट्रैफ़िक को प्रतिबंधित करना

नेटवर्क सुरक्षा में सुधार के लिए नेटवर्क को विभाजित करने के अलावा, आप उन ट्रैफ़िक प्रकारों को भी प्रतिबंधित कर सकते हैं जो संभावित सुरक्षा जोखिम हो सकते हैं। उदाहरण के लिए, RDP (रिमोट डेस्कटॉप) और SMB (फाइल साझा करने वाले) प्रोटोकॉल का प्रायः उपयोग संवेदनशील जानकारी प्राप्त करने या रैन्समवेयर फैला कर जो कॉर्पोरेट डेटा को नुकसान पहुँचाता है, करने के लिए किया जाता है।

हम अनुशंसा करते हैं कि आप WAN फ़ायरवॉल को डिफ़ॉल्ट रूप से इन प्रोटोकॉल तक पहुंच को सीमित करने के लिए कॉन्फ़िगर करें और केवल आवश्यकता होने पर इस ट्रैफ़िक की अनुमति दें। WAN फ़ायरवॉल नियमों और सर्वोत्तम प्रथाओं को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, देखें इंटरनेट और WAN फ़ायरवॉल नीतियाँ सर्वोत्तम प्रथाएं

क्या यह लेख उपयोगी था?

2 में से 2 के लिए उपयोगी रहा

0 टिप्पणियां