Сегментация сети - Лучшие практики

Обзор

Сегментация сети помогает улучшить безопасность и упрощает управление, разделяя корпоративную сеть на более мелкие сегменты. Эта статья фокусируется на использовании Приложения Управления Cato для использования сетевых сегментов VLAN и минимизации воздействия возможного сетевого вторжения. Если происходит сетевое вторжение, зараженный VLAN изолируется и не может распространиться на всю сеть. VLANs также могут обеспечивать детализированный контроль доступа, вы можете создавать правила файервола для определения контроля доступа на основе ролевой модели пользователей в организации.

Сегментация сети с Cato Networks

Приложение Управления Cato позволяет легко определить VLAN для сайта, который использует сокет Cato. Используйте раздел Сеть для сайта, чтобы определить сетевые сегменты с Типом Диапазона VLAN. Посмотрите следующий скриншот для примера сетевых сегментов VLAN (Сеть > Сайты > {Название Сайта} > Настройки Сайта > Сети):

Sites_Network.png

Затем вы можете использовать эти сетевые сегменты для повышения безопасности сайта. Например, вы можете создать отдельный VLAN для корпоративного финансового отдела и использовать его в правиле файервола WAN. Поскольку трафик между VLANs маршрутизируется через облако Cato, возможно, что это окажет влияние на производительность сети для этого трафика. Это так, даже если VLANs находятся в одном физическом месте.

Сегментация серверов для повышения безопасности

Серверы, содержащие важные и конфиденциальные данные, часто требуют дополнительных уровней безопасности. Вы можете изолировать эти серверы в отдельном VLAN и ограничить доступ к этим серверам. Например, вы можете использовать отдельный VLAN для серверов баз данных в вашей штаб-квартире.

С другой стороны, сервера приложений часто имеют входящий доступ из общедоступного Интернета и могут представлять потенциальный риск безопасности. Мы рекомендуем назначить эти серверы в отдельный VLAN и предотвратить доступ злоумышленников к внутренним и конфиденциальным серверам. Вы можете использовать этот VLAN как DMZ (демилитаризованную зону) для общедоступных серверов.

Использование VLAN для защиты серверов и рабочих станций

Корпоративные рабочие станции и серверы могут представлять угрозу безопасности для вашей сети, потому что если рабочая станция будет скомпрометирована, она может быстро распространиться по всей сети. Однако когда рабочие станции находятся в отдельном VLAN, вы можете изолировать VLAN и заблокировать подключение к сети. Чтобы обеспечить связь между сетями, вы должны настроить IP-адрес шлюза для каждой из сетей VLAN. На следующем скриншоте показан пример отдельных VLAN для серверов и рабочих станций:

servers_and_work.png

Создайте правило межсетевого экрана WAN, которое позволяет подключение между этими VLAN. Если одна из рабочих станций в вашей сети станет зараженной, вы можете легко отключить это правило и предотвратить распространение инфекции на серверы. После устранения зараженных рабочих станций, вы можете снова включить правило, чтобы разрешить соединение между рабочими станциями и сервером приложений.

Разделение сетей для различных типов пользователей

Сегментация сети позволяет определить различные уровни доступа для различных групп пользователей в вашей организации. Например, определите отдельные VLAN для управления, обычных пользователей и гостей.

Если вы хотите предоставить WiFi или сетевой доступ для гостей, это может быть потенциальной угрозой безопасности. Сегментируйте гостьевую сеть в отдельном VLAN, который позволяет только доступ к Интернету, и они не могут получить доступ к внутренним ресурсам. На следующем скриншоте показан VLAN для пользователей гостевого WiFi:

vlans1.png

Затем создайте правило в Межсетевом экране для Интернета, которое позволяет этому VLAN получить доступ к Интернету. На следующем скриншоте показано правило межсетевого экрана для Интернета, которое позволяет Guest WiFi VLAN получить доступ к Интернету:

GuestWiFi_Internet.png

Ограничение трафика с рисками безопасности

Помимо сегментации сети для повышения безопасности, вы также можете ограничить типы трафика, которые представляют потенциальные риски безопасности. Например, протоколы RDP (Удаленный рабочий стол) и SMB (обмен файлами) часто используются злоумышленниками для получения доступа к конфиденциальной информации или для распространения вымогательского ПО, которое причиняет ущерб корпоративным данным.

Мы рекомендуем настроить Межсетевой экран WAN для ограничения доступа к этим протоколам по умолчанию и разрешать этот трафик только при необходимости. Для получения дополнительной информации о настройке правил межсетевого экрана WAN и лучших практиках см. Лучшие практики политик межсетевого экрана Интернета и WAN.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев