यह लेख "कैसे अपने नियंत्रण में नेटवर्क बुनियादी सुविधाओं को लेने के लिए" लेख की एक श्रृंखला में तीसरा है। श्रृंखला और लिंक के सभी लेखों की सामग्री यहां पाई जा सकती है ।
सुरक्षा जोखिमों के पूर्ण उन्मूलन के बारे में बात करने का कोई मतलब नहीं है। सिद्धांत रूप में, हम उन्हें शून्य तक कम नहीं कर सकते। आपको यह भी समझने की आवश्यकता है कि जैसे-जैसे हम नेटवर्क को अधिक से अधिक सुरक्षित बनाने का प्रयास करते हैं, हमारे समाधान अधिक से अधिक महंगे होते जाते हैं। आपको कीमत, जटिलता और सुरक्षा के बीच अपने नेटवर्क के लिए एक उचित समझौता खोजने की आवश्यकता है।
बेशक, सुरक्षा डिज़ाइन को समग्र वास्तुकला में एकीकृत किया गया है और उपयोग किए जाने वाले सुरक्षा समाधान स्केलेबिलिटी, विश्वसनीयता, प्रबंधन क्षमता, ... नेटवर्क इन्फ्रास्ट्रक्चर को प्रभावित करते हैं, जिसे भी ध्यान में रखा जाना चाहिए।
लेकिन, मैं आपको याद दिलाता हूं कि अब हम नेटवर्क बनाने की बात नहीं कर रहे हैं। हमारी
प्रारंभिक स्थितियों के अनुसार, हमने पहले से ही एक डिज़ाइन, चयनित उपकरण, और एक बुनियादी ढांचा बनाया है, और इस स्तर पर, यदि संभव हो, तो "जीना" और पहले चुने गए दृष्टिकोण के संदर्भ में समाधान खोजना चाहिए।
हमारा कार्य अब नेटवर्क स्तर पर सुरक्षा से जुड़े जोखिमों की पहचान करना और उन्हें उचित मूल्य तक कम करना है।
नेटवर्क सुरक्षा ऑडिट
यदि आपके संगठन ने आईएसओ 27k प्रक्रियाओं को लागू किया है, तो सुरक्षा दृष्टिकोण और नेटवर्क परिवर्तनों को इस दृष्टिकोण के भाग के रूप में व्यवस्थित रूप से समग्र प्रक्रियाओं में एकीकृत किया जाना चाहिए। लेकिन ये मानक अभी भी विशिष्ट समाधानों के बारे में नहीं हैं, कॉन्फ़िगरेशन के बारे में नहीं हैं, डिज़ाइन के बारे में नहीं हैं ... कोई निश्चित सुझाव नहीं हैं, ऐसे कोई मानक नहीं हैं जो आपके नेटवर्क के बारे में विस्तार से तय करें, यह इस कार्य की जटिलता और सुंदरता है।
मैं कई संभावित नेटवर्क सुरक्षा ऑडिट पर प्रकाश डालूंगा:
- उपकरण विन्यास ऑडिट (कठोर)
- सुरक्षा ऑडिट डिजाइन
- एक्सेस ऑडिट करें
- प्रक्रिया लेखा परीक्षा
हार्डवेयर कॉन्फ़िगरेशन ऑडिट (सख्त)
ज्यादातर मामलों में, यह आपके नेटवर्क की ऑडिटिंग और सुधार के लिए सबसे अच्छा शुरुआती बिंदु प्रतीत होता है। IMHO, यह पेरेटो कानून का एक अच्छा प्रदर्शन है (प्रयास का 20% परिणाम का 80% देता है, और शेष 80% प्रयास परिणाम का केवल 20% है)।
लब्बोलुआब यह है कि आमतौर पर हमारे पास उपकरणों को कॉन्फ़िगर करते समय सुरक्षा पर "सर्वोत्तम प्रथाओं" के बारे में विक्रेताओं से सिफारिशें होती हैं। इसे सख्त करना कहते हैं।
आप इन सिफारिशों के आधार पर अक्सर एक प्रश्नावली (या इसे स्वयं लिखें) पा सकते हैं, जो आपको यह निर्धारित करने में मदद करेगा कि आपका हार्डवेयर कॉन्फ़िगरेशन इन "सर्वोत्तम प्रथाओं" से कैसे मेल खाता है और परिणाम के अनुसार आपके नेटवर्क में परिवर्तन करता है। यह आपको काफी आसानी से, व्यावहारिक रूप से लागतों के बिना, सुरक्षा जोखिमों को काफी कम करने की अनुमति देगा।
कुछ सिस्को ऑपरेटिंग सिस्टम के लिए कुछ उदाहरण।
सिस्को IOS कॉन्फ़िगरेशन हार्डनिंग
सिस्को IOS-XR कॉन्फ़िगरेशन हार्डनिंग
सिस्को एनएक्स-ओएस कॉन्फ़िगरेशन हार्डनिंग
सिस्को बेसलाइन सुरक्षा जाँच सूची
इन दस्तावेजों के आधार पर, प्रत्येक प्रकार के उपकरणों के लिए कॉन्फ़िगरेशन आवश्यकताओं की एक सूची बनाई जा सकती है। उदाहरण के लिए, सिस्को एन 7 के वीडीसी के लिए, ये आवश्यकताएं इस तरह दिख सकती हैं।
इस प्रकार, आपके नेटवर्क इन्फ्रास्ट्रक्चर के विभिन्न प्रकार के सक्रिय उपकरणों के लिए कॉन्फ़िगरेशन फाइलें बनाई जा सकती हैं। इसके अलावा, मैन्युअल रूप से या स्वचालन का उपयोग करके, आप इन कॉन्फ़िगरेशन फ़ाइलों को "अपलोड" कर सकते हैं। इस प्रक्रिया को स्वचालित करने के लिए ऑर्केस्ट्रेशन और स्वचालन पर लेखों की एक और श्रृंखला में विस्तार से चर्चा की जाएगी।
सुरक्षा ऑडिट डिजाइन
आमतौर पर, एक एंटरप्राइज़ नेटवर्क एक रूप या किसी अन्य में निम्नलिखित सेगमेंट होते हैं:
- डीसी (सार्वजनिक सेवा DMZ और इंट्रानेट डेटा सेंटर)
- इंटरनेट का उपयोग
- रिमोट एक्सेस वीपीएन
- वान धार
- शाखा
- कैम्पस (कार्यालय)
- कोर
इन नामों को
सिस्को सेफ मॉडल से लिया गया है, लेकिन यह आवश्यक नहीं है कि निश्चित रूप से इन नामों को और इस मॉडल को बांधना है। फिर भी, मैं सार के बारे में बात करना चाहता हूं और औपचारिकताओं में नहीं फंसना चाहता।
इनमें से प्रत्येक सेगमेंट के लिए, सुरक्षा के स्तर, जोखिम और आवश्यकताओं के अनुसार, निर्णय अलग-अलग होंगे।
हम उनमें से प्रत्येक के लिए व्यक्तिगत रूप से उन समस्याओं के लिए विचार करेंगे जो आप सुरक्षा डिजाइन के मामले में सामना कर सकते हैं। बेशक, मैं फिर से दोहराता हूं कि किसी भी तरह से यह लेख पूरा होने का दावा नहीं करता है, जो कि वास्तव में गहरे और बहुमुखी विषय को प्राप्त करना आसान नहीं है (यदि संभव हो तो), लेकिन मेरे व्यक्तिगत अनुभव को दर्शाता है।
कोई सही समाधान नहीं है (कम से कम अभी के लिए)। यह हमेशा एक समझौता है। लेकिन यह महत्वपूर्ण है कि इस या उस दृष्टिकोण को लागू करने का निर्णय सचेत रूप से किया जाए, जिसमें इसके पेशेवरों और विपक्ष दोनों की समझ हो।
डेटा सेंटर
सबसे महत्वपूर्ण सुरक्षा खंड।
और, हमेशा की तरह, कोई सार्वभौमिक समाधान भी नहीं है। यह सब नेटवर्क आवश्यकताओं पर निर्भर करता है।
एक फ़ायरवॉल आवश्यक है या नहीं?
ऐसा लगता है कि उत्तर स्पष्ट है, लेकिन सब कुछ इतना स्पष्ट नहीं है जितना कि यह प्रतीत हो सकता है। और आपकी पसंद न केवल
कीमत से प्रभावित हो सकती
है ।
उदाहरण 1. विलंब।
यदि नेटवर्क के कुछ खंडों के बीच कम विलंबता एक आवश्यक आवश्यकता है, जो कि उदाहरण के लिए, विनिमय के मामले में सही है, तो इन खंडों के बीच हम फ़ायरवॉल का उपयोग नहीं कर पाएंगे। फायरवॉल में देरी पर अध्ययन करना मुश्किल है, लेकिन केवल कुछ स्विच मॉडल से कम या लगभग 1 mecec की देरी प्रदान कर सकते हैं, इसलिए मुझे लगता है कि अगर माइक्रोसेकंड आपके लिए महत्वपूर्ण हैं, तो फायरवॉल आपके लिए नहीं हैं।
उदाहरण 2. प्रदर्शन।
शीर्ष एल 3 स्विच की बैंडविड्थ आमतौर पर सबसे उत्पादक फ़ायरवॉल की बैंडविड्थ से अधिक परिमाण का एक क्रम है। इसलिए, उच्च-तीव्रता वाले ट्रैफ़िक के मामले में, आपको सबसे अधिक संभावना इस ट्रैफ़िक को फायरवॉल को बायपास करने की भी होगी।
उदाहरण 3. विश्वसनीयता।
फायरवॉल, विशेष रूप से आधुनिक एनजीएफडब्ल्यू (नेक्स्ट-जेनेरेशन एफडब्ल्यू) जटिल उपकरण हैं। वे L3 / L2 स्विच की तुलना में काफी अधिक जटिल हैं। वे बड़ी संख्या में सेवाएं और कॉन्फ़िगरेशन विकल्प प्रदान करते हैं, इसलिए यह आश्चर्यजनक नहीं है कि उनकी विश्वसनीयता बहुत कम है। यदि नेटवर्क के लिए सेवा की निरंतरता महत्वपूर्ण है, तो आपको यह चुनना होगा कि साधारण एसीएल का उपयोग करके स्विच (या विभिन्न प्रकार के कारखानों) पर निर्मित नेटवर्क की बेहतर उपलब्धता - फ़ायरवॉल सुरक्षा या सादगी क्या होगी।
उपरोक्त उदाहरणों के मामले में, आपको सबसे अधिक संभावना (हमेशा की तरह) एक समझौता खोजना होगा। निम्नलिखित समाधानों की ओर देखें:
- यदि आप डेटा सेंटर के अंदर फायरवॉल का उपयोग नहीं करने का निर्णय लेते हैं, तो आपको यह विचार करने की आवश्यकता है कि परिधि तक पहुंच को कैसे सीमित करें। उदाहरण के लिए, आप इंटरनेट से केवल आवश्यक पोर्ट (क्लाइंट ट्रैफ़िक के लिए) खोल सकते हैं और केवल जम्प होस्ट से डेटा सेंटर तक प्रशासनिक पहुँच प्राप्त कर सकते हैं। जम्प मेजबानों पर, सभी आवश्यक जाँचें करें (प्रमाणीकरण / प्राधिकरण, एंटीवायरस, लॉगिंग, ...)
- आप PSEFABRIC उदाहरण p002 में वर्णित योजना के समान, खंडों में डेटा सेंटर नेटवर्क के तार्किक विभाजन का उपयोग कर सकते हैं। इस मामले में, रूटिंग को कॉन्फ़िगर किया जाना चाहिए ताकि देरी या उच्च-तीव्रता वाले ट्रैफ़िक के प्रति संवेदनशील ट्रैफ़िक "एक सेगमेंट" (p002, VRF-a के मामले में) के अंदर चला जाए और फ़ायरवॉल से न गुजरे। विभिन्न खंडों के बीच यातायात अभी भी फ़ायरवॉल के माध्यम से जाएगा। आप फ़ायरवॉल के माध्यम से पुनर्निर्देशित ट्रैफ़िक से बचने के लिए वीआरएफ के बीच लीक होने वाले मार्ग का भी उपयोग कर सकते हैं।
- आप पारदर्शी मोड में फ़ायरवॉल का उपयोग कर सकते हैं और केवल उन वीएलएएन के लिए जहां ये कारक (देरी / प्रदर्शन) महत्वपूर्ण नहीं हैं। लेकिन आपको प्रत्येक विक्रेता के लिए इस मॉड के उपयोग से जुड़ी सीमाओं का सावधानीपूर्वक अध्ययन करने की आवश्यकता है
- आप एक सेवा श्रृंखला वास्तुकला को लागू करने पर विचार कर सकते हैं। यह आपको फ़ायरवॉल के माध्यम से केवल आवश्यक यातायात को निर्देशित करने की अनुमति देगा। यह सैद्धांतिक रूप से सुंदर दिखता है, लेकिन मैंने उत्पादन में इस समाधान को कभी नहीं देखा है। हमने लगभग 3 साल पहले सिस्को एसीआई / जुनिपर एसआरएक्स / एफ 5 एलटीएम के लिए सेवा श्रृंखला का परीक्षण किया था, लेकिन उस समय यह समाधान हमें "कच्चा" लग रहा था।
संरक्षण स्तर
अब आपको इस सवाल का जवाब देने की आवश्यकता है कि आप ट्रैफ़िक को फ़िल्टर करने के लिए किन उपकरणों का उपयोग करना चाहते हैं। यहाँ कुछ विशेषताएं हैं जो आमतौर पर NGFW में मौजूद हैं (उदाहरण के लिए,
यहाँ ):
- स्टेटफुल फ़ायरवॉलिंग (डिफ़ॉल्ट)
- आवेदन फ़ायरवॉल
- खतरे की रोकथाम (एंटीवायरस, एंटी-स्पाइवेयर और भेद्यता)
- URL फ़िल्टरिंग
- डेटा फ़िल्टरिंग (सामग्री फ़िल्टरिंग)
- फ़ाइल अवरुद्ध (फ़ाइल प्रकार अवरुद्ध)
- डॉस सुरक्षा
और यह भी नहीं कि सब कुछ स्पष्ट है। ऐसा लगता है कि सुरक्षा का स्तर जितना अधिक होगा, उतना बेहतर होगा। लेकिन आपको उस पर भी विचार करने की आवश्यकता है
- उपरोक्त फ़ायरवॉल फ़ंक्शंस का अधिक उपयोग, स्वाभाविक रूप से यह अधिक महंगा होगा (लाइसेंस, अतिरिक्त मॉड्यूल)
- कुछ एल्गोरिदम का उपयोग फ़ायरवॉल के थ्रूपुट को कम कर सकता है, साथ ही देरी को बढ़ा सकता है, उदाहरण के लिए यहां देखें
- किसी भी जटिल समाधान की तरह, जटिल सुरक्षा विधियों का उपयोग आपके समाधान की विश्वसनीयता को कम कर सकता है, उदाहरण के लिए, जब अनुप्रयोग फ़ायरवॉल का उपयोग करते हुए मैं कुछ काफी मानक कामकाजी अनुप्रयोगों (डीएनएस, एसएमबी) को अवरुद्ध करने के लिए आया था
हमेशा की तरह, आपको अपने नेटवर्क के लिए सबसे अच्छा समाधान खोजने की आवश्यकता है।
इस सवाल का स्पष्ट रूप से जवाब देना असंभव है कि सुरक्षा कार्यों की आवश्यकता क्या हो सकती है। सबसे पहले, क्योंकि यह निश्चित रूप से उस डेटा पर निर्भर करता है जिसे आप स्थानांतरित करते हैं या स्टोर करते हैं और रक्षा करने की कोशिश कर रहे हैं। दूसरे, वास्तव में, अक्सर उपायों की पसंद विक्रेता में विश्वास और विश्वास का विषय है। आप एल्गोरिदम को नहीं जानते हैं, आप नहीं जानते कि वे कितने प्रभावी हैं, और आप उन्हें पूरी तरह से परख नहीं सकते हैं।
इसलिए, महत्वपूर्ण सेगमेंट में, विभिन्न कंपनियों के ऑफ़र का उपयोग करने के लिए एक अच्छा समाधान हो सकता है। उदाहरण के लिए, आप एंटीवायरस को फ़ायरवॉल पर सक्षम कर सकते हैं, लेकिन होस्ट पर स्थानीय रूप से एंटीवायरस सुरक्षा (किसी अन्य निर्माता से) का भी उपयोग कर सकते हैं।
विभाजन
यह डेटा सेंटर नेटवर्क का एक तार्किक विभाजन है। उदाहरण के लिए, वीएलएएन और सबनेट में विभाजन भी तार्किक विभाजन है, लेकिन हम इसकी स्पष्टता के कारण इस पर विचार नहीं करेंगे। खंडन एफडब्ल्यू सुरक्षा क्षेत्रों, वीआरएफ (और विभिन्न विक्रेताओं के संबंध में उनके एनालॉग्स), तार्किक उपकरणों (पीए VSYS, सिस्को एन 7 के वीडीसी, सिस्को एसीआई टेनेंट, ...) के रूप में ऐसी संस्थाओं को ध्यान में रखते हुए दिलचस्प है।
इस तरह के तार्किक विभाजन और वर्तमान में आवश्यक डेटा सेंटर डिज़ाइन का एक उदाहरण PSEFABRIC परियोजना के p002 में दिया गया है।
अपने नेटवर्क के तार्किक भागों को परिभाषित करने के बाद, आप आगे बता सकते हैं कि विभिन्न खंडों के बीच ट्रैफ़िक कैसे चलता है, जिस पर फ़िल्टरिंग करने वाले उपकरण और किस माध्यम से प्रदर्शन किया जाएगा।
यदि आपके नेटवर्क में स्पष्ट तार्किक विभाजन नहीं है और विभिन्न डेटा फ़्लो के लिए सुरक्षा नीतियों को लागू करने के नियम औपचारिक नहीं हैं, तो इसका मतलब है कि जब आप एक या किसी अन्य एक्सेस को खोलते हैं, तो आप इस समस्या को हल करने के लिए मजबूर होते हैं, और उच्च संभावना के साथ आप हर बार हल करेंगे। अलग-अलग तरीकों से।
अक्सर विभाजन केवल एफडब्ल्यू सुरक्षा क्षेत्रों पर आधारित होता है। फिर आपको निम्नलिखित प्रश्नों के उत्तर देने की आवश्यकता है:
- आपको किन सुरक्षा क्षेत्रों की आवश्यकता है
- आप इनमें से प्रत्येक क्षेत्र में किस स्तर की सुरक्षा चाहते हैं
- क्या डिफ़ॉल्ट रूप से इंट्रा-ज़ोन ट्रैफ़िक की अनुमति होगी
- यदि नहीं, तो प्रत्येक ज़ोन के भीतर ट्रैफ़िक फ़िल्टरिंग नीतियाँ क्या लागू की जाएंगी
- जोनों की प्रत्येक जोड़ी (स्रोत / गंतव्य) के लिए कौन सी ट्रैफ़िक फ़िल्टरिंग नीतियाँ लागू की जाएंगी
TCAM
अक्सर रूटिंग और एक्सेस दोनों के लिए अपर्याप्त टीसीएएम (टर्नरी कंटेंट एड्रेसेबल मेमोरी) की समस्या होती है। IMHO, यह उपकरण चुनते समय सबसे महत्वपूर्ण मुद्दों में से एक है, इसलिए आपको इस समस्या का उचित डिग्री के साथ इलाज करने की आवश्यकता है।
उदाहरण 1. अग्रेषण तालिका TCAM।
चलो पालो अल्टो 7k फ़ायरवॉल को देखें।
हम देखते हैं कि IPv4 अग्रेषण तालिका आकार * = 32K है
इसी समय, मार्गों की यह संख्या सभी VSYS के लिए आम है।
मान लीजिए कि आप अपने डिजाइन के अनुसार 4 VSYS का उपयोग करने का निर्णय लेते हैं।
इनमें से प्रत्येक बीजीपीएस वीएसवाईएस दो एमपीएलएस बादल पीई से जुड़ा है जिसे आप बीबी के रूप में उपयोग करते हैं। इस प्रकार, 4 VSYSs एक दूसरे के साथ सभी विशिष्ट मार्गों का आदान-प्रदान करते हैं और मार्गों के लगभग एक ही सेट (लेकिन अलग-अलग NHs) के साथ एक अग्रेषण तालिका होती है। क्योंकि प्रत्येक VSYS में 2 बीजीपी सत्र (एक ही सेटिंग के साथ) हैं, फिर एमपीएलएस के माध्यम से प्राप्त प्रत्येक मार्ग में 2 एनएच और, तदनुसार, अग्रेषण तालिका में 2 एफआईबी प्रविष्टियां हैं। यदि हम मानते हैं कि यह डेटा सेंटर का एकमात्र फ़ायरवॉल है और इसे सभी मार्गों के बारे में पता होना चाहिए, तो इसका मतलब यह होगा कि हमारे डेटा सेंटर में मार्गों की कुल संख्या 32K / (4 * 2) = 4K से अधिक नहीं हो सकती है।
अब, यदि हम मानते हैं कि हमारे पास 2 डेटा केंद्र हैं (एक ही डिज़ाइन के साथ), और हम डेटा केंद्रों (उदाहरण के लिए, vMotion) के बीच वीएलएएन "स्ट्रेच्ड" का उपयोग करना चाहते हैं, तो रूटिंग समस्या को हल करने के लिए, हमें उपयोग करना चाहिए मेजबान मार्ग, लेकिन इसका मतलब है कि 2 डेटा केंद्रों के लिए हमारे पास 4096 से अधिक संभव मेजबान नहीं होंगे और निश्चित रूप से, यह पर्याप्त नहीं हो सकता है।
उदाहरण 2. एसीएल टीसीएएम।
यदि आप L3 स्विच (या L3 स्विच का उपयोग करके अन्य समाधान, उदाहरण के लिए, सिस्को ACI) पर ट्रैफ़िक फ़िल्टर करने की योजना बनाते हैं, तो आपको उपकरण चुनते समय TCAM ACL पर ध्यान देना चाहिए।
मान लीजिए कि आप सिस्को उत्प्रेरक 4500 के एसवीआई इंटरफेस पर पहुंच को नियंत्रित करना चाहते हैं। फिर, जैसा कि आप इस लेख से देख सकते हैं, इंटरफेस पर आउटगोइंग (साथ ही आने वाली) ट्रैफिक को नियंत्रित करने के लिए आप टीसीएएम की केवल 4096 लाइनों का उपयोग कर सकते हैं। क्या है जब TCAM3 का उपयोग करने से आपको लगभग 4000 हजार ACE (ACL लाइनें) मिलेंगी।
यदि आपको अपर्याप्त टीसीएएम की समस्या का सामना करना पड़ रहा है, तो, सबसे पहले, निश्चित रूप से, आपको अनुकूलन की संभावना पर विचार करने की आवश्यकता है। तो, अग्रेषण तालिका के आकार के साथ एक समस्या के मामले में, आपको मार्गों को एकत्र करने की संभावना पर विचार करने की आवश्यकता है। एक्सेस के लिए टीसीएएम आकार के साथ एक समस्या के मामले में - एक्सेस की ऑडिट, अप्रचलित और ओवरलैपिंग रिकॉर्ड को हटाने, साथ ही, संभवतः, एक्सेस खोलने के लिए प्रक्रिया का पुनरीक्षण (यह एक्सेस एक्सेस पर अध्याय में विस्तार से चर्चा की जाएगी)।
उच्च उपलब्धता
सवाल यह है कि क्या फायरवॉल के लिए एचए का उपयोग करना है या दो स्वतंत्र बक्से "समानांतर में" रखना है और उनमें से एक के दुर्घटनाग्रस्त होने के बाद, दूसरा यातायात के माध्यम से?
ऐसा लगता है कि उत्तर स्पष्ट है - हा का उपयोग करें। यही कारण है कि यह सवाल अभी भी उठता है, दुर्भाग्य से, सैद्धांतिक और विज्ञापन 99 और अभ्यास में प्रतिशतता के प्रतिशत के दशमलव बिंदु के बाद कुछ नाइन बहुत कम गुलाबी हो जाते हैं। हा तार्किक रूप से जटिल चीज है, और विभिन्न उपकरणों पर, और विभिन्न विक्रेताओं के साथ (कोई अपवाद नहीं थे), हमने समस्याओं और बगों और सेवा को बंद कर दिया।
हा का उपयोग करने के मामले में, आप अलग-अलग नोड्स को बंद करने में सक्षम होंगे, सेवा को रोकने के बिना उनके बीच स्विच करें, जो महत्वपूर्ण है, उदाहरण के लिए, जब उन्नयन हो, लेकिन आपके पास कोई भी शून्य मौका नहीं है कि दोनों नोड एक ही समय में टूट जाएंगे, और यह भी कि अगला उन्नयन सुचारू रूप से नहीं जाएगा क्योंकि विक्रेता वादे करता है (यदि प्रयोगशाला उपकरणों पर उन्नयन का परीक्षण करने का अवसर है तो इस समस्या से बचा जा सकता है)।
यदि आप हा का उपयोग नहीं करते हैं, तो दोहरे नुकसान के दृष्टिकोण से आपके जोखिम बहुत कम हैं (क्योंकि आपके पास 2 स्वतंत्र फायरवॉल हैं), लेकिन क्योंकि चूंकि सत्र सिंक्रनाइज़ नहीं हैं, तो हर बार जब इन फायरवॉल के बीच स्विच होता है, तो आप ट्रैफ़िक खो देंगे। आप निश्चित रूप से, स्टेटलेस फ़ायरवॉलिंग का उपयोग कर सकते हैं, लेकिन फिर फ़ायरवॉल का उपयोग करने का अर्थ काफी हद तक खो जाता है।
इसलिए, यदि एक ऑडिट के परिणामस्वरूप आप अकेला फायरवॉल पाते हैं, और आप अपने नेटवर्क की विश्वसनीयता बढ़ाने के बारे में सोचते हैं, तो एचए, बेशक, अनुशंसित समाधानों में से एक है, लेकिन आपको इस दृष्टिकोण से जुड़े नुकसानों को ध्यान में रखना चाहिए, शायद, बस आपके लिए। एक और समाधान अधिक उपयुक्त होगा।
प्रबंधन में सुविधा (प्रबंधनीयता)
सिद्धांत रूप में, एचए भी प्रबंधनीयता के बारे में है। व्यक्तिगत रूप से 2 बक्से को कॉन्फ़िगर करने और कॉन्फ़िगरेशन को सिंक्रनाइज़ करने की समस्या को हल करने के बजाय, आप उन्हें कई तरीकों से प्रबंधित करते हैं जैसे कि आपके पास एक डिवाइस है।
लेकिन शायद आपके पास कई डेटा सेंटर और कई फायरवॉल हैं, तो यह सवाल एक नए स्तर तक बढ़ जाता है। और सवाल केवल कॉन्फ़िगरेशन के बारे में नहीं है, बल्कि इसके बारे में भी है
- बैकअप कॉन्फ़िगरेशन
- अद्यतन
- उन्नयन
- निगरानी
- लॉगिंग
और यह सब केंद्रीकृत प्रबंधन प्रणालियों द्वारा हल किया जा सकता है।
इसलिए, उदाहरण के लिए, यदि आप पालो अल्टो फायरवॉल का उपयोग करते हैं, तो पैनोरमा एक ऐसा समाधान है।
जारी रखा जाए।