Как стать автором
Обновить

Комментарии 18

Наш код скрипта преобразования требований заказчика в сетевые правила пошёл между нашими же инженерами по руками — прикольная штука, экономит время.
Поэтому не стали выкладывать в общий доступ? Или там нет ничего интересного для общественности и это исключительно узкоспециализированный скрипт?
Да, узкоспециализированный
У меня как раз PA3020 =) так что было бы полезно
Какова интенсивность потока жалоб на неработающую сеть или недоступные сервисы была в первые недели после переключения?
За месяц после ввода в эксплуатацию – 2 обращения, но оба были по поводу трафика, который не должен иметь место по соображениям безопасности, поэтому решением было не включать их трафик (samba)
O_o
Очень впечатляющий результат.)
Судя по таблице вы использовали классический подход к фаерволу и сделали правила по подсетям. (поправьте если ошибаюсь)
Если уж вы выбрали ролевую систему разделения, то не совсем понятно почему использовали правила по сетям.
При таком раскладе можно включить USER-ID, разделить пользователей на группы и фильтровать на уровне приложения.
Отрядить безопасников чтобы отсекли лишние приложения (которых тонны, я уверен), тогда и конфиг распухать не будет.
Я думаю они были бы безмерно счастливы.
Напомню, что изначально проект направлен на сегментацию сети, то есть людей разнесли по сетям в соответствии с их ролями.
Далее правила, да, были настроены по подсетям (уже новым) – это было требование заказчика для оперативного внедрения МСЭ в сеть. В ходе работ мы также внедрили сервер PaloAlto User Agent и интегрировали PaloAlto с AD. После этого мы выдали рекомендации заказчику в будущем перейти от системы правил по подсетям к системе правил по пользователям и группам пользователей, для этого мы провели демонстрацию как это делать.
Так а почему все таки не стали использовать самую вкусную фичу пало альто и по сути его основной функционал? Я имею ввиду App-ID?
А сегментирование атомарно производится посредством dot1x vlan assigment, или как то иначе? Выходит вы dot1x внедрили?
Нет. Не совсем понял откуда такой вывод. Было получено штатное расписание от отдела кадров и совместно с безопасниками были определены сети для каждой группы в штатном расписании (до этого был один большой сегмент под названием «пользователи»), на коммутаторах были созданы VLANs, на PaloAlto были созданы сети и привязаны к этим VLANs. Далее правила создавались по этим новым сетям.
Т.е. VLAN-ы на портах доступа коммутаторов прописывались вручную? И информация по размещению пользователей по портам тоже вручную собиралась? Или вы опять хитрый скрипт сделали с выгрузкой? Задача то трудоемкая и не тривиальная, если не решать в лоб. А про нее ничего не написали)
Подозреваю речь идет об аналогии продукта типа Cisco ISE или Huawei Agile Controller, но межсетевой экран этими функциями не обладает (да и не должен). На текущий момент VLANs статично прописаны на портах (благо у Заказчика была информация по портам и пользователям). Цели проекта в нашем случае были жестко регламентированы Заказчиком – сегментировать сеть (разнести пользователей по группам) на имеющемся оборудовании (у них нет ни ISE, ни Agile Controller) и обеспечить максимальный контроль трафика между сегментами сети в сжатые сроки (ограничиваясь фильтрацией на уровне IP-адресов).
кстати да, а почему не dot1x + VTP? в моновендорной сети сэкономит кучу времени и нервов
Тут все очень просто – есть ТЗ от Заказчика и есть Исполнитель, который обязуется выполнить работы по данному ТЗ. Доп. работы ведут к увеличению стоимости работ и Заказчик сам определяет для себя минимально необходимый объем работ для решения поставленной задачи. Если начать внедрять технологии, которые в ТЗ не прописаны, и они вдруг приведут к недопустимому простою, то виноват будет Исполнитель. Кроме того, Заказчик прекрасно осведомлен о таких возможностях в ходе наших бесед, и сказал что запомнит эту информацию до момента, когда приоритеты задач и бюджет позволят рассмотреть внедрение таких технологий.
Спасибо за развернутый ответ. На самом деле, было странно, что этого там еще нет… а офисный доступ на чем? Cisco? или «солянка сборная, мясная»?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.