- حد كان بيستفسر وبيقولي ايه الفايده لما الـــ Firewall يشتغل Internally بين الــ VLANs ؟؟
بص يا سيدي .....
الخطر الداخلي اكبر من الخطر الخارجي.
بمعني ان الــ Users مش بيجي منهم غير القرف والمشاكل.
وبالتالي انت محتاج Firewall في النص بين الــ VLANS علشان نحقق الاتي:
- مش كل الــ Users او كل الــ VLANs هتكلم كل الــ Servers
- والترافك الي بين الــ Servers and Users مش هيكون Any لا دا احنا هنحدد ترافك معين بين الــ Servers and Users
تمام خلينا نمسك اول نقطه
------------------------
مش كل الــ Users هتكلم كل الــ Servers:
في اوقات VLANs معينه مش بتكلم Servers معينه يعني مثلا علي سبيل المثال
الــ HR Servers or Finance Servers مش كل الــ VLANs بتكلمها
يعني الناس بتوع الــ (HR (HR VLAN هم بس الي هيكلمو الــ HR Servers
والناس بتعو الــ (Finance ( Finance VLAN هم بس الي هيكلمو الــ Finance Servers
وبالتالي مفيش داعي يكون في اساسا Traffic مفتوح بين الــ Internals Zones كلها وبين الــ Servers دي.
والترافك الي بين الــ Servers and Users مش هيكون Any لا دا احنا هنحدد ترافك معين بين الــ Servers and Users
|| ديما خلي عندك قاعده انا هديك علي قد ما انت محتاج ||
يعني زي ما انت محددلهم ترافك معين يخرجو بيه علي الانترنت حددلهم ترافك معين يكلمو بيه الــ Servers.
هنحددلهم ترافك معين عن طريق الــ Application Control or Service
والافضل طبعا لو الفايرول بيقدر يعملها استخدم وانت مغمض Applications
يعني مثلا:
كل الناس محتاجه تكلم الــ Domain Controllers علشان حاجات كتير كلنا طبعا عارفنها فهحددلو الترافك الي محتاجو فقط يعني هسمح للناس انها تكلم الــ DC بالترافك الاتي:
• DNS
• DHCP
• Active Directory
• Kerberos
• LDAP
• SMB
• Netlogon
• NTP
• Netbois
• MSRPC
• Ping
وشكرااااا
لو عندك Exchange Servers نفس الكلام
الــ User علشان يقدر يــ Access الــ Mailbox بتاعه لازم يكلم الــ CAS
معني كده هنا هنحدد الترافك بين
Internals Zone and CAS Servers or CAS Array
وتقولو لو اي حد من الــ Internals عايز يكلم الــ CAS Servers هيكلمو بالترافك الاتي دا في حاله عندك Exchange 2013:
• SMTP
• HTTPS or SSL
• HTTP or Web browsing
• Ping
وشكراااا
لو عندك File Servers حددلهم الاتي فقط:
• SMBv2
• Ping
لو عندك SCCM حدد للــ User الترافك الي محتاج يتكلم بيه مع الــ SCCM
لو عندكShare Point Server حدد للــ User الترافك الي محتاج يتكلم بيه مع الــ Share Point
لو عندك Antivirus Server حدد للــ User الترافك الي محتاج يتكلم بيه مع الــ Antivirus Server
لو حتي عندك Printers and Scanners حدد للــ User الترافك الي محتاج يتكلم بيه مع الــ Printers and Scanners
لو عندك برامج محاسبه برامج HR برامج العفريت حدد للــ User الترافك الي محتاج يتكلم بيه مع العفريت بلاش Any قفل علي قد ما تقدر وبلاش Any.
وكمان طبق علي كل الــ Rules دي Antivurs Profiles and IPS Profiles علشان تبقي مطمن والشبكه تكون في قبضه يدك
بص يا سيدي .....
الخطر الداخلي اكبر من الخطر الخارجي.
بمعني ان الــ Users مش بيجي منهم غير القرف والمشاكل.
وبالتالي انت محتاج Firewall في النص بين الــ VLANS علشان نحقق الاتي:
- مش كل الــ Users او كل الــ VLANs هتكلم كل الــ Servers
- والترافك الي بين الــ Servers and Users مش هيكون Any لا دا احنا هنحدد ترافك معين بين الــ Servers and Users
تمام خلينا نمسك اول نقطه
------------------------
مش كل الــ Users هتكلم كل الــ Servers:
في اوقات VLANs معينه مش بتكلم Servers معينه يعني مثلا علي سبيل المثال
الــ HR Servers or Finance Servers مش كل الــ VLANs بتكلمها
يعني الناس بتوع الــ (HR (HR VLAN هم بس الي هيكلمو الــ HR Servers
والناس بتعو الــ (Finance ( Finance VLAN هم بس الي هيكلمو الــ Finance Servers
وبالتالي مفيش داعي يكون في اساسا Traffic مفتوح بين الــ Internals Zones كلها وبين الــ Servers دي.
والترافك الي بين الــ Servers and Users مش هيكون Any لا دا احنا هنحدد ترافك معين بين الــ Servers and Users
|| ديما خلي عندك قاعده انا هديك علي قد ما انت محتاج ||
يعني زي ما انت محددلهم ترافك معين يخرجو بيه علي الانترنت حددلهم ترافك معين يكلمو بيه الــ Servers.
هنحددلهم ترافك معين عن طريق الــ Application Control or Service
والافضل طبعا لو الفايرول بيقدر يعملها استخدم وانت مغمض Applications
يعني مثلا:
كل الناس محتاجه تكلم الــ Domain Controllers علشان حاجات كتير كلنا طبعا عارفنها فهحددلو الترافك الي محتاجو فقط يعني هسمح للناس انها تكلم الــ DC بالترافك الاتي:
• DNS
• DHCP
• Active Directory
• Kerberos
• LDAP
• SMB
• Netlogon
• NTP
• Netbois
• MSRPC
• Ping
وشكرااااا
لو عندك Exchange Servers نفس الكلام
الــ User علشان يقدر يــ Access الــ Mailbox بتاعه لازم يكلم الــ CAS
معني كده هنا هنحدد الترافك بين
Internals Zone and CAS Servers or CAS Array
وتقولو لو اي حد من الــ Internals عايز يكلم الــ CAS Servers هيكلمو بالترافك الاتي دا في حاله عندك Exchange 2013:
• SMTP
• HTTPS or SSL
• HTTP or Web browsing
• Ping
وشكراااا
لو عندك File Servers حددلهم الاتي فقط:
• SMBv2
• Ping
لو عندك SCCM حدد للــ User الترافك الي محتاج يتكلم بيه مع الــ SCCM
لو عندكShare Point Server حدد للــ User الترافك الي محتاج يتكلم بيه مع الــ Share Point
لو عندك Antivirus Server حدد للــ User الترافك الي محتاج يتكلم بيه مع الــ Antivirus Server
لو حتي عندك Printers and Scanners حدد للــ User الترافك الي محتاج يتكلم بيه مع الــ Printers and Scanners
لو عندك برامج محاسبه برامج HR برامج العفريت حدد للــ User الترافك الي محتاج يتكلم بيه مع العفريت بلاش Any قفل علي قد ما تقدر وبلاش Any.
وكمان طبق علي كل الــ Rules دي Antivurs Profiles and IPS Profiles علشان تبقي مطمن والشبكه تكون في قبضه يدك
من م\محمد توفيق
No comments:
Post a Comment