Байгууллагын сүлжээний функц Виртуалчлалын дэд бүтцийн програм хангамж
Бүтээгдэхүүний мэдээлэл
Үзүүлэлтүүд
- NFVIS програм хангамжийн хувилбар: 3.7.1 ба түүнээс дээш
- RPM гарын үсэг зурах, гарын үсгийн баталгаажуулалтыг дэмждэг
- Аюулгүй ачаалах боломжтой (өгөгдмөлөөр идэвхгүй)
- Secure Unique Device Identification (SUDI) механизмыг ашигласан
Аюулгүй байдлын талаар анхаарах зүйлс
NFVIS програм хангамж нь янз бүрийн аргаар аюулгүй байдлыг хангадаг
механизмууд:
- Зураг Тamper Хамгаалалт: RPM гарын үсэг зурах, гарын үсгийн баталгаажуулалт
ISO дахь бүх RPM багцуудад зориулж, зургийг шинэчлэх. - RPM гарын үсэг зурах: Cisco Enterprise NFVIS ISO дахь бүх RPM багцууд
болон шинэчлэх зураг нь криптографийн бүрэн бүтэн байдлыг хангахын тулд гарын үсэг зурсан ба
жинхэнэ байдал. - RPM гарын үсгийн баталгаажуулалт: Бүх RPM багцын гарын үсэг байна
суулгах эсвэл шинэчлэхээс өмнө баталгаажуулсан. - Зургийн бүрэн бүтэн байдлыг баталгаажуулах: Cisco NFVIS ISO дүрсний хэш
болон нэмэлт бүрэн бүтэн байдлыг хангахын тулд шинэчлэх зургийг нийтэлсэн
эргэлтийн бус files. - ENCS Secure Boot: UEFI стандартын нэг хэсэг нь
төхөөрөмжийг зөвхөн итгэмжлэгдсэн програм хангамж ашиглан ачаална. - Secure Unique Device Identification (SUDI): Төхөөрөмжийг хангана
түүний жинхэнэ эсэхийг шалгахын тулд хувиршгүй таних тэмдэгтэй.
Суурилуулалт
NFVIS програм хангамжийг суулгахын тулд дараах алхмуудыг дагана уу.
- Програм хангамжийн зураг t биш байгаа эсэхийг шалгаарайampхамт бичсэн
гарын үсэг, бүрэн бүтэн байдлыг баталгаажуулах. - Хэрэв Cisco Enterprise NFVIS 3.7.1 болон түүнээс хойшхи хувилбарыг ашиглаж байгаа бол үүнийг баталгаажуулна уу
Суулгах явцад гарын үсгийн баталгаажуулалт дамждаг. Хэрэв бүтэлгүйтвэл,
суулгацыг зогсоох болно. - Хэрэв Cisco Enterprise NFVIS 3.6.x хувилбарыг хувилбар болгон шинэчилж байгаа бол
3.7.1, RPM гарын үсгийг шинэчлэх явцад баталгаажуулна. Хэрэв
гарын үсгийн баталгаажуулалт амжилтгүй болсон, алдаа бүртгэгдсэн боловч шинэчлэлт хийгдсэн
дууссан. - Хэрэв 3.7.1 хувилбарыг дараагийн хувилбарууд руу шинэчлэх бол RPM
Шинэчлэгдсэн зургийг бүртгэх үед гарын үсгийг баталгаажуулна. Хэрэв
гарын үсгийн баталгаажуулалт амжилтгүй болсон, шинэчлэлтийг зогсоосон. - Cisco NFVIS ISO дүрсний хэшийг баталгаажуулах эсвэл дүрсийг шинэчлэх
тушаалыг ашиглан:/usr/bin/sha512sum. Хэшийг нийтлэгдсэнтэй харьцуул
<image_filepath>
бүрэн бүтэн байдлыг хангахын тулд хэш.
Аюулгүй ачаалах
Аюулгүй ачаалах нь ENCS дээр байдаг функц юм (анхдагчаар идэвхгүй)
Энэ нь төхөөрөмжийг зөвхөн итгэмжлэгдсэн програм хангамж ашиглан ачаалах боломжийг олгодог. руу
аюулгүй ачаалахыг идэвхжүүлэх:
- Дэлгэрэнгүйг "Secure Boot of Host"-ын баримтаас үзнэ үү
мэдээлэл. - Аюулгүй ачааллыг идэвхжүүлэхийн тулд өгсөн зааврыг дагана уу
төхөөрөмж.
Аюулгүй өвөрмөц төхөөрөмж таних (SUDI)
SUDI нь NFVIS-д хувиршгүй таних тэмдэг өгч, үүнийг баталгаажуулдаг
Энэ нь жинхэнэ Cisco бүтээгдэхүүн бөгөөд түүнийг дэлхийд хүлээн зөвшөөрөгддөг
хэрэглэгчийн бараа материалын систем.
Түгээмэл асуултууд
А: NFVIS гэж юу вэ?
Х: NFVIS нь Network Function Virtualization гэсэн үгийн товчлол юм
Дэд бүтцийн програм хангамж. Энэ нь суулгахад ашигладаг програм хангамжийн платформ юм
виртуал сүлжээний функцуудыг удирдах.
Асуулт: Би NFVIS ISO дүрсийн бүрэн бүтэн байдлыг хэрхэн шалгах вэ
зургийг шинэчлэх үү?
Х: Бүрэн бүтэн байдлыг шалгахын тулд командыг ашиглана уу
/usr/bin/sha512sum <image_filepath> болон харьцуулах
Cisco-оос гаргасан нийтлэгдсэн хэштэй хэш.
А: ENCS дээр анхдагчаар аюулгүй ачааллыг идэвхжүүлсэн үү?
Хариулт: Үгүй, ENCS дээр аюулгүй ачааллыг анхдагчаар идэвхгүй болгосон. Энэ нь
Сайжруулсан аюулгүй байдлын үүднээс аюулгүй ачаалахыг идэвхжүүлэхийг зөвлөж байна.
А: NFVIS дахь SUDI-ийн зорилго юу вэ?
Х: SUDI нь NFVIS-ийг өвөрмөц, хувиршгүй таних тэмдэгээр хангадаг.
Cisco бүтээгдэхүүний жинхэнэ байдлыг баталгаажуулж, түүнийг хөнгөвчлөх
хэрэглэгчийн бараа материалын системд хүлээн зөвшөөрөх.
Аюулгүй байдлын талаар анхаарах зүйлс
Энэ бүлэгт NFVIS-ийн аюулгүй байдлын онцлогууд болон анхаарах зүйлсийг тайлбарласан болно. Энэ нь өндөр түвшнийг өгдөгview NFVIS-ийн аюулгүй байдалтай холбоотой бүрэлдэхүүн хэсгүүдийн тусламжтайгаар танд тусгайлан байршуулах аюулгүй байдлын стратеги төлөвлөнө. Мөн сүлжээний аюулгүй байдлын үндсэн элементүүдийг хэрэгжүүлэх аюулгүй байдлын шилдэг туршлагын талаарх зөвлөмжүүд байдаг. NFVIS програм хангамж нь суулгацаас эхлээд бүх програм хангамжийн давхаргад аюулгүй байдлыг хангадаг. Дараачийн бүлгүүд нь итгэмжлэлийн удирдлага, бүрэн бүтэн байдал, t.ampхамгаалалт, сессийн удирдлага, төхөөрөмжид аюулгүй нэвтрэх гэх мэт.
· Суурилуулалт, 2-р хуудас · Өвөрмөц төхөөрөмжийн танихыг хамгаалах, 3-р хуудас · Төхөөрөмжийн хандалт, 4-р хуудас
Аюулгүй байдлын талаар анхаарах зүйлс 1
Суурилуулалт
Аюулгүй байдлын талаар анхаарах зүйлс
· Дэд бүтцийн удирдлагын сүлжээ, 22-р хуудас · Орон нутагт хадгалагдсан мэдээллийн хамгаалалт, 23-р хуудас · File Дамжуулах, 24-р хуудас · Бүртгэл, 24-р хуудас · Виртуал машины аюулгүй байдал, 25-р хуудас · VM тусгаарлалт ба нөөцийн бэлтгэл, 26-р хуудас · Аюулгүй хөгжлийн амьдралын мөчлөг, 29-р хуудас
Суурилуулалт
NFVIS програм хангамж нь t биш гэдгийг баталгаажуулахын тулдamp-ийг ашиглан програм хангамжийн дүрсийг суулгахын өмнө дараах механизмуудыг ашиглан баталгаажуулна.
Зураг Тamper Хамгаалалт
NFVIS нь ISO дээрх бүх RPM багцуудад RPM гарын үсэг зурах, гарын үсгийн баталгаажуулалтыг дэмждэг бөгөөд зураг шинэчлэх.
RPM гарын үсэг зурах
Cisco Enterprise NFVIS ISO болон шинэчлэх зураг дээрх бүх RPM багцууд нь криптографийн бүрэн бүтэн байдал, жинхэнэ байдлыг баталгаажуулахын тулд гарын үсэг зурсан. Энэ нь RPM багцууд t байгаагүй гэдгийг баталгаажуулдагampхийгдэж байгаа бөгөөд RPM багцуудыг NFVIS-аас авсан. RPM багцуудад гарын үсэг зурахад ашигладаг хувийн түлхүүрийг Cisco бүтээж, найдвартай хамгаалдаг.
RPM гарын үсгийн баталгаажуулалт
NFVIS програм хангамж нь суулгах эсвэл шинэчлэхээс өмнө бүх RPM багцын гарын үсгийг баталгаажуулдаг. Суулгах эсвэл шинэчлэх явцад гарын үсгийн баталгаажуулалт амжилтгүй болох үед Cisco Enterprise NFVIS-ийн үйлдлийг дараах хүснэгтэд тайлбарласан болно.
Сценари
Тодорхойлолт
Cisco Enterprise NFVIS 3.7.1 болон түүнээс хойшхи суулгацууд Хэрэв Cisco Enterprise NFVIS суулгаж байх үед гарын үсгийн баталгаажуулалт амжилтгүй болвол суулгацыг зогсооно.
Cisco Enterprise NFVIS-ийг 3.6.x хувилбараас 3.7.1 хувилбар болгон шинэчлэх
Шинэчлэлт хийгдэж байх үед RPM гарын үсгийг баталгаажуулна. Хэрэв гарын үсгийн баталгаажуулалт амжилтгүй болвол алдаа бүртгэгдсэн боловч шинэчлэлт дууссан.
Cisco Enterprise NFVIS-ийн хувилбар 3.7.1-ийн шинэчлэлтийг шинэчлэх үед RPM гарын үсгийг баталгаажуулна.
дараагийн хувилбаруудад
зураг бүртгэгдсэн байна. Хэрэв гарын үсгийн баталгаажуулалт амжилтгүй болбол,
шинэчлэлтийг зогсоосон.
Зургийн бүрэн бүтэн байдлыг баталгаажуулах
RPM гарын үсэг зурах болон гарын үсгийн баталгаажуулалтыг зөвхөн Cisco NFVIS ISO болон шинэчилсэн зургуудад байгаа RPM багцуудад хийх боломжтой. Бүх нэмэлт бус RPM-ийн бүрэн бүтэн байдлыг хангах fileCisco NFVIS ISO дүрс дээр байгаа бөгөөд Cisco NFVIS ISO дүрсний хэшийг зургийн хамт нийтэлсэн. Үүний нэгэн адил, Cisco NFVIS-ийн шинэчлэлтийн зургийн хэш нь зургийн хамт нийтлэгддэг. Cisco-ийн хэш гэдгийг баталгаажуулахын тулд
Аюулгүй байдлын талаар анхаарах зүйлс 2
Аюулгүй байдлын талаар анхаарах зүйлс
ENCS Secure Boot
NFVIS ISO дүрс эсвэл шинэчлэх зураг нь Cisco-оос гаргасан хэштэй таарч, дараах тушаалыг ажиллуулж, хэшийг нийтлэгдсэн хэштэй харьцуулна уу:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Аюулгүй ачаалах нь Нэгдсэн Өргөтгөсөн Програм хангамжийн Интерфейсийн (UEFI) стандартын нэг хэсэг бөгөөд төхөөрөмжийг зөвхөн Анхны Тоног Төхөөрөмж Үйлдвэрлэгчийн (OEM) итгэмжлэгдсэн программ хангамжийг ашиглан ачаалахыг баталгаажуулдаг. NFVIS ажиллаж эхлэхэд програм хангамж нь ачаалах програм хангамж болон үйлдлийн системийн гарын үсгийг шалгадаг. Хэрэв гарын үсэг хүчинтэй бол төхөөрөмж ачаалж, програм хангамж нь үйлдлийн системд хяналтыг өгдөг.
Secure boot нь ENCS дээр боломжтой боловч анхдагчаар идэвхгүй байдаг. Cisco танд аюулгүй ачаалахыг идэвхжүүлэхийг зөвлөж байна. Дэлгэрэнгүй мэдээллийг Хостыг аюулгүй ачаалах хэсгээс үзнэ үү.
Аюулгүй өвөрмөц төхөөрөмжийн таних
NFVIS нь Secure Unique Device Identification (SUDI) гэгддэг механизмыг ашигладаг бөгөөд энэ нь түүнийг хувиршгүй таних тэмдэгээр хангадаг. Энэ таних тэмдэг нь тухайн төхөөрөмж нь жинхэнэ Cisco бүтээгдэхүүн мөн эсэхийг шалгах, мөн уг төхөөрөмжийг хэрэглэгчийн бараа материалын системд сайн мэддэг эсэхийг баталгаажуулахад ашиглагддаг.
SUDI нь X.509v3 гэрчилгээ бөгөөд техник хангамжаар хамгаалагдсан холбогдох түлхүүр хос юм. SUDI сертификат нь бүтээгдэхүүний таниулбар болон серийн дугаарыг агуулсан бөгөөд Cisco Public Key Infrastructure-д үндэслэсэн болно. Түлхүүр хос болон SUDI гэрчилгээ нь үйлдвэрлэлийн явцад техник хангамжийн модульд ордог бөгөөд хувийн түлхүүрийг хэзээ ч экспортлох боломжгүй.
SUDI-д суурилсан таних тэмдгийг Zero Touch Provisioning (ZTP) ашиглан баталгаажуулсан, автоматжуулсан тохиргоог хийхэд ашиглаж болно. Энэ нь төхөөрөмжүүдийг найдвартай, алсаас залгах боломжийг олгож, зохион байгуулалтын сервер нь жинхэнэ NFVIS төхөөрөмжтэй ярьж байгаа эсэхийг баталгаажуулдаг. Backend систем нь NFVIS төхөөрөмжид өөрийн таних тэмдэгийг баталгаажуулахын тулд сорилт өгч болох бөгөөд төхөөрөмж нь SUDI-д суурилсан таниулбараа ашиглан сорилтод хариу өгөх болно. Энэ нь арын системд зөвхөн зөв төхөөрөмж зөв байршилд байгаа эсэхийг бараа материалаасаа шалгах боломжийг олгодог төдийгүй зөвхөн тухайн төхөөрөмжөөр нээх боломжтой шифрлэгдсэн тохиргоог хийж, дамжин өнгөрөх үед нууцлалыг хангана.
Дараах ажлын диаграммууд нь NFVIS нь SUDI-г хэрхэн ашигладаг болохыг харуулж байна.
Аюулгүй байдлын талаар анхаарах зүйлс 3
Төхөөрөмжийн хандалт Зураг 1: Plug and Play (PnP) серверийн баталгаажуулалт
Аюулгүй байдлын талаар анхаарах зүйлс
Зураг 2: Залгаад тоглуулах төхөөрөмжийн баталгаажуулалт ба зөвшөөрөл
Төхөөрөмжийн хандалт
NFVIS нь HTTPS, SSH гэх мэт протоколууд дээр суурилсан консол, алсаас хандах зэрэг өөр өөр хандалтын механизмаар хангадаг. Хандалтын механизм бүрийг анхааралтай дахин хийх хэрэгтэйviewed болон тохируулсан. Зөвхөн шаардлагатай хандалтын механизмыг идэвхжүүлж, зөв хамгаалагдсан эсэхийг шалгаарай. NFVIS-д интерактив болон удирдлагын хандалтыг баталгаажуулах гол алхмууд нь төхөөрөмжийн хүртээмжийг хязгаарлах, зөвшөөрөгдсөн хэрэглэгчдийн чадавхийг шаардлагатай зүйлээр хязгаарлах, хандалтын зөвшөөрөгдсөн аргуудыг хязгаарлах явдал юм. NFVIS нь нэвтрэх эрхийг зөвхөн баталгаажуулсан хэрэглэгчдэд олгох бөгөөд тэд зөвхөн зөвшөөрөгдсөн үйлдлүүдийг хийх боломжтой гэдгийг баталгаажуулдаг. Төхөөрөмжийн хандалтыг аудит хийхээр бүртгэсэн бөгөөд NFVIS нь дотоодод хадгалагдсан нууц мэдээллийн нууцлалыг баталгаажуулдаг. NFVIS-д зөвшөөрөлгүй нэвтрэхээс сэргийлэхийн тулд зохих хяналтыг бий болгох нь чухал юм. Дараах хэсгүүдэд үүнд хүрэх шилдэг туршлагууд болон тохиргоонуудыг тайлбарлана.
Аюулгүй байдлын талаар анхаарах зүйлс 4
Аюулгүй байдлын талаар анхаарах зүйлс
Эхний нэвтрэх үед нууц үг солигдоно
Эхний нэвтрэх үед нууц үг солигдоно
Өгөгдмөл итгэмжлэлүүд нь бүтээгдэхүүний аюулгүй байдлын зөрчлийн байнгын эх сурвалж болдог. Үйлчлүүлэгчид системээ халдлагад нээлттэй байлгаж, үндсэн нэвтрэх үнэмлэхээ өөрчлөхөө мартдаг. Үүнээс урьдчилан сэргийлэхийн тулд NFVIS хэрэглэгч анхдагч итгэмжлэлүүдийг (хэрэглэгчийн нэр: админ болон нууц үг Admin123#) ашиглан анх нэвтэрсний дараа нууц үгээ өөрчлөх шаардлагатай болдог. Дэлгэрэнгүй мэдээллийг NFVIS-д хандахыг үзнэ үү.
Нэвтрэх эмзэг байдлыг хязгаарлах
Та дараах функцуудыг ашиглан толь бичиг болон Үйлчилгээнээс татгалзах (DoS) халдлагаас урьдчилан сэргийлэх боломжтой.
Хүчтэй нууц үгийн хэрэгжилт
Баталгаажуулалтын механизм нь итгэмжлэл шигээ хүчтэй байдаг. Ийм учраас хэрэглэгчид хүчтэй нууц үгтэй байх нь чухал юм. NFVIS нь дараах дүрмийн дагуу хүчтэй нууц үг тохируулагдсан эсэхийг шалгадаг: Нууц үг нь дараахь зүйлийг агуулсан байх ёстой.
· Дор хаяж нэг том үсэг · Дор хаяж нэг жижиг үсэг · Дор хаяж нэг тоо · Эдгээр тусгай тэмдэгтүүдийн дор хаяж нэг нь: хэш (#), доогуур зураас (_), зураас (-), од (*) эсвэл асуулт
тэмдэг (?) · Долоон ба түүнээс дээш тэмдэгттэй · Нууц үгийн урт нь 7-128 тэмдэгтийн хооронд байх ёстой.
Нууц үгийн хамгийн бага уртыг тохируулах
Нууц үгийн нарийн төвөгтэй байдал, ялангуяа нууц үгийн уртын дутагдал нь халдагчид хэрэглэгчийн нууц үгийг таахыг оролдох үед хайлтын зайг эрс багасгаж, харгис хэрцгий халдлагыг илүү хялбар болгодог. Админ хэрэглэгч бүх хэрэглэгчийн нууц үгэнд шаардагдах хамгийн бага уртыг тохируулах боломжтой. Хамгийн бага урт нь 7-128 тэмдэгтийн хооронд байх ёстой. Анхдагч байдлаар, нууц үгэнд шаардагдах хамгийн бага уртыг 7 тэмдэгтээр тохируулсан. CLI:
nfvis(config)# rbac нэвтрэлт танилт мин-pwd-урт 9
API:
/api/config/rbac/authentication/min-pwd-length
Нууц үгийн ашиглалтын хугацааг тохируулж байна
Нууц үгийн ашиглалтын хугацаа нь хэрэглэгч нууц үгээ солихоос өмнө хэр удаан ашиглахыг тодорхойлдог.
Аюулгүй байдлын талаар анхаарах зүйлс 5
Өмнөх нууц үгийг дахин ашиглахыг хязгаарлах
Аюулгүй байдлын талаар анхаарах зүйлс
Админ хэрэглэгч бүх хэрэглэгчдэд зориулсан нууц үгийн хамгийн бага ба хамгийн их ашиглалтын хугацааны утгыг тохируулж, эдгээр утгыг шалгах дүрмийг мөрдүүлэх боломжтой. Үндсэн ашиглалтын хамгийн бага утгыг 1 өдөр, өгөгдмөл дээд хэмжээг 60 хоног гэж тохируулсан. Насан туршийн хамгийн бага утгыг тохируулах үед хэрэглэгч заасан хоног өнгөрөх хүртэл нууц үгээ өөрчлөх боломжгүй. Үүний нэгэн адил, хамгийн их насан туршийн утгыг тохируулах үед хэрэглэгч заасан хоног өнгөрөхөөс өмнө нууц үгээ өөрчлөх ёстой. Хэрэв хэрэглэгч нууц үгээ өөрчлөөгүй бөгөөд заасан өдрийн тоо өнгөрсөн бол хэрэглэгч рүү мэдэгдэл илгээнэ.
Тэмдэглэл: Насан туршийн хамгийн бага ба дээд утгууд болон эдгээр утгыг шалгах дүрмийг админ хэрэглэгчдэд хэрэглэхгүй.
CLI:
терминалын rbac нэвтрэлт танилтыг тохируулах нууц үг-насан туршдаа хэрэгжүүлэх үнэн хамгийн бага өдөр 2 хамгийн их өдөр 30 үйлдэх
API:
/api/config/rbac/authentication/password-lifetime/
Өмнөх нууц үгийг дахин ашиглахыг хязгаарлах
Өмнөх нууц үг ашиглахаас урьдчилан сэргийлэхгүйгээр нууц үгийн хүчинтэй байх хугацаа нь ямар ч ашиггүй тул хэрэглэгчид зүгээр л нууц үгээ сольж, дараа нь буцааж эх болгон өөрчлөх боломжтой. NFVIS нь шинэ нууц үг нь өмнө нь ашиглагдаж байсан 5 нууц үгтэй ижил биш эсэхийг шалгадаг. Энэ дүрмийн нэг үл хамаарах зүйл бол админ хэрэглэгч өмнө нь ашигласан 5 нууц үгийн нэг байсан ч гэсэн нууц үгээ үндсэн нууц үг болгон өөрчилж болно.
Нэвтрэх оролдлогын давтамжийг хязгаарлах
Хэрэв алслагдсан үе тэнгийнхэн хязгааргүй олон удаа нэвтрэх эрхтэй бол тэр нь эцэстээ нэвтрэх эрхээ харгис хүчээр таах боломжтой болно. Нууц үг хэллэгийг таахад хялбар байдаг тул энэ нь нийтлэг халдлага юм. Үе тэнгийнхний нэвтрэх оролдлого хийх хурдыг хязгаарласнаар бид энэ халдлагаас сэргийлж байна. Үйлчилгээнээс татгалзах халдлага үүсгэж болзошгүй эдгээр харгис хүчээр нэвтрэх оролдлогыг шаардлагагүйгээр баталгаажуулахад бид системийн нөөцийг зарцуулахаас зайлсхийдэг. NFVIS нь 5 удаа нэвтрэх оролдлого амжилтгүй болсны дараа хэрэглэгчийн 10 минутын түгжрэлийг хэрэгжүүлдэг.
Идэвхгүй хэрэглэгчийн бүртгэлийг идэвхгүй болгох
Хэрэглэгчийн үйл ажиллагааг хянах, ашиглагдаагүй эсвэл хуучирсан хэрэглэгчийн бүртгэлийг идэвхгүй болгох нь системийг дотоод халдлагаас хамгаалахад тусалдаг. Ашиглагдаагүй дансуудыг эцэст нь устгах хэрэгтэй. Админ хэрэглэгч ашиглагдаагүй хэрэглэгчийн бүртгэлийг идэвхгүй гэж тэмдэглэх дүрмийг хэрэгжүүлж, ашиглагдаагүй хэрэглэгчийн бүртгэл идэвхгүй гэж тэмдэглэгдэх өдрийн тоог тохируулах боломжтой. Идэвхгүй гэж тэмдэглэгдсэний дараа тухайн хэрэглэгч системд нэвтэрч чадахгүй. Хэрэглэгчийг системд нэвтрэхийг зөвшөөрөхийн тулд админ хэрэглэгч хэрэглэгчийн бүртгэлийг идэвхжүүлж болно.
Тэмдэглэл Идэвхгүй байх хугацаа болон идэвхгүй байх хугацааг шалгах дүрмийг админ хэрэглэгчдэд хэрэглэхгүй.
Аюулгүй байдлын талаар анхаарах зүйлс 6
Аюулгүй байдлын талаар анхаарах зүйлс
Идэвхгүй хэрэглэгчийн бүртгэлийг идэвхжүүлж байна
Бүртгэлийн идэвхгүй байдлын хэрэгжилтийг тохируулахын тулд дараах CLI болон API-г ашиглаж болно. CLI:
терминалын rbac нэвтрэлт танилтыг тохируулах-идэвхгүй байдал нь жинхэнэ идэвхгүй байдал-30 хоногийг хэрэгжүүлэх
API:
/api/config/rbac/authentication/account-activity/
Идэвхгүй өдрийн өгөгдмөл утга нь 35 байна.
Идэвхгүй хэрэглэгчийн бүртгэлийг идэвхжүүлэх Админ хэрэглэгч дараах CLI болон API ашиглан идэвхгүй хэрэглэгчийн бүртгэлийг идэвхжүүлж болно: CLI:
терминалын rbac нэвтрэлт танилтыг тохируулах хэрэглэгчид хэрэглэгчийн guest_user commit-ийг идэвхжүүлэх
API:
/api/operations/rbac/authentication/users/user/username/activate
BIOS болон CIMC нууц үгийн тохиргоог хэрэгжүүлэх
Хүснэгт 1: Онцлогын түүхийн хүснэгт
Онцлогын нэр
Мэдээлэл гаргах
BIOS болон CIMC NFVIS 4.7.1 Нууц үгийн тохиргоог хэрэгжүүлэх
Тодорхойлолт
Энэ функц нь хэрэглэгчийг CIMC болон BIOS-ийн анхдагч нууц үгийг өөрчлөхийг шаарддаг.
BIOS болон CIMC нууц үгийн тохиргоог хэрэгжүүлэх хязгаарлалт
· Энэ функцийг зөвхөн Cisco Catalyst 8200 UCPE болон Cisco ENCS 5400 платформ дээр дэмждэг.
· Энэ функцийг зөвхөн NFVIS 4.7.1 болон түүнээс хойшхи хувилбаруудын шинэ суулгац дээр дэмждэг. Хэрэв та NFVIS 4.6.1-ээс NFVIS 4.7.1 рүү шинэчилсэн бол энэ функцийг дэмжихгүй бөгөөд BIOS болон CIMC нууц үгийг тохируулаагүй байсан ч BIOS болон CIMS нууц үгийг дахин тохируулахыг шаардахгүй.
BIOS болон CIMC нууц үгийн тохиргоог хэрэгжүүлэх тухай мэдээлэл
Энэ функц нь NFVIS 4.7.1-ийг шинээр суулгасны дараа BIOS болон CIMC нууц үгийг дахин тохируулах замаар аюулгүй байдлын цоорхойг арилгадаг. CIMC-ийн анхдагч нууц үг нь нууц үг бөгөөд BIOS-ын анхдагч нууц үг нь нууц үг биш юм.
Аюулгүй байдлын цоорхойг арилгахын тулд та BIOS болон CIMC нууц үгийг ENCS 5400-д тохируулах шаардлагатай. NFVIS 4.7.1-ийг шинээр суулгах явцад BIOS болон CIMC нууц үг өөрчлөгдөөгүй хэвээр байгаа бол
Аюулгүй байдлын талаар анхаарах зүйлс 7
Тохиргоо Жишээ ньampBIOS болон CIMC нууц үгийг албадан шинэчлэхэд зориулсан les
Аюулгүй байдлын талаар анхаарах зүйлс
өгөгдмөл нууц үгнүүд, дараа нь BIOS болон CIMC нууц үгийг хоёуланг нь өөрчлөхийг танаас хүсэх болно. Хэрэв тэдгээрийн зөвхөн нэг нь дахин тохируулах шаардлагатай бол зөвхөн тухайн бүрэлдэхүүн хэсгийн нууц үгийг шинэчлэхийг танаас хүсэх болно. Cisco Catalyst 8200 UCPE нь зөвхөн BIOS-ийн нууц үгийг шаарддаг бөгөөд хэрэв тохируулаагүй бол зөвхөн BIOS-ийн нууц үг шинэчлэхийг шаарддаг.
Тэмдэглэл Хэрэв та өмнөх хувилбараасаа NFVIS 4.7.1 буюу түүнээс хойшхи хувилбарууд руу шинэчлэгдсэн бол BIOS болон CIMC нууц үгээ hostaction change-bios-password newpassword эсвэл hostaction change-cimc-password newpassword командуудыг ашиглан өөрчилж болно.
BIOS болон CIMC нууц үгийн талаар дэлгэрэнгүй мэдээллийг BIOS болон CIMC нууц үгээс үзнэ үү.
Тохиргоо Жишээ ньampBIOS болон CIMC нууц үгийг албадан шинэчлэхэд зориулсан les
1. Та NFVIS 4.7.1-ийг суулгахдаа эхлээд админ нууц үгээ шинэчлэх ёстой.
Cisco сүлжээний функцын виртуалчлалын дэд бүтцийн програм хангамж (NFVIS)
NFVIS хувилбар: 99.99.0-1009
Зохиогчийн эрх (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems болон Cisco Systems лого нь Cisco Systems, Inc. ба/эсвэл АНУ болон бусад зарим улс орнуудад түүний салбаруудын бүртгэгдсэн худалдааны тэмдэгнүүд юм.
Энэхүү програм хангамжид агуулагдах зарим бүтээлийн зохиогчийн эрхийг бусад гуравдагч этгээд эзэмшдэг бөгөөд гуравдагч этгээдийн лицензийн гэрээний дагуу ашиглаж, түгээдэг. Энэ програм хангамжийн зарим бүрэлдэхүүн хэсэг нь GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 болон AGPL 3.0-ийн дагуу лицензтэй.
админ 10.24.109.102-аас nfvis дээр ssh ашиглан холбогдсон админ нь үндсэн итгэмжлэлээр нэвтэрсэн байна Дараах шалгуурыг хангасан нууц үг оруулна уу:
1. Дор хаяж нэг жижиг үсэг 2. Дор хаяж нэг том үсэг 3. Дор хаяж нэг тоо 4. # _ – * -аас дор хаяж нэг тусгай тэмдэгт ? 5. Урт нь 7-128 тэмдэгтийн хооронд байх ёстой Нууц үгээ шинэчилнэ үү: Нууц үгээ дахин оруулна уу:
Админ нууц үгийг дахин тохируулж байна
2. Cisco Catalyst 8200 UCPE болон Cisco ENCS 5400 платформ дээр NFVIS 4.7.1 буюу түүнээс хойшхи хувилбаруудыг шинээр суулгахдаа анхдагч BIOS болон CIMC нууц үгийг өөрчлөх шаардлагатай. Хэрэв BIOS болон CIMC нууц үгийг өмнө нь тохируулаагүй бол систем нь Cisco ENCS 5400-ийн BIOS болон CIMC нууц үгийг, зөвхөн Cisco Catalyst 8200 UCPE-ийн BIOS-ын нууц үгийг дахин тохируулахыг танд сануулна.
Шинэ админ нууц үг тохируулагдсан
Дараах шалгуурыг хангасан BIOS-ын нууц үгээ оруулна уу: 1. Дор хаяж нэг жижиг үсэг 2. Дор хаяж нэг том үсэг 3. Дор хаяж нэг тоо 4. #, @ эсвэл _-аас дор хаяж нэг тусгай тэмдэгт 5. Урт нь хоёрын хооронд байх ёстой. 8 ба 20 тэмдэгт 6. Дараах тэмдэгтүүдийн аль нэгийг агуулаагүй байх ёстой (том үсгийн мэдрэмжтэй): bios 7. Эхний тэмдэгт нь # байж болохгүй.
Аюулгүй байдлын талаар анхаарах зүйлс 8
Аюулгүй байдлын талаар анхаарах зүйлс
BIOS болон CIMC нууц үгийг баталгаажуулна уу
BIOS-ын нууц үгийг дахин тохируулна уу : BIOS-ын нууц үгээ дахин оруулна уу : Дараах шалгуурыг хангасан CIMC нууц үгээ оруулна уу:
1. Дор хаяж нэг жижиг тэмдэгт 2. Дор хаяж нэг том үсэг 3. Дор хаяж нэг тоо 4. #, @ эсвэл _-аас дор хаяж нэг тусгай тэмдэгт 5. Урт нь 8-аас 20 тэмдэгтийн хооронд байх ёстой 6. Аль ч тэмдэгт агуулаагүй байх дараах мөрүүд (үсгийн том үсгийн мэдрэмжтэй): админ CIMC нууц үгийг дахин тохируулна уу : CIMC нууц үгээ дахин оруулна уу :
BIOS болон CIMC нууц үгийг баталгаажуулна уу
BIOS болон CIMC нууц үг амжилттай өөрчлөгдсөн эсэхийг шалгахын тулд nfvis_config.log | шоуны бүртгэлийг ашиглана уу. BIOS-г оруулах эсвэл nfvis_config.log | бүртгэлийг харуулах CIMC командуудыг оруулах:
nfvis# логийг харуулах nfvis_config.log | BIOS орно
2021-11-16 15:24:40,102 INFO
[hostaction:/систем/тохиргоо] [] BIOS нууц үг солихамжилттай байна
Та мөн nfvis_config.log-г татаж авах боломжтой file нууц үг амжилттай шинэчлэгдсэн эсэхийг шалгана уу.
Гадаад AAA серверүүдтэй нэгтгэх
Хэрэглэгчид NFVIS-д ssh эсвэл Web UI. Аль ч тохиолдолд хэрэглэгчийг баталгаажуулах шаардлагатай. Өөрөөр хэлбэл, хэрэглэгч нэвтрэхийн тулд нууц үгээ харуулах шаардлагатай.
Хэрэглэгчийг баталгаажуулсны дараа тухайн хэрэглэгчийн гүйцэтгэсэн бүх үйлдлүүд зөвшөөрөлтэй байх шаардлагатай. Өөрөөр хэлбэл, зарим хэрэглэгчдэд тодорхой үүрэг даалгаврыг гүйцэтгэхийг зөвшөөрч болох ч бусад нь зөвшөөрөгдөөгүй. Үүнийг зөвшөөрөл гэж нэрлэдэг.
NFVIS хандалтад AAA-д суурилсан нэвтрэх баталгаажуулалтыг хэрэглэгч тус бүрээр хэрэгжүүлэхийн тулд төвлөрсөн AAA серверийг ашиглахыг зөвлөж байна. NFVIS нь сүлжээний хандалтыг зуучлах зорилгоор RADIUS болон TACACS протоколуудыг дэмждэг. AAA сервер дээр баталгаажуулсан хэрэглэгчдэд хандалтын тусгай шаардлагын дагуу зөвхөн хамгийн бага хандалтын эрхийг олгох ёстой. Энэ нь аюулгүй байдлын хортой болон санамсаргүй тохиолдлуудад өртөхийг багасгадаг.
Гадаад баталгаажуулалтын талаарх дэлгэрэнгүй мэдээллийг RADIUS-г тохируулах болон TACACS+ серверийг тохируулах хэсгээс үзнэ үү.
Гадаад баталгаажуулалтын серверт зориулсан баталгаажуулалтын кэш
Онцлогын нэр
Мэдээлэл гаргах
Гадаад NFVIS 4.5.1 Баталгаажуулалтын серверт зориулсан баталгаажуулалтын кэш
Тодорхойлолт
Энэ функц нь NFVIS портал дээрх OTP-ээр дамжуулан TACACS нэвтрэлт танилтыг дэмждэг.
NFVIS портал нь анхны баталгаажуулалтын дараа бүх API дуудлагад нэг удаагийн нууц үгийг (OTP) ашигладаг. OTP хугацаа дуусмагц API дуудлага амжилтгүй болно. Энэ функц нь NFVIS порталтай TACACS OTP нэвтрэлт танилтыг дэмждэг.
Таныг OTP ашиглан TACACS серверээр дамжуулан баталгаажуулсны дараа NFVIS нь хэрэглэгчийн нэр болон OTP ашиглан хэш оруулгыг үүсгэж, энэ хэш утгыг дотооддоо хадгалдаг. Энэ дотооддоо хадгалагдсан хэш утга байна
Аюулгүй байдлын талаар анхаарах зүйлс 9
Дүрд суурилсан хандалтын хяналт
Аюулгүй байдлын талаар анхаарах зүйлс
дуусах хугацаа stamp түүнтэй холбоотой. Цаг stamp нь 15 минут болох SSH сессийн сул зогсолтын утгатай ижил утгатай байна. Ижил хэрэглэгчийн нэр бүхий дараагийн баталгаажуулалтын бүх хүсэлтийг эхлээд энэ локал хэш утгын эсрэг баталгаажуулна. Хэрэв локал хэштэй баталгаажуулалт амжилтгүй болвол NFVIS энэ хүсэлтийг TACACS серверээр баталгаажуулж, баталгаажуулалт амжилттай болсон үед шинэ хэш оруулгыг үүсгэнэ. Хэрэв хэш оруулга аль хэдийн байгаа бол түүний цаг stamp 15 минут болгож дахин тохируулна.
Хэрэв та портал руу амжилттай нэвтэрсний дараа TACACS серверээс хасагдсан бол NFVIS дахь хэш оруулгын хугацаа дуусах хүртэл порталыг үргэлжлүүлэн ашиглах боломжтой.
Таныг NFVIS порталаас шууд гарах эсвэл сул зогсолтын улмаас гарсан үед портал NFVIS арын хэсэгт хэш оруулгыг арилгахын тулд мэдэгдэхийн тулд шинэ API дууддаг. NFVIS-ийг дахин ачаалж, үйлдвэрийн тохиргоонд дахин тохируулсан эсвэл шинэчилсний дараа баталгаажуулалтын кэш болон түүний бүх оруулгууд арилдаг.
Дүрд суурилсан хандалтын хяналт
Сүлжээний хандалтыг хязгаарлах нь олон ажилтантай, гэрээлэгч ажиллуулдаг эсвэл үйлчлүүлэгч, борлуулагч гэх мэт гуравдагч этгээдэд хандахыг зөвшөөрдөг байгууллагуудад чухал ач холбогдолтой. Ийм нөхцөлд сүлжээний хандалтыг үр дүнтэй хянах нь хэцүү байдаг. Үүний оронд эмзэг өгөгдөл болон чухал програмуудыг хамгаалахын тулд хандах боломжтой зүйлийг хянах нь дээр.
Үүрэгт суурилсан хандалтын хяналт (RBAC) нь аж ахуйн нэгж дэх хувь хүний хэрэглэгчийн үүрэг дээр үндэслэн сүлжээний хандалтыг хязгаарлах арга юм. RBAC нь хэрэглэгчдэд зөвхөн хэрэгцээтэй мэдээлэлд хандах боломжийг олгож, өөрт хамаарахгүй мэдээлэлд хандахаас сэргийлдэг.
Бага эрх мэдэлтэй ажилчид нууц мэдээлэлд хандах, чухал ажил гүйцэтгэх боломжгүй байхын тулд тухайн байгууллагын ажилтны үүргийг олгогдсон зөвшөөрлийг тодорхойлоход ашиглах ёстой.
Дараах хэрэглэгчийн үүрэг, эрхүүдийг NFVIS-д тодорхойлсон
Хэрэглэгчийн үүрэг
Давуу эрх
Админууд
Боломжтой бүх функцийг тохируулах, хэрэглэгчийн үүргийг өөрчлөх зэрэг бүх ажлыг гүйцэтгэх боломжтой. Администратор нь NFVIS-ийн үндсэн суурь дэд бүтцийг устгах боломжгүй. Админ хэрэглэгчийн үүргийг өөрчлөх боломжгүй; Энэ нь үргэлж "администраторууд" байдаг.
Операторууд
VM-г эхлүүлэх, зогсоох боломжтой view бүх мэдээлэл.
Аудиторууд
Тэд хамгийн бага давуу эрхтэй хэрэглэгчид юм. Тэд зөвхөн унших зөвшөөрөлтэй тул ямар ч тохиргоог өөрчлөх боломжгүй.
RBAC-ийн ашиг тус
Байгууллага доторх хүмүүсийн үүрэг дээр үндэслэн шаардлагагүй сүлжээний хандалтыг хязгаарлахын тулд RBAC-ийг ашиглах нь хэд хэдэн давуу талтай бөгөөд үүнд:
· Үйл ажиллагааны үр ашгийг дээшлүүлэх.
RBAC-д урьдчилан тодорхойлсон үүрэг рольтой байх нь зөв эрх бүхий шинэ хэрэглэгчдийг оруулах эсвэл одоо байгаа хэрэглэгчдийнхээ үүргийг өөрчлөхөд хялбар болгодог. Энэ нь мөн хэрэглэгчийн зөвшөөрлийг олгох үед гарч болзошгүй алдааг багасгадаг.
· Дагаж мөрдөх байдлыг сайжруулах.
Аюулгүй байдлын талаар анхаарах зүйлс 10
Аюулгүй байдлын талаар анхаарах зүйлс
Дүрд суурилсан хандалтын хяналт
Байгууллага бүр орон нутгийн, муж улсын болон холбооны дүрэм журмыг дагаж мөрдөх ёстой. Компаниуд ерөнхийдөө нууцлал, нууцлалын талаарх зохицуулалтын болон хууль тогтоомжийн шаардлагыг хангахын тулд RBAC системийг нэвтрүүлэхийг илүүд үздэг, учир нь удирдах албан тушаалтнууд болон мэдээллийн технологийн хэлтэс нь өгөгдөлд хэрхэн нэвтэрч, ашиглахыг илүү үр дүнтэй удирдаж чаддаг. Энэ нь нууц мэдээллийг удирддаг санхүүгийн байгууллагууд болон эрүүл мэндийн компаниудад онцгой ач холбогдолтой юм.
· Зардлыг бууруулах. Хэрэглэгчдэд тодорхой процессууд болон програмуудад хандахыг зөвшөөрөхгүй бол компаниуд сүлжээний зурвасын өргөн, санах ой, хадгалах сан зэрэг нөөцийг хэмнэлттэй эсвэл хэмнэлттэй ашиглах боломжтой.
· Мэдээлэл алдагдуулах, зөрчих эрсдэлийг бууруулна. RBAC-ийг хэрэгжүүлнэ гэдэг нь нууц мэдээлэлд хандах хандалтыг хязгаарлаж, улмаар өгөгдөл зөрчих, мэдээлэл алдагдахаас сэргийлнэ гэсэн үг.
Дүрд суурилсан хандалтын хяналтын хэрэгжилтийн шилдэг туршлагууд · Администраторын хувьд хэрэглэгчдийн жагсаалтыг тодорхойлж, хэрэглэгчдийг урьдчилан тодорхойлсон үүрэгт хуваарилна. Жишээ ньample, "сүлжээний админ" хэрэглэгчийг үүсгэж, "администраторууд" хэрэглэгчийн бүлэгт нэмж болно.
терминалын rbac нэвтрэлт танилтыг тохируулах хэрэглэгчид үүсгэх-хэрэглэгчийн нэр сүлжээний админ нууц үг. Test1_pass үүрэг админуудын гүйцэтгэх үүрэг
Тэмдэглэл Хэрэглэгчийн бүлгүүд эсвэл үүргүүдийг систем үүсгэсэн. Та хэрэглэгчийн бүлгийг үүсгэх эсвэл өөрчлөх боломжгүй. Нууц үгээ солихын тулд глобал тохиргооны горимд хэрэглэгчийн rbac нэвтрэлт танилт хэрэглэгчийн хэрэглэгчийн нууц үг солих командыг ашиглана уу. Хэрэглэгчийн үүргийг өөрчлөхийн тулд глобал тохиргооны горимд rbac authentication users user change-role командыг ашиглана уу.
· Нэвтрэх шаардлагагүй болсон хэрэглэгчдийн бүртгэлийг цуцлах.
rbac нэвтрэлт танилт хэрэглэгчдийг устгах-хэрэглэгчийн нэрийг тохируулах тест1
· Үе үе аудит хийж, үүрэг хариуцлага, тэдэнд томилогдсон ажилчид болон үүрэг тус бүрт зөвшөөрөгдсөн хандалтыг үнэлнэ. Хэрэв хэрэглэгч тодорхой системд шаардлагагүй нэвтэрч байгаа нь тогтоогдвол хэрэглэгчийн үүргийг өөрчил.
Дэлгэрэнгүй мэдээллийг Хэрэглэгчид, үүрэг, баталгаажуулалт хэсгээс үзнэ үү
Мөхлөгт үүрэгт суурилсан хандалтын хяналтыг NFVIS 4.7.1-ээс эхлэн хэсэгчилсэн дүрд суурилсан хандалтын хяналтын функцийг нэвтрүүлсэн. Энэ функц нь VM болон VNF-ийг удирддаг нөөцийн бүлгийн шинэ бодлогыг нэмж, VNF байршуулах үед VNF хандалтыг хянах бүлэгт хэрэглэгчдийг хуваарилах боломжийг олгодог. Дэлгэрэнгүй мэдээллийг Мөхлөгт үүрэгт суурилсан хандалтын хяналтаас үзнэ үү.
Аюулгүй байдлын талаар анхаарах зүйлс 11
Төхөөрөмжийн хүртээмжийг хязгаарлах
Аюулгүй байдлын талаар анхаарах зүйлс
Төхөөрөмжийн хүртээмжийг хязгаарлах
Хэрэглэгчид эдгээр функцийг идэвхжүүлсэн гэдгийг мэдээгүйн улмаас хамгаалалтгүй байсан функцүүдийн эсрэг халдлагад өртөж байсан. Ашиглагдаагүй үйлчилгээнүүд нь үргэлж аюулгүй байдаггүй анхдагч тохиргоотой үлдэх хандлагатай байдаг. Эдгээр үйлчилгээнүүд нь мөн өгөгдмөл нууц үгийг ашиглаж байж магадгүй. Зарим үйлчилгээ нь халдагчид сервер ажиллаж байгаа болон сүлжээг хэрхэн тохируулж байгаа талаарх мэдээлэлд хялбар хандах боломжийг олгодог. Дараах хэсгүүдэд NFVIS ийм аюулгүй байдлын эрсдэлээс хэрхэн зайлсхийдэг талаар тайлбарласан болно.
Довтолгооны векторыг багасгах
Аливаа програм хангамж нь аюулгүй байдлын эмзэг байдлыг агуулж болзошгүй. Илүү их програм хангамж нь халдлага хийх илүү өргөн боломж гэсэн үг. Бүртгүүлэх үед олон нийтэд мэдэгдэж байгаа эмзэг байдал байхгүй байсан ч ирээдүйд эмзэг байдал илрэх эсвэл илчлэх магадлалтай. Ийм нөхцөл байдлаас зайлсхийхийн тулд зөвхөн NFVIS-ийн үйл ажиллагаанд зайлшгүй шаардлагатай програм хангамжийн багцуудыг суулгасан болно. Энэ нь програм хангамжийн эмзэг байдлыг хязгаарлаж, нөөцийн зарцуулалтыг бууруулж, тэдгээр багцад асуудал гарсан тохиолдолд нэмэлт ажлыг багасгахад тусалдаг. NFVIS-д багтсан гуравдагч талын бүх программ хангамж нь Cisco-д төвлөрсөн мэдээллийн санд бүртгэгдсэн тул Cisco компаний түвшинд зохион байгуулалттай хариу үйлдэл хийх боломжтой (Хууль эрх зүй, Аюулгүй байдал гэх мэт). Програм хангамжийн багцууд нь мэдэгдэж байгаа нийтлэг эмзэг байдал ба өртөлтийн (CVEs) хувилбар бүрт үе үе засварлагддаг.
Анхдагчаар зөвхөн чухал портуудыг идэвхжүүлнэ
Зөвхөн NFVIS-ийг тохируулах, удирдахад зайлшгүй шаардлагатай үйлчилгээнүүдийг анхдагчаар ашиглах боломжтой. Энэ нь галт ханыг тохируулах, шаардлагагүй үйлчилгээнд хандахаас татгалзахад шаардагдах хэрэглэгчийн хүчин чармайлтыг арилгана. Анхдагчаар идэвхжсэн цорын ганц үйлчилгээнүүдийг нээсэн портуудын хамт доор жагсаав.
Портыг нээх
Үйлчилгээ
Тодорхойлолт
22/TCP
SSH
NFVIS-д алсын тушаалын мөрөнд нэвтрэх Secure Socket Shell
80/TCP
HTTP
NFVIS портал хандалтын гипертекст дамжуулах протокол. NFVIS-ийн хүлээн авсан бүх HTTP урсгалыг HTTPS-д зориулсан 443 порт руу дахин чиглүүлдэг
443/TCP
HTTPS
NFVIS портал руу аюулгүй нэвтрэхийн тулд Hypertext Transfer Protocol Secure
830/TCP
NETCONF-ssh
SSH дээр сүлжээний тохиргооны протокол (NETCONF)-д зориулж порт нээгдэв. NETCONF нь NFVIS-ийн автомат тохиргоо болон NFVIS-ээс асинхрон үйл явдлын мэдэгдлийг хүлээн авахад хэрэглэгддэг протокол юм.
161/UDP
SNMP
Энгийн сүлжээний удирдлагын протокол (SNMP). NFVIS нь сүлжээг хянах алсын програмуудтай холбогдоход ашигладаг. Дэлгэрэнгүй мэдээллийг SNMP-ийн тухай танилцуулгыг үзнэ үү
Аюулгүй байдлын талаар анхаарах зүйлс 12
Аюулгүй байдлын талаар анхаарах зүйлс
Зөвшөөрөгдсөн үйлчилгээний эрх бүхий сүлжээнд нэвтрэх эрхийг хязгаарлах
Зөвшөөрөгдсөн үйлчилгээний эрх бүхий сүлжээнд нэвтрэх эрхийг хязгаарлах
Зөвхөн эрх бүхий үүсгэн байгуулагчид төхөөрөмжийн удирдлагад хандах оролдлого хийх зөвшөөрөлтэй байх ёстой бөгөөд хандах нь зөвхөн тэдний ашиглах эрхтэй үйлчилгээнд байх ёстой. NFVIS-ийг танигдсан, итгэмжлэгдсэн эх сурвалжууд болон хүлээгдэж буй траффикийн удирдлагад хандах хандалтыг хязгаарлахаар тохируулж болноfileс. Энэ нь зөвшөөрөлгүй хандалт болон бусад халдлагууд болох харгис хүч, толь бичиг, DoS халдлагад өртөх эрсдлийг бууруулдаг.
NFVIS удирдлагын интерфэйсүүдийг шаардлагагүй, хортой урсгалаас хамгаалахын тулд админ хэрэглэгч хүлээн авсан сүлжээний траффикийн хандалтын хяналтын жагсаалт (ACL) үүсгэж болно. Эдгээр ACL нь траффик эх үүсвэрийн IP хаяг/сүлжээ, эдгээр эх сурвалжаас зөвшөөрөгдсөн эсвэл татгалзсан траффикийн төрлийг тодорхойлдог. Эдгээр IP траффик шүүлтүүрийг NFVIS дээрх удирдлагын интерфейс бүрт ашигладаг. Дараах параметрүүдийг IP хүлээн авах хандалтын хяналтын жагсаалтад (ip-receive-acl) тохируулсан болно.
Параметр
Үнэ цэнэ
Тодорхойлолт
Эх сурвалжийн сүлжээ/Сүлжээний маск
Сүлжээ/сүлжээний маск. Жишээ ньample: 0.0.0.0/0
172.39.162.0/24
Энэ талбар нь траффик үүсэх IP хаяг/сүлжээг зааж өгдөг
Үйлчилгээний үйлдэл
https icmp netconf scpd snmp ssh хүлээн авахаас татгалзах
Заасан эх сурвалжаас ирсэн хөдөлгөөний төрөл.
Эх сурвалжийн сүлжээний урсгалд авах арга хэмжээ. Зөвшөөрөхөд шинэ холболт хийх оролдлого хийх болно. Татгалзсан тохиолдолд холболт хийх оролдлогыг хүлээн авахгүй. Хэрэв дүрэм нь HTTPS, NETCONF, SCP, SSH зэрэг TCP-д суурилсан үйлчилгээнд зориулагдсан бол эх сурвалж нь TCP дахин тохируулах (RST) багцыг авах болно. SNMP болон ICMP гэх мэт TCP бус дүрмийн хувьд багцыг хасна. Уналт хийснээр бүх пакетууд нэн даруй унах болно, эх сурвалж руу мэдээлэл илгээгдэхгүй.
Аюулгүй байдлын талаар анхаарах зүйлс 13
Дибаг хийх давуу эрхтэй хандалт
Аюулгүй байдлын талаар анхаарах зүйлс
Параметрийн тэргүүлэх чиглэл
Утга Тоон утга
Тодорхойлолт
Тэргүүлэх нь дүрмийн тушаалыг хэрэгжүүлэхэд ашиглагддаг. Тэргүүлэхийн тулд илүү өндөр тоон утгатай дүрмийг гинжин хэлхээнд нэмж оруулах болно. Хэрэв та дүрмээ өөр нэгийн дараа нэмж оруулахыг хүсвэл эхнийх нь бага ач холбогдол бүхий дугаарыг, дараагийнх нь илүү чухал дугаарыг ашиглана уу.
Дараахь сample тохиргоонууд нь тодорхой хэрэглээний тохиолдлуудад тохируулж болох зарим хувилбаруудыг харуулж байна.
IP хүлээн авах ACL-г тохируулж байна
ACL нь илүү хязгаарлагдмал байх тусам зөвшөөрөлгүй нэвтрэх оролдлогод өртөх нь илүү хязгаарлагдмал байдаг. Гэсэн хэдий ч илүү хязгаарлагдмал ACL нь удирдлагын нэмэлт зардлыг бий болгож, алдааг олж засварлах хандалтад нөлөөлж болно. Тиймээс тэнцвэртэй байдлыг анхаарч үзэх хэрэгтэй. Нэг буулт бол зөвхөн байгууллагын дотоод IP хаяг руу хандах хандалтыг хязгаарлах явдал юм. Үйлчлүүлэгч бүр ACL-ийн хэрэгжилтийг өөрийн аюулгүй байдлын бодлого, эрсдэл, өртөх байдал, түүнийг хүлээн зөвшөөрсөнтэй уялдуулан үнэлэх ёстой.
Дэд сүлжээнээс ssh урсгалаас татгалзах:
nfvis(config)# системийн тохиргоо ip-receive-acl 171.70.63.0/24 үйлчилгээ ssh үйлдэл татгалзах тэргүүлэх чиглэл 1
ACL устгах:
IP-receive-acl-аас оруулгыг устгах үед эх сурвалжийн IP хаяг нь түлхүүр тул тухайн эх сурвалжийн бүх тохиргоо устгагдана. Зөвхөн нэг үйлчилгээг устгахын тулд бусад үйлчилгээг дахин тохируулна уу.
nfvis(config)# системийн тохиргоо байхгүй ip-receive-acl 171.70.63.0/24
Дэлгэрэнгүй мэдээллийг IP хүлээн авах ACL-г тохируулах хэсгээс үзнэ үү
Дибаг хийх давуу эрхтэй хандалт
NFVIS дээрх супер хэрэглэгчийн бүртгэл нь системийн хэмжээнд бүх хязгаарлалтгүй, сөрөг нөлөө үзүүлж болзошгүй өөрчлөлтүүдээс урьдчилан сэргийлэхийн тулд анхдагчаар идэвхгүй болсон бөгөөд NFVIS нь системийн бүрхүүлийг хэрэглэгчдэд үзүүлэхгүй.
Гэсэн хэдий ч NFVIS системийн дибаг хийхэд хэцүү зарим асуудлын хувьд Cisco Техникийн Тусламжийн Төвийн баг (TAC) эсвэл хөгжүүлэлтийн баг нь хэрэглэгчийн NFVIS-д нэвтрэх эрхийг шаардаж магадгүй юм. NFVIS нь Cisco-ийн эрх бүхий ажилтнуудад тухайн төхөөрөмжид дибаг хийх давуу эрхээр хязгаарлагдахын тулд түгжээг тайлах найдвартай дэд бүтэцтэй. Энэ төрлийн интерактив дибаг хийхэд зориулж Линукс бүрхүүлд аюулгүй нэвтрэхийн тулд NFVIS болон Cisco-н засвар үйлчилгээ хийдэг интерактив дибаг хийх серверийн хооронд сорилтын хариу урвалын баталгаажуулалтын механизмыг ашигладаг. Хэрэглэгчийн зөвшөөрлөөр төхөөрөмжид нэвтэрч байгаа эсэхийг шалгахын тулд сорилтын хариу бичихээс гадна админ хэрэглэгчийн нууц үг шаардлагатай.
Интерактив дибаг хийх бүрхүүлд хандах алхамууд:
1. Админ хэрэглэгч энэ далд командыг ашиглан энэ процедурыг эхлүүлнэ.
nfvis# системийн бүрхүүлийн хандалт
Аюулгүй байдлын талаар анхаарах зүйлс 14
Аюулгүй байдлын талаар анхаарах зүйлс
Аюулгүй интерфейс
2. Дэлгэц нь сорилтын мөрийг харуулах болно, жишээ ньampле:
Challenge String (Зөвхөн одоор зураасны хоорондох бүх зүйлийг хуулж авна уу):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco-н гишүүн Cisco-н засвар үйлчилгээ хийдэг Интерактив дибаг хийх сервер дээр Challenge стринг оруулна. Энэ сервер нь Cisco хэрэглэгч бүрхүүлийг ашиглан NFVIS дибаг хийх эрхтэй гэдгийг баталгаажуулж, дараа нь хариултын мөрийг буцаана.
4. Доорх дэлгэцэн дээрх хариултын мөрийг оруулна уу: Бэлэн болсон үед хариултаа оруулна уу:
5. Сануулахад үйлчлүүлэгч админ нууц үгээ оруулах ёстой. 6. Нууц үг хүчинтэй бол та shell-д хандах эрхтэй болно. 7. Хөгжүүлэлт эсвэл TAC баг дибаг хийх ажлыг үргэлжлүүлэхийн тулд бүрхүүлийг ашигладаг. 8. Бүрхүүлийн хандалтаас гарахын тулд Exit гэж бичнэ.
Аюулгүй интерфейс
Диаграммд үзүүлсэн интерфэйсүүдийг ашиглан NFVIS удирдлагын хандалтыг зөвшөөрдөг. Дараах хэсгүүд нь NFVIS-ийн эдгээр интерфэйсүүдийн аюулгүй байдлын шилдэг туршлагуудыг тайлбарладаг.
Консол SSH
Консол порт нь асинхрон цуваа порт бөгөөд анхны тохиргоонд зориулж NFVIS CLI-д холбогдох боломжийг олгодог. Хэрэглэгч NFVIS-д физик хандалт эсвэл терминалын сервер ашиглан алсын зайнаас хандах замаар консол руу нэвтрэх боломжтой. Хэрэв терминалын серверээр дамжуулан консол портын хандалт шаардлагатай бол зөвхөн шаардлагатай эх хаягаас хандахыг зөвшөөрөхийн тулд терминал сервер дээрх хандалтын жагсаалтыг тохируулна уу.
Хэрэглэгчид NFVIS CLI-д SSH-г алсаас нэвтрэх аюулгүй хэрэгсэл болгон ашиглах боломжтой. NFVIS удирдлагын траффикийн бүрэн бүтэн байдал, нууцлал нь удирдаж буй сүлжээний аюулгүй байдалд чухал ач холбогдолтой бөгөөд удирдлагын протоколууд нь сүлжээнд нэвтрэх эсвэл тасалдуулахад ашиглагдаж болох мэдээллийг байнга агуулж байдаг.
Аюулгүй байдлын талаар анхаарах зүйлс 15
CLI сессийн завсарлага
Аюулгүй байдлын талаар анхаарах зүйлс
NFVIS нь SSH хувилбар 2-ыг ашигладаг бөгөөд энэ нь Cisco болон Интернетийн интерактив нэвтрэлтэнд зориулагдсан стандарт протокол бөгөөд Cisco доторх Аюулгүй байдал, Итгэлцлийн байгууллагаас санал болгосон хүчтэй шифрлэлт, хэш, түлхүүр солилцооны алгоритмуудыг дэмждэг.
CLI сессийн завсарлага
SSH-ээр нэвтэрснээр хэрэглэгч NFVIS-тэй сесс үүсгэнэ. Хэрэглэгч нэвтэрсэн үед тухайн хэрэглэгч нэвтэрсэн сессийг хараа хяналтгүй орхивол сүлжээг аюулгүй байдлын эрсдэлд оруулж болзошгүй. Сессийн аюулгүй байдал нь нэг хэрэглэгч өөр хэрэглэгчийн сессийг ашиглахыг оролдох гэх мэт дотоод халдлагын эрсдлийг хязгаарладаг.
Энэ эрсдлийг бууруулахын тулд NFVIS нь 15 минут идэвхгүй болсны дараа CLI сессийг хойшлуулдаг. Сеанс дуусахад хэрэглэгч автоматаар гарна.
NETCONF
Сүлжээний тохиргооны протокол (NETCONF) нь IETF-ээс сүлжээний төхөөрөмжүүдийн автомат тохиргоонд зориулан боловсруулж, стандартчилсан Сүлжээний удирдлагын протокол юм.
NETCONF протокол нь тохиргооны өгөгдөл болон протоколын мессежүүдэд зориулж Extensible Markup Language (XML) дээр суурилсан өгөгдлийн кодчилолыг ашигладаг. Протоколын мессежийг аюулгүй тээвэрлэх протокол дээр солилцдог.
NETCONF нь NFVIS-д XML-д суурилсан API-г нээх боломжийг олгодог бөгөөд сүлжээний оператор нь тохиргооны өгөгдөл болон үйл явдлын мэдэгдлийг SSH-ээр аюулгүйгээр тохируулах, авах боломжтой.
Дэлгэрэнгүй мэдээллийг NETCONF үйл явдлын мэдэгдлээс үзнэ үү.
REST API
NFVIS-ийг HTTPS дээр RESTful API ашиглан тохируулах боломжтой. REST API нь хүсэлт гаргаж буй системүүдэд нэгдсэн, урьдчилан тодорхойлсон харьяалалгүй үйлдлийн багцыг ашиглан NFVIS тохиргоонд хандах, удирдах боломжийг олгодог. Бүх REST API-н талаарх дэлгэрэнгүй мэдээллийг NFVIS API лавлах гарын авлагаас олж болно.
Хэрэглэгч REST API-г гаргахад NFVIS-тэй сесс үүсгэнэ. Үйлчилгээний довтолгооноос татгалзахтай холбоотой эрсдлийг хязгаарлахын тулд NFVIS нь REST сессийн нийт тоог 100 хүртэл хязгаарладаг.
NFVIS Web Портал
NFVIS портал нь a web- NFVIS-ийн талаарх мэдээллийг харуулдаг график хэрэглэгчийн интерфэйс. Портал нь хэрэглэгчдэд NFVIS CLI болон API-г мэдэх шаардлагагүйгээр HTTPS-ээр дамжуулан NFVIS-ийг тохируулах, хянах хялбар аргыг санал болгодог.
Сеанс менежмент
HTTP болон HTTPS-ийн харьяалалгүй шинж чанар нь өвөрмөц сешн ID болон күүки ашиглан хэрэглэгчдийг өвөрмөц хянах аргыг шаарддаг.
NFVIS нь хэрэглэгчийн сессийг шифрлэдэг. AES-256-CBC шифрийг HMAC-SHA-256 нэвтрэлт танилтаар сессийн агуулгыг шифрлэхэд ашигладаг. tag. Шифрлэлтийн үйлдэл бүрт санамсаргүй 128 бит эхлүүлэх вектор үүсдэг.
Портал сесс үүсгэх үед Аудитын бүртгэл эхэлдэг. Хэрэглэгч гарах эсвэл сессийн хугацаа хэтэрсэн үед сессийн мэдээлэл устана.
Портал сешнүүдийн үндсэн сул зогсолт нь 15 минут байна. Гэсэн хэдий ч үүнийг одоогийн сессийн хувьд Тохиргоо хуудаснаас 5-60 минутын хооронд тохируулах боломжтой. Үүний дараа автоматаар гарах ажиллагааг эхлүүлнэ
Аюулгүй байдлын талаар анхаарах зүйлс 16
Аюулгүй байдлын талаар анхаарах зүйлс
HTTPS
HTTPS
хугацаа. Нэг хөтөч дээр олон сесс хийхийг зөвшөөрдөггүй. Зэрэгцсэн сессийн дээд хэмжээг 30 гэж тохируулсан. NFVIS портал нь хэрэглэгчтэй өгөгдлийг холбохын тулд күүки ашигладаг. Энэ нь аюулгүй байдлыг сайжруулахын тулд дараах күүкийн шинж чанаруудыг ашигладаг:
· Хөтөч хаагдсан үед күүкийн хугацаа дуусдаг түр зуурынх · http Зөвхөн JavaScript-ээс күүкиг ашиглах боломжгүй болгох зорилгоор · securityProxy нь күүкийг зөвхөн SSL-ээр илгээх боломжтой.
Баталгаажуулалтын дараа ч сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) гэх мэт халдлага хийх боломжтой. Энэ тохиолдолд эцсийн хэрэглэгч нь санамсаргүйгээр хүсээгүй үйлдлүүдийг a web одоогоор баталгаажуулсан програм. Үүнээс урьдчилан сэргийлэхийн тулд NFVIS нь сесс бүрийн үеэр дуудагддаг REST API бүрийг баталгаажуулахын тулд CSRF токенуудыг ашигладаг.
URL Ердийн байдлаар дахин чиглүүлэлт web сервер дээр хуудас олдохгүй байх үед web сервер, хэрэглэгч 404 мессеж хүлээн авдаг; байгаа хуудсуудын хувьд тэд нэвтрэх хуудас авдаг. Үүний аюулгүй байдлын нөлөөлөл нь халдагчид харгис хүчээр скан хийж, ямар хуудас, фолдер байгааг хялбархан илрүүлж чадна. Үүнээс урьдчилан сэргийлэхийн тулд NFVIS дээр бүх зүйл байхгүй URLТөхөөрөмжийн IP-тэй угтвартай s-г 301 статусын хариу код бүхий порталын нэвтрэх хуудас руу шилжүүлнэ. Энэ нь ямар ч хамаагүй гэсэн үг юм URL Халдагчийн хүсэлтээр тэд өөрсдийгөө баталгаажуулахын тулд нэвтрэх хуудсыг үргэлж авах болно. Бүх HTTP серверийн хүсэлтийг HTTPS руу дахин чиглүүлсэн бөгөөд дараах толгой хэсгийг тохируулсан байна:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Bolicy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Порталыг идэвхгүй болгох NFVIS портал хандалтыг анхдагчаар идэвхжүүлсэн байна. Хэрэв та портал ашиглахаар төлөвлөөгүй бол дараах тушаалыг ашиглан портал хандалтыг идэвхгүй болгохыг зөвлөж байна.
Системийн портал хандалтыг идэвхгүй болгосон терминалыг тохируулах
NFVIS руу болон түүнээс гарах бүх HTTPS өгөгдөл нь сүлжээгээр харилцахдаа Тээврийн давхаргын аюулгүй байдлыг (TLS) ашигладаг. TLS нь Secure Socket Layer (SSL)-ийн залгамжлагч юм.
Аюулгүй байдлын талаар анхаарах зүйлс 17
HTTPS
Аюулгүй байдлын талаар анхаарах зүйлс
TLS-ийн гар барих нь баталгаажуулалтыг багтаадаг бөгөөд энэ үеэр үйлчлүүлэгч серверийн SSL сертификатыг олгосон гэрчилгээний байгууллагатай баталгаажуулдаг. Энэ нь сервер нь хэн болохыг нь баталж, үйлчлүүлэгч нь домэйны эзэнтэй харилцаж байгааг баталж байна. Өгөгдмөл байдлаар, NFVIS нь үйлчлүүлэгчиддээ хэн болохыг батлахын тулд өөрөө гарын үсэг зурсан гэрчилгээг ашигладаг. Шифрлэлтийн хүч нь түлхүүрийн хэмжээнээс шууд хамааралтай тул TLS шифрлэлтийн аюулгүй байдлыг нэмэгдүүлэх зорилгоор энэхүү гэрчилгээ нь 2048 битийн нийтийн түлхүүртэй.
Сертификатын менежмент NFVIS нь анх суулгасан үед өөрөө гарын үсэг зурдаг SSL сертификат үүсгэдэг. Энэхүү гэрчилгээг шаардлагад нийцсэн Гэрчилгээний Байгууллагын (CA) гарын үсэг зурсан хүчинтэй гэрчилгээгээр солих нь аюулгүй байдлын шилдэг туршлага юм. Анхдагч өөрөө гарын үсэг зурсан гэрчилгээг солихын тулд дараах алхмуудыг ашиглана уу: 1. NFVIS дээр Сертификат гарын үсэг зурах хүсэлт (CSR) үүсгэнэ үү.
Гэрчилгээнд гарын үсэг зурах хүсэлт (CSR) нь a file SSL гэрчилгээ авах хүсэлт гаргахдаа гэрчилгээжүүлэх байгууллагад өгдөг кодлогдсон текстийн блоктой. Энэ file Байгууллагын нэр, нийтлэг нэр (домайн нэр), нутаг дэвсгэр, улс зэрэг гэрчилгээнд тусгах ёстой мэдээллийг агуулна. The file Мөн гэрчилгээнд оруулах нийтийн түлхүүрийг агуулна. NFVIS нь 2048 битийн нийтийн түлхүүрийг ашигладаг, учир нь шифрлэлтийн хүч нь илүү өндөр түлхүүрийн хэмжээтэй байдаг. NFVIS дээр CSR үүсгэхийн тулд дараах тушаалыг ажиллуулна уу:
nfvis# системийн гэрчилгээ гарын үсэг зурах-хүсэлт [нийтлэг нэр улс-код орон нутгийн байгууллагын байгууллага-нэгж нэр муж] CSR file /data/intdatastore/download/nfvis.csr нэрээр хадгалагдана. . 2. CSR ашиглан CA-аас SSL сертификат авах. Гадны хостоос scp командыг ашиглан гэрчилгээнд гарын үсэг зурах хүсэлтийг татаж авна уу.
[myhost:/tmp] > scp -P 22222 админ@ :/data/intdatastore/download/nfvis.csrfile-нэр>
Энэхүү CSR-г ашиглан шинэ SSL серверийн гэрчилгээ олгохын тулд гэрчилгээ олгох байгууллагатай холбогдоно уу. 3. CA гарын үсэгтэй гэрчилгээг суулгана уу.
Гадаад серверээс scp командыг ашиглан гэрчилгээг байршуулна уу file NFVIS руу data/intdatastore руу оруулна/uploads/ лавлах.
[myhost:/tmp] > scp -P 22222 file> админ@ :/data/intdatastore/байршуулах
Дараах тушаалыг ашиглан NFVIS-д гэрчилгээг суулгана уу.
nfvis # системийн гэрчилгээ суулгах-гэрчилгээний зам file:///data/intdatastore/uploads/<certificate file>
4. CA гарын үсэгтэй гэрчилгээг ашиглахад шилжих. Өгөгдмөл өөрөө гарын үсэг зурсан гэрчилгээний оронд CA гарын үсэгтэй гэрчилгээг ашиглаж эхлэхийн тулд дараах тушаалыг ашиглана уу.
Аюулгүй байдлын талаар анхаарах зүйлс 18
Аюулгүй байдлын талаар анхаарах зүйлс
SNMP хандалт
nfvis(config)# системийн гэрчилгээ ашиглах-сертификат-төрлийн ca-гарын үсэгтэй
SNMP хандалт
Энгийн Сүлжээний Удирдлагын Протокол (SNMP) нь IP сүлжээн дэх удирдаж буй төхөөрөмжүүдийн талаарх мэдээллийг цуглуулах, зохион байгуулах, төхөөрөмжийн үйл ажиллагааг өөрчлөхийн тулд тэдгээр мэдээллийг өөрчлөхөд зориулагдсан Интернэт Стандарт протокол юм.
SNMP-ийн гурван чухал хувилбарыг боловсруулсан. NFVIS нь SNMP хувилбар 1, хувилбар 2c болон хувилбар 3-ыг дэмждэг. SNMP 1 ба 2-р хувилбарууд нь баталгаажуулалтад олон нийтийн стринг ашигладаг бөгөөд эдгээрийг энгийн текстээр илгээдэг. Тиймээс оронд нь SNMP v3 ашиглах нь аюулгүй байдлын шилдэг туршлага юм.
SNMPv3 нь хэрэглэгчид, нэвтрэлт танилт, шифрлэлт гэсэн гурван талыг ашиглан төхөөрөмжүүдэд аюулгүй нэвтрэх боломжийг олгодог. SNMPv3 нь SNMP-ээр дамжуулан авах боломжтой мэдээлэлд хандах хандалтыг хянахын тулд USM (Хэрэглэгчид суурилсан аюулгүй байдлын модуль) ашигладаг. SNMP v3 хэрэглэгчийг баталгаажуулалтын төрөл, нууцлалын төрөл, мөн нэвтрэх үгээр тохируулсан. Бүлэг хуваалцаж буй бүх хэрэглэгчид ижил SNMP хувилбарыг ашигладаг боловч аюулгүй байдлын түвшний тодорхой тохиргоог (нууц үг, шифрлэлтийн төрөл гэх мэт) хэрэглэгч тус бүрээр зааж өгдөг.
Дараах хүснэгтэд SNMP доторх аюулгүй байдлын сонголтуудыг нэгтгэн харуулав
Загвар
Түвшин
Баталгаажуулалт
Нэвтэрхийлэл
Үр дүн
v1
noAuthNoPriv
Олон нийтийн мөрийн дугаар
Нийгэмлэгийг ашигладаг
мөр тааруулах
баталгаажуулалт.
v2c
noAuthNoPriv
Олон нийтийн мөрийн дугаар
Баталгаажуулахын тулд олон нийтийн стринг ашигладаг.
v3
noAuthNoPriv
Хэрэглэгчийн нэр
Үгүй
Хэрэглэгчийн нэр ашигладаг
тохирох
баталгаажуулалт.
v3
authNoPriv
Мессеж тойм 5 дугаар
хангадаг
(MD5)
баталгаажуулалтад суурилсан
or
HMAC-MD5-96 дээр эсвэл
Хамгаалалтын хэш
HMAC-SHA-96
Алгоритм (SHA)
алгоритмууд.
Аюулгүй байдлын талаар анхаарах зүйлс 19
Хуулийн мэдэгдлийн баннер
Аюулгүй байдлын талаар анхаарах зүйлс
Загвар v3
Түвшин баталгаажуулалтPriv
Баталгаажуулалт MD5 эсвэл SHA
Нэвтэрхийлэл
Үр дүн
Өгөгдлийн шифрлэлт өгдөг
Стандарт (DES) эсвэл баталгаажуулалтад суурилсан
Дэвшилтэт
дээр
Шифрлэлтийн стандарт HMAC-MD5-96 эсвэл
(AES)
HMAC-SHA-96
алгоритмууд.
Cipher Block Chaining Mode (CBC-DES) дээр DES шифрийн алгоритмыг хангадаг.
or
128 битийн түлхүүрийн хэмжээтэй (CFB128-AES-128) Cipher FeedBack Mode (CFB)-д ашигладаг AES шифрлэлтийн алгоритм.
NIST-д батлагдсанаас хойш AES нь салбартаа давамгайлсан шифрлэлтийн алгоритм болсон. Салбарын MD5-аас SHA руу шилжих шилжилтийг дагахын тулд SNMP v3 нэвтрэлт таних протоколыг SHA, нууцлалын протоколыг AES болгон тохируулах нь аюулгүй байдлын шилдэг туршлага юм.
SNMP-ийн талаарх дэлгэрэнгүй мэдээллийг SNMP-ийн тухай танилцуулгыг үзнэ үү
Хуулийн мэдэгдлийн баннер
Хэрэглэгчдэд мөрдөгдөж буй аюулгүй байдлын бодлого болон тэдгээрт хамаарах аюулгүй байдлын талаар мэдэгдэхийн тулд бүх интерактив сесс дээр хуулийн мэдэгдлийн баннер байрлуулахыг зөвлөж байна. Зарим улс орнуудад системд нэвтэрсэн халдагчийг иргэний болон/эсвэл эрүүгийн хариуцлага хүлээлгэх нь илүү хялбар, тэр ч байтугай хууль ёсны мэдэгдлийн баннерыг танилцуулж, зөвшөөрөлгүй хэрэглэгчдэд тэдгээрийг ашиглах нь үнэндээ зөвшөөрөлгүй гэдгийг мэдэгдэх шаардлагатай байдаг. Зарим улс орнуудад зөвшөөрөлгүй хэрэглэгчийн үйл ажиллагаанд хяналт тавихыг хориглож болно.
Хууль эрх зүйн мэдэгдлийн шаардлага нь нарийн төвөгтэй бөгөөд харьяалал, нөхцөл байдал бүрт өөр өөр байдаг. Харъяаллын хүрээнд ч гэсэн хуулийн үзэл бодол өөр өөр байдаг. Мэдэгдлийн баннер нь компани, орон нутгийн болон олон улсын хуулийн шаардлагад нийцэж байгаа эсэхийг шалгахын тулд энэ асуудлыг хуулийн зөвлөхтэйгээ ярилц. Энэ нь аюулгүй байдлын зөрчил гарсан тохиолдолд зохих арга хэмжээг авахад маш чухал байдаг. Компанийн хуулийн зөвлөхтэй хамтран хуулийн мэдэгдлийн сурталчилгаанд дараахь мэдэгдлүүдийг багтааж болно.
· Системд хандах, ашиглахыг зөвхөн тусгайлан эрх бүхий ажилтнууд зөвшөөрдөг тухай мэдэгдэл, магадгүй хэн ашиглахыг зөвшөөрч болох тухай мэдээлэл.
· Системд зөвшөөрөлгүй нэвтрэх, ашиглах нь хууль бус бөгөөд иргэний болон/эсвэл эрүүгийн хариуцлага хүлээлгэж болзошгүй тухай мэдэгдэл.
· Системийн хандалт, ашиглалтыг нэмэлт мэдэгдэлгүйгээр бүртгэх, хянах боломжтой бөгөөд үүссэн бүртгэлийг шүүхэд нотлох баримт болгон ашиглаж болно.
· Орон нутгийн тодорхой хууль тогтоомжид заасан нэмэлт тусгай мэдэгдэл.
Аюулгүй байдлын талаар анхаарах зүйлс 20
Аюулгүй байдлын талаар анхаарах зүйлс
Үйлдвэрийн тохиргоонд дахин тохируулах
Хуулийн талаасаа гэхээсээ аюулгүй байдлын үүднээс view, хууль ёсны мэдэгдлийн баннер нь төхөөрөмжийн нэр, загвар, программ хангамж, байршил, оператор эсвэл эзэмшигч гэх мэт тодорхой мэдээллийг агуулж болохгүй, учир нь ийм төрлийн мэдээлэл нь халдагчдад хэрэгтэй байж болзошгүй.
Дараах нь дараах байдалтай байнаampНэвтрэхээс өмнө үзүүлж болох хуулийн мэдэгдлийн баннер:
ЭНЭ ТӨХӨӨРӨМЖИЙГ ЗӨВШӨГӨӨГҮЙ ХАНДАХЫГ ХОРИГЛОНО Та энэ төхөөрөмжид хандах эсвэл тохируулахын тулд тодорхой, зөвшөөрөлтэй зөвшөөрөлтэй байх ёстой. Хандалт, ашиглах зөвшөөрөлгүй оролдлого, үйлдэл
Энэ систем нь иргэний болон/эсвэл эрүүгийн хариуцлага хүлээлгэж болзошгүй. Энэ төхөөрөмж дээр хийгдсэн бүх үйл ажиллагааг бүртгэж, хянадаг
Тайлбар Компанийн хуулийн зөвлөхөөс баталсан хуулийн мэдэгдлийн баннерыг үзүүлнэ үү.
NFVIS нь баннер болон өдрийн мессежийг (MOTD) тохируулах боломжийг олгодог. Хэрэглэгч нэвтрэхээс өмнө баннер гарч ирнэ. Хэрэглэгч NFVIS-д нэвтэрсний дараа системээр тодорхойлсон баннер нь NFVIS-ийн талаарх Зохиогчийн эрхийн мэдээллийг өгөх бөгөөд хэрэв тохируулсан бол тухайн өдрийн мессеж (MOTD) гарч ирэх ба дараа нь тушаалын мөр эсвэл портал view, нэвтрэх аргаас хамаарна.
Нэвтрэх хүсэлтийг үзүүлэхээс өмнө төхөөрөмжийн удирдлагын хандалтын бүх сессүүд дээр хууль ёсны мэдэгдлийн баннер үзүүлэхийг баталгаажуулахын тулд нэвтрэх баннерыг хэрэгжүүлэхийг зөвлөж байна. Баннер болон MOTD-г тохируулахын тулд энэ тушаалыг ашиглана уу.
nfvis(config)# banner-motd баннер motd
Баннер командын талаар нэмэлт мэдээлэл авахыг хүсвэл Баннерыг тохируулах, өдрийн мессеж болон системийн цагийг үзнэ үү.
Үйлдвэрийн тохиргоонд дахин тохируулах
Үйлдвэрийн тохиргоонд дахин тохируулах нь тээвэрлэлтээс хойш төхөөрөмжид нэмэгдсэн хэрэглэгчийн бүх өгөгдлийг устгадаг. Устгасан өгөгдөлд тохиргоо, бүртгэл орно files, VM дүрс, холболтын мэдээлэл, хэрэглэгчийн нэвтрэх үнэмлэх.
Энэ нь төхөөрөмжийг үйлдвэрийн анхны тохиргоонд нь буцаах нэг командыг өгдөг бөгөөд дараах тохиолдолд хэрэг болно.
· Төхөөрөмжийн материалын буцаах зөвшөөрөл (RMA)–Хэрэв та төхөөрөмжийг RMA-д зориулж Cisco-д буцаах шаардлагатай бол үйлдвэрийн өгөгдмөл тохиргоог ашиглан хэрэглэгчийн бүх өгөгдлийг устгана уу.
· Эвдэрсэн төхөөрөмжийг сэргээх– Хэрэв төхөөрөмж дээр хадгалагдсан гол материал эсвэл итгэмжлэлүүд эвдэрсэн бол төхөөрөмжийг үйлдвэрийн тохиргоонд дахин тохируулж, дараа нь төхөөрөмжийг дахин тохируулна уу.
· Хэрэв ижил төхөөрөмжийг өөр сайт дээр шинэ тохиргоотой дахин ашиглах шаардлагатай бол үйлдвэрийн тохиргоог дахин тохируулж, одоо байгаа тохиргоог устгаж, цэвэр байдалд оруулна уу.
NFVIS нь үйлдвэрийн өгөгдмөл тохиргоонд дараах сонголтуудыг өгдөг:
Үйлдвэрийн тохиргоонд дахин тохируулах сонголт
Өгөгдлийг устгасан
Хадгалагдсан өгөгдөл
бүгд
Бүх тохиргоо, байршуулсан зураг Админ дансыг хадгалсан бөгөөд
files, VM болон бүртгэлүүд.
нууц үг нь өөрчлөгдөнө
Төхөөрөмжийн холболт нь үйлдвэрийн өгөгдмөл нууц үг байх болно.
алдсан.
Аюулгүй байдлын талаар анхаарах зүйлс 21
Дэд бүтцийн удирдлагын сүлжээ
Аюулгүй байдлын талаар анхаарах зүйлс
Зурагнаас бусад бүх зүйлийг үйлдвэрийн тохиргоонд дахин тохируулах сонголт
зурагнаас бусад бүх холболт
үйлдвэрлэл
Өгөгдлийг устгасан
Хадгалагдсан өгөгдөл
Зургийн тохиргооноос бусад бүх тохиргоо бүртгэгдсэн
тохиргоо, VM болон байршуулсан зураг, бүртгэл
зураг files.
Админы бүртгэл хадгалагдсан ба
Төхөөрөмжийн холболт нь нууц үгээр солигдох болно
алдсан.
үйлдвэрийн анхдагч нууц үг.
Зураг, зураг, сүлжээ, холболтоос бусад бүх тохиргоо
сүлжээ ба холболт
холбогдох тохиргоо, бүртгэлтэй
тохиргоо, VM болон байршуулсан зураг, бүртгэл.
зураг files.
Админы бүртгэл хадгалагдсан ба
Төхөөрөмжийн холболт нь
өмнө нь тохируулсан админ
боломжтой.
нууц үг хадгалагдах болно.
Зургийн тохиргоо, VM, байршуулсан зургаас бусад бүх тохиргоо files, болон бүртгэлүүд.
Төхөөрөмжийн холболт тасрах болно.
Зурагтай холбоотой тохиргоо болон бүртгэгдсэн зургууд
Администраторын бүртгэл хадгалагдаж, нууц үг үйлдвэрийн өгөгдмөл нууц үг болж өөрчлөгдөнө.
Үйлдвэрийн тохиргоонд дахин тохируулах зорилгод үндэслэн хэрэглэгч тохирох сонголтыг анхааралтай сонгох ёстой. Дэлгэрэнгүй мэдээллийг Үйлдвэрийн тохиргоонд дахин тохируулахыг үзнэ үү.
Дэд бүтцийн удирдлагын сүлжээ
Дэд бүтцийн удирдлагын сүлжээ гэдэг нь дэд бүтцийн төхөөрөмжүүдийн удирдлага, удирдлагын онгоцны урсгалыг (NTP, SSH, SNMP, syslog гэх мэт) дамжуулдаг сүлжээг хэлнэ. Төхөөрөмжийн хандалт нь консолоор болон Ethernet интерфейсээр дамжин байж болно. Энэхүү хяналт ба удирдлагын онгоцны урсгал нь сүлжээний үйл ажиллагаанд чухал ач холбогдолтой бөгөөд сүлжээнд харагдах байдал, хяналтыг бий болгодог. Иймээс сайн боловсруулсан, найдвартай дэд бүтцийн удирдлагын сүлжээ нь сүлжээний ерөнхий аюулгүй байдал, үйл ажиллагаанд чухал үүрэгтэй. Аюулгүй дэд бүтцийн менежментийн сүлжээг бий болгох гол зөвлөмжүүдийн нэг бол ачаалал ихтэй, замын хөдөлгөөний ачаалал ихтэй нөхцөлд ч алсын удирдлагатай байхын тулд удирдлага болон мэдээллийн урсгалыг салгах явдал юм. Үүнийг тусгай удирдлагын интерфейс ашиглан хийж болно.
Дэд бүтцийн менежментийн сүлжээг хэрэгжүүлэх арга замууд нь:
Хамтлагаас гадуурх менежмент
Удирдлагын сүлжээ нь өгөгдлийн сүлжээнээс бүрэн хараат бус бөгөөд удирдахад тусалдаг сүлжээнээс бүрддэг. Үүнийг заримдаа Data Communications Network (DCN) гэж нэрлэдэг. Сүлжээний төхөөрөмжүүд нь OOB сүлжээнд янз бүрийн аргаар холбогдож болно: NFVIS нь OOB сүлжээнд холбогдоход ашиглаж болох суурилуулсан удирдлагын интерфейсийг дэмждэг. NFVIS нь урьдчилан тодорхойлсон физик интерфэйс буюу ENCS дээрх MGMT портыг тусгай удирдлагын интерфейс болгон тохируулах боломжийг олгодог. Удирдлагын пакетуудыг зориулалтын интерфэйсээр хязгаарлах нь төхөөрөмжийн удирдлагад илүү их хяналтыг бий болгож, улмаар тухайн төхөөрөмжийн аюулгүй байдлыг илүү хангана. Бусад давуу талууд нь удирдлагын бус интерфейс дээрх өгөгдлийн пакетуудын гүйцэтгэлийг сайжруулах, сүлжээний өргөтгөлийг дэмжих,
Аюулгүй байдлын талаар анхаарах зүйлс 22
Аюулгүй байдлын талаар анхаарах зүйлс
Хамтлагаас гадуурх псевдо менежмент
төхөөрөмжид хандах хандалтыг хязгаарлах, удирдлагын багцын үерээс CPU-д хүрэхээс урьдчилан сэргийлэхийн тулд цөөн тооны хандалтын хяналтын жагсаалт (ACL) хэрэгтэй. Сүлжээний төхөөрөмжүүд нь тусгайлсан өгөгдлийн интерфейсээр дамжуулан OOB сүлжээнд холбогдох боломжтой. Энэ тохиолдолд удирдлагын урсгалыг зөвхөн тусгай зориулалтын интерфейсээр зохицуулахын тулд ACL-ийг байрлуулах хэрэгтэй. Дэлгэрэнгүй мэдээллийг IP хүлээн авах ACL болон порт 22222 болон удирдлагын интерфейсийн ACL-г тохируулахыг үзнэ үү.
Хамтлагаас гадуурх псевдо менежмент
Хуурамч сүлжээнээс гадуурх удирдлагын сүлжээ нь өгөгдлийн сүлжээтэй ижил физик дэд бүтцийг ашигладаг боловч VLAN ашиглан траффикийг виртуалаар тусгаарлах замаар логик тусгаарлалтыг хангадаг. NFVIS нь траффикийн янз бүрийн эх үүсвэрийг тодорхойлох, VM-ийн хоорондох урсгалыг салгахад туслах VLAN болон виртуал гүүр үүсгэхийг дэмждэг. Тусдаа гүүр болон VLAN-тай байх нь виртуал машины сүлжээний өгөгдлийн урсгал болон удирдлагын сүлжээг тусгаарлаж, улмаар VM болон хостын хоорондох хөдөлгөөний сегментчиллийг хангадаг. Нэмэлт мэдээллийг NFVIS удирдлагын траффикт зориулсан VLAN-г тохируулахыг үзнэ үү.
Хамтлаг доторх менежмент
Хамтлаг доторх удирдлагын сүлжээ нь өгөгдлийн урсгалтай ижил физик болон логик замыг ашигладаг. Эцсийн эцэст, энэхүү сүлжээний загвар нь үйлчлүүлэгч тус бүрээс эрсдэл, үр ашиг, зардлын шинжилгээг шаарддаг. Зарим ерөнхий санаанууд нь:
· Тусгаарлагдсан OOB удирдлагын сүлжээ нь эвдэрсэн үйл явдлын үед ч сүлжээний харагдах байдал, хяналтыг дээд зэргээр нэмэгдүүлдэг.
· Сүлжээний телеметрийг OOB сүлжээгээр дамжуулах нь сүлжээний чухал харагдах байдлыг хангадаг мэдээллийн тасалдал үүсэх боломжийг багасгадаг.
· Сүлжээний дэд бүтэц, хостууд гэх мэт сүлжээн дэх удирдлагын хандалт нь сүлжээний ослын үед бүрэн алдагдалд өртөж, сүлжээний бүх харагдах байдал, хяналтыг устгадаг. Энэ үзэгдлийг багасгахын тулд QS-ийн зохих хяналтыг бий болгох хэрэгтэй.
· NFVIS нь цуваа консол портууд болон Ethernet удирдлагын интерфэйс зэрэг төхөөрөмжийн удирдлагад зориулагдсан интерфэйсүүдтэй.
· Удирдлагын сүлжээний траффик нь ихэвчлэн өндөр зурвасын өргөн эсвэл өндөр гүйцэтгэлтэй төхөөрөмж шаарддаггүй бөгөөд зөвхөн дэд бүтцийн төхөөрөмж бүрийн холболтыг дэмжих хангалттай портын нягтрал шаарддаг тул OOB удирдлагын сүлжээг боломжийн үнээр байрлуулж болно.
Орон нутагт хадгалагдсан мэдээллийн хамгаалалт
Эмзэг мэдээллийг хамгаалах
NFVIS нь нууц үг, нууц зэрэг зарим нууц мэдээллийг дотооддоо хадгалдаг. Нууц үгийг ерөнхийдөө төвлөрсөн AAA серверээр хадгалж, хянах ёстой. Гэсэн хэдий ч, төвлөрсөн AAA серверийг байрлуулсан байсан ч AAA серверүүд байхгүй тохиолдолд локал нөөцлөх, тусгай зориулалтын хэрэглэгчийн нэр гэх мэт зарим тохиолдолд дотооддоо хадгалагдсан нууц үг шаардагдана. Эдгээр локал нууц үг болон бусад эмзэг
Аюулгүй байдлын талаар анхаарах зүйлс 23
File Дамжуулах
Аюулгүй байдлын талаар анхаарах зүйлс
мэдээллийг NFVIS дээр хэш хэлбэрээр хадгалдаг тул системээс анхны итгэмжлэлийг сэргээх боломжгүй. Хашинг нь нийтээр хүлээн зөвшөөрөгдсөн салбарын хэм хэмжээ юм.
File Дамжуулах
FileNFVIS төхөөрөмж рүү шилжүүлэх шаардлагатай байж болох VM дүрс болон NFVIS шинэчлэлт орно fileс. -ийн аюулгүй шилжүүлэг files нь сүлжээний дэд бүтцийн аюулгүй байдалд чухал ач холбогдолтой. NFVIS нь аюулгүй байдлыг хангахын тулд Secure Copy (SCP)-ийг дэмждэг file шилжүүлэх. SCP нь SSH-д тулгуурлан аюулгүй нэвтрэлт танилт, тээвэрлэлтийг найдвартай, баталгаажуулсан хуулбарлах боломжийг олгодог. files.
NFVIS-ийн аюулгүй хуулбарыг scp тушаалаар эхлүүлдэг. Аюулгүй хуулбар (scp) тушаал нь зөвхөн админ хэрэглэгчдэд найдвартай хуулбарлах боломжийг олгодог fileNFVIS-ээс гадаад систем рүү, эсвэл гадаад системээс NFVIS руу.
scp командын синтакс нь:
scp
Бид NFVIS SCP серверийн хувьд 22222 портыг ашигладаг. Анхдагч байдлаар, энэ порт хаалттай бөгөөд хэрэглэгчид хуулбарыг хамгаалах боломжгүй fileгадаад үйлчлүүлэгчээс NFVIS руу . Хэрэв SCP шаардлагатай бол a file Гадаад үйлчлүүлэгчээс хэрэглэгч портыг дараах байдлаар нээж болно:
системийн тохиргоо ip-receive-acl (хаяг)/(маск lenth) үйлчилгээ scpd тэргүүлэх (тоо) үйлдэл хүлээн авах
хийх
Хэрэглэгчдийг системийн лавлах руу хандахаас сэргийлэхийн тулд хэрэв боломжтой бол зөвхөн intdatastore:, extdatastore1:, extdatastore2:, usb: болон nfs: руу эсвэл түүнээс хамгаалагдсан хуулбарыг хийж болно. Аюулгүй хуулбарыг мөн лог: болон техникийн дэмжлэгээс хийж болно:
Мод бэлтгэх
NFVIS хандалт болон тохиргооны өөрчлөлтийг аудитын бүртгэл болгон бүртгэж, дараах мэдээллийг бүртгэдэг: · Хэн төхөөрөмжид хандсан · Хэрэглэгч хэзээ нэвтэрсэн · Хост тохиргоо болон VM-ийн амьдралын мөчлөгийн хувьд хэрэглэгч юу хийсэн · Хэрэглэгч хэзээ нэвтэрсэн бэ. унтрах · Амжилтгүй нэвтрэх оролдлого · Амжилтгүй нотлох хүсэлт · Амжилтгүй зөвшөөрлийн хүсэлт
Энэхүү мэдээлэл нь зөвшөөрөлгүй оролдлого, хандалтын үед шүүх эмнэлгийн шинжилгээ хийхэд үнэлж баршгүй ач холбогдолтой бөгөөд тохиргоог өөрчлөх асуудал, бүлгийн удирдлагын өөрчлөлтийг төлөвлөхөд тусалдаг. Энэ нь халдлага болж байгааг илтгэж болох хэвийн бус үйл ажиллагааг тодорхойлоход бодит цаг хугацаанд ашиглагдаж болно. Энэхүү шинжилгээг IDS болон галт ханын бүртгэл гэх мэт нэмэлт гадаад эх сурвалжаас авсан мэдээлэлтэй холбож болно.
Аюулгүй байдлын талаар анхаарах зүйлс 24
Аюулгүй байдлын талаар анхаарах зүйлс
Виртуал машины аюулгүй байдал
NFVIS дээрх бүх гол үйл явдлуудыг NETCONF-ийн захиалагчдад үйл явдлын мэдэгдэл болгон илгээж, тохируулсан төв бүртгэлийн серверүүд рүү системийн бүртгэл хэлбэрээр илгээдэг. Системийн мессеж болон үйл явдлын мэдэгдлийн талаар нэмэлт мэдээллийг Хавсралтаас үзнэ үү.
Виртуал машины аюулгүй байдал
Энэ хэсэгт NFVIS дээрх Виртуал машинуудыг бүртгэх, байршуулах, ажиллуулахтай холбоотой аюулгүй байдлын онцлогуудыг тайлбарласан болно.
VNF аюулгүй ачаалах
NFVIS нь Нээлттэй Виртуал Машины Програм хангамжийг (OVMF) дэмждэг бөгөөд аюулгүй ачааллыг дэмждэг Виртуал машинуудын UEFI аюулгүй ачааллыг идэвхжүүлдэг. VNF Secure boot нь ачаалагч, үйлдлийн системийн цөм, үйлдлийн системийн драйвер зэрэг VM ачаалах программын давхарга бүр гарын үсэг зурсан эсэхийг шалгадаг.
Дэлгэрэнгүй мэдээллийг VNF-ийн аюулгүй ачааллыг үзнэ үү.
VNC консолын хандалтын хамгаалалт
NFVIS нь хэрэглэгчдэд суурилуулсан VM-ийн алсын ширээний компьютерт хандахын тулд Virtual Network Computing (VNC) сесс үүсгэх боломжийг олгодог. Үүнийг идэвхжүүлэхийн тулд NFVIS нь хэрэглэгч өөрийн портыг ашиглан холбогдох боломжтой портыг динамикаар нээдэг web хөтөч. Энэ портыг гадны сервер VM-д сесс эхлүүлэхийн тулд зөвхөн 60 секундын турш нээлттэй байлгана. Хэрэв энэ хугацаанд ямар ч үйл ажиллагаа харагдахгүй бол порт хаагдана. Портын дугаарыг динамикаар хуваарилдаг бөгөөд ингэснээр VNC консол руу зөвхөн нэг удаа нэвтрэх боломжийг олгодог.
nfvis# vncconsole суулгацыг эхлүүлэх-нэр 1510614035 vm-нэр ROUTER vncconsole-url :6005/vnc_auto.html
Таны хөтчийг https:// руу зааж байна :6005/vnc_auto.html нь ROUTER VM-ийн VNC консолтой холбогдоно.
Аюулгүй байдлын талаар анхаарах зүйлс 25
Шифрлэгдсэн VM тохиргооны өгөгдлийн хувьсагч
Аюулгүй байдлын талаар анхаарах зүйлс
Шифрлэгдсэн VM тохиргооны өгөгдлийн хувьсагч
VM байршуулах үед хэрэглэгч өдөр-0 тохиргоог өгдөг file VM-ийн хувьд. Энэ file нууц үг, түлхүүр гэх мэт эмзэг мэдээллийг агуулж болно. Хэрэв энэ мэдээллийг тодорхой текст хэлбэрээр дамжуулсан бол энэ нь бүртгэлд гарч ирнэ files болон дотоод өгөгдлийн сангийн бүртгэлийг тодорхой текстээр. Энэ функц нь хэрэглэгчдэд тохиргооны өгөгдлийн хувьсагчийг мэдрэмтгий гэж тэмдэглэх боломжийг олгодог бөгөөд ингэснээр дотоод дэд системд хадгалах эсвэл дамжуулахаас өмнө түүний утгыг AES-CFB-128 шифрлэлт ашиглан шифрлэдэг.
Дэлгэрэнгүй мэдээллийг VM байршуулалтын параметрүүдээс үзнэ үү.
Алсын дүрсийг бүртгэх шалгах нийлбэр баталгаажуулалт
Алсын зайнаас байрлах VNF дүрсийг бүртгүүлэхийн тулд хэрэглэгч түүний байршлыг зааж өгдөг. Зургийг NFS сервер эсвэл алсын HTTPS сервер гэх мэт гадны эх сурвалжаас татаж авах шаардлагатай.
Татаж авсан эсэхийг мэдэхийн тулд file суулгахад аюулгүй тул харьцуулах нь чухал юм fileҮүнийг ашиглахын өмнө шалгах нийлбэр. Шалгах нийлбэрийг шалгах нь баталгаажуулахад тусална file Сүлжээ дамжуулах явцад гэмтээгүй, эсвэл таныг татаж авахаас өмнө хорлонтой гуравдагч этгээд өөрчлөөгүй.
NFVIS нь татаж авсан зургийн хяналтын нийлбэрийг шалгахад ашиглагдах хүлээгдэж буй шалгах нийлбэр ба шалгах нийлбэр алгоритмыг (SHA256 эсвэл SHA512) өгөхийн тулд хэрэглэгчийг шалгах нийлбэр болон шалгах нийлбэр_алгоритмын сонголтуудыг дэмждэг. Хэрэв шалгах нийлбэр таарахгүй бол зураг үүсгэх амжилтгүй болно.
Алсын зайнаас зураг бүртгэх гэрчилгээний баталгаажуулалт
HTTPS сервер дээр байрлах VNF дүрсийг бүртгүүлэхийн тулд уг зургийг алсын HTTPS серверээс татаж авах шаардлагатай. Энэ зургийг найдвартай татаж авахын тулд NFVIS серверийн SSL сертификатыг баталгаажуулдаг. Хэрэглэгч гэрчилгээнд хүрэх замыг зааж өгөх шаардлагатай file эсвэл PEM форматын гэрчилгээний агуулгыг ашиглан аюулгүй татаж авах боломжтой.
Дэлгэрэнгүй мэдээллийг зураг бүртгэлийн гэрчилгээ баталгаажуулах хэсгээс авах боломжтой
VM тусгаарлалт ба нөөцийн хангамж
Сүлжээний функцын виртуалчлалын (NFV) архитектур нь дараахь зүйлсээс бүрдэнэ.
· Виртуалчлагдсан сүлжээний функцууд (VNFs) нь чиглүүлэгч, галт хана, ачаалал тэнцвэржүүлэгч гэх мэт сүлжээний функцийг хангадаг програм хангамжийн програмуудыг ажиллуулдаг Виртуал машинууд юм.
· Шаардлагатай программ хангамж болон гипервизорыг дэмждэг платформ дээрх тооцоолох, санах ой, хадгалалт, сүлжээ зэрэг дэд бүтцийн бүрэлдэхүүн хэсгүүдээс бүрдэх сүлжээний функцүүдийн виртуалчлалын дэд бүтэц.
NFV-ийн тусламжтайгаар сүлжээний функцууд виртуалчлагдсан тул нэг сервер дээр олон функцийг ажиллуулж болно. Үүний үр дүнд бага хэмжээний физик тоног төхөөрөмж шаардагдах бөгөөд энэ нь нөөцийг нэгтгэх боломжийг олгодог. Энэ орчинд нэг физик техник хангамжийн системээс олон VNF-д зориулагдсан нөөцийг дуурайх нь чухал юм. NFVIS-ийг ашигласнаар VM-ийг хяналттай байрлуулж болох бөгөөд ингэснээр VM бүр өөрт хэрэгтэй нөөцөө хүлээн авдаг. Нөөцүүдийг шаардлагатай бол физик орчноос олон виртуал орчинд хуваадаг. Бие даасан VM домэйнууд нь тусгаарлагдсан тул тэдгээр нь тусдаа, ялгаатай, аюулгүй орчин бөгөөд хуваалцсан нөөцийн төлөө хоорондоо зөрчилддөггүй.
VM-ууд хангагдсанаас илүү нөөц ашиглах боломжгүй. Энэ нь нөөцийг ашигладаг нэг VM-ээс Үйлчилгээнээс татгалзах нөхцөлөөс зайлсхийх болно. Үүний үр дүнд CPU, санах ой, сүлжээ, хадгалалт хамгаалагдсан.
Аюулгүй байдлын талаар анхаарах зүйлс 26
Аюулгүй байдлын талаар анхаарах зүйлс
CPU-ийн тусгаарлалт
CPU-ийн тусгаарлалт
NFVIS систем нь хост дээр ажиллаж байгаа дэд бүтцийн програм хангамжийн цөмүүдийг нөөцөлдөг. Үлдсэн цөмүүд нь VM байрлуулах боломжтой. Энэ нь VM-ийн гүйцэтгэл NFVIS хостын гүйцэтгэлд нөлөөлөхгүй гэдгийг баталгаажуулдаг. Бага хоцрогдолтой VM NFVIS нь түүн дээр байрлуулсан бага хоцролттой VM-д зориулагдсан цөмүүдийг тодорхой зааж өгдөг. Хэрэв VM-д 2 vCPU шаардлагатай бол түүнд 2 тусгай цөм хуваарилагдана. Энэ нь цөмийг хуваалцах, хэт их захиалахаас сэргийлж, хоцролт багатай VM-ийн гүйцэтгэлийг баталгаажуулдаг. Хэрэв боломжтой цөмийн тоо нь өөр бага хоцролттой VM-ийн хүссэн vCPU-ийн тооноос бага байвал бидэнд хангалттай нөөц байхгүй тул байршуулахаас сэргийлнэ. Хоцролт багатай VM NFVIS нь хуваалцах боломжтой CPU-г бага хоцролттой VM-д хуваарилдаг. Хэрэв VM-д 2 vCPU шаардлагатай бол түүнд 2 CPU хуваарилагдана. Эдгээр 2 CPU нь хоцролт багатай бусад VM-ийн дунд хуваалцах боломжтой. Хэрэв боломжтой CPU-ийн тоо нь хоцрогдол багатай өөр VM-ийн хүссэн vCPU-ийн тооноос бага байвал энэ VM нь CPU-г одоо байгаа хоцролт багатай VM-уудтай хуваалцах тул байршуулахыг зөвшөөрсөн хэвээр байна.
Санах ойн хуваарилалт
NFVIS дэд бүтэц нь тодорхой хэмжээний санах ой шаарддаг. VM-г байрлуулах үед дэд бүтэц болон өмнө нь байрлуулсан VM-д шаардлагатай санах ойг нөөцөлсний дараа шинэ VM-д хангалттай санах ой байгаа эсэхийг шалгадаг. Бид VM-ийн санах ойг хэтрүүлэн захиалахыг зөвшөөрдөггүй.
Аюулгүй байдлын талаар анхаарах зүйлс 27
Хадгалах тусгаарлалт
VM-ууд хост руу шууд хандах эрхгүй file систем ба хадгалах.
Хадгалах тусгаарлалт
Аюулгүй байдлын талаар анхаарах зүйлс
ENCS платформ нь дотоод мэдээллийн сан (M2 SSD) болон гадаад дискийг дэмждэг. NFVIS нь дотоод мэдээллийн сан дээр суурилагдсан. VNF-г энэ дотоод мэдээллийн сан дээр байрлуулж болно. Энэ нь хэрэглэгчийн өгөгдлийг хадгалах, хэрэглэгчийн програмын Virtual Machines-ийг гадаад диск дээр байрлуулах аюулгүй байдлын шилдэг туршлага юм. Системийн хувьд бие махбодийн хувьд тусдаа дисктэй байх fileпрограмын эсрэг files нь системийн өгөгдлийг авлига, аюулгүй байдлын асуудлаас хамгаалахад тусалдаг.
·
Интерфейсийн тусгаарлалт
Single Root I/O Virtualization буюу SR-IOV нь Ethernet порт гэх мэт PCI Express (PCIe) нөөцүүдийг тусгаарлах боломжийг олгодог техникийн үзүүлэлт юм. SR-IOV-ийг ашиглан нэг Ethernet портыг Виртуал функц гэж нэрлэгддэг олон, тусдаа, физик төхөөрөмж болгон харагдуулах боломжтой. Энэ адаптер дээрх бүх VF төхөөрөмжүүд нь ижил физик сүлжээний портыг хуваалцдаг. Зочин эдгээр Виртуал функцүүдийн нэг буюу хэд хэдэн функцийг ашиглаж болно. Үйлдлийн системд ердийн сүлжээний карт харагддаг шиг виртуал функц нь зочинд сүлжээний карт шиг харагддаг. Виртуал функцууд нь бараг төрөлхийн гүйцэтгэлтэй бөгөөд паравиртуалжуулсан драйверууд болон дууриасан хандалтуудаас илүү сайн гүйцэтгэлийг хангадаг. Виртуал функцууд нь өгөгдлийг техник хангамжаар удирдаж, хянадаг тул нэг физик сервер дээрх зочдын хоорондох мэдээллийн хамгаалалтыг хангадаг. NFVIS VNF нь SR-IOV сүлжээг ашиглан WAN болон LAN Backplane портуудад холбогдох боломжтой.
Аюулгүй байдлын талаар анхаарах зүйлс 28
Аюулгүй байдлын талаар анхаарах зүйлс
Аюулгүй хөгжлийн амьдралын мөчлөг
Ийм VM бүр нь виртуал интерфэйс болон түүний холбогдох нөөцийг эзэмшдэг бөгөөд энэ нь VM-ийн дунд өгөгдлийг хамгаалах боломжийг олгодог.
Аюулгүй хөгжлийн амьдралын мөчлөг
NFVIS нь програм хангамжийн аюулгүй байдлын амьдралын мөчлөгийг (SDL) дагадаг. Энэ нь эмзэг байдлыг багасгах, Cisco шийдлүүдийн аюулгүй байдал, уян хатан чанарыг сайжруулах зорилготой давтагдах боломжтой, хэмжигдэхүйц процесс юм. Cisco SDL нь бүтээгдэхүүний аюулгүй байдлын осол багатай найдвартай шийдлийг бий болгохын тулд салбартаа тэргүүлэгч туршлага, технологийг ашигладаг. NFVIS хувилбар бүр дараах процессуудыг дамждаг.
· Cisco-ийн дотоод болон зах зээлд суурилсан Бүтээгдэхүүний аюулгүй байдлын шаардлагуудыг дагаж мөрдөх · Эмзэг байдлыг хянах зорилгоор Cisco-д төвлөрсөн хадгалах газарт гуравдагч талын программ хангамжийг бүртгэх · CVE-ийн мэдэгдэж буй засвар бүхий программ хангамжийг үе үе засварлах. · Аюулгүй байдлыг харгалзан программ хангамжийг зохион бүтээх · CiscoSSL гэх мэт шалгагдсан аюулгүй байдлын модулиудыг ашиглах зэрэг аюулгүй кодчилолуудыг дагаж мөрдөх, ажиллуулах
Статик дүн шинжилгээ хийх, команд оруулахаас урьдчилан сэргийлэх оролтын баталгаажуулалтыг хэрэгжүүлэх гэх мэт. · IBM AppScan, Nessus болон бусад Cisco дотоод хэрэгслүүд зэрэг Хэрэглээний аюулгүй байдлын хэрэгслийг ашиглах.
Аюулгүй байдлын талаар анхаарах зүйлс 29
Аюулгүй хөгжлийн амьдралын мөчлөг
Аюулгүй байдлын талаар анхаарах зүйлс
Аюулгүй байдлын талаар анхаарах зүйлс 30
Баримт бичиг / нөөц
 |
CISCO Enterprise Network Function Виртуалчлалын дэд бүтцийн програм хангамж [pdf] Хэрэглэгчийн гарын авлага Аж ахуйн нэгжийн сүлжээний функцийн виртуалчлалын дэд бүтцийн програм хангамж, аж ахуйн нэгж, сүлжээний функцийн виртуалчлалын дэд бүтцийн програм хангамж, виртуалчлалын дэд бүтцийн програм хангамж, дэд бүтцийн програм хангамж |
