ਐਂਟਰਪ੍ਰਾਈਜ਼ ਨੈਟਵਰਕ ਫੰਕਸ਼ਨ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਾਫਟਵੇਅਰ
ਉਤਪਾਦ ਜਾਣਕਾਰੀ
ਨਿਰਧਾਰਨ
- NFVIS ਸਾਫਟਵੇਅਰ ਸੰਸਕਰਣ: 3.7.1 ਅਤੇ ਬਾਅਦ ਦਾ
- RPM ਦਸਤਖਤ ਅਤੇ ਦਸਤਖਤ ਪੁਸ਼ਟੀਕਰਨ ਸਮਰਥਿਤ ਹੈ
- ਸੁਰੱਖਿਅਤ ਬੂਟ ਉਪਲਬਧ (ਮੂਲ ਰੂਪ ਵਿੱਚ ਅਯੋਗ)
- ਸੁਰੱਖਿਅਤ ਵਿਲੱਖਣ ਡਿਵਾਈਸ ਆਈਡੈਂਟੀਫਿਕੇਸ਼ਨ (SUDI) ਵਿਧੀ ਵਰਤੀ ਗਈ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
NFVIS ਸੌਫਟਵੇਅਰ ਵੱਖ-ਵੱਖ ਦੁਆਰਾ ਸੁਰੱਖਿਆ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ
ਵਿਧੀ:
- ਚਿੱਤਰ ਟੀamper ਸੁਰੱਖਿਆ: RPM ਦਸਤਖਤ ਅਤੇ ਦਸਤਖਤ ਤਸਦੀਕ
ISO ਅਤੇ ਅੱਪਗਰੇਡ ਚਿੱਤਰਾਂ ਵਿੱਚ ਸਭ RPM ਪੈਕੇਜਾਂ ਲਈ। - RPM ਦਸਤਖਤ: Cisco Enterprise NFVIS ISO ਵਿੱਚ ਸਾਰੇ RPM ਪੈਕੇਜ
ਅਤੇ ਅੱਪਗ੍ਰੇਡ ਚਿੱਤਰਾਂ ਨੂੰ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਇਕਸਾਰਤਾ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਹਸਤਾਖਰ ਕੀਤੇ ਗਏ ਹਨ ਅਤੇ
ਪ੍ਰਮਾਣਿਕਤਾ - RPM ਦਸਤਖਤ ਤਸਦੀਕ: ਸਾਰੇ RPM ਪੈਕੇਜਾਂ ਦੇ ਦਸਤਖਤ ਹਨ
ਇੰਸਟਾਲੇਸ਼ਨ ਜਾਂ ਅੱਪਗਰੇਡ ਤੋਂ ਪਹਿਲਾਂ ਤਸਦੀਕ ਕੀਤਾ ਗਿਆ। - ਚਿੱਤਰ ਇਕਸਾਰਤਾ ਪੁਸ਼ਟੀ: ਸਿਸਕੋ NFVIS ISO ਪ੍ਰਤੀਬਿੰਬ ਦਾ ਹੈਸ਼
ਅਤੇ ਅੱਪਗਰੇਡ ਚਿੱਤਰ ਨੂੰ ਵਾਧੂ ਦੀ ਇਕਸਾਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ
ਗੈਰ-RPM files. - ENCS ਸੁਰੱਖਿਅਤ ਬੂਟ: UEFI ਸਟੈਂਡਰਡ ਦਾ ਹਿੱਸਾ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ
ਡਿਵਾਈਸ ਸਿਰਫ ਭਰੋਸੇਯੋਗ ਸਾਫਟਵੇਅਰ ਵਰਤ ਕੇ ਬੂਟ ਕਰਦੀ ਹੈ। - ਸੁਰੱਖਿਅਤ ਵਿਲੱਖਣ ਡਿਵਾਈਸ ਪਛਾਣ (SUDI): ਡਿਵਾਈਸ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ
ਇਸਦੀ ਅਸਲੀਅਤ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਇੱਕ ਅਟੱਲ ਪਛਾਣ ਦੇ ਨਾਲ।
ਇੰਸਟਾਲੇਸ਼ਨ
NFVIS ਸੌਫਟਵੇਅਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ, ਇਹਨਾਂ ਕਦਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰੋ:
- ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰੋ ਕਿ ਸੌਫਟਵੇਅਰ ਚਿੱਤਰ ਨੂੰ ਟੀ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈampਦੁਆਰਾ ਨਾਲ ered
ਇਸ ਦੇ ਦਸਤਖਤ ਅਤੇ ਅਖੰਡਤਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨਾ. - ਜੇਕਰ Cisco Enterprise NFVIS 3.7.1 ਅਤੇ ਬਾਅਦ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹੋ, ਤਾਂ ਯਕੀਨੀ ਬਣਾਓ ਕਿ
ਦਸਤਖਤ ਦੀ ਤਸਦੀਕ ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ ਪਾਸ ਹੁੰਦੀ ਹੈ। ਜੇ ਇਹ ਅਸਫਲ ਹੁੰਦਾ ਹੈ,
ਇੰਸਟਾਲੇਸ਼ਨ ਨੂੰ ਅਧੂਰਾ ਛੱਡ ਦਿੱਤਾ ਜਾਵੇਗਾ। - ਜੇਕਰ Cisco Enterprise NFVIS 3.6.x ਤੋਂ ਰੀਲੀਜ਼ ਤੱਕ ਅੱਪਗਰੇਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ
3.7.1, ਅੱਪਗਰੇਡ ਦੌਰਾਨ RPM ਹਸਤਾਖਰਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਜੇਕਰ ਦ
ਦਸਤਖਤ ਦੀ ਤਸਦੀਕ ਫੇਲ੍ਹ ਹੋ ਜਾਂਦੀ ਹੈ, ਇੱਕ ਤਰੁੱਟੀ ਲੌਗ ਕੀਤੀ ਗਈ ਹੈ ਪਰ ਅੱਪਗਰੇਡ ਹੈ
ਪੂਰਾ ਕੀਤਾ। - ਜੇਕਰ ਰੀਲੀਜ਼ 3.7.1 ਤੋਂ ਬਾਅਦ ਦੇ ਰੀਲੀਜ਼ਾਂ ਲਈ ਅੱਪਗਰੇਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ, ਤਾਂ RPM
ਹਸਤਾਖਰਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜਦੋਂ ਅੱਪਗਰੇਡ ਚਿੱਤਰ ਰਜਿਸਟਰ ਹੁੰਦਾ ਹੈ। ਜੇ
ਦਸਤਖਤ ਤਸਦੀਕ ਫੇਲ ਹੋ ਜਾਂਦੀ ਹੈ, ਅੱਪਗਰੇਡ ਅਧੂਰਾ ਛੱਡ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। - Cisco NFVIS ISO ਪ੍ਰਤੀਬਿੰਬ ਜਾਂ ਅੱਪਗ੍ਰੇਡ ਚਿੱਤਰ ਦੇ ਹੈਸ਼ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ
ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ:/usr/bin/sha512sum. ਪ੍ਰਕਾਸ਼ਿਤ ਨਾਲ ਹੈਸ਼ ਦੀ ਤੁਲਨਾ ਕਰੋ
<image_filepath>
ਇਕਸਾਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਹੈਸ਼.
ਸੁਰੱਖਿਅਤ ਬੂਟ
ਸੁਰੱਖਿਅਤ ਬੂਟ ਇੱਕ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ ਜੋ ENCS 'ਤੇ ਉਪਲਬਧ ਹੈ (ਮੂਲ ਰੂਪ ਵਿੱਚ ਅਯੋਗ)
ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਡਿਵਾਈਸ ਸਿਰਫ਼ ਭਰੋਸੇਯੋਗ ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬੂਟ ਕਰਦੀ ਹੈ। ਨੂੰ
ਸੁਰੱਖਿਅਤ ਬੂਟ ਨੂੰ ਸਮਰੱਥ ਕਰੋ:
- ਹੋਰ ਲਈ ਹੋਸਟ ਦੇ ਸੁਰੱਖਿਅਤ ਬੂਟ 'ਤੇ ਦਸਤਾਵੇਜ਼ ਵੇਖੋ
ਜਾਣਕਾਰੀ। - ਤੁਹਾਡੇ 'ਤੇ ਸੁਰੱਖਿਅਤ ਬੂਟ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਹਦਾਇਤਾਂ ਦੀ ਪਾਲਣਾ ਕਰੋ
ਜੰਤਰ.
ਸੁਰੱਖਿਅਤ ਵਿਲੱਖਣ ਡਿਵਾਈਸ ਪਛਾਣ (SUDI)
SUDI NFVIS ਨੂੰ ਇੱਕ ਅਟੱਲ ਪਛਾਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ
ਇਹ ਇੱਕ ਅਸਲੀ Cisco ਉਤਪਾਦ ਹੈ ਅਤੇ ਵਿੱਚ ਇਸਦੀ ਮਾਨਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ
ਗਾਹਕ ਦੀ ਵਸਤੂ ਸਿਸਟਮ.
FAQ
ਸਵਾਲ: NFVIS ਕੀ ਹੈ?
A: NFVIS ਦਾ ਅਰਥ ਹੈ ਨੈੱਟਵਰਕ ਫੰਕਸ਼ਨ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ
ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਾਫਟਵੇਅਰ। ਇਹ ਇੱਕ ਸਾਫਟਵੇਅਰ ਪਲੇਟਫਾਰਮ ਹੈ ਜੋ ਤੈਨਾਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ
ਅਤੇ ਵਰਚੁਅਲ ਨੈੱਟਵਰਕ ਫੰਕਸ਼ਨਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰੋ।
ਸਵਾਲ: ਮੈਂ NFVIS ISO ਪ੍ਰਤੀਬਿੰਬ ਦੀ ਇਕਸਾਰਤਾ ਦੀ ਪੁਸ਼ਟੀ ਕਿਵੇਂ ਕਰ ਸਕਦਾ ਹਾਂ ਜਾਂ
ਚਿੱਤਰ ਨੂੰ ਅੱਪਗਰੇਡ?
A: ਇਕਸਾਰਤਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ, ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ
/usr/bin/sha512sum <image_filepath> ਅਤੇ ਤੁਲਨਾ ਕਰੋ
Cisco ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਪ੍ਰਕਾਸ਼ਿਤ ਹੈਸ਼ ਦੇ ਨਾਲ ਹੈਸ਼.
ਸਵਾਲ: ਕੀ ENCS 'ਤੇ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਅਤ ਬੂਟ ਸਮਰਥਿਤ ਹੈ?
ਜਵਾਬ: ਨਹੀਂ, ਸੁਰੱਖਿਅਤ ਬੂਟ ENCS 'ਤੇ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਅਸਮਰੱਥ ਹੈ। ਇਹ ਹੈ
ਵਧੀ ਹੋਈ ਸੁਰੱਖਿਆ ਲਈ ਸੁਰੱਖਿਅਤ ਬੂਟ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਸਵਾਲ: NFVIS ਵਿੱਚ SUDI ਦਾ ਕੀ ਮਕਸਦ ਹੈ?
A: SUDI NFVIS ਨੂੰ ਇੱਕ ਵਿਲੱਖਣ ਅਤੇ ਅਟੱਲ ਪਛਾਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ,
ਸਿਸਕੋ ਉਤਪਾਦ ਦੇ ਤੌਰ 'ਤੇ ਇਸਦੀ ਅਸਲੀਅਤ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣਾ ਅਤੇ ਇਸਦੀ ਸਹੂਲਤ ਪ੍ਰਦਾਨ ਕਰਨਾ
ਗਾਹਕ ਦੀ ਵਸਤੂ ਸੂਚੀ ਵਿੱਚ ਮਾਨਤਾ.
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਇਹ ਅਧਿਆਇ NFVIS ਵਿੱਚ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਅਤੇ ਵਿਚਾਰਾਂ ਦਾ ਵਰਣਨ ਕਰਦਾ ਹੈ। ਇਹ ਇੱਕ ਉੱਚ ਪੱਧਰੀ ਓਵਰ ਦਿੰਦਾ ਹੈview ਤੁਹਾਡੇ ਲਈ ਖਾਸ ਤੈਨਾਤੀਆਂ ਲਈ ਸੁਰੱਖਿਆ ਰਣਨੀਤੀ ਦੀ ਯੋਜਨਾ ਬਣਾਉਣ ਲਈ NFVIS ਵਿੱਚ ਸੁਰੱਖਿਆ ਨਾਲ ਸਬੰਧਤ ਭਾਗ। ਇਸ ਵਿੱਚ ਨੈਟਵਰਕ ਸੁਰੱਖਿਆ ਦੇ ਮੁੱਖ ਤੱਤਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਸੁਰੱਖਿਆ ਦੇ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸਾਂ ਬਾਰੇ ਸਿਫ਼ਾਰਿਸ਼ਾਂ ਵੀ ਹਨ। NFVIS ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਸਾਰੀਆਂ ਸੌਫਟਵੇਅਰ ਲੇਅਰਾਂ ਰਾਹੀਂ ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਹੀ ਸੁਰੱਖਿਆ ਏਮਬੈਡ ਕੀਤੀ ਗਈ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ ਦੇ ਅਧਿਆਏ ਇਹਨਾਂ ਆਊਟ-ਆਫ-ਦ-ਬਾਕਸ ਸੁਰੱਖਿਆ ਪਹਿਲੂਆਂ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦੇ ਹਨ ਜਿਵੇਂ ਕਿ ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਬੰਧਨ, ਇਕਸਾਰਤਾ ਅਤੇ ਟੀ.amper ਸੁਰੱਖਿਆ, ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ, ਸੁਰੱਖਿਅਤ ਡਿਵਾਈਸ ਪਹੁੰਚ ਅਤੇ ਹੋਰ ਬਹੁਤ ਕੁਝ।
· ਸਥਾਪਨਾ, ਪੰਨਾ 2 'ਤੇ · ਸੁਰੱਖਿਅਤ ਵਿਲੱਖਣ ਡਿਵਾਈਸ ਪਛਾਣ, ਪੰਨਾ 3 'ਤੇ · ਡਿਵਾਈਸ ਐਕਸੈਸ, ਪੰਨਾ 4 'ਤੇ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 1
ਇੰਸਟਾਲੇਸ਼ਨ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
· ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਬੰਧਨ ਨੈੱਟਵਰਕ, ਪੰਨਾ 22 'ਤੇ · ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤੀ ਸੂਚਨਾ ਸੁਰੱਖਿਆ, ਪੰਨਾ 23 'ਤੇ · File ਟ੍ਰਾਂਸਫਰ, ਪੰਨਾ 24 'ਤੇ · ਲੌਗਿੰਗ, ਪੰਨਾ 24 'ਤੇ · ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਸੁਰੱਖਿਆ, ਪੰਨਾ 25 'ਤੇ · VM ਆਈਸੋਲੇਸ਼ਨ ਅਤੇ ਰਿਸੋਰਸ ਪ੍ਰੋਵਿਜ਼ਨਿੰਗ, ਪੰਨਾ 26 'ਤੇ · ਸਿਕਿਓਰ ਡਿਵੈਲਪਮੈਂਟ ਲਾਈਫਸਾਈਕਲ, ਪੰਨਾ 29 'ਤੇ
ਇੰਸਟਾਲੇਸ਼ਨ
ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ NFVIS ਸਾਫਟਵੇਅਰ ਟੀampਦੇ ਨਾਲ ered, ਸਾਫਟਵੇਅਰ ਚਿੱਤਰ ਨੂੰ ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਪਹਿਲਾਂ ਹੇਠ ਲਿਖੀਆਂ ਵਿਧੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ:
ਚਿੱਤਰ ਟੀamper ਸੁਰੱਖਿਆ
NFVIS ISO ਅਤੇ ਅੱਪਗ੍ਰੇਡ ਚਿੱਤਰਾਂ ਵਿੱਚ ਸਾਰੇ RPM ਪੈਕੇਜਾਂ ਲਈ RPM ਦਸਤਖਤ ਅਤੇ ਦਸਤਖਤ ਤਸਦੀਕ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।
RPM ਦਸਤਖਤ
ਸਿਸਕੋ ਐਂਟਰਪ੍ਰਾਈਜ਼ NFVIS ISO ਅਤੇ ਅੱਪਗਰੇਡ ਚਿੱਤਰਾਂ ਵਿੱਚ ਸਾਰੇ RPM ਪੈਕੇਜ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਇਕਸਾਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਹਸਤਾਖਰ ਕੀਤੇ ਗਏ ਹਨ। ਇਹ ਗਾਰੰਟੀ ਦਿੰਦਾ ਹੈ ਕਿ RPM ਪੈਕੇਜ ਟੀ ਨਹੀਂ ਹੋਏ ਹਨampਨਾਲ ered ਅਤੇ RPM ਪੈਕੇਜ NFVIS ਤੋਂ ਹਨ। RPM ਪੈਕੇਜਾਂ 'ਤੇ ਦਸਤਖਤ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ Cisco ਦੁਆਰਾ ਬਣਾਈ ਅਤੇ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਬਣਾਈ ਜਾਂਦੀ ਹੈ।
RPM ਦਸਤਖਤ ਤਸਦੀਕ
NFVIS ਸਾਫਟਵੇਅਰ ਇੰਸਟਾਲੇਸ਼ਨ ਜਾਂ ਅੱਪਗਰੇਡ ਤੋਂ ਪਹਿਲਾਂ ਸਾਰੇ RPM ਪੈਕੇਜਾਂ ਦੇ ਦਸਤਖਤ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ। ਹੇਠ ਦਿੱਤੀ ਸਾਰਣੀ ਸਿਸਕੋ ਐਂਟਰਪ੍ਰਾਈਜ਼ NFVIS ਵਿਵਹਾਰ ਬਾਰੇ ਦੱਸਦੀ ਹੈ ਜਦੋਂ ਇੱਕ ਇੰਸਟਾਲੇਸ਼ਨ ਜਾਂ ਅੱਪਗਰੇਡ ਦੌਰਾਨ ਦਸਤਖਤ ਤਸਦੀਕ ਅਸਫਲ ਹੋ ਜਾਂਦੀ ਹੈ।
ਦ੍ਰਿਸ਼
ਵਰਣਨ
Cisco Enterprise NFVIS 3.7.1 ਅਤੇ ਬਾਅਦ ਦੀਆਂ ਇੰਸਟਾਲੇਸ਼ਨਾਂ ਜੇਕਰ Cisco Enterprise NFVIS ਨੂੰ ਇੰਸਟਾਲ ਕਰਨ ਦੌਰਾਨ ਦਸਤਖਤ ਤਸਦੀਕ ਫੇਲ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇੰਸਟਾਲੇਸ਼ਨ ਬੰਦ ਕਰ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ।
Cisco Enterprise NFVIS 3.6.x ਤੋਂ ਰੀਲੀਜ਼ 3.7.1 ਤੱਕ ਅੱਪਗਰੇਡ
RPM ਦਸਤਖਤਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜਦੋਂ ਅੱਪਗਰੇਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਦਸਤਖਤ ਤਸਦੀਕ ਅਸਫਲ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇੱਕ ਤਰੁੱਟੀ ਲੌਗ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਪਰ ਅੱਪਗਰੇਡ ਪੂਰਾ ਹੋ ਜਾਂਦਾ ਹੈ।
ਰੀਲੀਜ਼ 3.7.1 ਤੋਂ ਸਿਸਕੋ ਐਂਟਰਪ੍ਰਾਈਜ਼ NFVIS ਅੱਪਗਰੇਡ ਜਦੋਂ ਅੱਪਗਰੇਡ ਹੁੰਦਾ ਹੈ ਤਾਂ RPM ਹਸਤਾਖਰਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ
ਬਾਅਦ ਵਿੱਚ ਰੀਲੀਜ਼ ਕਰਨ ਲਈ
ਚਿੱਤਰ ਦਰਜ ਹੈ। ਜੇਕਰ ਦਸਤਖਤ ਦੀ ਤਸਦੀਕ ਅਸਫਲ ਹੋ ਜਾਂਦੀ ਹੈ,
ਅੱਪਗਰੇਡ ਅਧੂਰਾ ਛੱਡ ਦਿੱਤਾ ਗਿਆ ਹੈ।
ਚਿੱਤਰ ਇਕਸਾਰਤਾ ਪੁਸ਼ਟੀਕਰਨ
RPM ਦਸਤਖਤ ਅਤੇ ਦਸਤਖਤ ਦੀ ਤਸਦੀਕ ਸਿਰਫ Cisco NFVIS ISO ਅਤੇ ਅੱਪਗ੍ਰੇਡ ਚਿੱਤਰਾਂ ਵਿੱਚ ਉਪਲਬਧ RPM ਪੈਕੇਜਾਂ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਸਾਰੇ ਵਾਧੂ ਗੈਰ-RPM ਦੀ ਇਕਸਾਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ files Cisco NFVIS ISO ਪ੍ਰਤੀਬਿੰਬ ਵਿੱਚ ਉਪਲਬਧ ਹੈ, Cisco NFVIS ISO ਪ੍ਰਤੀਬਿੰਬ ਦਾ ਇੱਕ ਹੈਸ਼ ਚਿੱਤਰ ਦੇ ਨਾਲ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸੇ ਤਰ੍ਹਾਂ, Cisco NFVIS ਅੱਪਗਰੇਡ ਚਿੱਤਰ ਦਾ ਇੱਕ ਹੈਸ਼ ਚਿੱਤਰ ਦੇ ਨਾਲ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਕਿ ਸਿਸਕੋ ਦਾ ਹੈਸ਼
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 2
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ENCS ਸੁਰੱਖਿਅਤ ਬੂਟ
NFVIS ISO ਪ੍ਰਤੀਬਿੰਬ ਜਾਂ ਅੱਪਗਰੇਡ ਚਿੱਤਰ ਸਿਸਕੋ ਦੁਆਰਾ ਪ੍ਰਕਾਸ਼ਿਤ ਹੈਸ਼ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਚਲਾਓ ਅਤੇ ਪ੍ਰਕਾਸ਼ਿਤ ਹੈਸ਼ ਨਾਲ ਹੈਸ਼ ਦੀ ਤੁਲਨਾ ਕਰੋ:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ਚਿੱਤਰFile>
ENCS ਸੁਰੱਖਿਅਤ ਬੂਟ
ਸਿਕਿਓਰ ਬੂਟ ਯੂਨੀਫਾਈਡ ਐਕਸਟੈਂਸੀਬਲ ਫਰਮਵੇਅਰ ਇੰਟਰਫੇਸ (UEFI) ਸਟੈਂਡਰਡ ਦਾ ਹਿੱਸਾ ਹੈ ਜੋ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਇੱਕ ਡਿਵਾਈਸ ਸਿਰਫ ਇੱਕ ਸਾਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬੂਟ ਕਰਦੀ ਹੈ ਜੋ ਅਸਲ ਉਪਕਰਣ ਨਿਰਮਾਤਾ (OEM) ਦੁਆਰਾ ਭਰੋਸੇਯੋਗ ਹੈ। ਜਦੋਂ NFVIS ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਫਰਮਵੇਅਰ ਬੂਟ ਸੌਫਟਵੇਅਰ ਅਤੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੇ ਦਸਤਖਤ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਦਸਤਖਤ ਵੈਧ ਹਨ, ਤਾਂ ਡਿਵਾਈਸ ਬੂਟ ਹੋ ਜਾਂਦੀ ਹੈ, ਅਤੇ ਫਰਮਵੇਅਰ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਨੂੰ ਨਿਯੰਤਰਣ ਦਿੰਦਾ ਹੈ।
ਸੁਰੱਖਿਅਤ ਬੂਟ ENCS 'ਤੇ ਉਪਲਬਧ ਹੈ ਪਰ ਮੂਲ ਰੂਪ ਵਿੱਚ ਅਯੋਗ ਹੈ। Cisco ਤੁਹਾਨੂੰ ਸੁਰੱਖਿਅਤ ਬੂਟ ਯੋਗ ਕਰਨ ਦੀ ਸਿਫ਼ਾਰਸ਼ ਕਰਦਾ ਹੈ। ਵਧੇਰੇ ਜਾਣਕਾਰੀ ਲਈ, ਮੇਜ਼ਬਾਨ ਦਾ ਸੁਰੱਖਿਅਤ ਬੂਟ ਵੇਖੋ।
ਸੁਰੱਖਿਅਤ ਵਿਲੱਖਣ ਡਿਵਾਈਸ ਪਛਾਣ
NFVIS ਇੱਕ ਮਕੈਨਿਜ਼ਮ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜਿਸਨੂੰ ਸੁਰੱਖਿਅਤ ਵਿਲੱਖਣ ਡਿਵਾਈਸ ਆਈਡੈਂਟੀਫਿਕੇਸ਼ਨ (SUDI) ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਇਸਨੂੰ ਇੱਕ ਅਟੱਲ ਪਛਾਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਸ ਪਛਾਣ ਦੀ ਵਰਤੋਂ ਇਹ ਤਸਦੀਕ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਡਿਵਾਈਸ ਇੱਕ ਅਸਲੀ Cisco ਉਤਪਾਦ ਹੈ, ਅਤੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਡਿਵਾਈਸ ਗਾਹਕ ਦੀ ਵਸਤੂ-ਸੂਚੀ ਪ੍ਰਣਾਲੀ ਲਈ ਚੰਗੀ ਤਰ੍ਹਾਂ ਜਾਣੀ ਜਾਂਦੀ ਹੈ।
SUDI ਇੱਕ X.509v3 ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਇੱਕ ਸੰਬੰਧਿਤ ਕੁੰਜੀ-ਜੋੜਾ ਹੈ ਜੋ ਹਾਰਡਵੇਅਰ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਹੈ। SUDI ਸਰਟੀਫਿਕੇਟ ਵਿੱਚ ਉਤਪਾਦ ਪਛਾਣਕਰਤਾ ਅਤੇ ਸੀਰੀਅਲ ਨੰਬਰ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਅਤੇ ਇਹ Cisco Public Key Infrastructure ਵਿੱਚ ਰੂਟ ਹੁੰਦਾ ਹੈ। ਕੁੰਜੀ ਜੋੜਾ ਅਤੇ SUDI ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਨਿਰਮਾਣ ਦੌਰਾਨ ਹਾਰਡਵੇਅਰ ਮੋਡੀਊਲ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਨਿੱਜੀ ਕੁੰਜੀ ਨੂੰ ਕਦੇ ਵੀ ਨਿਰਯਾਤ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
SUDI-ਅਧਾਰਿਤ ਪਛਾਣ ਦੀ ਵਰਤੋਂ ਜ਼ੀਰੋ ਟੱਚ ਪ੍ਰੋਵੀਜ਼ਨਿੰਗ (ZTP) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਮਾਣਿਤ ਅਤੇ ਸਵੈਚਲਿਤ ਸੰਰਚਨਾ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਇਹ ਡਿਵਾਈਸਾਂ ਦੀ ਸੁਰੱਖਿਅਤ, ਰਿਮੋਟ ਆਨ-ਬੋਰਡਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਅਤੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਆਰਕੈਸਟਰੇਸ਼ਨ ਸਰਵਰ ਇੱਕ ਅਸਲੀ NFVIS ਡਿਵਾਈਸ ਨਾਲ ਗੱਲ ਕਰ ਰਿਹਾ ਹੈ। ਇੱਕ ਬੈਕਐਂਡ ਸਿਸਟਮ ਆਪਣੀ ਪਛਾਣ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ NFVIS ਡਿਵਾਈਸ ਨੂੰ ਇੱਕ ਚੁਣੌਤੀ ਦੇ ਸਕਦਾ ਹੈ ਅਤੇ ਡਿਵਾਈਸ ਆਪਣੀ SUDI ਅਧਾਰਤ ਪਛਾਣ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਚੁਣੌਤੀ ਦਾ ਜਵਾਬ ਦੇਵੇਗੀ। ਇਹ ਬੈਕਐਂਡ ਸਿਸਟਮ ਨੂੰ ਨਾ ਸਿਰਫ਼ ਆਪਣੀ ਵਸਤੂ ਸੂਚੀ ਦੇ ਵਿਰੁੱਧ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ ਕਿ ਸਹੀ ਡਿਵਾਈਸ ਸਹੀ ਸਥਾਨ 'ਤੇ ਹੈ, ਸਗੋਂ ਐਨਕ੍ਰਿਪਟਡ ਕੌਂਫਿਗਰੇਸ਼ਨ ਵੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਜੋ ਸਿਰਫ਼ ਖਾਸ ਡਿਵਾਈਸ ਦੁਆਰਾ ਖੋਲ੍ਹਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਆਵਾਜਾਈ ਵਿੱਚ ਗੁਪਤਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।
ਹੇਠਾਂ ਦਿੱਤੇ ਵਰਕਫਲੋ ਚਿੱਤਰ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਕਿਵੇਂ NFVIS SUDI ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ:
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 3
ਡਿਵਾਈਸ ਐਕਸੈਸ ਚਿੱਤਰ 1: ਪਲੱਗ ਐਂਡ ਪਲੇ (PnP) ਸਰਵਰ ਪ੍ਰਮਾਣਿਕਤਾ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਚਿੱਤਰ 2: ਪਲੱਗ ਅਤੇ ਪਲੇ ਡਿਵਾਈਸ ਪ੍ਰਮਾਣੀਕਰਨ ਅਤੇ ਅਧਿਕਾਰ
ਡਿਵਾਈਸ ਐਕਸੈਸ
NFVIS ਪਰੋਟੋਕਾਲ ਜਿਵੇਂ ਕਿ HTTPS ਅਤੇ SSH 'ਤੇ ਆਧਾਰਿਤ ਕੰਸੋਲ ਦੇ ਨਾਲ-ਨਾਲ ਰਿਮੋਟ ਐਕਸੈਸ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਪਹੁੰਚ ਵਿਧੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਹਰੇਕ ਪਹੁੰਚ ਵਿਧੀ ਨੂੰ ਧਿਆਨ ਨਾਲ ਦੁਬਾਰਾ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈviewed ਅਤੇ ਸੰਰਚਿਤ. ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰੋ ਕਿ ਸਿਰਫ ਲੋੜੀਂਦੇ ਪਹੁੰਚ ਵਿਧੀਆਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਉਹ ਸਹੀ ਢੰਗ ਨਾਲ ਸੁਰੱਖਿਅਤ ਹਨ। NFVIS ਤੱਕ ਇੰਟਰਐਕਟਿਵ ਅਤੇ ਮੈਨੇਜਮੈਂਟ ਐਕਸੈਸ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੇ ਮੁੱਖ ਕਦਮ ਡਿਵਾਈਸ ਦੀ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰਨਾ, ਅਨੁਮਤੀ ਪ੍ਰਾਪਤ ਉਪਭੋਗਤਾਵਾਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਲੋੜੀਂਦੇ ਤੱਕ ਸੀਮਤ ਕਰਨਾ, ਅਤੇ ਪਹੁੰਚ ਦੇ ਅਨੁਮਤੀ ਵਾਲੇ ਤਰੀਕਿਆਂ ਨੂੰ ਸੀਮਤ ਕਰਨਾ ਹੈ। NFVIS ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਪਹੁੰਚ ਸਿਰਫ਼ ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਦਿੱਤੀ ਗਈ ਹੈ ਅਤੇ ਉਹ ਸਿਰਫ਼ ਅਧਿਕਾਰਤ ਕਾਰਵਾਈਆਂ ਕਰ ਸਕਦੇ ਹਨ। ਡਿਵਾਈਸ ਐਕਸੈਸ ਨੂੰ ਆਡਿਟਿੰਗ ਲਈ ਲੌਗ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ NFVIS ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਗੁਪਤਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ। NFVIS ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਨੂੰ ਰੋਕਣ ਲਈ ਉਚਿਤ ਨਿਯੰਤਰਣ ਸਥਾਪਤ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਹੇਠਾਂ ਦਿੱਤੇ ਭਾਗ ਇਸ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸਾਂ ਅਤੇ ਸੰਰਚਨਾਵਾਂ ਦਾ ਵਰਣਨ ਕਰਦੇ ਹਨ:
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 4
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਪਹਿਲੇ ਲੌਗਇਨ 'ਤੇ ਪਾਸਵਰਡ ਤਬਦੀਲੀ ਨੂੰ ਲਾਗੂ ਕੀਤਾ ਗਿਆ
ਪਹਿਲੇ ਲੌਗਇਨ 'ਤੇ ਪਾਸਵਰਡ ਤਬਦੀਲੀ ਨੂੰ ਲਾਗੂ ਕੀਤਾ ਗਿਆ
ਪੂਰਵ-ਨਿਰਧਾਰਤ ਪ੍ਰਮਾਣ ਪੱਤਰ ਉਤਪਾਦ ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਦਾ ਇੱਕ ਅਕਸਰ ਸਰੋਤ ਹੁੰਦੇ ਹਨ। ਗਾਹਕ ਅਕਸਰ ਡਿਫੌਲਟ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਬਦਲਣਾ ਭੁੱਲ ਜਾਂਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮ ਨੂੰ ਹਮਲੇ ਲਈ ਖੁੱਲ੍ਹਾ ਛੱਡ ਦਿੰਦੇ ਹਨ। ਇਸ ਨੂੰ ਰੋਕਣ ਲਈ, NFVIS ਉਪਭੋਗਤਾ ਨੂੰ ਡਿਫਾਲਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ (ਉਪਭੋਗਤਾ ਨਾਮ: ਐਡਮਿਨ ਅਤੇ ਪਾਸਵਰਡ Admin123#) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪਹਿਲੇ ਲੌਗਇਨ ਤੋਂ ਬਾਅਦ ਪਾਸਵਰਡ ਬਦਲਣ ਲਈ ਮਜਬੂਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, NFVIS ਤੱਕ ਪਹੁੰਚ ਵੇਖੋ।
ਲਾਗਇਨ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸੀਮਤ ਕਰਨਾ
ਤੁਸੀਂ ਨਿਮਨਲਿਖਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡਿਕਸ਼ਨਰੀ ਅਤੇ ਡਿਨਾਇਲ ਆਫ਼ ਸਰਵਿਸ (DoS) ਹਮਲਿਆਂ ਦੀ ਕਮਜ਼ੋਰੀ ਨੂੰ ਰੋਕ ਸਕਦੇ ਹੋ।
ਮਜ਼ਬੂਤ ਪਾਸਵਰਡ ਲਾਗੂ ਕਰਨਾ
ਇੱਕ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਸਿਰਫ ਇਸਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਮਜ਼ਬੂਤ ਹੈ। ਇਸ ਕਾਰਨ ਕਰਕੇ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਉਪਭੋਗਤਾਵਾਂ ਕੋਲ ਮਜ਼ਬੂਤ ਪਾਸਵਰਡ ਹਨ। NFVIS ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਇੱਕ ਮਜ਼ਬੂਤ ਪਾਸਵਰਡ ਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਨਿਯਮਾਂ ਅਨੁਸਾਰ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ: ਪਾਸਵਰਡ ਵਿੱਚ ਇਹ ਸ਼ਾਮਲ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ:
· ਘੱਟੋ-ਘੱਟ ਇੱਕ ਅਪਰਕੇਸ ਅੱਖਰ · ਘੱਟੋ-ਘੱਟ ਇੱਕ ਛੋਟਾ ਅੱਖਰ · ਘੱਟੋ-ਘੱਟ ਇੱਕ ਨੰਬਰ · ਇਹਨਾਂ ਵਿਸ਼ੇਸ਼ ਅੱਖਰਾਂ ਵਿੱਚੋਂ ਘੱਟੋ-ਘੱਟ ਇੱਕ: ਹੈਸ਼ (#), ਅੰਡਰਸਕੋਰ (_), ਹਾਈਫ਼ਨ (-), ਤਾਰਾ (*), ਜਾਂ ਸਵਾਲ
ਨਿਸ਼ਾਨ (?) · ਸੱਤ ਅੱਖਰ ਜਾਂ ਵੱਧ · ਪਾਸਵਰਡ ਦੀ ਲੰਬਾਈ 7 ਅਤੇ 128 ਅੱਖਰਾਂ ਦੇ ਵਿਚਕਾਰ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ।
ਪਾਸਵਰਡਾਂ ਲਈ ਘੱਟੋ-ਘੱਟ ਲੰਬਾਈ ਦੀ ਸੰਰਚਨਾ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ
ਪਾਸਵਰਡ ਦੀ ਗੁੰਝਲਤਾ ਦੀ ਘਾਟ, ਖਾਸ ਤੌਰ 'ਤੇ ਪਾਸਵਰਡ ਦੀ ਲੰਬਾਈ, ਖੋਜ ਸਪੇਸ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਘਟਾ ਦਿੰਦੀ ਹੈ ਜਦੋਂ ਹਮਲਾਵਰ ਉਪਭੋਗਤਾ ਪਾਸਵਰਡ ਦਾ ਅਨੁਮਾਨ ਲਗਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਬ੍ਰੂਟ-ਫੋਰਸ ਹਮਲੇ ਬਹੁਤ ਆਸਾਨ ਹੋ ਜਾਂਦੇ ਹਨ। ਪ੍ਰਸ਼ਾਸਕ ਉਪਭੋਗਤਾ ਸਾਰੇ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਪਾਸਵਰਡਾਂ ਲਈ ਲੋੜੀਂਦੀ ਘੱਟੋ-ਘੱਟ ਲੰਬਾਈ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦਾ ਹੈ। ਘੱਟੋ-ਘੱਟ ਲੰਬਾਈ 7 ਅਤੇ 128 ਅੱਖਰਾਂ ਦੇ ਵਿਚਕਾਰ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ। ਮੂਲ ਰੂਪ ਵਿੱਚ, ਪਾਸਵਰਡ ਲਈ ਲੋੜੀਂਦੀ ਘੱਟੋ-ਘੱਟ ਲੰਬਾਈ 7 ਅੱਖਰਾਂ 'ਤੇ ਸੈੱਟ ਕੀਤੀ ਗਈ ਹੈ। CLI:
nfvis(config)# rbac ਪ੍ਰਮਾਣਿਕਤਾ min-pwd-ਲੰਬਾਈ 9
API:
/api/config/rbac/authentication/min-pwd-length
ਪਾਸਵਰਡ ਲਾਈਫਟਾਈਮ ਕੌਂਫਿਗਰ ਕਰਨਾ
ਪਾਸਵਰਡ ਲਾਈਫਟਾਈਮ ਇਹ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਨੂੰ ਇਸਨੂੰ ਬਦਲਣ ਲਈ ਲੋੜੀਂਦੇ ਪਾਸਵਰਡ ਦੀ ਕਿੰਨੀ ਦੇਰ ਤੱਕ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 5
ਪਿਛਲੇ ਪਾਸਵਰਡ ਦੀ ਮੁੜ ਵਰਤੋਂ ਨੂੰ ਸੀਮਤ ਕਰੋ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਪ੍ਰਸ਼ਾਸਕ ਉਪਭੋਗਤਾ ਸਾਰੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਪਾਸਵਰਡਾਂ ਲਈ ਘੱਟੋ-ਘੱਟ ਅਤੇ ਵੱਧ ਤੋਂ ਵੱਧ ਉਮਰ ਭਰ ਦੇ ਮੁੱਲਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਇਹਨਾਂ ਮੁੱਲਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਨਿਯਮ ਲਾਗੂ ਕਰ ਸਕਦਾ ਹੈ। ਡਿਫੌਲਟ ਨਿਊਨਤਮ ਜੀਵਨ ਕਾਲ ਮੁੱਲ 1 ਦਿਨ ਅਤੇ ਪੂਰਵ-ਨਿਰਧਾਰਤ ਅਧਿਕਤਮ ਜੀਵਨ ਕਾਲ ਮੁੱਲ 60 ਦਿਨਾਂ 'ਤੇ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਜਦੋਂ ਘੱਟੋ-ਘੱਟ ਉਮਰ ਭਰ ਦਾ ਮੁੱਲ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਪਭੋਗਤਾ ਪਾਸਵਰਡ ਨੂੰ ਉਦੋਂ ਤੱਕ ਨਹੀਂ ਬਦਲ ਸਕਦਾ ਜਦੋਂ ਤੱਕ ਨਿਰਧਾਰਤ ਦਿਨਾਂ ਦੀ ਗਿਣਤੀ ਨਹੀਂ ਲੰਘ ਜਾਂਦੀ। ਇਸੇ ਤਰ੍ਹਾਂ, ਜਦੋਂ ਇੱਕ ਅਧਿਕਤਮ ਜੀਵਨ ਕਾਲ ਮੁੱਲ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਉਪਭੋਗਤਾ ਨੂੰ ਦਿਨ ਦੀ ਨਿਰਧਾਰਤ ਸੰਖਿਆ ਲੰਘਣ ਤੋਂ ਪਹਿਲਾਂ ਪਾਸਵਰਡ ਬਦਲਣਾ ਚਾਹੀਦਾ ਹੈ। ਜੇਕਰ ਕੋਈ ਉਪਭੋਗਤਾ ਪਾਸਵਰਡ ਨਹੀਂ ਬਦਲਦਾ ਹੈ ਅਤੇ ਨਿਰਧਾਰਤ ਦਿਨ ਲੰਘ ਗਏ ਹਨ, ਤਾਂ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਸੂਚਨਾ ਭੇਜੀ ਜਾਂਦੀ ਹੈ।
ਨੋਟ ਕਰੋ ਘੱਟੋ-ਘੱਟ ਅਤੇ ਵੱਧ ਤੋਂ ਵੱਧ ਉਮਰ ਭਰ ਦੇ ਮੁੱਲ ਅਤੇ ਇਹਨਾਂ ਮੁੱਲਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਨਿਯਮ ਪ੍ਰਬੰਧਕ ਉਪਭੋਗਤਾ 'ਤੇ ਲਾਗੂ ਨਹੀਂ ਹੁੰਦੇ ਹਨ।
CLI:
ਟਰਮੀਨਲ ਆਰਬੀਏਸੀ ਪ੍ਰਮਾਣੀਕਰਨ ਪਾਸਵਰਡ-ਲਾਈਫਟਾਈਮ ਇਨਫੋਰਸ ਟਰੂ ਮਿਨ-ਡੇਜ਼ 2 ਅਧਿਕਤਮ-ਦਿਨ 30 ਕਮਿਟ ਕਰੋ
API:
/api/config/rbac/authentication/password-lifetime/
ਪਿਛਲੇ ਪਾਸਵਰਡ ਦੀ ਮੁੜ ਵਰਤੋਂ ਨੂੰ ਸੀਮਤ ਕਰੋ
ਪਿਛਲੇ ਗੁਪਤਕੋਡਾਂ ਦੀ ਵਰਤੋਂ ਨੂੰ ਰੋਕਣ ਤੋਂ ਬਿਨਾਂ, ਪਾਸਵਰਡ ਦੀ ਮਿਆਦ ਬਹੁਤ ਹੱਦ ਤੱਕ ਬੇਕਾਰ ਹੈ ਕਿਉਂਕਿ ਉਪਭੋਗਤਾ ਬਸ ਗੁਪਤਕੋਡ ਨੂੰ ਬਦਲ ਸਕਦੇ ਹਨ ਅਤੇ ਫਿਰ ਇਸਨੂੰ ਅਸਲ ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹਨ। NFVIS ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਨਵਾਂ ਪਾਸਵਰਡ 5 ਪਹਿਲਾਂ ਵਰਤੇ ਗਏ ਪਾਸਵਰਡਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਰਗਾ ਨਹੀਂ ਹੈ। ਇਸ ਨਿਯਮ ਦਾ ਇੱਕ ਅਪਵਾਦ ਇਹ ਹੈ ਕਿ ਐਡਮਿਨ ਉਪਭੋਗਤਾ ਪਾਸਵਰਡ ਨੂੰ ਡਿਫੌਲਟ ਪਾਸਵਰਡ ਵਿੱਚ ਬਦਲ ਸਕਦਾ ਹੈ ਭਾਵੇਂ ਇਹ 5 ਪਹਿਲਾਂ ਵਰਤੇ ਗਏ ਪਾਸਵਰਡਾਂ ਵਿੱਚੋਂ ਇੱਕ ਸੀ।
ਲੌਗਇਨ ਕੋਸ਼ਿਸ਼ਾਂ ਦੀ ਬਾਰੰਬਾਰਤਾ ਨੂੰ ਸੀਮਤ ਕਰੋ
ਜੇਕਰ ਕਿਸੇ ਰਿਮੋਟ ਪੀਅਰ ਨੂੰ ਅਣਗਿਣਤ ਵਾਰ ਲੌਗਇਨ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇਹ ਅੰਤ ਵਿੱਚ ਬਰੂਟ ਫੋਰਸ ਦੁਆਰਾ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਅਨੁਮਾਨ ਲਗਾਉਣ ਦੇ ਯੋਗ ਹੋ ਸਕਦਾ ਹੈ। ਕਿਉਂਕਿ ਗੁਪਤਕੋਡਾਂ ਦਾ ਅੰਦਾਜ਼ਾ ਲਗਾਉਣਾ ਅਕਸਰ ਆਸਾਨ ਹੁੰਦਾ ਹੈ, ਇਹ ਇੱਕ ਆਮ ਹਮਲਾ ਹੈ। ਉਸ ਦਰ ਨੂੰ ਸੀਮਿਤ ਕਰਕੇ ਜਿਸ 'ਤੇ ਪੀਅਰ ਲੌਗਇਨ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਸਕਦਾ ਹੈ, ਅਸੀਂ ਇਸ ਹਮਲੇ ਨੂੰ ਰੋਕਦੇ ਹਾਂ। ਅਸੀਂ ਸਿਸਟਮ ਸਰੋਤਾਂ ਨੂੰ ਬੇਲੋੜੇ ਤੌਰ 'ਤੇ ਇਹਨਾਂ ਬੇਰਹਿਮ-ਫੋਰਸ ਲੌਗਇਨ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ 'ਤੇ ਖਰਚਣ ਤੋਂ ਵੀ ਪਰਹੇਜ਼ ਕਰਦੇ ਹਾਂ ਜੋ ਸੇਵਾ ਦੇ ਹਮਲੇ ਤੋਂ ਇਨਕਾਰ ਕਰ ਸਕਦੇ ਹਨ। NFVIS 5 ਅਸਫਲ ਲੌਗਇਨ ਕੋਸ਼ਿਸ਼ਾਂ ਤੋਂ ਬਾਅਦ 10 ਮਿੰਟ ਦਾ ਉਪਭੋਗਤਾ ਲੌਕਡਾਊਨ ਲਾਗੂ ਕਰਦਾ ਹੈ।
ਅਕਿਰਿਆਸ਼ੀਲ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਓ
ਉਪਭੋਗਤਾ ਦੀ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨਾ ਅਤੇ ਨਾ-ਵਰਤੇ ਜਾਂ ਪੁਰਾਣੇ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਨੂੰ ਅਯੋਗ ਕਰਨਾ ਸਿਸਟਮ ਨੂੰ ਅੰਦਰੂਨੀ ਹਮਲਿਆਂ ਤੋਂ ਸੁਰੱਖਿਅਤ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ। ਅਣਵਰਤੇ ਖਾਤਿਆਂ ਨੂੰ ਅੰਤ ਵਿੱਚ ਹਟਾ ਦਿੱਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਪ੍ਰਸ਼ਾਸਕ ਉਪਭੋਗਤਾ ਨਾ-ਵਰਤੇ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਨੂੰ ਅਕਿਰਿਆਸ਼ੀਲ ਵਜੋਂ ਚਿੰਨ੍ਹਿਤ ਕਰਨ ਲਈ ਇੱਕ ਨਿਯਮ ਲਾਗੂ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਦਿਨਾਂ ਦੀ ਸੰਖਿਆ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦਾ ਹੈ ਜਿਸ ਤੋਂ ਬਾਅਦ ਇੱਕ ਅਣਵਰਤੇ ਉਪਭੋਗਤਾ ਖਾਤੇ ਨੂੰ ਅਕਿਰਿਆਸ਼ੀਲ ਵਜੋਂ ਚਿੰਨ੍ਹਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਨਾ-ਸਰਗਰਮ ਵਜੋਂ ਚਿੰਨ੍ਹਿਤ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਉਹ ਉਪਭੋਗਤਾ ਸਿਸਟਮ ਵਿੱਚ ਲੌਗਇਨ ਨਹੀਂ ਕਰ ਸਕਦਾ ਹੈ। ਉਪਭੋਗਤਾ ਨੂੰ ਸਿਸਟਮ ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇਣ ਲਈ, ਪ੍ਰਬੰਧਕ ਉਪਭੋਗਤਾ ਉਪਭੋਗਤਾ ਖਾਤੇ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਕਰ ਸਕਦਾ ਹੈ.
ਨੋਟ: ਅਕਿਰਿਆਸ਼ੀਲਤਾ ਦੀ ਮਿਆਦ ਅਤੇ ਅਕਿਰਿਆਸ਼ੀਲਤਾ ਦੀ ਮਿਆਦ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਨਿਯਮ ਪ੍ਰਬੰਧਕ ਉਪਭੋਗਤਾ 'ਤੇ ਲਾਗੂ ਨਹੀਂ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 6
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਇੱਕ ਅਕਿਰਿਆਸ਼ੀਲ ਉਪਭੋਗਤਾ ਖਾਤਾ ਕਿਰਿਆਸ਼ੀਲ ਕਰਨਾ
ਨਿਮਨਲਿਖਤ CLI ਅਤੇ API ਦੀ ਵਰਤੋਂ ਖਾਤੇ ਦੀ ਅਕਿਰਿਆਸ਼ੀਲਤਾ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। CLI:
ਟਰਮੀਨਲ rbac ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ ਖਾਤਾ-ਅਕਿਰਿਆਸ਼ੀਲਤਾ ਲਾਗੂ ਕਰੋ ਸੱਚੀ ਅਕਿਰਿਆਸ਼ੀਲਤਾ-ਦਿਨ 30 ਪ੍ਰਤੀਬੱਧ
API:
/api/config/rbac/authentication/account-inactivity/
ਅਕਿਰਿਆਸ਼ੀਲਤਾ-ਦਿਨਾਂ ਲਈ ਪੂਰਵ-ਨਿਰਧਾਰਤ ਮੁੱਲ 35 ਹੈ।
ਇੱਕ ਅਕਿਰਿਆਸ਼ੀਲ ਉਪਭੋਗਤਾ ਖਾਤੇ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਕਰਨਾ ਪ੍ਰਸ਼ਾਸਕ ਉਪਭੋਗਤਾ ਹੇਠਾਂ ਦਿੱਤੇ CLI ਅਤੇ API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਅਕਿਰਿਆਸ਼ੀਲ ਉਪਭੋਗਤਾ ਦੇ ਖਾਤੇ ਨੂੰ ਸਰਗਰਮ ਕਰ ਸਕਦਾ ਹੈ: CLI:
ਟਰਮੀਨਲ rbac ਪ੍ਰਮਾਣਿਕਤਾ ਉਪਭੋਗਤਾ ਉਪਭੋਗਤਾ guest_user ਐਕਟੀਵੇਟ ਕਮਿਟ ਨੂੰ ਸੰਰਚਿਤ ਕਰੋ
API:
/api/operations/rbac/authentication/users/user/username/activate
BIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਸੈਟਿੰਗ ਨੂੰ ਲਾਗੂ ਕਰੋ
ਸਾਰਣੀ 1: ਵਿਸ਼ੇਸ਼ਤਾ ਇਤਿਹਾਸ ਸਾਰਣੀ
ਵਿਸ਼ੇਸ਼ਤਾ ਦਾ ਨਾਮ
ਜਾਣਕਾਰੀ ਜਾਰੀ ਕਰੋ
BIOS ਅਤੇ CIMC NFVIS 4.7.1 ਪਾਸਵਰਡ ਦੀ ਸੈਟਿੰਗ ਨੂੰ ਲਾਗੂ ਕਰੋ
ਵਰਣਨ
ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਉਪਭੋਗਤਾ ਨੂੰ CIMC ਅਤੇ BIOS ਲਈ ਡਿਫਾਲਟ ਪਾਸਵਰਡ ਬਦਲਣ ਲਈ ਮਜਬੂਰ ਕਰਦੀ ਹੈ।
BIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਸੈਟਿੰਗ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਪਾਬੰਦੀਆਂ
· ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਸਿਰਫ਼ Cisco Catalyst 8200 UCPE ਅਤੇ Cisco ENCS 5400 ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਸਮਰਥਿਤ ਹੈ।
· ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਕੇਵਲ NFVIS 4.7.1 ਅਤੇ ਬਾਅਦ ਦੀਆਂ ਰੀਲੀਜ਼ਾਂ ਦੀ ਇੱਕ ਤਾਜ਼ਾ ਸਥਾਪਨਾ 'ਤੇ ਸਮਰਥਿਤ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ NFVIS 4.6.1 ਤੋਂ NFVIS 4.7.1 ਵਿੱਚ ਅੱਪਗਰੇਡ ਕਰਦੇ ਹੋ, ਤਾਂ ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ ਅਤੇ ਤੁਹਾਨੂੰ BIOS ਅਤੇ CIMS ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰਨ ਲਈ ਨਹੀਂ ਕਿਹਾ ਜਾਵੇਗਾ, ਭਾਵੇਂ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਸੰਰਚਿਤ ਨਾ ਕੀਤੇ ਗਏ ਹੋਣ।
BIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਸੈਟਿੰਗ ਨੂੰ ਲਾਗੂ ਕਰਨ ਬਾਰੇ ਜਾਣਕਾਰੀ
ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ NFVIS 4.7.1 ਦੀ ਨਵੀਂ ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਬਾਅਦ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਰੀਸੈਟ ਕਰਨ ਦੁਆਰਾ ਸੁਰੱਖਿਆ ਅੰਤਰ ਨੂੰ ਹੱਲ ਕਰਦੀ ਹੈ। ਡਿਫਾਲਟ CIMC ਪਾਸਵਰਡ ਪਾਸਵਰਡ ਹੈ ਅਤੇ ਡਿਫੌਲਟ BIOS ਪਾਸਵਰਡ ਕੋਈ ਪਾਸਵਰਡ ਨਹੀਂ ਹੈ।
ਸੁਰੱਖਿਆ ਅੰਤਰ ਨੂੰ ਠੀਕ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ENCS 5400 ਵਿੱਚ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਸੰਰਚਨਾ ਕਰਨ ਲਈ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। NFVIS 4.7.1 ਦੀ ਇੱਕ ਤਾਜ਼ਾ ਸਥਾਪਨਾ ਦੇ ਦੌਰਾਨ, ਜੇਕਰ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਨਹੀਂ ਬਦਲੇ ਗਏ ਹਨ ਅਤੇ ਅਜੇ ਵੀ ਹਨ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 7
ਸੰਰਚਨਾ ਸਾਬਕਾampBIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਲਾਗੂ ਰੀਸੈਟਿੰਗ ਲਈ les
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਡਿਫਾਲਟ ਪਾਸਵਰਡ, ਫਿਰ ਤੁਹਾਨੂੰ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਦੋਵਾਂ ਨੂੰ ਬਦਲਣ ਲਈ ਕਿਹਾ ਜਾਵੇਗਾ। ਜੇਕਰ ਉਹਨਾਂ ਵਿੱਚੋਂ ਸਿਰਫ਼ ਇੱਕ ਨੂੰ ਰੀਸੈਟ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ ਸਿਰਫ਼ ਉਸ ਹਿੱਸੇ ਲਈ ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਵੇਗਾ। Cisco Catalyst 8200 UCPE ਨੂੰ ਸਿਰਫ਼ BIOS ਪਾਸਵਰਡ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਅਤੇ ਇਸ ਲਈ ਸਿਰਫ਼ BIOS ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੇਕਰ ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਸੈੱਟ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ।
ਨੋਟ ਜੇਕਰ ਤੁਸੀਂ ਕਿਸੇ ਵੀ ਪਿਛਲੀ ਰੀਲੀਜ਼ ਤੋਂ NFVIS 4.7.1 ਜਾਂ ਬਾਅਦ ਦੀਆਂ ਰੀਲੀਜ਼ਾਂ ਵਿੱਚ ਅੱਪਗਰੇਡ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਹੋਸਟਕਸ਼ਨ change-bios-password newpassword ਜਾਂ hostation change-cimc-password newpassword ਕਮਾਂਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਬਦਲ ਸਕਦੇ ਹੋ।
BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਬਾਰੇ ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਦੇਖੋ।
ਸੰਰਚਨਾ ਸਾਬਕਾampBIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਲਾਗੂ ਰੀਸੈਟਿੰਗ ਲਈ les
1. ਜਦੋਂ ਤੁਸੀਂ NFVIS 4.7.1 ਨੂੰ ਸਥਾਪਿਤ ਕਰਦੇ ਹੋ, ਤੁਹਾਨੂੰ ਪਹਿਲਾਂ ਡਿਫੌਲਟ ਐਡਮਿਨ ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਸਿਸਕੋ ਨੈੱਟਵਰਕ ਫੰਕਸ਼ਨ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਾਫਟਵੇਅਰ (NFVIS)
NFVIS ਸੰਸਕਰਣ: 99.99.0-1009
ਕਾਪੀਰਾਈਟ (c) Cisco Systems, Inc. ਦੁਆਰਾ 2015-2021 Cisco, Cisco Systems, ਅਤੇ Cisco Systems ਲੋਗੋ ਅਮਰੀਕਾ ਅਤੇ ਕੁਝ ਹੋਰ ਦੇਸ਼ਾਂ ਵਿੱਚ Cisco Systems, Inc. ਅਤੇ/ਜਾਂ ਇਸਦੇ ਸਹਿਯੋਗੀਆਂ ਦੇ ਰਜਿਸਟਰਡ ਟ੍ਰੇਡਮਾਰਕ ਹਨ।
ਇਸ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਸ਼ਾਮਲ ਕੁਝ ਕੰਮਾਂ ਦੇ ਕਾਪੀਰਾਈਟ ਦੂਜੀਆਂ ਤੀਜੀਆਂ ਧਿਰਾਂ ਦੀ ਮਲਕੀਅਤ ਹਨ ਅਤੇ ਤੀਜੀ ਧਿਰ ਦੇ ਲਾਇਸੈਂਸ ਸਮਝੌਤੇ ਦੇ ਤਹਿਤ ਵਰਤੇ ਅਤੇ ਵੰਡੇ ਗਏ ਹਨ। ਇਸ ਸਾਫਟਵੇਅਰ ਦੇ ਕੁਝ ਹਿੱਸੇ GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ਅਤੇ AGPL 3.0 ਦੇ ਅਧੀਨ ਲਾਇਸੰਸਸ਼ੁਦਾ ਹਨ।
ਐਡਮਿਨ 10.24.109.102 ਤੋਂ nfvis 'ਤੇ ssh ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਕਨੈਕਟ ਕੀਤਾ ਗਿਆ ਐਡਮਿਨ ਡਿਫਾਲਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਲੌਗ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿਰਪਾ ਕਰਕੇ ਇੱਕ ਪਾਸਵਰਡ ਪ੍ਰਦਾਨ ਕਰੋ ਜੋ ਹੇਠਾਂ ਦਿੱਤੇ ਮਾਪਦੰਡਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ:
1.ਘੱਟੋ-ਘੱਟ ਇੱਕ ਛੋਟਾ ਅੱਖਰ 2.ਘੱਟੋ-ਘੱਟ ਇੱਕ ਅੱਪਰਕੇਸ ਅੱਖਰ 3.ਘੱਟੋ-ਘੱਟ ਇੱਕ ਨੰਬਰ 4.# _ – * ਤੋਂ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅੱਖਰ? 5.ਲੰਬਾਈ 7 ਅਤੇ 128 ਅੱਖਰਾਂ ਦੇ ਵਿਚਕਾਰ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ ਕਿਰਪਾ ਕਰਕੇ ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰੋ: ਕਿਰਪਾ ਕਰਕੇ ਪਾਸਵਰਡ ਦੁਬਾਰਾ ਦਰਜ ਕਰੋ:
ਐਡਮਿਨ ਪਾਸਵਰਡ ਰੀਸੈੱਟ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ
2. Cisco Catalyst 8200 UCPE ਅਤੇ Cisco ENCS 5400 ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਜਦੋਂ ਤੁਸੀਂ NFVIS 4.7.1 ਜਾਂ ਇਸ ਤੋਂ ਬਾਅਦ ਦੇ ਰੀਲੀਜ਼ਾਂ ਦੀ ਨਵੀਂ ਸਥਾਪਨਾ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਡਿਫੌਲਟ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਬਦਲਣੇ ਚਾਹੀਦੇ ਹਨ। ਜੇਕਰ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਪਹਿਲਾਂ ਕੌਂਫਿਗਰ ਨਹੀਂ ਕੀਤੇ ਗਏ ਹਨ, ਤਾਂ ਸਿਸਟਮ ਤੁਹਾਨੂੰ Cisco ENCS 5400 ਲਈ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਅਤੇ Cisco Catalyst 8200 UCPE ਲਈ ਸਿਰਫ਼ BIOS ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰਨ ਲਈ ਪੁੱਛੇਗਾ।
ਨਵਾਂ ਐਡਮਿਨ ਪਾਸਵਰਡ ਸੈੱਟ ਕੀਤਾ ਗਿਆ ਹੈ
ਕਿਰਪਾ ਕਰਕੇ BIOS ਪਾਸਵਰਡ ਪ੍ਰਦਾਨ ਕਰੋ ਜੋ ਹੇਠਾਂ ਦਿੱਤੇ ਮਾਪਦੰਡਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ: 1. ਘੱਟੋ-ਘੱਟ ਇੱਕ ਛੋਟਾ ਅੱਖਰ 2. ਘੱਟੋ-ਘੱਟ ਇੱਕ ਅਪਰਕੇਸ ਅੱਖਰ 3. ਘੱਟੋ-ਘੱਟ ਇੱਕ ਨੰਬਰ 4. #, @ ਜਾਂ _ 5 ਵਿੱਚੋਂ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅੱਖਰ। ਲੰਬਾਈ ਵਿਚਕਾਰ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ। 8 ਅਤੇ 20 ਅੱਖਰ 6. ਹੇਠ ਲਿਖੀਆਂ ਸਤਰਾਂ ਵਿੱਚੋਂ ਕੋਈ ਵੀ ਨਹੀਂ ਹੋਣੀ ਚਾਹੀਦੀ (ਕੇਸ ਸੰਵੇਦਨਸ਼ੀਲ): ਬਾਇਓਸ 7. ਪਹਿਲਾ ਅੱਖਰ # ਨਹੀਂ ਹੋ ਸਕਦਾ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 8
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
BIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ
ਕਿਰਪਾ ਕਰਕੇ BIOS ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰੋ: ਕਿਰਪਾ ਕਰਕੇ BIOS ਪਾਸਵਰਡ ਦੁਬਾਰਾ ਦਰਜ ਕਰੋ: ਕਿਰਪਾ ਕਰਕੇ CIMC ਪਾਸਵਰਡ ਪ੍ਰਦਾਨ ਕਰੋ ਜੋ ਹੇਠਾਂ ਦਿੱਤੇ ਮਾਪਦੰਡਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ:
1. ਘੱਟੋ-ਘੱਟ ਇੱਕ ਛੋਟਾ ਅੱਖਰ 2. ਘੱਟੋ-ਘੱਟ ਇੱਕ ਅਪਰਕੇਸ ਅੱਖਰ 3. ਘੱਟੋ-ਘੱਟ ਇੱਕ ਨੰਬਰ 4. #, @ ਜਾਂ _ 5 ਵਿੱਚੋਂ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅੱਖਰ। ਲੰਬਾਈ 8 ਤੋਂ 20 ਅੱਖਰਾਂ ਦੇ ਵਿਚਕਾਰ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ 6. ਇਸ ਵਿੱਚ ਕੋਈ ਵੀ ਨਹੀਂ ਹੋਣਾ ਚਾਹੀਦਾ। ਹੇਠ ਲਿਖੀਆਂ ਸਤਰਾਂ (ਕੇਸ ਸੰਵੇਦਨਸ਼ੀਲ): ਐਡਮਿਨ ਕਿਰਪਾ ਕਰਕੇ CIMC ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰੋ: ਕਿਰਪਾ ਕਰਕੇ CIMC ਪਾਸਵਰਡ ਦੁਬਾਰਾ ਦਰਜ ਕਰੋ:
BIOS ਅਤੇ CIMC ਪਾਸਵਰਡਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ
ਇਹ ਜਾਂਚ ਕਰਨ ਲਈ ਕਿ ਕੀ BIOS ਅਤੇ CIMC ਪਾਸਵਰਡ ਸਫਲਤਾਪੂਰਵਕ ਬਦਲੇ ਗਏ ਹਨ, ਸ਼ੋਅ ਲੌਗ nfvis_config.log | BIOS ਸ਼ਾਮਲ ਕਰੋ ਜਾਂ log nfvis_config.log | ਦਿਖਾਓ CIMC ਕਮਾਂਡਾਂ ਸ਼ਾਮਲ ਕਰੋ:
nfvis# ਲੌਗ ਦਿਖਾਓ nfvis_config.log | BIOS ਸ਼ਾਮਲ ਕਰੋ
2021-11-16 15:24:40,102 INFO
[ਹੋਸਟੈਕਸ਼ਨ:/ਸਿਸਟਮ/ਸੈਟਿੰਗਜ਼] [] BIOS ਪਾਸਵਰਡ ਬਦਲਣਾਸਫਲ ਹੈ
ਤੁਸੀਂ nfvis_config.log ਨੂੰ ਵੀ ਡਾਊਨਲੋਡ ਕਰ ਸਕਦੇ ਹੋ file ਅਤੇ ਪੁਸ਼ਟੀ ਕਰੋ ਕਿ ਕੀ ਪਾਸਵਰਡ ਸਫਲਤਾਪੂਰਵਕ ਰੀਸੈਟ ਹੋ ਗਏ ਹਨ।
ਬਾਹਰੀ AAA ਸਰਵਰਾਂ ਨਾਲ ਏਕੀਕਰਣ
ਉਪਭੋਗਤਾ ssh ਜਾਂ ਦੇ ਰਾਹੀਂ NFVIS ਵਿੱਚ ਲੌਗਇਨ ਕਰਦੇ ਹਨ Web UI। ਦੋਵਾਂ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਭਾਵ, ਇੱਕ ਉਪਭੋਗਤਾ ਨੂੰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਪਾਸਵਰਡ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪੇਸ਼ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
ਇੱਕ ਵਾਰ ਜਦੋਂ ਇੱਕ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣਿਤ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਸ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਸਾਰੇ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਅਧਿਕਾਰਤ ਹੋਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਭਾਵ, ਕੁਝ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕੁਝ ਕਾਰਜ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾ ਸਕਦੀ ਹੈ, ਜਦੋਂ ਕਿ ਦੂਸਰੇ ਨਹੀਂ ਹਨ। ਇਸ ਨੂੰ ਅਧਿਕਾਰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਇਹ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ NFVIS ਪਹੁੰਚ ਲਈ ਪ੍ਰਤੀ-ਉਪਭੋਗਤਾ, AAA-ਅਧਾਰਿਤ ਲੌਗਇਨ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਇੱਕ ਕੇਂਦਰੀਕ੍ਰਿਤ AAA ਸਰਵਰ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾਵੇ। NFVIS ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਵਿੱਚ ਵਿਚੋਲਗੀ ਕਰਨ ਲਈ RADIUS ਅਤੇ TACACS ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। AAA ਸਰਵਰ 'ਤੇ, ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀਆਂ ਖਾਸ ਪਹੁੰਚ ਲੋੜਾਂ ਦੇ ਅਨੁਸਾਰ ਸਿਰਫ ਘੱਟੋ-ਘੱਟ ਪਹੁੰਚ ਅਧਿਕਾਰ ਦਿੱਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ। ਇਹ ਖਤਰਨਾਕ ਅਤੇ ਅਣਜਾਣ ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਦੋਵਾਂ ਦੇ ਸੰਪਰਕ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ।
ਬਾਹਰੀ ਪ੍ਰਮਾਣਿਕਤਾ ਬਾਰੇ ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, ਰੇਡੀਅਸ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ ਅਤੇ TACACS+ ਸਰਵਰ ਦੀ ਸੰਰਚਨਾ ਕਰਨਾ ਦੇਖੋ।
ਬਾਹਰੀ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਲਈ ਪ੍ਰਮਾਣੀਕਰਨ ਕੈਸ਼
ਵਿਸ਼ੇਸ਼ਤਾ ਦਾ ਨਾਮ
ਜਾਣਕਾਰੀ ਜਾਰੀ ਕਰੋ
ਬਾਹਰੀ NFVIS 4.5.1 ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਕੈਸ਼
ਵਰਣਨ
ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ NFVIS ਪੋਰਟਲ 'ਤੇ OTP ਦੁਆਰਾ TACACS ਪ੍ਰਮਾਣਿਕਤਾ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ।
NFVIS ਪੋਰਟਲ ਸ਼ੁਰੂਆਤੀ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਾਅਦ ਸਾਰੀਆਂ API ਕਾਲਾਂ ਲਈ ਇੱਕੋ ਹੀ ਵਨ-ਟਾਈਮ ਪਾਸਵਰਡ (OTP) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। OTP ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਦੇ ਨਾਲ ਹੀ API ਕਾਲਾਂ ਅਸਫਲ ਹੋ ਜਾਂਦੀਆਂ ਹਨ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ NFVIS ਪੋਰਟਲ ਨਾਲ TACACS OTP ਪ੍ਰਮਾਣਿਕਤਾ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ।
ਇੱਕ OTP ਦੀ ਵਰਤੋਂ ਕਰਕੇ TACACS ਸਰਵਰ ਦੁਆਰਾ ਸਫਲਤਾਪੂਰਵਕ ਪ੍ਰਮਾਣਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, NFVIS ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ OTP ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਹੈਸ਼ ਐਂਟਰੀ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਇਸ ਹੈਸ਼ ਮੁੱਲ ਨੂੰ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕਰਦਾ ਹੈ। ਇਹ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤਾ ਹੈਸ਼ ਮੁੱਲ ਹੈ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 9
ਰੋਲ ਬੇਸਡ ਐਕਸੈਸ ਕੰਟਰੋਲ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਇੱਕ ਮਿਆਦ ਪੁੱਗਣ ਦਾ ਸਮਾਂ stamp ਇਸ ਨਾਲ ਸਬੰਧਤ. ਸਮਾਂ ਸਟamp ਦਾ ਮੁੱਲ SSH ਸੈਸ਼ਨ ਨਿਸ਼ਕਿਰਿਆ ਸਮਾਂ ਸਮਾਪਤੀ ਮੁੱਲ ਦੇ ਬਰਾਬਰ ਹੈ ਜੋ ਕਿ 15 ਮਿੰਟ ਹੈ। ਉਸੇ ਉਪਭੋਗਤਾ ਨਾਮ ਦੇ ਨਾਲ ਬਾਅਦ ਦੀਆਂ ਸਾਰੀਆਂ ਪ੍ਰਮਾਣਿਕਤਾ ਬੇਨਤੀਆਂ ਨੂੰ ਪਹਿਲਾਂ ਇਸ ਸਥਾਨਕ ਹੈਸ਼ ਮੁੱਲ ਦੇ ਵਿਰੁੱਧ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਪ੍ਰਮਾਣਿਕਤਾ ਸਥਾਨਕ ਹੈਸ਼ ਨਾਲ ਅਸਫਲ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ NFVIS ਇਸ ਬੇਨਤੀ ਨੂੰ TACACS ਸਰਵਰ ਨਾਲ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਸਫਲ ਹੋਣ 'ਤੇ ਇੱਕ ਨਵੀਂ ਹੈਸ਼ ਐਂਟਰੀ ਬਣਾਉਂਦਾ ਹੈ। ਜੇਕਰ ਇੱਕ ਹੈਸ਼ ਐਂਟਰੀ ਪਹਿਲਾਂ ਹੀ ਮੌਜੂਦ ਹੈ, ਤਾਂ ਇਸਦਾ ਸਮਾਂ ਸਟamp 15 ਮਿੰਟ ਲਈ ਰੀਸੈਟ ਕੀਤਾ ਗਿਆ ਹੈ।
ਜੇਕਰ ਤੁਹਾਨੂੰ ਪੋਰਟਲ ਵਿੱਚ ਸਫਲਤਾਪੂਰਵਕ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ TACACS ਸਰਵਰ ਤੋਂ ਹਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਤੁਸੀਂ NFVIS ਵਿੱਚ ਹੈਸ਼ ਐਂਟਰੀ ਦੀ ਮਿਆਦ ਖਤਮ ਹੋਣ ਤੱਕ ਪੋਰਟਲ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਜਾਰੀ ਰੱਖ ਸਕਦੇ ਹੋ।
ਜਦੋਂ ਤੁਸੀਂ NFVIS ਪੋਰਟਲ ਤੋਂ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਲੌਗ ਆਉਟ ਕਰਦੇ ਹੋ ਜਾਂ ਵਿਹਲੇ ਸਮੇਂ ਦੇ ਕਾਰਨ ਲੌਗ ਆਊਟ ਹੋ ਜਾਂਦੇ ਹੋ, ਤਾਂ ਪੋਰਟਲ ਹੈਸ਼ ਐਂਟਰੀ ਨੂੰ ਫਲੱਸ਼ ਕਰਨ ਲਈ NFVIS ਬੈਕਐਂਡ ਨੂੰ ਸੂਚਿਤ ਕਰਨ ਲਈ ਇੱਕ ਨਵੇਂ API ਨੂੰ ਕਾਲ ਕਰਦਾ ਹੈ। ਪ੍ਰਮਾਣਿਕਤਾ ਕੈਸ਼ ਅਤੇ ਇਸ ਦੀਆਂ ਸਾਰੀਆਂ ਐਂਟਰੀਆਂ NFVIS ਰੀਬੂਟ, ਫੈਕਟਰੀ ਰੀਸੈਟ, ਜਾਂ ਅੱਪਗਰੇਡ ਤੋਂ ਬਾਅਦ ਸਾਫ਼ ਹੋ ਜਾਂਦੀਆਂ ਹਨ।
ਰੋਲ ਬੇਸਡ ਐਕਸੈਸ ਕੰਟਰੋਲ
ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰਨਾ ਉਹਨਾਂ ਸੰਸਥਾਵਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ ਜਿਹਨਾਂ ਕੋਲ ਬਹੁਤ ਸਾਰੇ ਕਰਮਚਾਰੀ ਹਨ, ਠੇਕੇਦਾਰਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੇ ਹਨ ਜਾਂ ਤੀਜੀਆਂ ਧਿਰਾਂ, ਜਿਵੇਂ ਕਿ ਗਾਹਕ ਅਤੇ ਵਿਕਰੇਤਾ ਤੱਕ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ। ਅਜਿਹੀ ਸਥਿਤੀ ਵਿੱਚ, ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਨਿਗਰਾਨੀ ਕਰਨਾ ਮੁਸ਼ਕਲ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਅਤੇ ਨਾਜ਼ੁਕ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ, ਪਹੁੰਚਯੋਗ ਚੀਜ਼ਾਂ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨਾ ਬਿਹਤਰ ਹੈ।
ਰੋਲ-ਅਧਾਰਿਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ (RBAC) ਇੱਕ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਦੇ ਅੰਦਰ ਵਿਅਕਤੀਗਤ ਉਪਭੋਗਤਾਵਾਂ ਦੀਆਂ ਭੂਮਿਕਾਵਾਂ ਦੇ ਅਧਾਰ ਤੇ ਨੈਟਵਰਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰਨ ਦਾ ਇੱਕ ਤਰੀਕਾ ਹੈ। RBAC ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਿਰਫ਼ ਲੋੜੀਂਦੀ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਤੋਂ ਰੋਕਦਾ ਹੈ ਜੋ ਉਹਨਾਂ ਨਾਲ ਸੰਬੰਧਿਤ ਨਹੀਂ ਹੈ।
ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਿੱਚ ਇੱਕ ਕਰਮਚਾਰੀ ਦੀ ਭੂਮਿਕਾ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਗਈਆਂ ਅਨੁਮਤੀਆਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਘੱਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਵਾਲੇ ਕਰਮਚਾਰੀ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਨਾ ਕਰ ਸਕਣ ਜਾਂ ਨਾਜ਼ੁਕ ਕਾਰਜ ਨਾ ਕਰ ਸਕਣ।
NFVIS ਵਿੱਚ ਨਿਮਨਲਿਖਤ ਉਪਭੋਗਤਾ ਭੂਮਿਕਾਵਾਂ ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ
ਯੂਜ਼ਰ ਰੋਲ
ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ
ਪ੍ਰਸ਼ਾਸਕ
ਸਾਰੀਆਂ ਉਪਲਬਧ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਉਪਭੋਗਤਾ ਦੀਆਂ ਭੂਮਿਕਾਵਾਂ ਨੂੰ ਬਦਲਣ ਸਮੇਤ ਸਾਰੇ ਕਾਰਜ ਕਰ ਸਕਦਾ ਹੈ। ਪ੍ਰਸ਼ਾਸਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਨਹੀਂ ਹਟਾ ਸਕਦਾ ਹੈ ਜੋ NFVIS ਲਈ ਬੁਨਿਆਦੀ ਹੈ। ਐਡਮਿਨ ਉਪਭੋਗਤਾ ਦੀ ਭੂਮਿਕਾ ਨੂੰ ਬਦਲਿਆ ਨਹੀਂ ਜਾ ਸਕਦਾ ਹੈ; ਇਹ ਹਮੇਸ਼ਾ "ਪ੍ਰਬੰਧਕ" ਹੁੰਦਾ ਹੈ।
ਆਪਰੇਟਰ
ਇੱਕ VM ਸ਼ੁਰੂ ਅਤੇ ਬੰਦ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ view ਸਾਰੀ ਜਾਣਕਾਰੀ।
ਆਡੀਟਰ
ਉਹ ਸਭ ਤੋਂ ਘੱਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਉਪਭੋਗਤਾ ਹਨ। ਉਹਨਾਂ ਕੋਲ ਸਿਰਫ਼-ਪੜ੍ਹਨ ਦੀ ਇਜਾਜ਼ਤ ਹੈ ਅਤੇ ਇਸ ਲਈ, ਕਿਸੇ ਵੀ ਸੰਰਚਨਾ ਨੂੰ ਸੋਧ ਨਹੀਂ ਸਕਦੇ।
RBAC ਦੇ ਲਾਭ
ਕਿਸੇ ਸੰਗਠਨ ਦੇ ਅੰਦਰ ਲੋਕਾਂ ਦੀਆਂ ਭੂਮਿਕਾਵਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਬੇਲੋੜੀ ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰਨ ਲਈ RBAC ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੇ ਕਈ ਫਾਇਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
· ਸੰਚਾਲਨ ਕੁਸ਼ਲਤਾ ਵਿੱਚ ਸੁਧਾਰ।
RBAC ਵਿੱਚ ਪਹਿਲਾਂ ਤੋਂ ਪਰਿਭਾਸ਼ਿਤ ਭੂਮਿਕਾਵਾਂ ਹੋਣ ਨਾਲ ਨਵੇਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਹੀ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨਾਲ ਸ਼ਾਮਲ ਕਰਨਾ ਜਾਂ ਮੌਜੂਦਾ ਉਪਭੋਗਤਾਵਾਂ ਦੀਆਂ ਭੂਮਿਕਾਵਾਂ ਨੂੰ ਬਦਲਣਾ ਆਸਾਨ ਹੋ ਜਾਂਦਾ ਹੈ। ਇਹ ਗਲਤੀ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵੀ ਘਟਾਉਂਦਾ ਹੈ ਜਦੋਂ ਉਪਭੋਗਤਾ ਅਨੁਮਤੀਆਂ ਨਿਰਧਾਰਤ ਕੀਤੀਆਂ ਜਾ ਰਹੀਆਂ ਹਨ।
· ਪਾਲਣਾ ਨੂੰ ਵਧਾਉਣਾ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 10
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਰੋਲ ਬੇਸਡ ਐਕਸੈਸ ਕੰਟਰੋਲ
ਹਰੇਕ ਸੰਸਥਾ ਨੂੰ ਸਥਾਨਕ, ਰਾਜ ਅਤੇ ਸੰਘੀ ਨਿਯਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ। ਕੰਪਨੀਆਂ ਆਮ ਤੌਰ 'ਤੇ ਗੁਪਤਤਾ ਅਤੇ ਗੋਪਨੀਯਤਾ ਲਈ ਰੈਗੂਲੇਟਰੀ ਅਤੇ ਵਿਧਾਨਕ ਲੋੜਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ RBAC ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦੀਆਂ ਹਨ ਕਿਉਂਕਿ ਕਾਰਜਕਾਰੀ ਅਤੇ IT ਵਿਭਾਗ ਵਧੇਰੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਪ੍ਰਬੰਧਨ ਕਰ ਸਕਦੇ ਹਨ ਕਿ ਡੇਟਾ ਨੂੰ ਕਿਵੇਂ ਐਕਸੈਸ ਅਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਸਿਹਤ ਸੰਭਾਲ ਕੰਪਨੀਆਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਦੀਆਂ ਹਨ।
· ਲਾਗਤਾਂ ਨੂੰ ਘਟਾਉਣਾ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕੁਝ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਨਾ ਦੇ ਕੇ, ਕੰਪਨੀਆਂ ਲਾਗਤ-ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਤਰੀਕੇ ਨਾਲ ਨੈੱਟਵਰਕ ਬੈਂਡਵਿਡਥ, ਮੈਮੋਰੀ ਅਤੇ ਸਟੋਰੇਜ ਵਰਗੇ ਸਰੋਤਾਂ ਦੀ ਸੰਭਾਲ ਜਾਂ ਵਰਤੋਂ ਕਰ ਸਕਦੀਆਂ ਹਨ।
· Decreasing risk of breaches and data leakage. Implementing RBAC means restricting access to sensitive information, thus reducing the potential for data breaches or data leakage.
ਰੋਲ-ਅਧਾਰਿਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਲਾਗੂ ਕਰਨ ਲਈ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ · ਇੱਕ ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਤੌਰ 'ਤੇ, ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਸੂਚੀ ਨਿਰਧਾਰਤ ਕਰੋ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਪਰਿਭਾਸ਼ਿਤ ਭੂਮਿਕਾਵਾਂ ਲਈ ਨਿਰਧਾਰਤ ਕਰੋ। ਸਾਬਕਾ ਲਈampਲੇ, ਯੂਜ਼ਰ “ਨੈੱਟਵਰਕ ਐਡਮਿਨ” ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਹੈ ਅਤੇ ਯੂਜ਼ਰ ਗਰੁੱਪ “ਪ੍ਰਬੰਧਕਾਂ” ਵਿੱਚ ਜੋੜਿਆ ਜਾ ਸਕਦਾ ਹੈ।
ਟਰਮੀਨਲ rbac ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਸੰਰਚਿਤ ਕਰੋ ਉਪਭੋਗਤਾ ਬਣਾਓ-ਉਪਭੋਗਤਾ ਨਾਮ ਨੈੱਟਵਰਕ ਐਡਮਿਨ ਪਾਸਵਰਡ Test1_pass ਰੋਲ ਐਡਮਿਨਿਸਟ੍ਰੇਟਰ ਵਚਨਬੱਧ
ਨੋਟ ਯੂਜ਼ਰ ਗਰੁੱਪ ਜਾਂ ਰੋਲ ਸਿਸਟਮ ਦੁਆਰਾ ਬਣਾਏ ਗਏ ਹਨ। ਤੁਸੀਂ ਉਪਭੋਗਤਾ ਸਮੂਹ ਬਣਾ ਜਾਂ ਸੋਧ ਨਹੀਂ ਸਕਦੇ ਹੋ। ਪਾਸਵਰਡ ਬਦਲਣ ਲਈ, ਗਲੋਬਲ ਕੌਂਫਿਗਰੇਸ਼ਨ ਮੋਡ ਵਿੱਚ rbac ਪ੍ਰਮਾਣਿਕਤਾ ਉਪਭੋਗਤਾ ਉਪਭੋਗਤਾ ਤਬਦੀਲੀ-ਪਾਸਵਰਡ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਯੂਜ਼ਰ ਰੋਲ ਨੂੰ ਬਦਲਣ ਲਈ, ਗਲੋਬਲ ਕੌਂਫਿਗਰੇਸ਼ਨ ਮੋਡ ਵਿੱਚ rbac ਪ੍ਰਮਾਣਿਕਤਾ ਯੂਜ਼ਰ user change-role ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ।
· ਉਹਨਾਂ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਖਾਤਿਆਂ ਨੂੰ ਖਤਮ ਕਰੋ ਜਿਨ੍ਹਾਂ ਨੂੰ ਹੁਣ ਪਹੁੰਚ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ।
ਟਰਮੀਨਲ rbac ਪ੍ਰਮਾਣਿਕਤਾ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਮਿਟਾਓ-ਉਪਭੋਗਤਾ ਨਾਮ ਟੈਸਟ1 ਦੀ ਸੰਰਚਨਾ ਕਰੋ
· ਰੋਲ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਆਡਿਟ ਕਰੋ, ਉਹਨਾਂ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਜੋ ਉਹਨਾਂ ਨੂੰ ਸੌਂਪਿਆ ਗਿਆ ਹੈ ਅਤੇ ਹਰੇਕ ਰੋਲ ਲਈ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਗਈ ਪਹੁੰਚ। ਜੇਕਰ ਕਿਸੇ ਉਪਭੋਗਤਾ ਨੂੰ ਕਿਸੇ ਖਾਸ ਸਿਸਟਮ ਤੱਕ ਬੇਲੋੜੀ ਪਹੁੰਚ ਪਾਈ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਉਪਭੋਗਤਾ ਦੀ ਭੂਮਿਕਾ ਬਦਲੋ।
ਹੋਰ ਵੇਰਵਿਆਂ ਲਈ, ਉਪਭੋਗਤਾ, ਭੂਮਿਕਾਵਾਂ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਵੇਖੋ
ਗ੍ਰੈਨਿਊਲਰ ਰੋਲ-ਬੇਸਡ ਐਕਸੈਸ ਕੰਟਰੋਲ NFVIS 4.7.1 ਤੋਂ ਸ਼ੁਰੂ ਕਰਦੇ ਹੋਏ, ਗ੍ਰੈਨਿਊਲਰ ਰੋਲ-ਬੇਸਡ ਐਕਸੈਸ ਕੰਟਰੋਲ ਫੀਚਰ ਨੂੰ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਇੱਕ ਨਵੀਂ ਸਰੋਤ ਸਮੂਹ ਨੀਤੀ ਜੋੜਦੀ ਹੈ ਜੋ VM ਅਤੇ VNF ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਦੀ ਹੈ ਅਤੇ VNF ਤੈਨਾਤੀ ਦੌਰਾਨ, VNF ਪਹੁੰਚ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨ ਲਈ ਤੁਹਾਨੂੰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਸਮੂਹ ਵਿੱਚ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, ਦਾਣੇਦਾਰ ਰੋਲ-ਬੇਸਡ ਐਕਸੈਸ ਕੰਟਰੋਲ ਦੇਖੋ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 11
ਡਿਵਾਈਸ ਪਹੁੰਚਯੋਗਤਾ ਨੂੰ ਪ੍ਰਤਿਬੰਧਿਤ ਕਰੋ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਡਿਵਾਈਸ ਪਹੁੰਚਯੋਗਤਾ ਨੂੰ ਪ੍ਰਤਿਬੰਧਿਤ ਕਰੋ
ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਵਿਰੁੱਧ ਹਮਲਿਆਂ ਦੁਆਰਾ ਵਾਰ-ਵਾਰ ਅਣਜਾਣੇ ਵਿੱਚ ਫੜਿਆ ਗਿਆ ਹੈ ਜੋ ਉਹਨਾਂ ਨੇ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਕੀਤੇ ਸਨ ਕਿਉਂਕਿ ਉਹਨਾਂ ਨੂੰ ਇਹ ਨਹੀਂ ਪਤਾ ਸੀ ਕਿ ਉਹਨਾਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਅਣਵਰਤੀਆਂ ਸੇਵਾਵਾਂ ਨੂੰ ਡਿਫੌਲਟ ਸੰਰਚਨਾਵਾਂ ਨਾਲ ਛੱਡ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਹਮੇਸ਼ਾ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਹੁੰਦੀਆਂ ਹਨ। ਇਹ ਸੇਵਾਵਾਂ ਡਿਫੌਲਟ ਪਾਸਵਰਡ ਵੀ ਵਰਤ ਰਹੀਆਂ ਹੋ ਸਕਦੀਆਂ ਹਨ। ਕੁਝ ਸੇਵਾਵਾਂ ਹਮਲਾਵਰ ਨੂੰ ਸਰਵਰ ਕੀ ਚੱਲ ਰਿਹਾ ਹੈ ਜਾਂ ਨੈੱਟਵਰਕ ਕਿਵੇਂ ਸੈੱਟਅੱਪ ਕੀਤਾ ਗਿਆ ਹੈ ਬਾਰੇ ਜਾਣਕਾਰੀ ਤੱਕ ਆਸਾਨ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦਾ ਹੈ। ਹੇਠਾਂ ਦਿੱਤੇ ਭਾਗ ਦੱਸਦੇ ਹਨ ਕਿ ਕਿਵੇਂ NFVIS ਅਜਿਹੇ ਸੁਰੱਖਿਆ ਜੋਖਮਾਂ ਤੋਂ ਬਚਦਾ ਹੈ:
ਹਮਲਾ ਵੈਕਟਰ ਕਮੀ
ਸੌਫਟਵੇਅਰ ਦੇ ਕਿਸੇ ਵੀ ਹਿੱਸੇ ਵਿੱਚ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀਆਂ ਹਨ। ਵਧੇਰੇ ਸੌਫਟਵੇਅਰ ਦਾ ਮਤਲਬ ਹੈ ਹਮਲੇ ਲਈ ਵਧੇਰੇ ਮੌਕੇ। ਭਾਵੇਂ ਕਿ ਸ਼ਾਮਲ ਕਰਨ ਦੇ ਸਮੇਂ ਕੋਈ ਜਨਤਕ ਤੌਰ 'ਤੇ ਜਾਣੀਆਂ ਗਈਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨਹੀਂ ਹਨ, ਤਾਂ ਵੀ ਭਵਿੱਖ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਜਾਵੇਗਾ ਜਾਂ ਖੁਲਾਸਾ ਕੀਤਾ ਜਾਵੇਗਾ। ਅਜਿਹੇ ਹਾਲਾਤਾਂ ਤੋਂ ਬਚਣ ਲਈ, ਸਿਰਫ਼ ਉਹੀ ਸਾਫਟਵੇਅਰ ਪੈਕੇਜ ਇੰਸਟਾਲ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਜੋ NFVIS ਕਾਰਜਕੁਸ਼ਲਤਾ ਲਈ ਜ਼ਰੂਰੀ ਹਨ। ਇਹ ਸੌਫਟਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸੀਮਤ ਕਰਨ, ਸਰੋਤਾਂ ਦੀ ਖਪਤ ਨੂੰ ਘਟਾਉਣ, ਅਤੇ ਉਹਨਾਂ ਪੈਕੇਜਾਂ ਨਾਲ ਸਮੱਸਿਆਵਾਂ ਹੋਣ 'ਤੇ ਵਾਧੂ ਕੰਮ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ। NFVIS ਵਿੱਚ ਸ਼ਾਮਲ ਸਾਰੇ ਥਰਡ-ਪਾਰਟੀ ਸੌਫਟਵੇਅਰ ਸਿਸਕੋ ਵਿੱਚ ਇੱਕ ਕੇਂਦਰੀ ਡੇਟਾਬੇਸ ਵਿੱਚ ਰਜਿਸਟਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਤਾਂ ਕਿ ਸਿਸਕੋ ਇੱਕ ਕੰਪਨੀ ਪੱਧਰ ਦਾ ਸੰਗਠਿਤ ਜਵਾਬ (ਕਾਨੂੰਨੀ, ਸੁਰੱਖਿਆ, ਆਦਿ) ਕਰਨ ਦੇ ਯੋਗ ਹੋਵੇ। ਜਾਣੇ-ਪਛਾਣੇ ਆਮ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਐਕਸਪੋਜ਼ਰਾਂ (CVEs) ਲਈ ਹਰ ਰੀਲੀਜ਼ ਵਿੱਚ ਸਾਫਟਵੇਅਰ ਪੈਕੇਜ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਪੈਚ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਿਰਫ਼ ਜ਼ਰੂਰੀ ਪੋਰਟਾਂ ਨੂੰ ਯੋਗ ਕਰਨਾ
ਸਿਰਫ਼ ਉਹ ਸੇਵਾਵਾਂ ਜੋ NFVIS ਨੂੰ ਸੈੱਟਅੱਪ ਕਰਨ ਅਤੇ ਪ੍ਰਬੰਧਿਤ ਕਰਨ ਲਈ ਬਿਲਕੁਲ ਜ਼ਰੂਰੀ ਹਨ, ਮੂਲ ਰੂਪ ਵਿੱਚ ਉਪਲਬਧ ਹਨ। ਇਹ ਫਾਇਰਵਾਲਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਅਤੇ ਬੇਲੋੜੀਆਂ ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਤੋਂ ਇਨਕਾਰ ਕਰਨ ਲਈ ਲੋੜੀਂਦੇ ਉਪਭੋਗਤਾ ਯਤਨਾਂ ਨੂੰ ਹਟਾਉਂਦਾ ਹੈ। ਸਿਰਫ਼ ਉਹੀ ਸੇਵਾਵਾਂ ਜੋ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਸਮਰੱਥ ਹੁੰਦੀਆਂ ਹਨ, ਉਹਨਾਂ ਦੁਆਰਾ ਖੋਲ੍ਹੀਆਂ ਗਈਆਂ ਪੋਰਟਾਂ ਦੇ ਨਾਲ ਹੇਠਾਂ ਸੂਚੀਬੱਧ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ।
ਪੋਰਟ ਖੋਲ੍ਹੋ
ਸੇਵਾ
ਵਰਣਨ
22 / TCP
SSH
NFVIS ਤੱਕ ਰਿਮੋਟ ਕਮਾਂਡ-ਲਾਈਨ ਪਹੁੰਚ ਲਈ ਸੁਰੱਖਿਅਤ ਸਾਕਟ ਸ਼ੈੱਲ
80 / TCP
HTTP
NFVIS ਪੋਰਟਲ ਪਹੁੰਚ ਲਈ ਹਾਈਪਰਟੈਕਸਟ ਟ੍ਰਾਂਸਫਰ ਪ੍ਰੋਟੋਕੋਲ। NFVIS ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਸਾਰੇ HTTP ਟ੍ਰੈਫਿਕ ਨੂੰ HTTPS ਲਈ ਪੋਰਟ 443 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
443 / TCP
HTTPS
ਸੁਰੱਖਿਅਤ NFVIS ਪੋਰਟਲ ਪਹੁੰਚ ਲਈ ਹਾਈਪਰਟੈਕਸਟ ਟ੍ਰਾਂਸਫਰ ਪ੍ਰੋਟੋਕੋਲ ਸੁਰੱਖਿਅਤ
830 / TCP
NETCONF-ssh
SSH ਉੱਤੇ ਨੈੱਟਵਰਕ ਕੌਂਫਿਗਰੇਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ (NETCONF) ਲਈ ਪੋਰਟ ਖੋਲ੍ਹਿਆ ਗਿਆ ਹੈ। NETCONF ਇੱਕ ਪ੍ਰੋਟੋਕੋਲ ਹੈ ਜੋ NFVIS ਦੀ ਸਵੈਚਲਿਤ ਸੰਰਚਨਾ ਲਈ ਅਤੇ NFVIS ਤੋਂ ਅਸਿੰਕ੍ਰੋਨਸ ਇਵੈਂਟ ਸੂਚਨਾਵਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
161/UDP
SNMP
ਸਧਾਰਨ ਨੈੱਟਵਰਕ ਪ੍ਰਬੰਧਨ ਪ੍ਰੋਟੋਕੋਲ (SNMP)। NFVIS ਦੁਆਰਾ ਰਿਮੋਟ ਨੈੱਟਵਰਕ-ਨਿਗਰਾਨੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ ਵੇਖੋ, SNMP ਬਾਰੇ ਜਾਣ-ਪਛਾਣ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 12
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਅਧਿਕਾਰਤ ਸੇਵਾਵਾਂ ਲਈ ਅਧਿਕਾਰਤ ਨੈੱਟਵਰਕਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰੋ
ਅਧਿਕਾਰਤ ਸੇਵਾਵਾਂ ਲਈ ਅਧਿਕਾਰਤ ਨੈੱਟਵਰਕਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰੋ
ਸਿਰਫ਼ ਅਧਿਕਾਰਤ ਸ਼ੁਰੂਆਤ ਕਰਨ ਵਾਲਿਆਂ ਨੂੰ ਡਿਵਾਈਸ ਪ੍ਰਬੰਧਨ ਪਹੁੰਚ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ਪਹੁੰਚ ਸਿਰਫ਼ ਉਹਨਾਂ ਸੇਵਾਵਾਂ ਤੱਕ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ ਜਿਨ੍ਹਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਉਹ ਅਧਿਕਾਰਤ ਹਨ। NFVIS ਨੂੰ ਇਸ ਤਰ੍ਹਾਂ ਸੰਰਚਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਪਹੁੰਚ ਜਾਣੇ-ਪਛਾਣੇ, ਭਰੋਸੇਯੋਗ ਸਰੋਤਾਂ ਅਤੇ ਸੰਭਾਵਿਤ ਪ੍ਰਬੰਧਨ ਟਰੈਫਿਕ ਪ੍ਰੋ ਤੱਕ ਸੀਮਤ ਹੈfileਐੱਸ. ਇਹ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਅਤੇ ਹੋਰ ਹਮਲਿਆਂ, ਜਿਵੇਂ ਕਿ ਬਰੂਟ ਫੋਰਸ, ਡਿਕਸ਼ਨਰੀ, ਜਾਂ DoS ਹਮਲੇ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ।
NFVIS ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸਾਂ ਨੂੰ ਬੇਲੋੜੀ ਅਤੇ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਨੁਕਸਾਨਦੇਹ ਟ੍ਰੈਫਿਕ ਤੋਂ ਬਚਾਉਣ ਲਈ, ਇੱਕ ਐਡਮਿਨ ਉਪਭੋਗਤਾ ਪ੍ਰਾਪਤ ਹੋਣ ਵਾਲੇ ਨੈਟਵਰਕ ਟ੍ਰੈਫਿਕ ਲਈ ਐਕਸੈਸ ਕੰਟਰੋਲ ਸੂਚੀਆਂ (ACLs) ਬਣਾ ਸਕਦਾ ਹੈ। ਇਹ ACL ਸਰੋਤ IP ਪਤੇ/ਨੈੱਟਵਰਕ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ ਜਿੱਥੋਂ ਟ੍ਰੈਫਿਕ ਉਤਪੰਨ ਹੁੰਦਾ ਹੈ, ਅਤੇ ਟ੍ਰੈਫਿਕ ਦੀ ਕਿਸਮ ਜਿਸ ਦੀ ਇਹਨਾਂ ਸਰੋਤਾਂ ਤੋਂ ਇਜਾਜ਼ਤ ਜਾਂ ਅਸਵੀਕਾਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ IP ਟ੍ਰੈਫਿਕ ਫਿਲਟਰ NFVIS 'ਤੇ ਹਰੇਕ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ 'ਤੇ ਲਾਗੂ ਹੁੰਦੇ ਹਨ। ਹੇਠਾਂ ਦਿੱਤੇ ਮਾਪਦੰਡਾਂ ਨੂੰ ਇੱਕ IP ਪ੍ਰਾਪਤ ਐਕਸੈਸ ਕੰਟਰੋਲ ਸੂਚੀ (ip-receive-acl) ਵਿੱਚ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ
ਪੈਰਾਮੀਟਰ
ਮੁੱਲ
ਵਰਣਨ
ਸਰੋਤ ਨੈੱਟਵਰਕ/ਨੈੱਟਮਾਸਕ
ਨੈੱਟਵਰਕ/ਨੈੱਟਮਾਸਕ। ਸਾਬਕਾ ਲਈample: 0.0.0.0/0
172.39.162.0/24
ਇਹ ਖੇਤਰ ਉਸ IP ਐਡਰੈੱਸ/ਨੈੱਟਵਰਕ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜਿਸ ਤੋਂ ਟ੍ਰੈਫਿਕ ਉਤਪੰਨ ਹੁੰਦਾ ਹੈ
ਸੇਵਾ ਕਾਰਵਾਈ
https icmp netconf scpd snmp ssh ਡ੍ਰੌਪ ਅਸਵੀਕਾਰ ਸਵੀਕਾਰ ਕਰੋ
ਨਿਰਧਾਰਤ ਸਰੋਤ ਤੋਂ ਆਵਾਜਾਈ ਦੀ ਕਿਸਮ।
ਸਰੋਤ ਨੈੱਟਵਰਕ ਤੋਂ ਆਵਾਜਾਈ 'ਤੇ ਕੀਤੀ ਜਾਣ ਵਾਲੀ ਕਾਰਵਾਈ। ਸਵੀਕਾਰ ਕਰਨ ਦੇ ਨਾਲ, ਨਵੇਂ ਕਨੈਕਸ਼ਨ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਮਨਜ਼ੂਰੀ ਦਿੱਤੀ ਜਾਵੇਗੀ। ਅਸਵੀਕਾਰ ਕਰਨ ਦੇ ਨਾਲ, ਕੁਨੈਕਸ਼ਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਸਵੀਕਾਰ ਨਹੀਂ ਕੀਤਾ ਜਾਵੇਗਾ। ਜੇਕਰ ਨਿਯਮ ਇੱਕ TCP ਅਧਾਰਤ ਸੇਵਾ ਜਿਵੇਂ ਕਿ HTTPS, NETCONF, SCP, SSH ਲਈ ਹੈ, ਤਾਂ ਸਰੋਤ ਨੂੰ ਇੱਕ TCP ਰੀਸੈਟ (RST) ਪੈਕੇਟ ਮਿਲੇਗਾ। ਗੈਰ-TCP ਨਿਯਮਾਂ ਜਿਵੇਂ ਕਿ SNMP ਅਤੇ ICMP ਲਈ, ਪੈਕੇਟ ਨੂੰ ਛੱਡ ਦਿੱਤਾ ਜਾਵੇਗਾ। ਡਰਾਪ ਦੇ ਨਾਲ, ਸਾਰੇ ਪੈਕੇਟ ਤੁਰੰਤ ਸੁੱਟ ਦਿੱਤੇ ਜਾਣਗੇ, ਸਰੋਤ ਨੂੰ ਕੋਈ ਜਾਣਕਾਰੀ ਨਹੀਂ ਭੇਜੀ ਗਈ ਹੈ.
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 13
ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਡੀਬੱਗ ਪਹੁੰਚ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਪੈਰਾਮੀਟਰ ਤਰਜੀਹ
ਮੁੱਲ ਇੱਕ ਸੰਖਿਆਤਮਕ ਮੁੱਲ
ਵਰਣਨ
ਪਹਿਲ ਦੀ ਵਰਤੋਂ ਨਿਯਮਾਂ 'ਤੇ ਹੁਕਮ ਲਾਗੂ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਪਹਿਲ ਲਈ ਉੱਚ ਸੰਖਿਆਤਮਕ ਮੁੱਲ ਵਾਲੇ ਨਿਯਮਾਂ ਨੂੰ ਲੜੀ ਵਿੱਚ ਹੋਰ ਹੇਠਾਂ ਜੋੜਿਆ ਜਾਵੇਗਾ। ਜੇਕਰ ਤੁਸੀਂ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਚਾਹੁੰਦੇ ਹੋ ਕਿ ਇੱਕ ਨਿਯਮ ਦੇ ਬਾਅਦ ਇੱਕ ਨਿਯਮ ਜੋੜਿਆ ਜਾਵੇਗਾ, ਤਾਂ ਪਹਿਲੇ ਲਈ ਇੱਕ ਘੱਟ ਤਰਜੀਹ ਨੰਬਰ ਅਤੇ ਹੇਠਲੇ ਲਈ ਇੱਕ ਉੱਚ ਤਰਜੀਹ ਨੰਬਰ ਦੀ ਵਰਤੋਂ ਕਰੋ।
ਹੇਠ ਲਿਖੇ ਐਸample ਸੰਰਚਨਾ ਕੁਝ ਦ੍ਰਿਸ਼ਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਖਾਸ ਵਰਤੋਂ-ਕੇਸਾਂ ਲਈ ਅਨੁਕੂਲਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
IP ਰਿਸੀਵ ACL ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ
ਇੱਕ ACL ਜਿੰਨਾ ਜ਼ਿਆਦਾ ਪ੍ਰਤਿਬੰਧਿਤ ਹੋਵੇਗਾ, ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਕੋਸ਼ਿਸ਼ਾਂ ਦਾ ਐਕਸਪੋਜ਼ਰ ਓਨਾ ਹੀ ਸੀਮਤ ਹੋਵੇਗਾ। ਹਾਲਾਂਕਿ, ਇੱਕ ਵਧੇਰੇ ਪ੍ਰਤਿਬੰਧਿਤ ACL ਇੱਕ ਪ੍ਰਬੰਧਨ ਓਵਰਹੈੱਡ ਬਣਾ ਸਕਦਾ ਹੈ, ਅਤੇ ਸਮੱਸਿਆ ਨਿਪਟਾਰਾ ਕਰਨ ਲਈ ਪਹੁੰਚਯੋਗਤਾ ਨੂੰ ਪ੍ਰਭਾਵਤ ਕਰ ਸਕਦਾ ਹੈ। ਸਿੱਟੇ ਵਜੋਂ, ਵਿਚਾਰ ਕਰਨ ਲਈ ਇੱਕ ਸੰਤੁਲਨ ਹੈ. ਇੱਕ ਸਮਝੌਤਾ ਸਿਰਫ਼ ਅੰਦਰੂਨੀ ਕਾਰਪੋਰੇਟ IP ਪਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰਨਾ ਹੈ। ਹਰੇਕ ਗਾਹਕ ਨੂੰ ਆਪਣੀ ਸੁਰੱਖਿਆ ਨੀਤੀ, ਜੋਖਮਾਂ, ਐਕਸਪੋਜ਼ਰ, ਅਤੇ ਇਸਦੀ ਸਵੀਕ੍ਰਿਤੀ ਦੇ ਸਬੰਧ ਵਿੱਚ ACLs ਦੇ ਲਾਗੂ ਕਰਨ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਸਬਨੈੱਟ ਤੋਂ ssh ਟ੍ਰੈਫਿਕ ਨੂੰ ਅਸਵੀਕਾਰ ਕਰੋ:
nfvis(config)# ਸਿਸਟਮ ਸੈਟਿੰਗਾਂ ip-receive-acl 171.70.63.0/24 ਸੇਵਾ ssh ਐਕਸ਼ਨ ਤਰਜੀਹ 1 ਨੂੰ ਰੱਦ ਕਰੋ
ACL ਨੂੰ ਹਟਾਉਣਾ:
ਜਦੋਂ ਇੱਕ ਇੰਦਰਾਜ਼ ip-receive-acl ਤੋਂ ਮਿਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਸ ਸਰੋਤ ਦੀਆਂ ਸਾਰੀਆਂ ਸੰਰਚਨਾਵਾਂ ਮਿਟਾ ਦਿੱਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ ਕਿਉਂਕਿ ਸਰੋਤ IP ਪਤਾ ਕੁੰਜੀ ਹੈ। ਸਿਰਫ਼ ਇੱਕ ਸੇਵਾ ਨੂੰ ਮਿਟਾਉਣ ਲਈ, ਹੋਰ ਸੇਵਾਵਾਂ ਨੂੰ ਦੁਬਾਰਾ ਕੌਂਫਿਗਰ ਕਰੋ।
nfvis(config)# ਕੋਈ ਸਿਸਟਮ ਸੈਟਿੰਗ ਨਹੀਂ ip-receive-acl 171.70.63.0/24
ਹੋਰ ਵੇਰਵਿਆਂ ਲਈ ਵੇਖੋ, IP ਪ੍ਰਾਪਤ ਕਰਨਾ ACL ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ
ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਡੀਬੱਗ ਪਹੁੰਚ
NFVIS 'ਤੇ ਸੁਪਰ-ਉਪਭੋਗਤਾ ਖਾਤਾ ਪੂਰਵ-ਨਿਰਧਾਰਤ ਤੌਰ 'ਤੇ ਅਸਮਰੱਥ ਕੀਤਾ ਗਿਆ ਹੈ, ਸਾਰੀਆਂ ਅਪ੍ਰਬੰਧਿਤ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਪ੍ਰਤੀਕੂਲ, ਸਿਸਟਮ-ਵਿਆਪਕ ਤਬਦੀਲੀਆਂ ਨੂੰ ਰੋਕਣ ਲਈ ਅਤੇ NFVIS ਸਿਸਟਮ ਸ਼ੈੱਲ ਨੂੰ ਉਪਭੋਗਤਾ ਨੂੰ ਪ੍ਰਗਟ ਨਹੀਂ ਕਰਦਾ ਹੈ।
ਹਾਲਾਂਕਿ, NFVIS ਸਿਸਟਮ 'ਤੇ ਡੀਬੱਗ ਕਰਨ ਲਈ ਕੁਝ ਮੁਸ਼ਕਲ ਮੁੱਦਿਆਂ ਲਈ, ਸਿਸਕੋ ਟੈਕਨੀਕਲ ਅਸਿਸਟੈਂਸ ਸੈਂਟਰ ਟੀਮ (TAC) ਜਾਂ ਵਿਕਾਸ ਟੀਮ ਨੂੰ ਗਾਹਕ ਦੇ NFVIS ਤੱਕ ਸ਼ੈੱਲ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ। NFVIS ਕੋਲ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਇੱਕ ਸੁਰੱਖਿਅਤ ਅਨਲੌਕ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਹੈ ਕਿ ਖੇਤਰ ਵਿੱਚ ਇੱਕ ਡਿਵਾਈਸ ਤੱਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਡੀਬੱਗ ਪਹੁੰਚ ਅਧਿਕਾਰਤ ਸਿਸਕੋ ਕਰਮਚਾਰੀਆਂ ਤੱਕ ਸੀਮਤ ਹੈ। ਇਸ ਕਿਸਮ ਦੀ ਇੰਟਰਐਕਟਿਵ ਡੀਬਗਿੰਗ ਲਈ ਲੀਨਕਸ ਸ਼ੈੱਲ ਨੂੰ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਐਕਸੈਸ ਕਰਨ ਲਈ, NFVIS ਅਤੇ Cisco ਦੁਆਰਾ ਬਣਾਏ ਇੰਟਰਐਕਟਿਵ ਡੀਬਗਿੰਗ ਸਰਵਰ ਵਿਚਕਾਰ ਇੱਕ ਚੁਣੌਤੀ-ਜਵਾਬ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਵਰਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਡਿਵਾਈਸ ਨੂੰ ਗਾਹਕ ਦੀ ਸਹਿਮਤੀ ਨਾਲ ਐਕਸੈਸ ਕੀਤਾ ਗਿਆ ਹੈ, ਚੁਣੌਤੀ-ਜਵਾਬ ਐਂਟਰੀ ਤੋਂ ਇਲਾਵਾ ਐਡਮਿਨ ਉਪਭੋਗਤਾ ਦਾ ਪਾਸਵਰਡ ਵੀ ਲੋੜੀਂਦਾ ਹੈ।
ਇੰਟਰਐਕਟਿਵ ਡੀਬਗਿੰਗ ਲਈ ਸ਼ੈੱਲ ਤੱਕ ਪਹੁੰਚਣ ਲਈ ਕਦਮ:
1. ਇੱਕ ਐਡਮਿਨ ਉਪਭੋਗਤਾ ਇਸ ਲੁਕਵੇਂ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਸ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।
nfvis# ਸਿਸਟਮ ਸ਼ੈੱਲ-ਐਕਸੈੱਸ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 14
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਸੁਰੱਖਿਅਤ ਇੰਟਰਫੇਸ
2. ਸਕ੍ਰੀਨ ਇੱਕ ਚੁਣੌਤੀ ਸਤਰ ਦਿਖਾਏਗੀ, ਉਦਾਹਰਨ ਲਈampLe:
ਚੈਲੇਂਜ ਸਟ੍ਰਿੰਗ (ਕਿਰਪਾ ਕਰਕੇ ਤਾਰਿਆਂ ਦੇ ਵਿਚਕਾਰਲੀ ਹਰ ਚੀਜ਼ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਕਾਪੀ ਕਰੋ):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. ਸਿਸਕੋ ਮੈਂਬਰ ਸਿਸਕੋ ਦੁਆਰਾ ਬਣਾਏ ਇੰਟਰਐਕਟਿਵ ਡੀਬੱਗ ਸਰਵਰ ਉੱਤੇ ਚੈਲੇਂਜ ਸਤਰ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦਾ ਹੈ। ਇਹ ਸਰਵਰ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਕਿ ਸਿਸਕੋ ਉਪਭੋਗਤਾ ਸ਼ੈੱਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ NFVIS ਨੂੰ ਡੀਬੱਗ ਕਰਨ ਲਈ ਅਧਿਕਾਰਤ ਹੈ, ਅਤੇ ਫਿਰ ਇੱਕ ਜਵਾਬ ਸਤਰ ਵਾਪਸ ਕਰਦਾ ਹੈ।
4. ਇਸ ਪ੍ਰੋਂਪਟ ਦੇ ਹੇਠਾਂ ਸਕ੍ਰੀਨ 'ਤੇ ਜਵਾਬ ਸਤਰ ਦਰਜ ਕਰੋ: ਤਿਆਰ ਹੋਣ 'ਤੇ ਆਪਣਾ ਜਵਾਬ ਇਨਪੁਟ ਕਰੋ:
5. ਪੁੱਛੇ ਜਾਣ 'ਤੇ, ਗਾਹਕ ਨੂੰ ਐਡਮਿਨ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। 6. ਜੇਕਰ ਪਾਸਵਰਡ ਵੈਧ ਹੈ ਤਾਂ ਤੁਹਾਨੂੰ ਸ਼ੈੱਲ-ਐਕਸੈਸ ਮਿਲਦੀ ਹੈ। 7. ਵਿਕਾਸ ਜਾਂ TAC ਟੀਮ ਡੀਬੱਗਿੰਗ ਨਾਲ ਅੱਗੇ ਵਧਣ ਲਈ ਸ਼ੈੱਲ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। 8. ਸ਼ੈੱਲ-ਐਕਸੈਸ ਤੋਂ ਬਾਹਰ ਨਿਕਲਣ ਲਈ Exit ਟਾਈਪ ਕਰੋ।
ਸੁਰੱਖਿਅਤ ਇੰਟਰਫੇਸ
ਚਿੱਤਰ ਵਿੱਚ ਦਿਖਾਏ ਗਏ ਇੰਟਰਫੇਸਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ NFVIS ਪ੍ਰਬੰਧਨ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਹੈ। ਹੇਠਾਂ ਦਿੱਤੇ ਭਾਗ ਇਹਨਾਂ ਇੰਟਰਫੇਸਾਂ ਲਈ NFVIS ਲਈ ਸੁਰੱਖਿਆ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸਾਂ ਦਾ ਵਰਣਨ ਕਰਦੇ ਹਨ।
ਕੰਸੋਲ SSH
ਕੰਸੋਲ ਪੋਰਟ ਇੱਕ ਅਸਿੰਕ੍ਰੋਨਸ ਸੀਰੀਅਲ ਪੋਰਟ ਹੈ ਜੋ ਤੁਹਾਨੂੰ ਸ਼ੁਰੂਆਤੀ ਸੰਰਚਨਾ ਲਈ NFVIS CLI ਨਾਲ ਜੁੜਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇੱਕ ਉਪਭੋਗਤਾ NFVIS ਤੱਕ ਭੌਤਿਕ ਪਹੁੰਚ ਜਾਂ ਟਰਮੀਨਲ ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਰਿਮੋਟ ਪਹੁੰਚ ਨਾਲ ਕੰਸੋਲ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਟਰਮੀਨਲ ਸਰਵਰ ਰਾਹੀਂ ਕੰਸੋਲ ਪੋਰਟ ਐਕਸੈਸ ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਟਰਮੀਨਲ ਸਰਵਰ 'ਤੇ ਪਹੁੰਚ ਸੂਚੀਆਂ ਨੂੰ ਸੰਰਚਿਤ ਕਰੋ ਤਾਂ ਜੋ ਸਿਰਫ਼ ਲੋੜੀਂਦੇ ਸਰੋਤ ਪਤਿਆਂ ਤੋਂ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾ ਸਕੇ।
ਉਪਭੋਗਤਾ ਰਿਮੋਟ ਲਾਗਇਨ ਦੇ ਇੱਕ ਸੁਰੱਖਿਅਤ ਸਾਧਨ ਵਜੋਂ SSH ਦੀ ਵਰਤੋਂ ਕਰਕੇ NFVIS CLI ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦੇ ਹਨ। NFVIS ਪ੍ਰਬੰਧਨ ਟ੍ਰੈਫਿਕ ਦੀ ਇਕਸਾਰਤਾ ਅਤੇ ਗੁਪਤਤਾ ਪ੍ਰਸ਼ਾਸਿਤ ਨੈੱਟਵਰਕ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਜ਼ਰੂਰੀ ਹੈ ਕਿਉਂਕਿ ਪ੍ਰਸ਼ਾਸਨ ਪ੍ਰੋਟੋਕੋਲ ਅਕਸਰ ਅਜਿਹੀ ਜਾਣਕਾਰੀ ਲੈ ਕੇ ਜਾਂਦੇ ਹਨ ਜਿਸਦੀ ਵਰਤੋਂ ਨੈੱਟਵਰਕ ਵਿੱਚ ਪ੍ਰਵੇਸ਼ ਕਰਨ ਜਾਂ ਵਿਘਨ ਪਾਉਣ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 15
CLI ਸੈਸ਼ਨ ਦਾ ਸਮਾਂ ਸਮਾਪਤ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
NFVIS SSH ਸੰਸਕਰਣ 2 ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਇੰਟਰਐਕਟਿਵ ਲੌਗਿਨ ਲਈ ਸਿਸਕੋ ਅਤੇ ਇੰਟਰਨੈਟ ਦਾ ਡੀ ਫੈਕਟੋ ਸਟੈਂਡਰਡ ਪ੍ਰੋਟੋਕੋਲ ਹੈ ਅਤੇ ਸਿਸਕੋ ਦੇ ਅੰਦਰ ਸੁਰੱਖਿਆ ਅਤੇ ਟਰੱਸਟ ਸੰਗਠਨ ਦੁਆਰਾ ਸਿਫ਼ਾਰਿਸ਼ ਕੀਤੇ ਮਜ਼ਬੂਤ ਏਨਕ੍ਰਿਪਸ਼ਨ, ਹੈਸ਼ ਅਤੇ ਕੀ ਐਕਸਚੇਂਜ ਐਲਗੋਰਿਦਮ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।
CLI ਸੈਸ਼ਨ ਦਾ ਸਮਾਂ ਸਮਾਪਤ
SSH ਦੁਆਰਾ ਲੌਗਇਨ ਕਰਕੇ, ਇੱਕ ਉਪਭੋਗਤਾ NFVIS ਨਾਲ ਇੱਕ ਸੈਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਉਪਭੋਗਤਾ ਲੌਗਇਨ ਹੁੰਦਾ ਹੈ, ਜੇਕਰ ਉਪਭੋਗਤਾ ਲੌਗ-ਇਨ ਸੈਸ਼ਨ ਨੂੰ ਅਣਗੌਲਿਆ ਛੱਡ ਦਿੰਦਾ ਹੈ, ਤਾਂ ਇਹ ਨੈਟਵਰਕ ਨੂੰ ਸੁਰੱਖਿਆ ਜੋਖਮ ਵਿੱਚ ਪਾ ਸਕਦਾ ਹੈ। ਸੈਸ਼ਨ ਸੁਰੱਖਿਆ ਅੰਦਰੂਨੀ ਹਮਲਿਆਂ ਦੇ ਜੋਖਮ ਨੂੰ ਸੀਮਿਤ ਕਰਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ ਇੱਕ ਉਪਭੋਗਤਾ ਦੂਜੇ ਉਪਭੋਗਤਾ ਦੇ ਸੈਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਿਹਾ ਹੈ।
ਇਸ ਖਤਰੇ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ, NFVIS ਨੇ 15 ਮਿੰਟ ਦੀ ਅਕਿਰਿਆਸ਼ੀਲਤਾ ਤੋਂ ਬਾਅਦ CLI ਸੈਸ਼ਨਾਂ ਦਾ ਸਮਾਂ ਸਮਾਪਤ ਕਰ ਦਿੱਤਾ ਹੈ। ਜਦੋਂ ਸੈਸ਼ਨ ਦਾ ਸਮਾਂ ਸਮਾਪਤ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਪਭੋਗਤਾ ਆਪਣੇ ਆਪ ਲੌਗ ਆਊਟ ਹੋ ਜਾਂਦਾ ਹੈ।
NETCONF
ਨੈੱਟਵਰਕ ਕੌਂਫਿਗਰੇਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ (NETCONF) ਇੱਕ ਨੈੱਟਵਰਕ ਪ੍ਰਬੰਧਨ ਪ੍ਰੋਟੋਕੋਲ ਹੈ ਜੋ ਨੈੱਟਵਰਕ ਡਿਵਾਈਸਾਂ ਦੀ ਸਵੈਚਲਿਤ ਸੰਰਚਨਾ ਲਈ IETF ਦੁਆਰਾ ਵਿਕਸਤ ਅਤੇ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਗਿਆ ਹੈ।
NETCONF ਪ੍ਰੋਟੋਕੋਲ ਸੰਰਚਨਾ ਡੇਟਾ ਦੇ ਨਾਲ-ਨਾਲ ਪ੍ਰੋਟੋਕੋਲ ਸੁਨੇਹਿਆਂ ਲਈ ਇੱਕ ਐਕਸਟੈਂਸੀਬਲ ਮਾਰਕਅੱਪ ਲੈਂਗੂਏਜ (XML) ਅਧਾਰਤ ਡੇਟਾ ਏਨਕੋਡਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਪ੍ਰੋਟੋਕੋਲ ਸੁਨੇਹਿਆਂ ਨੂੰ ਇੱਕ ਸੁਰੱਖਿਅਤ ਟ੍ਰਾਂਸਪੋਰਟ ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਸਿਖਰ 'ਤੇ ਬਦਲਿਆ ਜਾਂਦਾ ਹੈ।
NETCONF NFVIS ਨੂੰ ਇੱਕ XML-ਅਧਾਰਿਤ API ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ ਜਿਸਦੀ ਵਰਤੋਂ ਨੈੱਟਵਰਕ ਆਪਰੇਟਰ SSH 'ਤੇ ਸੁਰੱਖਿਅਤ ਰੂਪ ਨਾਲ ਸੰਰਚਨਾ ਡੇਟਾ ਅਤੇ ਇਵੈਂਟ ਸੂਚਨਾਵਾਂ ਨੂੰ ਸੈੱਟ ਕਰਨ ਅਤੇ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਰ ਸਕਦਾ ਹੈ।
ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, NETCONF ਇਵੈਂਟ ਸੂਚਨਾਵਾਂ ਵੇਖੋ।
REST API
NFVIS ਨੂੰ HTTPS ਉੱਤੇ RESTful API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੰਰਚਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। REST API ਬੇਨਤੀ ਕਰਨ ਵਾਲੇ ਸਿਸਟਮਾਂ ਨੂੰ ਸਟੇਟਲੈਸ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਇੱਕ ਯੂਨੀਫਾਰਮ ਅਤੇ ਪੂਰਵ ਪਰਿਭਾਸ਼ਿਤ ਸੈੱਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ NFVIS ਸੰਰਚਨਾ ਤੱਕ ਪਹੁੰਚ ਅਤੇ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਸਾਰੇ REST API ਦੇ ਵੇਰਵੇ NFVIS API ਹਵਾਲਾ ਗਾਈਡ ਵਿੱਚ ਲੱਭੇ ਜਾ ਸਕਦੇ ਹਨ।
ਜਦੋਂ ਉਪਭੋਗਤਾ ਇੱਕ REST API ਜਾਰੀ ਕਰਦਾ ਹੈ, ਤਾਂ NFVIS ਨਾਲ ਇੱਕ ਸੈਸ਼ਨ ਸਥਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸੇਵਾ ਹਮਲਿਆਂ ਤੋਂ ਇਨਕਾਰ ਕਰਨ ਨਾਲ ਸਬੰਧਤ ਜੋਖਮਾਂ ਨੂੰ ਸੀਮਤ ਕਰਨ ਲਈ, NFVIS ਸਮਕਾਲੀ REST ਸੈਸ਼ਨਾਂ ਦੀ ਕੁੱਲ ਸੰਖਿਆ ਨੂੰ 100 ਤੱਕ ਸੀਮਿਤ ਕਰਦਾ ਹੈ।
NFVIS Web ਪੋਰਟਲ
NFVIS ਪੋਰਟਲ ਏ web-ਅਧਾਰਿਤ ਗ੍ਰਾਫਿਕਲ ਯੂਜ਼ਰ ਇੰਟਰਫੇਸ ਜੋ NFVIS ਬਾਰੇ ਜਾਣਕਾਰੀ ਦਿਖਾਉਂਦਾ ਹੈ। ਪੋਰਟਲ ਉਪਭੋਗਤਾ ਨੂੰ NFVIS CLI ਅਤੇ API ਨੂੰ ਜਾਣੇ ਬਿਨਾਂ HTTPS ਉੱਤੇ NFVIS ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਅਤੇ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ ਇੱਕ ਆਸਾਨ ਸਾਧਨ ਪੇਸ਼ ਕਰਦਾ ਹੈ।
ਸੈਸ਼ਨ ਪ੍ਰਬੰਧਨ
HTTP ਅਤੇ HTTPS ਦੀ ਸਥਿਤੀ ਰਹਿਤ ਪ੍ਰਕਿਰਤੀ ਲਈ ਵਿਲੱਖਣ ਸੈਸ਼ਨ ID ਅਤੇ ਕੂਕੀਜ਼ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ ਟਰੈਕ ਕਰਨ ਦੀ ਵਿਧੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
NFVIS ਉਪਭੋਗਤਾ ਦੇ ਸੈਸ਼ਨ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। AES-256-CBC ਸਾਈਫਰ ਦੀ ਵਰਤੋਂ HMAC-SHA-256 ਪ੍ਰਮਾਣਿਕਤਾ ਨਾਲ ਸੈਸ਼ਨ ਸਮੱਗਰੀ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। tag. ਹਰੇਕ ਇਨਕ੍ਰਿਪਸ਼ਨ ਓਪਰੇਸ਼ਨ ਲਈ ਇੱਕ ਬੇਤਰਤੀਬ 128-ਬਿੱਟ ਸ਼ੁਰੂਆਤੀ ਵੈਕਟਰ ਤਿਆਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਇੱਕ ਆਡਿਟ ਰਿਕਾਰਡ ਸ਼ੁਰੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਦੋਂ ਇੱਕ ਪੋਰਟਲ ਸੈਸ਼ਨ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ। ਜਦੋਂ ਉਪਭੋਗਤਾ ਲੌਗ ਆਉਟ ਹੁੰਦਾ ਹੈ ਜਾਂ ਸੈਸ਼ਨ ਦਾ ਸਮਾਂ ਸਮਾਪਤ ਹੁੰਦਾ ਹੈ ਤਾਂ ਸੈਸ਼ਨ ਜਾਣਕਾਰੀ ਮਿਟਾ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ।
ਪੋਰਟਲ ਸੈਸ਼ਨਾਂ ਲਈ ਡਿਫੌਲਟ ਨਿਸ਼ਕਿਰਿਆ ਸਮਾਂ ਸਮਾਪਤੀ 15 ਮਿੰਟ ਹੈ। ਹਾਲਾਂਕਿ, ਇਸਨੂੰ ਮੌਜੂਦਾ ਸੈਸ਼ਨ ਲਈ ਸੈਟਿੰਗਾਂ ਪੰਨੇ 'ਤੇ 5 ਅਤੇ 60 ਮਿੰਟਾਂ ਦੇ ਵਿਚਕਾਰ ਮੁੱਲ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ ਆਟੋ-ਲੌਗਆਊਟ ਸ਼ੁਰੂ ਕੀਤਾ ਜਾਵੇਗਾ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 16
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
HTTPS
HTTPS
ਮਿਆਦ. ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ ਵਿੱਚ ਕਈ ਸੈਸ਼ਨਾਂ ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਹੈ। ਸਮਕਾਲੀ ਸੈਸ਼ਨਾਂ ਦੀ ਅਧਿਕਤਮ ਸੰਖਿਆ 30 'ਤੇ ਸੈੱਟ ਕੀਤੀ ਗਈ ਹੈ। NFVIS ਪੋਰਟਲ ਉਪਭੋਗਤਾ ਨਾਲ ਡੇਟਾ ਨੂੰ ਜੋੜਨ ਲਈ ਕੂਕੀਜ਼ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਵਧੀ ਹੋਈ ਸੁਰੱਖਿਆ ਲਈ ਹੇਠ ਲਿਖੀਆਂ ਕੂਕੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ:
· ਬ੍ਰਾਊਜ਼ਰ ਦੇ ਬੰਦ ਹੋਣ 'ਤੇ ਕੂਕੀ ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਅਲੌਕਿਕ · http ਸਿਰਫ਼ JavaScript ਤੋਂ ਕੂਕੀ ਨੂੰ ਪਹੁੰਚਯੋਗ ਬਣਾਉਣ ਲਈ · ਸੁਰੱਖਿਅਤਪ੍ਰਾਕਸੀ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਕੂਕੀ ਸਿਰਫ਼ SSL 'ਤੇ ਭੇਜੀ ਜਾ ਸਕਦੀ ਹੈ।
ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਾਅਦ ਵੀ, ਕਰਾਸ-ਸਾਈਟ ਬੇਨਤੀ ਜਾਅਲਸਾਜ਼ੀ (CSRF) ਵਰਗੇ ਹਮਲੇ ਸੰਭਵ ਹਨ। ਇਸ ਦ੍ਰਿਸ਼ ਵਿੱਚ, ਇੱਕ ਅੰਤਮ ਉਪਭੋਗਤਾ ਅਣਜਾਣੇ ਵਿੱਚ ਇੱਕ 'ਤੇ ਅਣਚਾਹੇ ਕਾਰਵਾਈਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇ ਸਕਦਾ ਹੈ web ਐਪਲੀਕੇਸ਼ਨ ਜਿਸ ਵਿੱਚ ਉਹ ਵਰਤਮਾਨ ਵਿੱਚ ਪ੍ਰਮਾਣਿਤ ਹਨ। ਇਸ ਨੂੰ ਰੋਕਣ ਲਈ, NFVIS CSRF ਟੋਕਨਾਂ ਦੀ ਵਰਤੋਂ ਹਰ ਇੱਕ REST API ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਕਰਦਾ ਹੈ ਜੋ ਹਰੇਕ ਸੈਸ਼ਨ ਦੌਰਾਨ ਬੁਲਾਇਆ ਜਾਂਦਾ ਹੈ।
URL ਆਮ ਵਿੱਚ ਰੀਡਾਇਰੈਕਸ਼ਨ web ਸਰਵਰ, ਜਦੋਂ ਕੋਈ ਪੰਨਾ 'ਤੇ ਨਹੀਂ ਮਿਲਦਾ web ਸਰਵਰ, ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ 404 ਸੁਨੇਹਾ ਮਿਲਦਾ ਹੈ; ਮੌਜੂਦ ਪੰਨਿਆਂ ਲਈ, ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਲੌਗਇਨ ਪੰਨਾ ਮਿਲਦਾ ਹੈ। ਇਸਦਾ ਸੁਰੱਖਿਆ ਪ੍ਰਭਾਵ ਇਹ ਹੈ ਕਿ ਹਮਲਾਵਰ ਇੱਕ ਬਰੂਟ ਫੋਰਸ ਸਕੈਨ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਆਸਾਨੀ ਨਾਲ ਪਤਾ ਲਗਾ ਸਕਦਾ ਹੈ ਕਿ ਕਿਹੜੇ ਪੰਨੇ ਅਤੇ ਫੋਲਡਰ ਮੌਜੂਦ ਹਨ। NFVIS 'ਤੇ ਇਸ ਨੂੰ ਰੋਕਣ ਲਈ, ਸਾਰੇ ਗੈਰ-ਮੌਜੂਦ ਹਨ URLਡਿਵਾਈਸ IP ਦੇ ਨਾਲ s ਅਗੇਤਰ 301 ਸਥਿਤੀ ਜਵਾਬ ਕੋਡ ਦੇ ਨਾਲ ਪੋਰਟਲ ਲੌਗਇਨ ਪੰਨੇ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਚਾਹੇ ਕੋਈ ਵੀ ਹੋਵੇ URL ਇੱਕ ਹਮਲਾਵਰ ਦੁਆਰਾ ਬੇਨਤੀ ਕੀਤੀ ਗਈ, ਉਹ ਹਮੇਸ਼ਾਂ ਆਪਣੇ ਆਪ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਲੌਗਇਨ ਪੰਨਾ ਪ੍ਰਾਪਤ ਕਰਨਗੇ। ਸਾਰੀਆਂ HTTP ਸਰਵਰ ਬੇਨਤੀਆਂ ਨੂੰ HTTPS ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਹੇਠਾਂ ਦਿੱਤੇ ਸਿਰਲੇਖਾਂ ਦੀ ਸੰਰਚਨਾ ਕੀਤੀ ਜਾਂਦੀ ਹੈ:
· X-ਸਮੱਗਰੀ-ਕਿਸਮ-ਵਿਕਲਪਾਂ · X-XSS-ਸੁਰੱਖਿਆ · ਸਮੱਗਰੀ-ਸੁਰੱਖਿਆ-ਨੀਤੀ · X-ਫ੍ਰੇਮ-ਵਿਕਲਪਾਂ · ਸਖਤ-ਆਵਾਜਾਈ-ਸੁਰੱਖਿਆ · ਕੈਸ਼-ਨਿਯੰਤਰਣ
ਪੋਰਟਲ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣਾ NFVIS ਪੋਰਟਲ ਪਹੁੰਚ ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਰੱਥ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ ਪੋਰਟਲ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਜਨਾ ਨਹੀਂ ਬਣਾ ਰਹੇ ਹੋ, ਤਾਂ ਇਸ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪੋਰਟਲ ਪਹੁੰਚ ਨੂੰ ਅਯੋਗ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ:
ਟਰਮੀਨਲ ਸਿਸਟਮ ਪੋਰਟਲ ਐਕਸੈਸ ਅਯੋਗ ਕਮਿਟ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੋ
NFVIS ਤੋਂ ਅਤੇ ਇਸ ਤੋਂ ਸਾਰੇ HTTPS ਡੇਟਾ ਪੂਰੇ ਨੈਟਵਰਕ ਵਿੱਚ ਸੰਚਾਰ ਕਰਨ ਲਈ ਟ੍ਰਾਂਸਪੋਰਟ ਲੇਅਰ ਸੁਰੱਖਿਆ (TLS) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। TLS ਸਕਿਓਰ ਸਾਕਟ ਲੇਅਰ (SSL) ਦਾ ਉੱਤਰਾਧਿਕਾਰੀ ਹੈ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 17
HTTPS
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
TLS ਹੈਂਡਸ਼ੇਕ ਵਿੱਚ ਪ੍ਰਮਾਣਿਕਤਾ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਸ ਦੌਰਾਨ ਕਲਾਇੰਟ ਸਰਵਰ ਦੇ SSL ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਨਾਲ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ ਜਿਸਨੇ ਇਸਨੂੰ ਜਾਰੀ ਕੀਤਾ ਹੈ। ਇਹ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਕਿ ਸਰਵਰ ਉਹ ਹੈ ਜੋ ਇਹ ਕਹਿੰਦਾ ਹੈ, ਅਤੇ ਇਹ ਕਿ ਕਲਾਇੰਟ ਡੋਮੇਨ ਦੇ ਮਾਲਕ ਨਾਲ ਗੱਲਬਾਤ ਕਰ ਰਿਹਾ ਹੈ। ਮੂਲ ਰੂਪ ਵਿੱਚ, NFVIS ਆਪਣੇ ਗਾਹਕਾਂ ਨੂੰ ਆਪਣੀ ਪਛਾਣ ਸਾਬਤ ਕਰਨ ਲਈ ਇੱਕ ਸਵੈ-ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸ ਸਰਟੀਫਿਕੇਟ ਵਿੱਚ TLS ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਵਧਾਉਣ ਲਈ ਇੱਕ 2048-ਬਿੱਟ ਜਨਤਕ ਕੁੰਜੀ ਹੈ, ਕਿਉਂਕਿ ਏਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਤਾਕਤ ਸਿੱਧੇ ਕੁੰਜੀ ਦੇ ਆਕਾਰ ਨਾਲ ਸੰਬੰਧਿਤ ਹੈ।
ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਬੰਧਨ NFVIS ਇੱਕ ਸਵੈ-ਦਸਤਖਤ ਕੀਤਾ SSL ਸਰਟੀਫਿਕੇਟ ਤਿਆਰ ਕਰਦਾ ਹੈ ਜਦੋਂ ਪਹਿਲੀ ਵਾਰ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਇੱਕ ਅਨੁਕੂਲ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ (CA) ਦੁਆਰਾ ਹਸਤਾਖਰ ਕੀਤੇ ਵੈਧ ਸਰਟੀਫਿਕੇਟ ਨਾਲ ਬਦਲਣਾ ਇੱਕ ਸੁਰੱਖਿਆ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ ਹੈ। ਡਿਫਾਲਟ ਸਵੈ-ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਬਦਲਣ ਲਈ ਹੇਠਾਂ ਦਿੱਤੇ ਕਦਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ: 1. NFVIS 'ਤੇ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਦਸਤਖਤ ਬੇਨਤੀ (CSR) ਤਿਆਰ ਕਰੋ।
ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਦਸਤਖਤ ਕਰਨ ਦੀ ਬੇਨਤੀ (CSR) ਹੈ a file ਏਨਕੋਡ ਕੀਤੇ ਟੈਕਸਟ ਦੇ ਇੱਕ ਬਲਾਕ ਦੇ ਨਾਲ ਜੋ ਇੱਕ SSL ਸਰਟੀਫਿਕੇਟ ਲਈ ਅਰਜ਼ੀ ਦੇਣ ਵੇਲੇ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਨੂੰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ file ਇਸ ਵਿੱਚ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜੋ ਸਰਟੀਫਿਕੇਟ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ ਜਿਵੇਂ ਕਿ ਸੰਸਥਾ ਦਾ ਨਾਮ, ਆਮ ਨਾਮ (ਡੋਮੇਨ ਨਾਮ), ਇਲਾਕਾ, ਅਤੇ ਦੇਸ਼। ਦ file ਵਿੱਚ ਜਨਤਕ ਕੁੰਜੀ ਵੀ ਸ਼ਾਮਲ ਹੈ ਜੋ ਸਰਟੀਫਿਕੇਟ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ। NFVIS ਇੱਕ 2048-ਬਿੱਟ ਪਬਲਿਕ ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਕਿਉਂਕਿ ਉੱਚ ਕੁੰਜੀ ਦੇ ਆਕਾਰ ਦੇ ਨਾਲ ਏਨਕ੍ਰਿਪਸ਼ਨ ਤਾਕਤ ਵੱਧ ਹੁੰਦੀ ਹੈ। NFVIS 'ਤੇ CSR ਬਣਾਉਣ ਲਈ, ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਚਲਾਓ:
nfvis# ਸਿਸਟਮ ਸਰਟੀਫਿਕੇਟ ਹਸਤਾਖਰ-ਬੇਨਤੀ [ਆਮ-ਨਾਮ ਦੇਸ਼-ਕੋਡ ਸਥਾਨਕ ਸੰਗਠਨ ਸੰਗਠਨ-ਯੂਨਿਟ-ਨਾਮ ਰਾਜ] ਸੀ.ਐੱਸ.ਆਰ. file /data/intdatastore/download/nfvis.csr ਵਜੋਂ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। . 2. CSR ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ CA ਤੋਂ ਇੱਕ SSL ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਾਪਤ ਕਰੋ। ਇੱਕ ਬਾਹਰੀ ਹੋਸਟ ਤੋਂ, ਸਰਟੀਫਿਕੇਟ ਸਾਈਨਿੰਗ ਬੇਨਤੀ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ scp ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ।
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ਨਾਮ>
ਇਸ CSR ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਨਵਾਂ SSL ਸਰਵਰ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕਰਨ ਲਈ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਨਾਲ ਸੰਪਰਕ ਕਰੋ। 3. CA ਦਸਤਖਤ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਸਥਾਪਿਤ ਕਰੋ।
ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਤੋਂ, ਸਰਟੀਫਿਕੇਟ ਅੱਪਲੋਡ ਕਰਨ ਲਈ scp ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ file ਡਾਟਾ/ਇੰਟਡਾਟਾਸਟੋਰ ਨੂੰ NFVIS ਵਿੱਚ/uploads/ ਡਾਇਰੈਕਟਰੀ.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ NFVIS ਵਿੱਚ ਸਰਟੀਫਿਕੇਟ ਇੰਸਟਾਲ ਕਰੋ।
nfvis# ਸਿਸਟਮ ਸਰਟੀਫਿਕੇਟ ਇੰਸਟਾਲ-ਸਰਟ ਪਾਥ file:///data/intdatastore/uploads/<ਸਰਟੀਫਿਕੇਟ file>
4. CA ਦਸਤਖਤ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਸਵਿਚ ਕਰੋ। ਡਿਫਾਲਟ ਸਵੈ-ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟ ਦੀ ਬਜਾਏ CA ਹਸਤਾਖਰਿਤ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਹੇਠ ਦਿੱਤੀ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 18
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
SNMP ਪਹੁੰਚ
nfvis(config)# ਸਿਸਟਮ ਸਰਟੀਫਿਕੇਟ ਵਰਤੋਂ-ਸਰਟੀਫਿਕੇਟ ਸਰਟੀਫਿਕੇਟ-ਕਿਸਮ ca-ਦਸਤਖਤ ਕੀਤਾ ਗਿਆ ਹੈ
SNMP ਪਹੁੰਚ
ਸਧਾਰਨ ਨੈੱਟਵਰਕ ਪ੍ਰਬੰਧਨ ਪ੍ਰੋਟੋਕੋਲ (SNMP) ਇੱਕ ਇੰਟਰਨੈਟ ਸਟੈਂਡਰਡ ਪ੍ਰੋਟੋਕੋਲ ਹੈ ਜੋ IP ਨੈੱਟਵਰਕਾਂ 'ਤੇ ਪ੍ਰਬੰਧਿਤ ਡਿਵਾਈਸਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਸੰਗਠਿਤ ਕਰਨ ਲਈ, ਅਤੇ ਡਿਵਾਈਸ ਵਿਵਹਾਰ ਨੂੰ ਬਦਲਣ ਲਈ ਉਸ ਜਾਣਕਾਰੀ ਨੂੰ ਸੋਧਣ ਲਈ ਹੈ।
SNMP ਦੇ ਤਿੰਨ ਮਹੱਤਵਪੂਰਨ ਸੰਸਕਰਣ ਵਿਕਸਿਤ ਕੀਤੇ ਗਏ ਹਨ। NFVIS SNMP ਸੰਸਕਰਣ 1, ਸੰਸਕਰਣ 2c ਅਤੇ ਸੰਸਕਰਣ 3 ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। SNMP ਸੰਸਕਰਣ 1 ਅਤੇ 2 ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਕਮਿਊਨਿਟੀ ਸਤਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਅਤੇ ਇਹ ਸਾਦੇ-ਪਾਠ ਵਿੱਚ ਭੇਜੇ ਜਾਂਦੇ ਹਨ। ਇਸ ਲਈ, ਇਸਦੀ ਬਜਾਏ SNMP v3 ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਇੱਕ ਸੁਰੱਖਿਆ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ ਹੈ।
SNMPv3 ਤਿੰਨ ਪਹਿਲੂਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡਿਵਾਈਸਾਂ ਤੱਕ ਸੁਰੱਖਿਅਤ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ: - ਉਪਭੋਗਤਾ, ਪ੍ਰਮਾਣੀਕਰਨ, ਅਤੇ ਐਨਕ੍ਰਿਪਸ਼ਨ। SNMPv3 SNMP ਦੁਆਰਾ ਉਪਲਬਧ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਕੰਟਰੋਲ ਕਰਨ ਲਈ USM (ਉਪਭੋਗਤਾ-ਅਧਾਰਿਤ ਸੁਰੱਖਿਆ ਮੋਡੀਊਲ) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। SNMP v3 ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਪ੍ਰਮਾਣਿਕਤਾ ਕਿਸਮ, ਇੱਕ ਗੋਪਨੀਯਤਾ ਕਿਸਮ ਦੇ ਨਾਲ ਨਾਲ ਇੱਕ ਗੁਪਤਕੋਡ ਨਾਲ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਸਮੂਹ ਨੂੰ ਸਾਂਝਾ ਕਰਨ ਵਾਲੇ ਸਾਰੇ ਉਪਭੋਗਤਾ ਇੱਕੋ SNMP ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਹਾਲਾਂਕਿ, ਖਾਸ ਸੁਰੱਖਿਆ ਪੱਧਰ ਸੈਟਿੰਗਾਂ (ਪਾਸਵਰਡ, ਐਨਕ੍ਰਿਪਸ਼ਨ ਕਿਸਮ, ਆਦਿ) ਪ੍ਰਤੀ-ਉਪਭੋਗਤਾ ਨਿਰਧਾਰਤ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ।
ਹੇਠ ਦਿੱਤੀ ਸਾਰਣੀ SNMP ਦੇ ਅੰਦਰ ਸੁਰੱਖਿਆ ਵਿਕਲਪਾਂ ਦਾ ਸਾਰ ਦਿੰਦੀ ਹੈ
ਮਾਡਲ
ਪੱਧਰ
ਪ੍ਰਮਾਣਿਕਤਾ
ਐਨਸਾਈਪਸ਼ਨ
ਨਤੀਜਾ
v1
noAuthNoPriv
ਕਮਿਊਨਿਟੀ ਸਤਰ ਨੰ
ਭਾਈਚਾਰੇ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ
ਲਈ ਸਤਰ ਮੈਚ
ਪ੍ਰਮਾਣਿਕਤਾ.
v2c
noAuthNoPriv
ਕਮਿਊਨਿਟੀ ਸਤਰ ਨੰ
ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਕਮਿਊਨਿਟੀ ਸਟ੍ਰਿੰਗ ਮੈਚ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
v3
noAuthNoPriv
ਯੂਜ਼ਰਨੇਮ
ਨੰ
ਇੱਕ ਉਪਭੋਗਤਾ ਨਾਮ ਵਰਤਦਾ ਹੈ
ਲਈ ਮੈਚ
ਪ੍ਰਮਾਣਿਕਤਾ.
v3
authNoPriv
ਸੁਨੇਹਾ ਡਾਇਜੈਸਟ 5 ਨੰ
ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ
(MD5)
ਪ੍ਰਮਾਣਿਕਤਾ ਆਧਾਰਿਤ
or
HMAC-MD5-96 'ਤੇ ਜਾਂ
ਸੁਰੱਖਿਅਤ ਹੈਸ਼
HMAC-SHA-96
ਐਲਗੋਰਿਦਮ (SHA)
ਐਲਗੋਰਿਦਮ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 19
ਕਾਨੂੰਨੀ ਸੂਚਨਾ ਬੈਨਰ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਮਾਡਲ v3
ਪੱਧਰ ਪ੍ਰਮਾਣਿਕਤਾPriv
ਪ੍ਰਮਾਣਿਕਤਾ MD5 ਜਾਂ SHA
ਐਨਸਾਈਪਸ਼ਨ
ਨਤੀਜਾ
ਡਾਟਾ ਐਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ
ਸਟੈਂਡਰਡ (DES) ਜਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਆਧਾਰਿਤ
ਉੱਨਤ
'ਤੇ
ਐਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ HMAC-MD5-96 ਜਾਂ
(AES)
HMAC-SHA-96
ਐਲਗੋਰਿਦਮ।
ਸਿਫਰ ਬਲਾਕ ਚੇਨਿੰਗ ਮੋਡ (CBC-DES) ਵਿੱਚ DES ਸਿਫਰ ਐਲਗੋਰਿਦਮ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ
or
128-ਬਿੱਟ ਕੁੰਜੀ ਆਕਾਰ (CFB128-AES-128) ਦੇ ਨਾਲ, ਸਿਫਰ ਫੀਡਬੈਕ ਮੋਡ (CFB) ਵਿੱਚ ਵਰਤੀ ਜਾਂਦੀ AES ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ
NIST ਦੁਆਰਾ ਅਪਣਾਏ ਜਾਣ ਤੋਂ ਬਾਅਦ, AES ਪੂਰੇ ਉਦਯੋਗ ਵਿੱਚ ਪ੍ਰਮੁੱਖ ਏਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਬਣ ਗਿਆ ਹੈ। MD5 ਤੋਂ ਦੂਰ ਅਤੇ SHA ਵੱਲ ਉਦਯੋਗ ਦੇ ਮਾਈਗ੍ਰੇਸ਼ਨ ਦੀ ਪਾਲਣਾ ਕਰਨ ਲਈ, SNMP v3 ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ SHA ਅਤੇ ਗੋਪਨੀਯਤਾ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ AES ਵਜੋਂ ਸੰਰਚਿਤ ਕਰਨਾ ਇੱਕ ਸੁਰੱਖਿਆ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ ਹੈ।
SNMP ਬਾਰੇ ਹੋਰ ਵੇਰਵਿਆਂ ਲਈ ਵੇਖੋ, SNMP ਬਾਰੇ ਜਾਣ-ਪਛਾਣ
ਕਾਨੂੰਨੀ ਸੂਚਨਾ ਬੈਨਰ
ਇਹ ਸਿਫ਼ਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਸਾਰੇ ਇੰਟਰਐਕਟਿਵ ਸੈਸ਼ਨਾਂ 'ਤੇ ਇੱਕ ਕਾਨੂੰਨੀ ਨੋਟੀਫਿਕੇਸ਼ਨ ਬੈਨਰ ਮੌਜੂਦ ਹੋਵੇ ਤਾਂ ਜੋ ਇਹ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕੇ ਕਿ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਨੀਤੀ ਲਾਗੂ ਕੀਤੇ ਜਾਣ ਬਾਰੇ ਸੂਚਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਉਹ ਇਸ ਦੇ ਅਧੀਨ ਹਨ। ਕੁਝ ਅਧਿਕਾਰ-ਖੇਤਰਾਂ ਵਿੱਚ, ਇੱਕ ਸਿਸਟਮ ਨੂੰ ਤੋੜਨ ਵਾਲੇ ਹਮਲਾਵਰ ਦਾ ਸਿਵਲ ਅਤੇ/ਜਾਂ ਫੌਜਦਾਰੀ ਮੁਕੱਦਮਾ ਚਲਾਉਣਾ ਆਸਾਨ ਹੁੰਦਾ ਹੈ, ਜਾਂ ਲੋੜ ਵੀ ਹੁੰਦੀ ਹੈ, ਜੇਕਰ ਇੱਕ ਕਾਨੂੰਨੀ ਸੂਚਨਾ ਬੈਨਰ ਪੇਸ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਣਅਧਿਕਾਰਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸੂਚਿਤ ਕਰਦਾ ਹੈ ਕਿ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਅਸਲ ਵਿੱਚ ਅਣਅਧਿਕਾਰਤ ਹੈ। ਕੁਝ ਅਧਿਕਾਰ ਖੇਤਰਾਂ ਵਿੱਚ, ਕਿਸੇ ਅਣਅਧਿਕਾਰਤ ਉਪਭੋਗਤਾ ਦੀ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ ਵੀ ਮਨ੍ਹਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਜਦੋਂ ਤੱਕ ਉਹਨਾਂ ਨੂੰ ਅਜਿਹਾ ਕਰਨ ਦੇ ਇਰਾਦੇ ਬਾਰੇ ਸੂਚਿਤ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਕਨੂੰਨੀ ਸੂਚਨਾ ਲੋੜਾਂ ਗੁੰਝਲਦਾਰ ਹਨ ਅਤੇ ਹਰੇਕ ਅਧਿਕਾਰ ਖੇਤਰ ਅਤੇ ਸਥਿਤੀ ਵਿੱਚ ਵੱਖਰੀਆਂ ਹੁੰਦੀਆਂ ਹਨ। ਅਧਿਕਾਰ ਖੇਤਰਾਂ ਦੇ ਅੰਦਰ ਵੀ, ਕਾਨੂੰਨੀ ਵਿਚਾਰ ਵੱਖੋ-ਵੱਖਰੇ ਹੁੰਦੇ ਹਨ। ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਨੋਟੀਫਿਕੇਸ਼ਨ ਬੈਨਰ ਕੰਪਨੀ, ਸਥਾਨਕ ਅਤੇ ਅੰਤਰਰਾਸ਼ਟਰੀ ਕਾਨੂੰਨੀ ਲੋੜਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ, ਇਸ ਮੁੱਦੇ 'ਤੇ ਆਪਣੇ ਖੁਦ ਦੇ ਕਾਨੂੰਨੀ ਸਲਾਹਕਾਰ ਨਾਲ ਚਰਚਾ ਕਰੋ। ਸੁਰੱਖਿਆ ਦੀ ਉਲੰਘਣਾ ਦੀ ਸਥਿਤੀ ਵਿੱਚ ਢੁਕਵੀਂ ਕਾਰਵਾਈ ਕਰਨ ਲਈ ਇਹ ਅਕਸਰ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ। ਕੰਪਨੀ ਦੇ ਕਾਨੂੰਨੀ ਸਲਾਹਕਾਰ ਦੇ ਸਹਿਯੋਗ ਵਿੱਚ, ਕਨੂੰਨੀ ਸੂਚਨਾ ਬੈਨਰ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ, ਜੋ ਕਿ ਬਿਆਨ ਸ਼ਾਮਲ ਹਨ:
· ਸੂਚਨਾ ਕਿ ਸਿਸਟਮ ਦੀ ਪਹੁੰਚ ਅਤੇ ਵਰਤੋਂ ਦੀ ਇਜਾਜ਼ਤ ਸਿਰਫ਼ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਅਧਿਕਾਰਤ ਕਰਮਚਾਰੀਆਂ ਦੁਆਰਾ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਅਤੇ ਸ਼ਾਇਦ ਇਸ ਬਾਰੇ ਜਾਣਕਾਰੀ ਕਿ ਕੌਣ ਵਰਤੋਂ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰ ਸਕਦਾ ਹੈ।
· ਨੋਟੀਫਿਕੇਸ਼ਨ ਕਿ ਸਿਸਟਮ ਦੀ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਅਤੇ ਵਰਤੋਂ ਗੈਰ-ਕਾਨੂੰਨੀ ਹੈ, ਅਤੇ ਸਿਵਲ ਅਤੇ/ਜਾਂ ਅਪਰਾਧਿਕ ਜ਼ੁਰਮਾਨੇ ਦੇ ਅਧੀਨ ਹੋ ਸਕਦੀ ਹੈ।
· ਸੂਚਨਾ ਕਿ ਸਿਸਟਮ ਦੀ ਪਹੁੰਚ ਅਤੇ ਵਰਤੋਂ ਨੂੰ ਬਿਨਾਂ ਕਿਸੇ ਨੋਟਿਸ ਦੇ ਲਾਗ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਜਾਂ ਨਿਗਰਾਨੀ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ, ਅਤੇ ਨਤੀਜੇ ਵਜੋਂ ਲੌਗਸ ਨੂੰ ਅਦਾਲਤ ਵਿੱਚ ਸਬੂਤ ਵਜੋਂ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ।
· ਖਾਸ ਸਥਾਨਕ ਕਾਨੂੰਨਾਂ ਦੁਆਰਾ ਲੋੜੀਂਦੇ ਵਾਧੂ ਖਾਸ ਨੋਟਿਸ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 20
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਰੀਸੈਟ
ਦੇ ਕਾਨੂੰਨੀ ਬਿੰਦੂ ਦੀ ਬਜਾਏ ਸੁਰੱਖਿਆ ਤੋਂ view, ਇੱਕ ਕਨੂੰਨੀ ਸੂਚਨਾ ਬੈਨਰ ਵਿੱਚ ਡਿਵਾਈਸ ਬਾਰੇ ਕੋਈ ਖਾਸ ਜਾਣਕਾਰੀ ਨਹੀਂ ਹੋਣੀ ਚਾਹੀਦੀ, ਜਿਵੇਂ ਕਿ ਇਸਦਾ ਨਾਮ, ਮਾਡਲ, ਸੌਫਟਵੇਅਰ, ਸਥਾਨ, ਆਪਰੇਟਰ ਜਾਂ ਮਾਲਕ ਕਿਉਂਕਿ ਇਸ ਕਿਸਮ ਦੀ ਜਾਣਕਾਰੀ ਇੱਕ ਹਮਲਾਵਰ ਲਈ ਉਪਯੋਗੀ ਹੋ ਸਕਦੀ ਹੈ।
ਹੇਠ ਲਿਖੇ ਅਨੁਸਾਰ ਹੈample ਕਾਨੂੰਨੀ ਨੋਟੀਫਿਕੇਸ਼ਨ ਬੈਨਰ ਜੋ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ:
ਇਸ ਡਿਵਾਈਸ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਦੀ ਮਨਾਹੀ ਹੈ ਤੁਹਾਡੇ ਕੋਲ ਇਸ ਡਿਵਾਈਸ ਨੂੰ ਐਕਸੈਸ ਜਾਂ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਸਪਸ਼ਟ, ਅਧਿਕਾਰਤ ਅਨੁਮਤੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ। ਪਹੁੰਚ ਜਾਂ ਵਰਤੋਂ ਲਈ ਅਣਅਧਿਕਾਰਤ ਕੋਸ਼ਿਸ਼ਾਂ ਅਤੇ ਕਾਰਵਾਈਆਂ
ਇਸ ਪ੍ਰਣਾਲੀ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਸਿਵਲ ਅਤੇ/ਜਾਂ ਅਪਰਾਧਿਕ ਸਜ਼ਾਵਾਂ ਹੋ ਸਕਦੀਆਂ ਹਨ। ਇਸ ਡਿਵਾਈਸ 'ਤੇ ਕੀਤੀਆਂ ਸਾਰੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਲੌਗ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਨਿਗਰਾਨੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ
ਨੋਟ ਕੰਪਨੀ ਦੇ ਕਾਨੂੰਨੀ ਸਲਾਹਕਾਰ ਦੁਆਰਾ ਮਨਜ਼ੂਰ ਇੱਕ ਕਾਨੂੰਨੀ ਨੋਟੀਫਿਕੇਸ਼ਨ ਬੈਨਰ ਪੇਸ਼ ਕਰੋ।
NFVIS ਇੱਕ ਬੈਨਰ ਅਤੇ ਮੈਸੇਜ ਆਫ ਦਿ ਡੇ (MOTD) ਦੀ ਸੰਰਚਨਾ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਉਪਭੋਗਤਾ ਦੇ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਬੈਨਰ ਪ੍ਰਦਰਸ਼ਿਤ ਹੁੰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਉਪਭੋਗਤਾ ਦੁਆਰਾ NFVIS ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇੱਕ ਸਿਸਟਮ-ਪ੍ਰਭਾਸ਼ਿਤ ਬੈਨਰ NFVIS ਬਾਰੇ ਕਾਪੀਰਾਈਟ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਅਤੇ ਸੁਨੇਹਾ-ਆਫ-ਦਿ-ਡੇ (MOTD), ਜੇਕਰ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਦਿਖਾਈ ਦੇਵੇਗਾ, ਇਸਦੇ ਬਾਅਦ ਕਮਾਂਡ ਲਾਈਨ ਪ੍ਰੋਂਪਟ ਜਾਂ ਪੋਰਟਲ view, ਲਾਗਇਨ ਵਿਧੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ।
ਇਹ ਸਿਫ਼ਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਇੱਕ ਲੌਗਇਨ ਬੈਨਰ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਇੱਕ ਲੌਗਇਨ ਪ੍ਰੋਂਪਟ ਪੇਸ਼ ਕੀਤੇ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ ਸਾਰੇ ਡਿਵਾਈਸ ਪ੍ਰਬੰਧਨ ਐਕਸੈਸ ਸੈਸ਼ਨਾਂ 'ਤੇ ਇੱਕ ਕਾਨੂੰਨੀ ਸੂਚਨਾ ਬੈਨਰ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ। ਬੈਨਰ ਅਤੇ MOTD ਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਲਈ ਇਸ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ।
nfvis(config)# ਬੈਨਰ-ਮੋਟਡ ਬੈਨਰ motd
ਬੈਨਰ ਕਮਾਂਡ ਬਾਰੇ ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, ਬੈਨਰ ਕੌਂਫਿਗਰ ਕਰੋ, ਦਿਨ ਦਾ ਸੁਨੇਹਾ ਅਤੇ ਸਿਸਟਮ ਸਮਾਂ ਵੇਖੋ।
ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਰੀਸੈਟ
ਫੈਕਟਰੀ ਰੀਸੈਟ ਸਾਰੇ ਗਾਹਕ ਵਿਸ਼ੇਸ਼ ਡੇਟਾ ਨੂੰ ਹਟਾ ਦਿੰਦਾ ਹੈ ਜੋ ਇਸਦੀ ਸ਼ਿਪਿੰਗ ਦੇ ਸਮੇਂ ਤੋਂ ਡਿਵਾਈਸ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਮਿਟਾਏ ਗਏ ਡੇਟਾ ਵਿੱਚ ਸੰਰਚਨਾ, ਲੌਗ ਸ਼ਾਮਲ ਹਨ files, VM ਚਿੱਤਰ, ਕਨੈਕਟੀਵਿਟੀ ਜਾਣਕਾਰੀ, ਅਤੇ ਉਪਭੋਗਤਾ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰ।
ਇਹ ਡਿਵਾਈਸ ਨੂੰ ਫੈਕਟਰੀ-ਅਸਲੀ ਸੈਟਿੰਗਾਂ 'ਤੇ ਰੀਸੈਟ ਕਰਨ ਲਈ ਇੱਕ ਕਮਾਂਡ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਅਤੇ ਹੇਠਾਂ ਦਿੱਤੀਆਂ ਸਥਿਤੀਆਂ ਵਿੱਚ ਉਪਯੋਗੀ ਹੈ:
· ਇੱਕ ਡਿਵਾਈਸ ਲਈ ਵਾਪਿਸ ਸਮੱਗਰੀ ਅਧਿਕਾਰ (RMA) - ਜੇਕਰ ਤੁਹਾਨੂੰ RMA ਲਈ Cisco ਨੂੰ ਇੱਕ ਡਿਵਾਈਸ ਵਾਪਸ ਕਰਨੀ ਪਵੇ, ਤਾਂ ਸਾਰੇ ਗਾਹਕ-ਵਿਸ਼ੇਸ਼ ਡੇਟਾ ਨੂੰ ਹਟਾਉਣ ਲਈ ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਰੀਸੈਟ ਦੀ ਵਰਤੋਂ ਕਰੋ।
· ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ ਡਿਵਾਈਸ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨਾ- ਜੇਕਰ ਕਿਸੇ ਡਿਵਾਈਸ ਤੇ ਸਟੋਰ ਕੀਤੀ ਮੁੱਖ ਸਮੱਗਰੀ ਜਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਡਿਵਾਈਸ ਨੂੰ ਫੈਕਟਰੀ ਕੌਂਫਿਗਰੇਸ਼ਨ ਤੇ ਰੀਸੈਟ ਕਰੋ ਅਤੇ ਫਿਰ ਡਿਵਾਈਸ ਨੂੰ ਮੁੜ ਸੰਰਚਿਤ ਕਰੋ।
· ਜੇਕਰ ਉਸੇ ਡਿਵਾਈਸ ਨੂੰ ਨਵੀਂ ਸੰਰਚਨਾ ਦੇ ਨਾਲ ਕਿਸੇ ਵੱਖਰੀ ਸਾਈਟ 'ਤੇ ਮੁੜ-ਵਰਤਣ ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਮੌਜੂਦਾ ਸੰਰਚਨਾ ਨੂੰ ਹਟਾਉਣ ਅਤੇ ਇਸਨੂੰ ਸਾਫ਼ ਸਥਿਤੀ ਵਿੱਚ ਲਿਆਉਣ ਲਈ ਇੱਕ ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਰੀਸੈਟ ਕਰੋ।
NFVIS ਫੈਕਟਰੀ ਡਿਫਾਲਟ ਰੀਸੈਟ ਦੇ ਅੰਦਰ ਹੇਠ ਦਿੱਤੇ ਵਿਕਲਪ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ:
ਫੈਕਟਰੀ ਰੀਸੈਟ ਵਿਕਲਪ
ਡਾਟਾ ਮਿਟਾਇਆ ਗਿਆ
ਡਾਟਾ ਬਰਕਰਾਰ ਰੱਖਿਆ ਗਿਆ
ਸਾਰੇ
ਸਾਰੀ ਸੰਰਚਨਾ, ਅਪਲੋਡ ਕੀਤੀ ਗਈ ਤਸਵੀਰ ਐਡਮਿਨ ਖਾਤਾ ਬਰਕਰਾਰ ਹੈ ਅਤੇ
files, VM ਅਤੇ ਲੌਗਸ।
ਪਾਸਵਰਡ ਨੂੰ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ ਜਾਵੇਗਾ
ਡਿਵਾਈਸ ਨਾਲ ਕਨੈਕਟੀਵਿਟੀ ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਪਾਸਵਰਡ ਹੋਵੇਗੀ।
ਗੁਆਚ ਗਿਆ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 21
ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਬੰਧਨ ਨੈੱਟਵਰਕ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਫੈਕਟਰੀ ਰੀਸੈਟ ਵਿਕਲਪ ਸਾਰੇ-ਛੁੱਟ-ਚਿੱਤਰਾਂ ਨੂੰ ਛੱਡ ਕੇ
ਸਭ-ਸਿਵਾਏ-ਚਿੱਤਰਾਂ-ਕਨੈਕਟੀਵਿਟੀ
ਨਿਰਮਾਣ
ਡਾਟਾ ਮਿਟਾਇਆ ਗਿਆ
ਡਾਟਾ ਬਰਕਰਾਰ ਰੱਖਿਆ ਗਿਆ
ਚਿੱਤਰ ਚਿੱਤਰ ਸੰਰਚਨਾ ਨੂੰ ਛੱਡ ਕੇ ਸਾਰੀਆਂ ਸੰਰਚਨਾਵਾਂ, ਰਜਿਸਟਰਡ
ਸੰਰਚਨਾ, VM, ਅਤੇ ਅੱਪਲੋਡ ਕੀਤੀਆਂ ਤਸਵੀਰਾਂ ਅਤੇ ਲੌਗਸ
ਚਿੱਤਰ files.
ਐਡਮਿਨ ਖਾਤਾ ਬਰਕਰਾਰ ਰੱਖਿਆ ਗਿਆ ਹੈ ਅਤੇ
ਡਿਵਾਈਸ ਨਾਲ ਕਨੈਕਟੀਵਿਟੀ ਹੋਵੇਗੀ, ਪਾਸਵਰਡ ਨੂੰ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ ਜਾਵੇਗਾ
ਗੁਆਚ ਗਿਆ
ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਪਾਸਵਰਡ।
ਚਿੱਤਰ, ਚਿੱਤਰ, ਨੈੱਟਵਰਕ ਅਤੇ ਕਨੈਕਟੀਵਿਟੀ ਨੂੰ ਛੱਡ ਕੇ ਸਾਰੀਆਂ ਸੰਰਚਨਾਵਾਂ
ਨੈੱਟਵਰਕ ਅਤੇ ਕਨੈਕਟੀਵਿਟੀ
ਸੰਬੰਧਿਤ ਸੰਰਚਨਾ, ਰਜਿਸਟਰਡ
ਸੰਰਚਨਾ, VM, ਅਤੇ ਅੱਪਲੋਡ ਕੀਤੀਆਂ ਤਸਵੀਰਾਂ, ਅਤੇ ਲੌਗਸ।
ਚਿੱਤਰ files.
ਐਡਮਿਨ ਖਾਤਾ ਬਰਕਰਾਰ ਰੱਖਿਆ ਗਿਆ ਹੈ ਅਤੇ
ਡਿਵਾਈਸ ਨਾਲ ਕਨੈਕਟੀਵਿਟੀ ਹੈ
ਪਹਿਲਾਂ ਕੌਂਫਿਗਰ ਕੀਤਾ ਐਡਮਿਨ
ਉਪਲਬਧ ਹੈ।
ਪਾਸਵਰਡ ਸੁਰੱਖਿਅਤ ਰੱਖਿਆ ਜਾਵੇਗਾ।
ਚਿੱਤਰ ਸੰਰਚਨਾ, VM, ਅੱਪਲੋਡ ਕੀਤੇ ਚਿੱਤਰ ਨੂੰ ਛੱਡ ਕੇ ਸਾਰੀਆਂ ਸੰਰਚਨਾਵਾਂ files, ਅਤੇ ਲੌਗਸ।
ਡਿਵਾਈਸ ਨਾਲ ਕਨੈਕਟੀਵਿਟੀ ਖਤਮ ਹੋ ਜਾਵੇਗੀ।
ਚਿੱਤਰ ਸੰਬੰਧੀ ਸੰਰਚਨਾ ਅਤੇ ਰਜਿਸਟਰਡ ਚਿੱਤਰ
ਐਡਮਿਨ ਖਾਤਾ ਬਰਕਰਾਰ ਹੈ ਅਤੇ ਪਾਸਵਰਡ ਨੂੰ ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਪਾਸਵਰਡ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ ਜਾਵੇਗਾ।
ਉਪਭੋਗਤਾ ਨੂੰ ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਰੀਸੈਟ ਦੇ ਉਦੇਸ਼ ਦੇ ਅਧਾਰ 'ਤੇ ਧਿਆਨ ਨਾਲ ਉਚਿਤ ਵਿਕਲਪ ਦੀ ਚੋਣ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ। ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, ਫੈਕਟਰੀ ਡਿਫੌਲਟ ਲਈ ਰੀਸੈਟ ਕਰਨਾ ਵੇਖੋ।
ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਬੰਧਨ ਨੈੱਟਵਰਕ
ਇੱਕ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਬੰਧਨ ਨੈਟਵਰਕ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਉਪਕਰਣਾਂ ਲਈ ਨਿਯੰਤਰਣ ਅਤੇ ਪ੍ਰਬੰਧਨ ਜਹਾਜ਼ ਆਵਾਜਾਈ (ਜਿਵੇਂ ਕਿ NTP, SSH, SNMP, syslog, ਆਦਿ) ਨੂੰ ਲੈ ਕੇ ਜਾਣ ਵਾਲੇ ਨੈਟਵਰਕ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਡਿਵਾਈਸ ਐਕਸੈਸ ਕੰਸੋਲ ਦੁਆਰਾ ਹੋ ਸਕਦੀ ਹੈ, ਨਾਲ ਹੀ ਈਥਰਨੈੱਟ ਇੰਟਰਫੇਸ ਦੁਆਰਾ ਵੀ। ਇਹ ਨਿਯੰਤਰਣ ਅਤੇ ਪ੍ਰਬੰਧਨ ਪਲੇਨ ਟ੍ਰੈਫਿਕ ਨੈਟਵਰਕ ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਨੈਟਵਰਕ ਵਿੱਚ ਦਿੱਖ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸ ਉੱਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਸਿੱਟੇ ਵਜੋਂ, ਇੱਕ ਚੰਗੀ ਤਰ੍ਹਾਂ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਅਤੇ ਸੁਰੱਖਿਅਤ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਬੰਧਨ ਨੈਟਵਰਕ ਇੱਕ ਨੈਟਵਰਕ ਦੀ ਸਮੁੱਚੀ ਸੁਰੱਖਿਆ ਅਤੇ ਸੰਚਾਲਨ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਇੱਕ ਸੁਰੱਖਿਅਤ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਬੰਧਨ ਨੈਟਵਰਕ ਲਈ ਮੁੱਖ ਸਿਫ਼ਾਰਸ਼ਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ ਪ੍ਰਬੰਧਨ ਅਤੇ ਡੇਟਾ ਟ੍ਰੈਫਿਕ ਨੂੰ ਵੱਖ ਕਰਨਾ ਤਾਂ ਜੋ ਉੱਚ ਲੋਡ ਅਤੇ ਉੱਚ ਟ੍ਰੈਫਿਕ ਸਥਿਤੀਆਂ ਵਿੱਚ ਵੀ ਰਿਮੋਟ ਪ੍ਰਬੰਧਨਯੋਗਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕੇ। ਇਹ ਇੱਕ ਸਮਰਪਿਤ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਹੇਠ ਦਿੱਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਪ੍ਰਬੰਧਨ ਨੈੱਟਵਰਕ ਲਾਗੂ ਕਰਨ ਦੇ ਤਰੀਕੇ ਹਨ:
ਆਊਟ-ਆਫ-ਬੈਂਡ ਪ੍ਰਬੰਧਨ
ਇੱਕ ਆਊਟ-ਆਫ-ਬੈਂਡ ਮੈਨੇਜਮੈਂਟ (OOB) ਪ੍ਰਬੰਧਨ ਨੈਟਵਰਕ ਵਿੱਚ ਇੱਕ ਨੈਟਵਰਕ ਹੁੰਦਾ ਹੈ ਜੋ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸੁਤੰਤਰ ਹੁੰਦਾ ਹੈ ਅਤੇ ਡੇਟਾ ਨੈਟਵਰਕ ਤੋਂ ਭੌਤਿਕ ਤੌਰ 'ਤੇ ਵੱਖਰਾ ਹੁੰਦਾ ਹੈ ਜਿਸਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਵਿੱਚ ਇਹ ਮਦਦ ਕਰਦਾ ਹੈ। ਇਸ ਨੂੰ ਕਈ ਵਾਰ ਡਾਟਾ ਸੰਚਾਰ ਨੈੱਟਵਰਕ (DCN) ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਨੈੱਟਵਰਕ ਜੰਤਰ OOB ਨੈੱਟਵਰਕ ਨਾਲ ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਨਾਲ ਜੁੜ ਸਕਦੇ ਹਨ: NFVIS ਇੱਕ ਬਿਲਟ-ਇਨ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ ਜੋ OOB ਨੈੱਟਵਰਕ ਨਾਲ ਜੁੜਨ ਲਈ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ। NFVIS ਇੱਕ ਸਮਰਪਿਤ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ਦੇ ਰੂਪ ਵਿੱਚ, ENCS ਉੱਤੇ MGMT ਪੋਰਟ, ਇੱਕ ਪੂਰਵ ਪਰਿਭਾਸ਼ਿਤ ਭੌਤਿਕ ਇੰਟਰਫੇਸ ਦੀ ਸੰਰਚਨਾ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਪ੍ਰਬੰਧਨ ਪੈਕੇਟਾਂ ਨੂੰ ਮਨੋਨੀਤ ਇੰਟਰਫੇਸਾਂ ਤੱਕ ਸੀਮਤ ਕਰਨਾ ਇੱਕ ਡਿਵਾਈਸ ਦੇ ਪ੍ਰਬੰਧਨ 'ਤੇ ਵਧੇਰੇ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ ਉਸ ਡਿਵਾਈਸ ਲਈ ਵਧੇਰੇ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਹੋਰ ਲਾਭਾਂ ਵਿੱਚ ਗੈਰ-ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ 'ਤੇ ਡਾਟਾ ਪੈਕੇਟਾਂ ਲਈ ਬਿਹਤਰ ਪ੍ਰਦਰਸ਼ਨ, ਨੈੱਟਵਰਕ ਸਕੇਲੇਬਿਲਟੀ ਲਈ ਸਮਰਥਨ,
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 22
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਸੂਡੋ ਆਊਟ-ਆਫ-ਬੈਂਡ ਪ੍ਰਬੰਧਨ
ਇੱਕ ਡਿਵਾਈਸ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰਨ ਲਈ ਘੱਟ ਐਕਸੈਸ ਕੰਟਰੋਲ ਸੂਚੀਆਂ (ACLs) ਦੀ ਲੋੜ ਹੈ, ਅਤੇ ਪ੍ਰਬੰਧਨ ਪੈਕੇਟ ਦੇ ਹੜ੍ਹ ਨੂੰ CPU ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਰੋਕਣ ਲਈ। ਨੈੱਟਵਰਕ ਯੰਤਰ ਸਮਰਪਿਤ ਡਾਟਾ ਇੰਟਰਫੇਸ ਰਾਹੀਂ OOB ਨੈੱਟਵਰਕ ਨਾਲ ਵੀ ਜੁੜ ਸਕਦੇ ਹਨ। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ACLs ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਤੈਨਾਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਪ੍ਰਬੰਧਨ ਟ੍ਰੈਫਿਕ ਨੂੰ ਸਮਰਪਿਤ ਇੰਟਰਫੇਸਾਂ ਦੁਆਰਾ ਹੀ ਸੰਭਾਲਿਆ ਜਾਂਦਾ ਹੈ। ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, IP ਪ੍ਰਾਪਤ ਕਰਨਾ ACL ਅਤੇ ਪੋਰਟ 22222 ਅਤੇ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ACL ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ ਦੇਖੋ।
ਸੂਡੋ ਆਊਟ-ਆਫ-ਬੈਂਡ ਪ੍ਰਬੰਧਨ
ਇੱਕ ਸੂਡੋ ਆਊਟ-ਆਫ-ਬੈਂਡ ਪ੍ਰਬੰਧਨ ਨੈਟਵਰਕ ਡੇਟਾ ਨੈਟਵਰਕ ਦੇ ਸਮਾਨ ਭੌਤਿਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਪਰ VLANs ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਟ੍ਰੈਫਿਕ ਦੇ ਵਰਚੁਅਲ ਵਿਭਾਜਨ ਦੁਆਰਾ ਤਰਕਪੂਰਨ ਵਿਭਾਜਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। NFVIS ਟ੍ਰੈਫਿਕ ਦੇ ਵੱਖ-ਵੱਖ ਸਰੋਤਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ VM ਦੇ ਵਿਚਕਾਰ ਵੱਖਰੇ ਟ੍ਰੈਫਿਕ ਦੀ ਮਦਦ ਲਈ VLAN ਅਤੇ ਵਰਚੁਅਲ ਬ੍ਰਿਜ ਬਣਾਉਣ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਵੱਖਰੇ ਬ੍ਰਿਜ ਅਤੇ VLAN ਹੋਣ ਨਾਲ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਨੈਟਵਰਕ ਦੇ ਡੇਟਾ ਟ੍ਰੈਫਿਕ ਅਤੇ ਪ੍ਰਬੰਧਨ ਨੈਟਵਰਕ ਨੂੰ ਅਲੱਗ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ VM ਅਤੇ ਹੋਸਟ ਵਿਚਕਾਰ ਟ੍ਰੈਫਿਕ ਵੰਡ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ NFVIS ਪ੍ਰਬੰਧਨ ਟ੍ਰੈਫਿਕ ਲਈ VLAN ਦੀ ਸੰਰਚਨਾ ਵੇਖੋ।
ਇਨ-ਬੈਂਡ ਪ੍ਰਬੰਧਨ
ਇੱਕ ਇਨ-ਬੈਂਡ ਪ੍ਰਬੰਧਨ ਨੈੱਟਵਰਕ ਡਾਟਾ ਟ੍ਰੈਫਿਕ ਦੇ ਤੌਰ 'ਤੇ ਉਹੀ ਭੌਤਿਕ ਅਤੇ ਲਾਜ਼ੀਕਲ ਮਾਰਗਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਆਖਰਕਾਰ, ਇਸ ਨੈਟਵਰਕ ਡਿਜ਼ਾਈਨ ਲਈ ਜੋਖਮ ਬਨਾਮ ਲਾਭਾਂ ਅਤੇ ਲਾਗਤਾਂ ਦੇ ਪ੍ਰਤੀ-ਗਾਹਕ ਵਿਸ਼ਲੇਸ਼ਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਕੁਝ ਆਮ ਵਿਚਾਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
· ਇੱਕ ਅਲੱਗ-ਥਲੱਗ OOB ਪ੍ਰਬੰਧਨ ਨੈੱਟਵਰਕ ਵਿਘਨਕਾਰੀ ਘਟਨਾਵਾਂ ਦੇ ਦੌਰਾਨ ਵੀ ਨੈੱਟਵਰਕ 'ਤੇ ਦਿੱਖ ਅਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਦਾ ਹੈ।
· ਇੱਕ OOB ਨੈੱਟਵਰਕ 'ਤੇ ਨੈੱਟਵਰਕ ਟੈਲੀਮੈਟਰੀ ਦਾ ਸੰਚਾਰ ਕਰਨਾ ਉਸ ਜਾਣਕਾਰੀ ਦੇ ਵਿਘਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘੱਟ ਕਰਦਾ ਹੈ ਜੋ ਮਹੱਤਵਪੂਰਨ ਨੈੱਟਵਰਕ ਦਿੱਖ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
· ਨੈੱਟਵਰਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ, ਮੇਜ਼ਬਾਨਾਂ, ਆਦਿ ਤੱਕ ਇਨ-ਬੈਂਡ ਪ੍ਰਬੰਧਨ ਪਹੁੰਚ, ਨੈੱਟਵਰਕ ਦੀ ਘਟਨਾ ਦੀ ਸਥਿਤੀ ਵਿੱਚ ਪੂਰੀ ਤਰ੍ਹਾਂ ਨੁਕਸਾਨ ਹੋਣ ਦਾ ਖਤਰਾ ਹੈ, ਜਿਸ ਨਾਲ ਨੈੱਟਵਰਕ ਦੀ ਸਾਰੀ ਦਿੱਖ ਅਤੇ ਨਿਯੰਤਰਣ ਹਟ ਜਾਂਦਾ ਹੈ। ਇਸ ਘਟਨਾ ਨੂੰ ਘਟਾਉਣ ਲਈ ਢੁਕਵੇਂ QoS ਨਿਯੰਤਰਣ ਰੱਖੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ।
· NFVIS ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਾਲੇ ਇੰਟਰਫੇਸ ਹਨ ਜੋ ਡਿਵਾਈਸ ਪ੍ਰਬੰਧਨ ਲਈ ਸਮਰਪਿਤ ਹਨ, ਜਿਸ ਵਿੱਚ ਸੀਰੀਅਲ ਕੰਸੋਲ ਪੋਰਟ ਅਤੇ ਈਥਰਨੈੱਟ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ਸ਼ਾਮਲ ਹਨ।
· ਇੱਕ OOB ਪ੍ਰਬੰਧਨ ਨੈੱਟਵਰਕ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਵਾਜਬ ਕੀਮਤ 'ਤੇ ਤੈਨਾਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਕਿਉਂਕਿ ਪ੍ਰਬੰਧਨ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਆਮ ਤੌਰ 'ਤੇ ਉੱਚ ਬੈਂਡਵਿਡਥ ਜਾਂ ਉੱਚ ਪ੍ਰਦਰਸ਼ਨ ਵਾਲੇ ਯੰਤਰਾਂ ਦੀ ਮੰਗ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਅਤੇ ਹਰੇਕ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਉਪਕਰਣ ਨਾਲ ਕਨੈਕਟੀਵਿਟੀ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਸਿਰਫ ਲੋੜੀਂਦੀ ਪੋਰਟ ਘਣਤਾ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤੀ ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ
ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਰੱਖਿਆ ਕਰਨਾ
NFVIS ਕੁਝ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਪਾਸਵਰਡ ਅਤੇ ਭੇਦ ਸ਼ਾਮਲ ਹਨ। ਪਾਸਵਰਡਾਂ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਕੇਂਦਰੀ AAA ਸਰਵਰ ਦੁਆਰਾ ਸੰਭਾਲਿਆ ਅਤੇ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਭਾਵੇਂ ਇੱਕ ਕੇਂਦਰੀਕ੍ਰਿਤ AAA ਸਰਵਰ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਕੁਝ ਖਾਸ ਮਾਮਲਿਆਂ ਲਈ ਕੁਝ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਪਾਸਵਰਡਾਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ ਜਿਵੇਂ ਕਿ AAA ਸਰਵਰ ਉਪਲਬਧ ਨਾ ਹੋਣ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਸਥਾਨਕ ਫਾਲਬੈਕ, ਵਿਸ਼ੇਸ਼-ਵਰਤੋਂ ਵਾਲੇ ਉਪਭੋਗਤਾ ਨਾਮ, ਆਦਿ। ਇਹ ਸਥਾਨਕ ਪਾਸਵਰਡ ਅਤੇ ਹੋਰ ਸੰਵੇਦਨਸ਼ੀਲ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 23
File ਟ੍ਰਾਂਸਫਰ ਕਰੋ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਜਾਣਕਾਰੀ ਨੂੰ NFVIS 'ਤੇ ਹੈਸ਼ ਦੇ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਜੋ ਸਿਸਟਮ ਤੋਂ ਅਸਲ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨਾ ਸੰਭਵ ਨਾ ਹੋਵੇ। ਹੈਸ਼ਿੰਗ ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਪ੍ਰਵਾਨਿਤ ਉਦਯੋਗ ਦਾ ਆਦਰਸ਼ ਹੈ।
File ਟ੍ਰਾਂਸਫਰ ਕਰੋ
Files ਜਿਨ੍ਹਾਂ ਨੂੰ NFVIS ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਦੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ ਵਿੱਚ VM ਚਿੱਤਰ ਅਤੇ NFVIS ਅੱਪਗਰੇਡ ਸ਼ਾਮਲ ਹਨ fileਐੱਸ. ਦਾ ਸੁਰੱਖਿਅਤ ਤਬਾਦਲਾ files ਨੈੱਟਵਰਕ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ NFVIS ਸਕਿਓਰ ਕਾਪੀ (SCP) ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ file ਤਬਾਦਲਾ SCP ਸੁਰੱਖਿਅਤ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਆਵਾਜਾਈ ਲਈ SSH 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ files.
NFVIS ਤੋਂ ਇੱਕ ਸੁਰੱਖਿਅਤ ਕਾਪੀ scp ਕਮਾਂਡ ਰਾਹੀਂ ਸ਼ੁਰੂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਸੁਰੱਖਿਅਤ ਕਾਪੀ (scp) ਕਮਾਂਡ ਸਿਰਫ਼ ਐਡਮਿਨ ਉਪਭੋਗਤਾ ਨੂੰ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਕਾਪੀ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ files NFVIS ਤੋਂ ਇੱਕ ਬਾਹਰੀ ਸਿਸਟਮ ਤੱਕ, ਜਾਂ ਇੱਕ ਬਾਹਰੀ ਸਿਸਟਮ ਤੋਂ NFVIS ਤੱਕ।
scp ਕਮਾਂਡ ਲਈ ਸੰਟੈਕਸ ਹੈ:
scp
ਅਸੀਂ NFVIS SCP ਸਰਵਰ ਲਈ ਪੋਰਟ 22222 ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ। ਮੂਲ ਰੂਪ ਵਿੱਚ, ਇਹ ਪੋਰਟ ਬੰਦ ਹੈ ਅਤੇ ਉਪਭੋਗਤਾ ਕਾਪੀ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ fileਇੱਕ ਬਾਹਰੀ ਕਲਾਇੰਟ ਤੋਂ NFVIS ਵਿੱਚ ਹੈ। ਜੇਕਰ SCP ਦੀ ਲੋੜ ਹੈ ਤਾਂ ਏ file ਇੱਕ ਬਾਹਰੀ ਕਲਾਇੰਟ ਤੋਂ, ਉਪਭੋਗਤਾ ਇਸਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪੋਰਟ ਖੋਲ੍ਹ ਸਕਦਾ ਹੈ:
ਸਿਸਟਮ ਸੈਟਿੰਗਾਂ ip-receive-acl (ਪਤਾ)/(ਮਾਸਕ ਲੈਂਥ) ਸੇਵਾ scpd ਤਰਜੀਹ (ਨੰਬਰ) ਕਾਰਵਾਈ ਸਵੀਕਾਰ ਕਰੋ
ਵਚਨਬੱਧ
ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਿਸਟਮ ਡਾਇਰੈਕਟਰੀਆਂ ਤੱਕ ਪਹੁੰਚਣ ਤੋਂ ਰੋਕਣ ਲਈ, ਸੁਰੱਖਿਅਤ ਕਾਪੀ ਸਿਰਫ intdatastore:, extdatastore1:, extdatastore2:, usb: ਅਤੇ nfs:, ਜੇਕਰ ਉਪਲਬਧ ਹੋਵੇ ਤਾਂ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਸੁਰੱਖਿਅਤ ਕਾਪੀ ਲੌਗਸ ਤੋਂ ਵੀ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ: ਅਤੇ ਤਕਨੀਕੀ ਸਹਾਇਤਾ:
ਲਾਗਿੰਗ
NFVIS ਪਹੁੰਚ ਅਤੇ ਸੰਰਚਨਾ ਤਬਦੀਲੀਆਂ ਨੂੰ ਨਿਮਨਲਿਖਤ ਜਾਣਕਾਰੀ ਨੂੰ ਰਿਕਾਰਡ ਕਰਨ ਲਈ ਆਡਿਟ ਲੌਗਸ ਦੇ ਤੌਰ ਤੇ ਲੌਗ ਕੀਤਾ ਜਾਂਦਾ ਹੈ: · ਕਿਸਨੇ ਡਿਵਾਈਸ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ · ਇੱਕ ਉਪਭੋਗਤਾ ਨੇ ਕਦੋਂ ਲੌਗ ਇਨ ਕੀਤਾ · ਇੱਕ ਉਪਭੋਗਤਾ ਨੇ ਹੋਸਟ ਸੰਰਚਨਾ ਅਤੇ VM ਜੀਵਨ ਚੱਕਰ ਦੇ ਰੂਪ ਵਿੱਚ ਕੀ ਕੀਤਾ · ਇੱਕ ਉਪਭੋਗਤਾ ਨੇ ਕਦੋਂ ਲੌਗ ਕੀਤਾ ਬੰਦ · ਅਸਫ਼ਲ ਪਹੁੰਚ ਕੋਸ਼ਿਸ਼ਾਂ · ਅਸਫ਼ਲ ਪ੍ਰਮਾਣੀਕਰਨ ਬੇਨਤੀਆਂ · ਅਸਫ਼ਲ ਪ੍ਰਮਾਣੀਕਰਨ ਬੇਨਤੀਆਂ
ਇਹ ਜਾਣਕਾਰੀ ਅਣਅਧਿਕਾਰਤ ਕੋਸ਼ਿਸ਼ਾਂ ਜਾਂ ਪਹੁੰਚ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਫੋਰੈਂਸਿਕ ਵਿਸ਼ਲੇਸ਼ਣ ਲਈ, ਨਾਲ ਹੀ ਸੰਰਚਨਾ ਤਬਦੀਲੀ ਦੇ ਮੁੱਦਿਆਂ ਲਈ ਅਤੇ ਸਮੂਹ ਪ੍ਰਸ਼ਾਸਨ ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਦੀ ਯੋਜਨਾ ਬਣਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਨ ਲਈ ਅਨਮੋਲ ਹੈ। ਇਹ ਅਸਧਾਰਨ ਗਤੀਵਿਧੀਆਂ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਅਸਲ ਸਮੇਂ ਦੀ ਵਰਤੋਂ ਵੀ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ ਜੋ ਇਹ ਸੰਕੇਤ ਕਰ ਸਕਦੀ ਹੈ ਕਿ ਹਮਲਾ ਹੋ ਰਿਹਾ ਹੈ। ਇਸ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਵਾਧੂ ਬਾਹਰੀ ਸਰੋਤਾਂ, ਜਿਵੇਂ ਕਿ IDS ਅਤੇ ਫਾਇਰਵਾਲ ਲੌਗਸ ਤੋਂ ਪ੍ਰਾਪਤ ਜਾਣਕਾਰੀ ਨਾਲ ਜੋੜਿਆ ਜਾ ਸਕਦਾ ਹੈ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 24
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਸੁਰੱਖਿਆ
NFVIS 'ਤੇ ਸਾਰੇ ਮੁੱਖ ਇਵੈਂਟ NETCONF ਗਾਹਕਾਂ ਨੂੰ ਇਵੈਂਟ ਸੂਚਨਾਵਾਂ ਦੇ ਤੌਰ 'ਤੇ ਅਤੇ ਕੌਂਫਿਗਰ ਕੀਤੇ ਕੇਂਦਰੀ ਲੌਗਿੰਗ ਸਰਵਰਾਂ ਨੂੰ syslogs ਵਜੋਂ ਭੇਜੇ ਜਾਂਦੇ ਹਨ। ਸਿਸਲੌਗ ਸੁਨੇਹਿਆਂ ਅਤੇ ਇਵੈਂਟ ਸੂਚਨਾਵਾਂ ਬਾਰੇ ਵਧੇਰੇ ਜਾਣਕਾਰੀ ਲਈ, ਅੰਤਿਕਾ ਵੇਖੋ।
ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਸੁਰੱਖਿਆ
ਇਹ ਭਾਗ NFVIS 'ਤੇ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ ਦੀ ਰਜਿਸਟ੍ਰੇਸ਼ਨ, ਤੈਨਾਤੀ ਅਤੇ ਸੰਚਾਲਨ ਨਾਲ ਸਬੰਧਤ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਵਰਣਨ ਕਰਦਾ ਹੈ।
VNF ਸੁਰੱਖਿਅਤ ਬੂਟ
NFVIS ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ ਲਈ UEFI ਸੁਰੱਖਿਅਤ ਬੂਟ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ ਓਪਨ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਫਰਮਵੇਅਰ (OVMF) ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ ਜੋ ਸੁਰੱਖਿਅਤ ਬੂਟ ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਹਨ। VNF ਸਕਿਓਰ ਬੂਟ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਕਿ VM ਬੂਟ ਸੌਫਟਵੇਅਰ ਦੀ ਹਰੇਕ ਪਰਤ ਸਾਈਨ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਸ ਵਿੱਚ ਬੂਟਲੋਡਰ, ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਕਰਨਲ, ਅਤੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਡਰਾਈਵਰ ਸ਼ਾਮਲ ਹਨ।
ਵਧੇਰੇ ਜਾਣਕਾਰੀ ਲਈ, VNFs ਦਾ ਸੁਰੱਖਿਅਤ ਬੂਟ ਵੇਖੋ।
VNC ਕੰਸੋਲ ਪਹੁੰਚ ਸੁਰੱਖਿਆ
NFVIS ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਤੈਨਾਤ VM ਦੇ ਰਿਮੋਟ ਡੈਸਕਟਾਪ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਇੱਕ ਵਰਚੁਅਲ ਨੈੱਟਵਰਕ ਕੰਪਿਊਟਿੰਗ (VNC) ਸੈਸ਼ਨ ਬਣਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇਸਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ, NFVIS ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਇੱਕ ਪੋਰਟ ਖੋਲ੍ਹਦਾ ਹੈ ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾ ਆਪਣੀ ਵਰਤੋਂ ਕਰਕੇ ਜੁੜ ਸਕਦਾ ਹੈ web ਬਰਾਊਜ਼ਰ। ਇਹ ਪੋਰਟ VM ਲਈ ਇੱਕ ਸੈਸ਼ਨ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਬਾਹਰੀ ਸਰਵਰ ਲਈ ਸਿਰਫ਼ 60 ਸਕਿੰਟਾਂ ਲਈ ਖੁੱਲ੍ਹਾ ਰਹਿੰਦਾ ਹੈ। ਜੇਕਰ ਇਸ ਸਮੇਂ ਦੇ ਅੰਦਰ ਕੋਈ ਗਤੀਵਿਧੀ ਨਹੀਂ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ, ਤਾਂ ਪੋਰਟ ਬੰਦ ਹੋ ਜਾਂਦੀ ਹੈ। ਪੋਰਟ ਨੰਬਰ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਇਸ ਤਰ੍ਹਾਂ VNC ਕੰਸੋਲ ਤੱਕ ਸਿਰਫ਼ ਇੱਕ ਵਾਰ ਪਹੁੰਚ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
nfvis# vncconsole ਸ਼ੁਰੂ ਤੈਨਾਤੀ-ਨਾਮ 1510614035 vm-ਨਾਮ ਰਾਊਟਰ vncconsole-url :6005/vnc_auto.html
ਤੁਹਾਡੇ ਬ੍ਰਾਊਜ਼ਰ ਨੂੰ https:// ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਨਾ :6005/vnc_auto.html ਰਾਊਟਰ VM ਦੇ VNC ਕੰਸੋਲ ਨਾਲ ਜੁੜ ਜਾਵੇਗਾ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 25
ਇਨਕ੍ਰਿਪਟਡ VM ਸੰਰਚਨਾ ਡਾਟਾ ਵੇਰੀਏਬਲ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਇਨਕ੍ਰਿਪਟਡ VM ਸੰਰਚਨਾ ਡਾਟਾ ਵੇਰੀਏਬਲ
VM ਤੈਨਾਤੀ ਦੇ ਦੌਰਾਨ, ਉਪਭੋਗਤਾ ਇੱਕ ਦਿਨ-0 ਸੰਰਚਨਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ file VM ਲਈ. ਇਹ file ਇਸ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਜਿਵੇਂ ਕਿ ਪਾਸਵਰਡ ਅਤੇ ਕੁੰਜੀਆਂ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀਆਂ ਹਨ। ਜੇਕਰ ਇਹ ਜਾਣਕਾਰੀ ਸਪਸ਼ਟ ਟੈਕਸਟ ਵਜੋਂ ਪਾਸ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇਹ ਲੌਗ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ files ਅਤੇ ਸਪਸ਼ਟ ਟੈਕਸਟ ਵਿੱਚ ਅੰਦਰੂਨੀ ਡਾਟਾਬੇਸ ਰਿਕਾਰਡ. ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਸੰਰਚਨਾ ਡੇਟਾ ਵੇਰੀਏਬਲ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਵਜੋਂ ਫਲੈਗ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ ਤਾਂ ਜੋ ਇਸਦੇ ਮੁੱਲ ਨੂੰ ਸਟੋਰ ਕਰਨ ਜਾਂ ਅੰਦਰੂਨੀ ਉਪ-ਸਿਸਟਮ ਵਿੱਚ ਪਾਸ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ AES-CFB-128 ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾ ਸਕੇ।
ਹੋਰ ਜਾਣਕਾਰੀ ਲਈ, VM ਡਿਪਲਾਇਮੈਂਟ ਪੈਰਾਮੀਟਰ ਵੇਖੋ।
ਰਿਮੋਟ ਚਿੱਤਰ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਲਈ ਚੈੱਕਸਮ ਤਸਦੀਕ
ਇੱਕ ਰਿਮੋਟਲੀ ਸਥਿਤ VNF ਚਿੱਤਰ ਨੂੰ ਰਜਿਸਟਰ ਕਰਨ ਲਈ, ਉਪਭੋਗਤਾ ਇਸਦਾ ਸਥਾਨ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ। ਚਿੱਤਰ ਨੂੰ ਕਿਸੇ ਬਾਹਰੀ ਸਰੋਤ ਤੋਂ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ, ਜਿਵੇਂ ਕਿ ਇੱਕ NFS ਸਰਵਰ ਜਾਂ ਰਿਮੋਟ HTTPS ਸਰਵਰ।
ਇਹ ਜਾਣਨ ਲਈ ਕਿ ਕੀ ਇੱਕ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਹੈ file ਇੰਸਟਾਲ ਕਰਨ ਲਈ ਸੁਰੱਖਿਅਤ ਹੈ, ਇਸਦੀ ਤੁਲਨਾ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਹੈ fileਇਸ ਨੂੰ ਵਰਤਣ ਤੋਂ ਪਹਿਲਾਂ ਚੈੱਕਸਮ ਹੈ। ਚੈੱਕਸਮ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਨਾਲ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਵਿੱਚ ਮਦਦ ਮਿਲਦੀ ਹੈ ਕਿ file ਤੁਹਾਡੇ ਦੁਆਰਾ ਇਸਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਨੈੱਟਵਰਕ ਪ੍ਰਸਾਰਣ ਦੌਰਾਨ ਖਰਾਬ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਾਂ ਕਿਸੇ ਖਤਰਨਾਕ ਤੀਜੀ ਧਿਰ ਦੁਆਰਾ ਸੰਸ਼ੋਧਿਤ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ।
NFVIS ਚੈੱਕਸਮ ਅਤੇ ਚੈੱਕਸਮ_ਐਲਗੋਰਿਦਮ ਵਿਕਲਪਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਸੰਭਾਵਿਤ ਚੈੱਕਸਮ ਅਤੇ ਚੈੱਕਸਮ ਐਲਗੋਰਿਦਮ (SHA256 ਜਾਂ SHA512) ਨੂੰ ਡਾਊਨਲੋਡ ਕੀਤੇ ਚਿੱਤਰ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾ ਸਕੇ। ਜੇਕਰ ਚੈਕਸਮ ਮੇਲ ਨਹੀਂ ਖਾਂਦਾ ਤਾਂ ਚਿੱਤਰ ਬਣਾਉਣਾ ਅਸਫਲ ਹੁੰਦਾ ਹੈ।
ਰਿਮੋਟ ਚਿੱਤਰ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਲਈ ਪ੍ਰਮਾਣੀਕਰਣ ਪ੍ਰਮਾਣਿਕਤਾ
HTTPS ਸਰਵਰ 'ਤੇ ਸਥਿਤ VNF ਚਿੱਤਰ ਨੂੰ ਰਜਿਸਟਰ ਕਰਨ ਲਈ, ਚਿੱਤਰ ਨੂੰ ਰਿਮੋਟ HTTPS ਸਰਵਰ ਤੋਂ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ। ਇਸ ਚਿੱਤਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ, NFVIS ਸਰਵਰ ਦੇ SSL ਸਰਟੀਫਿਕੇਟ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ। ਉਪਭੋਗਤਾ ਨੂੰ ਸਰਟੀਫਿਕੇਟ ਦਾ ਮਾਰਗ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ file ਜਾਂ ਇਸ ਸੁਰੱਖਿਅਤ ਡਾਊਨਲੋਡ ਨੂੰ ਯੋਗ ਬਣਾਉਣ ਲਈ PEM ਫਾਰਮੈਟ ਸਰਟੀਫਿਕੇਟ ਸਮੱਗਰੀ।
ਚਿੱਤਰ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਲਈ ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਮਾਣਿਕਤਾ 'ਤੇ ਸੈਕਸ਼ਨ 'ਤੇ ਹੋਰ ਵੇਰਵੇ ਲੱਭੇ ਜਾ ਸਕਦੇ ਹਨ
VM ਆਈਸੋਲੇਸ਼ਨ ਅਤੇ ਸਰੋਤ ਪ੍ਰਬੰਧ
ਨੈੱਟਵਰਕ ਫੰਕਸ਼ਨ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ (NFV) ਆਰਕੀਟੈਕਚਰ ਵਿੱਚ ਇਹ ਸ਼ਾਮਲ ਹਨ:
· ਵਰਚੁਅਲਾਈਜ਼ਡ ਨੈੱਟਵਰਕ ਫੰਕਸ਼ਨ (VNFs), ਜੋ ਕਿ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ ਹਨ ਜੋ ਸਾਫਟਵੇਅਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਚਲਾਉਂਦੀਆਂ ਹਨ ਜੋ ਨੈੱਟਵਰਕ ਕਾਰਜਕੁਸ਼ਲਤਾ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ ਜਿਵੇਂ ਕਿ ਰਾਊਟਰ, ਫਾਇਰਵਾਲ, ਲੋਡ ਬੈਲੇਂਸਰ, ਆਦਿ।
· ਨੈੱਟਵਰਕ ਫੰਕਸ਼ਨ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ, ਜਿਸ ਵਿੱਚ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਹਿੱਸੇ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ-ਕੰਪਿਊਟ, ਮੈਮੋਰੀ, ਸਟੋਰੇਜ, ਅਤੇ ਨੈੱਟਵਰਕਿੰਗ, ਇੱਕ ਪਲੇਟਫਾਰਮ 'ਤੇ ਜੋ ਲੋੜੀਂਦੇ ਸੌਫਟਵੇਅਰ ਅਤੇ ਹਾਈਪਰਵਾਈਜ਼ਰ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।
NFV ਦੇ ਨਾਲ, ਨੈੱਟਵਰਕ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਵਰਚੁਅਲਾਈਜ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਜੋ ਇੱਕ ਸਰਵਰ ਉੱਤੇ ਮਲਟੀਪਲ ਫੰਕਸ਼ਨ ਚਲਾਏ ਜਾ ਸਕਣ। ਨਤੀਜੇ ਵਜੋਂ, ਘੱਟ ਭੌਤਿਕ ਹਾਰਡਵੇਅਰ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸਰੋਤ ਇਕਸਾਰ ਹੋ ਸਕਦਾ ਹੈ। ਇਸ ਵਾਤਾਵਰਣ ਵਿੱਚ, ਇੱਕ ਸਿੰਗਲ, ਭੌਤਿਕ ਹਾਰਡਵੇਅਰ ਸਿਸਟਮ ਤੋਂ ਮਲਟੀਪਲ VNFs ਲਈ ਸਮਰਪਿਤ ਸਰੋਤਾਂ ਦੀ ਨਕਲ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ। NFVIS ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, VMs ਨੂੰ ਨਿਯੰਤਰਿਤ ਤਰੀਕੇ ਨਾਲ ਤੈਨਾਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਹਰੇਕ VM ਨੂੰ ਲੋੜੀਂਦੇ ਸਰੋਤ ਪ੍ਰਾਪਤ ਹੁੰਦੇ ਹਨ। ਸਰੋਤਾਂ ਨੂੰ ਭੌਤਿਕ ਵਾਤਾਵਰਣ ਤੋਂ ਕਈ ਵਰਚੁਅਲ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਲੋੜ ਅਨੁਸਾਰ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ। ਵਿਅਕਤੀਗਤ VM ਡੋਮੇਨਾਂ ਨੂੰ ਅਲੱਗ-ਥਲੱਗ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਇਸਲਈ ਉਹ ਵੱਖਰੇ, ਵੱਖਰੇ ਅਤੇ ਸੁਰੱਖਿਅਤ ਵਾਤਾਵਰਣ ਹਨ, ਜੋ ਸਾਂਝੇ ਸਰੋਤਾਂ ਲਈ ਇੱਕ ਦੂਜੇ ਨਾਲ ਵਿਵਾਦ ਨਹੀਂ ਕਰ ਰਹੇ ਹਨ।
VM ਪ੍ਰੋਵਿਜ਼ਨ ਤੋਂ ਵੱਧ ਸਰੋਤਾਂ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਸਰੋਤਾਂ ਦੀ ਖਪਤ ਕਰਨ ਵਾਲੇ ਇੱਕ VM ਤੋਂ ਸੇਵਾ ਦੀ ਸ਼ਰਤ ਤੋਂ ਇਨਕਾਰ ਕਰਦਾ ਹੈ। ਨਤੀਜੇ ਵਜੋਂ, CPU, ਮੈਮੋਰੀ, ਨੈੱਟਵਰਕ ਅਤੇ ਸਟੋਰੇਜ ਸੁਰੱਖਿਅਤ ਹਨ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 26
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
CPU ਆਈਸੋਲੇਸ਼ਨ
CPU ਆਈਸੋਲੇਸ਼ਨ
NFVIS ਸਿਸਟਮ ਮੇਜ਼ਬਾਨ 'ਤੇ ਚੱਲ ਰਹੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਸੌਫਟਵੇਅਰ ਲਈ ਕੋਰ ਰਾਖਵਾਂ ਕਰਦਾ ਹੈ। ਬਾਕੀ ਕੋਰ VM ਤੈਨਾਤੀ ਲਈ ਉਪਲਬਧ ਹਨ। ਇਹ ਗਾਰੰਟੀ ਦਿੰਦਾ ਹੈ ਕਿ VM ਦੀ ਕਾਰਗੁਜ਼ਾਰੀ NFVIS ਹੋਸਟ ਪ੍ਰਦਰਸ਼ਨ ਨੂੰ ਪ੍ਰਭਾਵਤ ਨਹੀਂ ਕਰਦੀ ਹੈ। ਘੱਟ-ਲੇਟੈਂਸੀ VMs NFVIS ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਘੱਟ ਲੇਟੈਂਸੀ VMs ਨੂੰ ਸਮਰਪਿਤ ਕੋਰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਜੋ ਇਸ 'ਤੇ ਤਾਇਨਾਤ ਹਨ। ਜੇਕਰ VM ਨੂੰ 2 vCPUs ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਤਾਂ ਇਸਨੂੰ 2 ਸਮਰਪਿਤ ਕੋਰ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ। ਇਹ ਕੋਰ ਦੀ ਸ਼ੇਅਰਿੰਗ ਅਤੇ ਓਵਰਸਬਸਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਰੋਕਦਾ ਹੈ ਅਤੇ ਘੱਟ-ਲੇਟੈਂਸੀ VMs ਦੇ ਪ੍ਰਦਰਸ਼ਨ ਦੀ ਗਾਰੰਟੀ ਦਿੰਦਾ ਹੈ। ਜੇਕਰ ਉਪਲਬਧ ਕੋਰਾਂ ਦੀ ਸੰਖਿਆ ਕਿਸੇ ਹੋਰ ਘੱਟ-ਲੇਟੈਂਸੀ VM ਦੁਆਰਾ ਬੇਨਤੀ ਕੀਤੀ ਗਈ vCPUs ਦੀ ਸੰਖਿਆ ਤੋਂ ਘੱਟ ਹੈ, ਤਾਂ ਤੈਨਾਤੀ ਨੂੰ ਰੋਕਿਆ ਜਾਂਦਾ ਹੈ ਕਿਉਂਕਿ ਸਾਡੇ ਕੋਲ ਲੋੜੀਂਦੇ ਸਰੋਤ ਨਹੀਂ ਹਨ। ਗੈਰ-ਘੱਟ ਲੇਟੈਂਸੀ VMs NFVIS ਗੈਰ-ਘੱਟ ਲੇਟੈਂਸੀ ਵਾਲੇ VMs ਨੂੰ ਸ਼ੇਅਰ ਕਰਨ ਯੋਗ CPU ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ। ਜੇਕਰ VM ਨੂੰ 2 vCPUs ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਇਸਨੂੰ 2 CPU ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ 2 CPU ਹੋਰ ਗੈਰ-ਘੱਟ ਲੇਟੈਂਸੀ VMs ਵਿੱਚ ਸਾਂਝੇ ਕਰਨ ਯੋਗ ਹਨ। ਜੇਕਰ ਉਪਲਬਧ CPUs ਦੀ ਸੰਖਿਆ ਕਿਸੇ ਹੋਰ ਗੈਰ-ਘੱਟ-ਲੇਟੈਂਸੀ VM ਦੁਆਰਾ ਬੇਨਤੀ ਕੀਤੀ ਗਈ vCPUs ਦੀ ਸੰਖਿਆ ਤੋਂ ਘੱਟ ਹੈ, ਤਾਂ ਤੈਨਾਤੀ ਦੀ ਅਜੇ ਵੀ ਇਜਾਜ਼ਤ ਹੈ ਕਿਉਂਕਿ ਇਹ VM ਮੌਜੂਦਾ ਗੈਰ-ਘੱਟ ਲੇਟੈਂਸੀ VMs ਨਾਲ CPU ਨੂੰ ਸਾਂਝਾ ਕਰੇਗਾ।
ਮੈਮੋਰੀ ਵੰਡ
NFVIS ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ ਇੱਕ ਨਿਸ਼ਚਿਤ ਮਾਤਰਾ ਦੀ ਮੈਮੋਰੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਜਦੋਂ ਇੱਕ VM ਤੈਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਜਾਂਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਪਹਿਲਾਂ ਤੈਨਾਤ ਕੀਤੇ ਗਏ VM ਲਈ ਲੋੜੀਂਦੀ ਮੈਮੋਰੀ ਰਿਜ਼ਰਵ ਕਰਨ ਤੋਂ ਬਾਅਦ ਉਪਲਬਧ ਮੈਮੋਰੀ ਨਵੇਂ VM ਲਈ ਕਾਫੀ ਹੈ। ਅਸੀਂ VM ਲਈ ਮੈਮੋਰੀ ਓਵਰਸਬਸਕ੍ਰਿਪਸ਼ਨ ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਦਿੰਦੇ ਹਾਂ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 27
ਸਟੋਰੇਜ ਆਈਸੋਲੇਸ਼ਨ
VM ਨੂੰ ਹੋਸਟ ਤੱਕ ਸਿੱਧੇ ਪਹੁੰਚ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਹੈ file ਸਿਸਟਮ ਅਤੇ ਸਟੋਰੇਜ਼.
ਸਟੋਰੇਜ ਆਈਸੋਲੇਸ਼ਨ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ENCS ਪਲੇਟਫਾਰਮ ਇੱਕ ਅੰਦਰੂਨੀ ਡੇਟਾਸਟੋਰ (M2 SSD) ਅਤੇ ਬਾਹਰੀ ਡਿਸਕਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। NFVIS ਅੰਦਰੂਨੀ ਡਾਟਾਸਟੋਰ 'ਤੇ ਸਥਾਪਿਤ ਹੈ। VNFs ਨੂੰ ਇਸ ਅੰਦਰੂਨੀ ਡੇਟਾਸਟੋਰ 'ਤੇ ਵੀ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਗਾਹਕ ਡੇਟਾ ਨੂੰ ਸਟੋਰ ਕਰਨਾ ਅਤੇ ਬਾਹਰੀ ਡਿਸਕਾਂ 'ਤੇ ਗਾਹਕ ਐਪਲੀਕੇਸ਼ਨ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ ਇੱਕ ਸੁਰੱਖਿਆ ਸਭ ਤੋਂ ਵਧੀਆ ਅਭਿਆਸ ਹੈ। ਸਿਸਟਮ ਲਈ ਭੌਤਿਕ ਤੌਰ 'ਤੇ ਵੱਖਰੀ ਡਿਸਕਾਂ ਹੋਣ files ਬਨਾਮ ਐਪਲੀਕੇਸ਼ਨ files ਸਿਸਟਮ ਡੇਟਾ ਨੂੰ ਭ੍ਰਿਸ਼ਟਾਚਾਰ ਅਤੇ ਸੁਰੱਖਿਆ ਮੁੱਦਿਆਂ ਤੋਂ ਬਚਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ।
·
ਇੰਟਰਫੇਸ ਆਈਸੋਲੇਸ਼ਨ
ਸਿੰਗਲ ਰੂਟ I/O ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਜਾਂ SR-IOV ਇੱਕ ਨਿਰਧਾਰਨ ਹੈ ਜੋ PCI ਐਕਸਪ੍ਰੈਸ (PCIe) ਸਰੋਤਾਂ ਜਿਵੇਂ ਕਿ ਇੱਕ ਈਥਰਨੈੱਟ ਪੋਰਟ ਨੂੰ ਅਲੱਗ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। SR-IOV ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਸਿੰਗਲ ਈਥਰਨੈੱਟ ਪੋਰਟ ਨੂੰ ਵਰਚੁਅਲ ਫੰਕਸ਼ਨ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਮਲਟੀਪਲ, ਵੱਖਰੇ, ਭੌਤਿਕ ਯੰਤਰਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਦਿਖਾਈ ਦੇ ਸਕਦਾ ਹੈ। ਉਸ ਅਡਾਪਟਰ 'ਤੇ ਸਾਰੇ VF ਯੰਤਰ ਇੱਕੋ ਭੌਤਿਕ ਨੈੱਟਵਰਕ ਪੋਰਟ ਨੂੰ ਸਾਂਝਾ ਕਰਦੇ ਹਨ। ਇੱਕ ਮਹਿਮਾਨ ਇਹਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਜਾਂ ਇੱਕ ਤੋਂ ਵੱਧ ਵਰਚੁਅਲ ਫੰਕਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦਾ ਹੈ। ਇੱਕ ਵਰਚੁਅਲ ਫੰਕਸ਼ਨ ਗੈਸਟ ਨੂੰ ਇੱਕ ਨੈਟਵਰਕ ਕਾਰਡ ਦੇ ਰੂਪ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਉਸੇ ਤਰ੍ਹਾਂ ਜਿਵੇਂ ਇੱਕ ਆਮ ਨੈੱਟਵਰਕ ਕਾਰਡ ਇੱਕ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਨੂੰ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ। ਵਰਚੁਅਲ ਫੰਕਸ਼ਨਾਂ ਵਿੱਚ ਨੇੜੇ-ਨੇਟਿਵ ਪ੍ਰਦਰਸ਼ਨ ਹੁੰਦਾ ਹੈ ਅਤੇ ਪੈਰਾ-ਵਰਚੁਅਲਾਈਜ਼ਡ ਡਰਾਈਵਰਾਂ ਅਤੇ ਇਮੂਲੇਟਿਡ ਐਕਸੈਸ ਨਾਲੋਂ ਬਿਹਤਰ ਪ੍ਰਦਰਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਵਰਚੁਅਲ ਫੰਕਸ਼ਨ ਉਸੇ ਭੌਤਿਕ ਸਰਵਰ 'ਤੇ ਮਹਿਮਾਨਾਂ ਵਿਚਕਾਰ ਡਾਟਾ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ ਕਿਉਂਕਿ ਡਾਟਾ ਹਾਰਡਵੇਅਰ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਅਤੇ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। NFVIS VNFs WAN ਅਤੇ LAN ਬੈਕਪਲੇਨ ਪੋਰਟਾਂ ਨਾਲ ਜੁੜਨ ਲਈ SR-IOV ਨੈੱਟਵਰਕ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 28
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਜੀਵਨ ਚੱਕਰ
ਹਰੇਕ ਅਜਿਹੇ VM ਕੋਲ ਇੱਕ ਵਰਚੁਅਲ ਇੰਟਰਫੇਸ ਅਤੇ VMs ਵਿਚਕਾਰ ਡਾਟਾ ਸੁਰੱਖਿਆ ਪ੍ਰਾਪਤ ਕਰਨ ਵਾਲੇ ਇਸ ਨਾਲ ਸਬੰਧਤ ਸਰੋਤ ਹਨ।
ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਜੀਵਨ ਚੱਕਰ
NFVIS ਸੌਫਟਵੇਅਰ ਲਈ ਇੱਕ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਜੀਵਨ ਚੱਕਰ (SDL) ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ। ਇਹ ਇੱਕ ਦੁਹਰਾਉਣਯੋਗ, ਮਾਪਣਯੋਗ ਪ੍ਰਕਿਰਿਆ ਹੈ ਜੋ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਘਟਾਉਣ ਅਤੇ ਸਿਸਕੋ ਹੱਲਾਂ ਦੀ ਸੁਰੱਖਿਆ ਅਤੇ ਲਚਕੀਲੇਪਨ ਨੂੰ ਵਧਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। Cisco SDL ਭਰੋਸੇਮੰਦ ਹੱਲਾਂ ਨੂੰ ਬਣਾਉਣ ਲਈ ਉਦਯੋਗ-ਪ੍ਰਮੁੱਖ ਅਭਿਆਸਾਂ ਅਤੇ ਤਕਨਾਲੋਜੀ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਘੱਟ ਫੀਲਡ-ਖੋਜ ਉਤਪਾਦ ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਹਨ। ਹਰੇਕ NFVIS ਰੀਲੀਜ਼ ਹੇਠ ਲਿਖੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚੋਂ ਲੰਘਦਾ ਹੈ।
· ਸਿਸਕੋ-ਅੰਦਰੂਨੀ ਅਤੇ ਮਾਰਕੀਟ-ਆਧਾਰਿਤ ਉਤਪਾਦ ਸੁਰੱਖਿਆ ਲੋੜਾਂ ਦਾ ਪਾਲਣ ਕਰਨਾ · ਕਮਜ਼ੋਰੀ ਟਰੈਕਿੰਗ ਲਈ ਸਿਸਕੋ ਵਿਖੇ ਕੇਂਦਰੀ ਰਿਪੋਜ਼ਟਰੀ ਦੇ ਨਾਲ ਤੀਜੀ ਧਿਰ ਦੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਰਜਿਸਟਰ ਕਰਨਾ · CVE ਲਈ ਜਾਣੇ-ਪਛਾਣੇ ਫਿਕਸਾਂ ਦੇ ਨਾਲ ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਪੈਚਿੰਗ ਸੌਫਟਵੇਅਰ। · ਸੁਰੱਖਿਆ ਨੂੰ ਧਿਆਨ ਵਿੱਚ ਰੱਖ ਕੇ ਸਾਫਟਵੇਅਰ ਡਿਜ਼ਾਈਨ ਕਰਨਾ · ਸੁਰੱਖਿਅਤ ਕੋਡਿੰਗ ਅਭਿਆਸਾਂ ਦਾ ਪਾਲਣ ਕਰਨਾ ਜਿਵੇਂ ਕਿ CiscoSSL ਵਰਗੇ ਨਿਰੀਖਣ ਕੀਤੇ ਆਮ ਸੁਰੱਖਿਆ ਮਾਡਿਊਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ, ਚੱਲਣਾ
ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ ਆਦਿ ਨੂੰ ਰੋਕਣ ਲਈ ਇਨਪੁਟ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਲਾਗੂ ਕਰਨਾ। · ਐਪਲੀਕੇਸ਼ਨ ਸੁਰੱਖਿਆ ਸਾਧਨ ਜਿਵੇਂ ਕਿ ਆਈਬੀਐਮ ਐਪਸਕੈਨ, ਨੇਸਸ, ਅਤੇ ਹੋਰ ਸਿਸਕੋ ਅੰਦਰੂਨੀ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਨਾ।
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 29
ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਜੀਵਨ ਚੱਕਰ
ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰ
ਸੁਰੱਖਿਆ ਵਿਚਾਰ 30
ਦਸਤਾਵੇਜ਼ / ਸਰੋਤ
 |
CISCO ਐਂਟਰਪ੍ਰਾਈਜ਼ ਨੈਟਵਰਕ ਫੰਕਸ਼ਨ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਾਫਟਵੇਅਰ [pdf] ਯੂਜ਼ਰ ਗਾਈਡ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਨੈਟਵਰਕ ਫੰਕਸ਼ਨ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਾਫਟਵੇਅਰ, ਐਂਟਰਪ੍ਰਾਈਜ਼, ਨੈਟਵਰਕ ਫੰਕਸ਼ਨ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਾਫਟਵੇਅਰ, ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਾਫਟਵੇਅਰ, ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਾਫਟਵੇਅਰ |
