منځپانګې پټول
1 د شرکت شبکې فعالیت مجازی زیربنا سافټویر
2 د محصول معلومات
2.1 مشخصات
2.2 امنیتي نظرونه
2.3 نصب کول
2.4 خوندي بوټ
2.5 خوندي ځانګړي وسیله پیژندنه (SUDI)
2.6 FAQ
2.6.1 پوښتنه: NFVIS څه شی دی؟
2.6.2 پوښتنه: زه څنګه کولی شم د NFVIS ISO عکس بشپړتیا تصدیق کړم یا عکس اپ گریڈ کړم؟
2.6.3 پوښتنه: ایا خوندي بوټ په ENCS کې د ډیفالټ لخوا فعال شوی؟
2.6.4 پوښتنه: په NFVIS کې د SUDI موخه څه ده؟
2.6.5 اسناد / سرچینې
2.6.5.1 حوالې
2.6.6 اړونده پوسټونه

د شرکت شبکې فعالیت مجازی زیربنا سافټویر

د محصول معلومات

مشخصات

  • د NFVIS سافټویر نسخه: 3.7.1 او وروسته
  • د RPM لاسلیک او لاسلیک تایید ملاتړ شوی
  • خوندي بوټ شتون لري (د ډیفالټ لخوا غیر فعال شوی)
  • د خوندي ځانګړي وسیلې پیژندنې (SUDI) میکانیزم کارول کیږي

امنیتي نظرونه

د NFVIS سافټویر د مختلفو لارو امنیت تضمینوي
میکانیزمونه:

  • انځور Tamper محافظت: د RPM لاسلیک او د لاسلیک تصدیق
    په ISO کې د ټولو RPM کڅوړو لپاره او د عکسونو لوړولو لپاره.
  • د RPM لاسلیک کول: د سیسکو تصدۍ NFVIS ISO کې ټولې RPM کڅوړې
    او د کریپټوګرافیک بشپړتیا ډاډ ترلاسه کولو لپاره عکسونه نوي کول لاسلیک شوي او
    صداقت
  • د RPM لاسلیک تایید: د ټولو RPM کڅوړو لاسلیک دی
    د نصب یا نوي کولو دمخه تایید شوی.
  • د انځور بشپړتیا تایید: د سیسکو NFVIS ISO عکس هش
    او د اپ گریڈ عکس خپور شوی ترڅو د اضافي بشپړتیا ډاډ ترلاسه کړي
    غیر RPM files.
  • د ENCS خوندي بوټ: د UEFI معیار برخه، ډاډ ترلاسه کوي چې د
    وسیله بوټان یوازې د باور وړ سافټویر په کارولو سره.
  • خوندي ځانګړي وسیله پیژندنه (SUDI): وسیله چمتو کوي
    د بدلیدونکي هویت سره د دې ریښتیني تصدیق کولو لپاره.

نصب کول

د NFVIS سافټویر نصبولو لپاره، دا ګامونه تعقیب کړئ:

  1. ډاډ ترلاسه کړئ چې د سافټویر عکس نه دی شویampله خوا ered
    د دې لاسلیک او بشپړتیا تصدیق کول.
  2. که د Cisco Enterprise NFVIS 3.7.1 او وروسته کاروئ، ډاډ ترلاسه کړئ
    د لاسلیک تصدیق د نصب کولو پرمهال تیریږي. که دا ناکام شي،
    نصب به لغوه شي.
  3. که د Cisco Enterprise NFVIS 3.6.x څخه د خوشې کولو لپاره نوي کول
    3.7.1، د RPM لاسلیکونه د نوي کولو په جریان کې تایید شوي. که د
    د لاسلیک تایید ناکام شو، یوه تېروتنه ثبت شوې مګر اپ گریڈ دی
    بشپړ شوی
  4. که چیرې د ریلیز 3.7.1 څخه وروسته خوشې کولو ته لوړ شي، RPM
    لاسلیکونه تایید شوي کله چې د اپ گریڈ عکس ثبت شوی وي. که
    د لاسلیک تایید ناکام شو، اپ گریڈ لغوه شو.
  5. د سیسکو NFVIS ISO عکس یا اپ گریڈ عکس هش تایید کړئ
    د کمانډ په کارولو سره: /usr/bin/sha512sum
    <image_filepath>    . هش د خپاره شوي سره پرتله کړئ
    هش د بشپړتیا ډاډ ترلاسه کولو لپاره.

خوندي بوټ

خوندي بوټ یو خصوصیت دی چې په ENCS کې شتون لري (د ډیفالټ لخوا غیر فعال شوی)
دا ډاډ ورکوي چې وسیله یوازې د باور وړ سافټویر په کارولو سره بوټ کوي. ته
خوندي بوټ فعال کړئ:

  1. د نورو لپاره د کوربه خوندي بوټ په اړه اسنادو ته مراجعه وکړئ
    معلومات
  2. ستاسو د خوندي بوټ فعالولو لپاره چمتو شوي لارښوونې تعقیب کړئ
    وسیله

خوندي ځانګړي وسیله پیژندنه (SUDI)

SUDI NFVIS ته د بدلیدونکي هویت سره چمتو کوي، دا تصدیق کوي
دا یو ریښتینی سیسکو محصول دی او د دې پیژندنه ډاډمن کوي
د پیرودونکي لیست سیسټم.

FAQ

پوښتنه: NFVIS څه شی دی؟

A: NFVIS د شبکې فعالیت مجازی کولو لپاره ولاړ دی
د زیربنا سافټویر. دا د سافټویر پلیټ فارم دی چې د ځای په ځای کولو لپاره کارول کیږي
او د مجازی شبکې فعالیتونه اداره کړئ.

پوښتنه: زه څنګه کولی شم د NFVIS ISO عکس بشپړتیا تصدیق کړم یا؟
انځور لوړ کړئ؟

A: د بشپړتیا تصدیق کولو لپاره، کمانډ وکاروئ
/usr/bin/sha512sum <image_filepath> او پرتله کول
د سیسکو لخوا چمتو شوي خپاره شوي هش سره هش.

پوښتنه: ایا خوندي بوټ په ENCS کې د ډیفالټ لخوا فعال شوی؟

ځواب: نه، خوندي بوټ په ډیفالټ ENCS کې غیر فعال دی. دا دی
د ښه امنیت لپاره د خوندي بوټ فعالولو لپاره وړاندیز شوی.

پوښتنه: په NFVIS کې د SUDI موخه څه ده؟

ځواب: SUDI NFVIS ته یو ځانګړی او نه بدلیدونکی هویت وړاندې کوي،
د سیسکو محصول په توګه د دې ریښتیني تضمین کول او د هغې اسانتیا
د پیرودونکي لیست سیسټم کې پیژندنه.

View Fullscreen

امنیتي نظرونه
دا څپرکی په NFVIS کې امنیتي ځانګړتیاوې او نظرونه بیانوي. دا د لوړې کچې اوور ورکويview په NFVIS کې د امنیت اړوند برخو څخه ستاسو لپاره ځانګړي ځای پرځای کولو لپاره د امنیت ستراتیژي پلان کول. دا د شبکې امنیت اصلي عناصرو پلي کولو لپاره د امنیت غوره کړنو په اړه وړاندیزونه هم لري. د NFVIS سافټویر د ټولو سافټویر پرتونو له لارې د نصب کولو څخه سم امنیت لري. ورپسې فصلونه د دې بکس څخه بهر امنیتي اړخونو باندې تمرکز کوي لکه د اعتبار مدیریت، بشپړتیا اوampد er محافظت، د ناستې مدیریت، خوندي وسیله لاسرسی او نور.

· نصب کول، په 2 پاڼه کې · د ځانګړي وسیلې پیژندنه خوندي کول، په 3 پاڼه کې · د وسیلې لاسرسی، په 4 پاڼه کې

امنیتي ملحوظات ۱

نصب کول

امنیتي نظرونه

· د زیربنا مدیریت شبکه، په 22 پاڼه کې · په 23 پاڼه کې د محلي زیرمو معلوماتو ساتنه · File لیږد، په 24 پاڼه کې · ننوتل، په 24 پاڼه کې · د مجازی ماشین امنیت، په 25 پاڼه کې · د VM جلا کول او د سرچینو چمتو کول، په 26 پاڼه کې · د خوندي پرمختیا ژوند سایکل، په 29 پاڼه کې

نصب کول
د دې لپاره چې ډاډ ترلاسه شي چې د NFVIS سافټویر نه دی شویampد سافټویر عکس د لاندې میکانیزمونو په کارولو سره د نصب کولو دمخه تایید شوی:

انځور Tampد ساتنې
NFVIS د ISO او اپ گریڈ عکسونو کې د ټولو RPM کڅوړو لپاره د RPM لاسلیک او لاسلیک تصدیق ملاتړ کوي.

د RPM لاسلیک کول

د سیسکو تصدۍ NFVIS ISO او اپ گریڈ عکسونو کې ټولې RPM کڅوړې د کریپټوګرافیک بشپړتیا او صداقت ډاډ ترلاسه کولو لپاره لاسلیک شوي. دا تضمین کوي ​​​​چې د RPM کڅوړې نه ديampسره ered او د RPM کڅوړې د NFVIS څخه دي. هغه شخصي کیلي چې د RPM کڅوړو لاسلیک کولو لپاره کارول کیږي د سیسکو لخوا رامینځته شوي او خوندي ساتل کیږي.

د RPM لاسلیک تایید

د NFVIS سافټویر د نصب یا نوي کولو دمخه د ټولو RPM کڅوړو لاسلیک تاییدوي. لاندې جدول د Cisco Enterprise NFVIS چلند تشریح کوي کله چې د لاسلیک تصدیق د نصب یا نوي کولو پرمهال ناکام شي.

سناریو

تفصیل

د Cisco Enterprise NFVIS 3.7.1 او وروسته نصب کول که چیرې د لاسلیک تصدیق ناکام شي د Cisco Enterprise NFVIS نصبولو په وخت کې، نصب کول لغوه کیږي.

د سیسکو تصدۍ NFVIS له 3.6.x څخه تر 3.7.1 خوشې کولو پورې اپ گریڈ

د RPM لاسلیکونه تصدیق کیږي کله چې اپ گریڈ ترسره کیږي. که د لاسلیک تایید ناکام شي، یوه تېروتنه ثبت شوې مګر اپ گریڈ بشپړ شوی.

د 3.7.1 ریلیز څخه د Cisco Enterprise NFVIS اپ گریڈ د RPM لاسلیکونه تصدیق کیږي کله چې اپ گریڈ

وروسته خپرونو ته

انځور ثبت دی. که د لاسلیک تصدیق ناکام شي،

اپ گریڈ لغوه شو.

د انځور بشپړتیا تایید
د RPM لاسلیک او لاسلیک تایید یوازې د RPM کڅوړو لپاره ترسره کیدی شي چې په سیسکو NFVIS ISO کې شتون لري او عکسونه اپ گریڈ کړئ. د ټولو اضافي غیر RPM بشپړتیا ډاډ ترلاسه کولو لپاره fileد سیسکو NFVIS ISO عکس کې شتون لري ، د سیسکو NFVIS ISO عکس یو هش د عکس سره خپور شوی. په ورته ډول، د سیسکو NFVIS اپ گریڈ عکس یو هش د عکس سره خپور شوی. د دې تصدیق کولو لپاره چې د سیسکو هش

امنیتي ملحوظات ۱

امنیتي نظرونه

د ENCS خوندي بوټ

د NFVIS ISO عکس یا اپ گریڈ عکس د سیسکو لخوا خپور شوي هش سره سمون لري ، لاندې کمانډ پرمخ وړئ او هش د خپاره شوي هش سره پرتله کړئ:
% /usr/bin/sha512sum <انځورFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<انځورFile>
د ENCS خوندي بوټ
خوندي بوټ د متحد توسیع وړ فرم ویئر انٹرفیس (UEFI) معیار برخه ده کوم چې ډاډ ورکوي چې وسیله یوازې د سافټویر په کارولو سره بوټ کوي چې د اصلي تجهیزاتو تولید کونکي (OEM) لخوا باوري وي. کله چې NFVIS پیل شي، فرم ویئر د بوټ سافټویر او عملیاتي سیسټم لاسلیک ګوري. که لاسلیکونه د اعتبار وړ وي، وسیله بوټ کیږي، او فرم ویئر عملیاتي سیسټم ته کنټرول ورکوي.
خوندي بوټ په ENCS کې شتون لري مګر د ډیفالټ لخوا غیر فعال شوی. سیسکو تاسو ته وړاندیز کوي چې خوندي بوټ فعال کړئ. د نورو معلوماتو لپاره، وګورئ د کوربه خوندي بوټ.
د ځانګړي وسیلې پیژندنه خوندي کړئ
NFVIS یو میکانیزم کاروي چې د خوندي ځانګړي وسیلې پیژندنې (SUDI) په نوم پیژندل کیږي ، کوم چې دا د نه بدلیدونکي پیژندنې سره چمتو کوي. دا پیژندنه د دې تصدیق کولو لپاره کارول کیږي چې وسیله د سیسکو ریښتیني محصول دی ، او دا ډاډ ترلاسه کولو لپاره چې وسیله د پیرودونکي لیست سیسټم ته ښه پیژندل کیږي.
SUDI د X.509v3 سند او اړونده کلیدي جوړه ده چې په هارډویر کې خوندي دي. د SUDI سند د محصول پیژندونکی او سریال نمبر لري او د سیسکو عامه کلیدي زیربنا کې ریښې لري. کلیدي جوړه او د SUDI سند د تولید پرمهال هارډویر ماډل کې داخلیږي، او شخصي کیلي هیڅکله صادر نشي.
د SUDI پر بنسټ پیژندنه د زیرو ټچ پروویژنینګ (ZTP) په کارولو سره د تصدیق شوي او اتوماتیک ترتیب کولو لپاره کارول کیدی شي. دا د وسایطو خوندي، لیرې آن بورډینګ وړوي، او ډاډ ترلاسه کوي چې د آرکیسټریشن سرور د ریښتینې NFVIS وسیلې سره خبرې کوي. د بیک انډ سیسټم کولی شي د NFVIS وسیلې ته ننګونه وړاندې کړي ترڅو خپل هویت تایید کړي او وسیله به د خپل SUDI پر اساس پیژندنې په کارولو ننګونې ته ځواب ووایی. دا د بیک انډ سیسټم ته اجازه ورکوي چې نه یوازې د دې موجودیت په وړاندې تصدیق کړي چې سم وسیله په سم ځای کې ده بلکې کوډ شوی ترتیب هم چمتو کوي چې یوازې د ځانګړي وسیلې لخوا خلاص کیدی شي، په دې توګه په لیږد کې محرمیت ډاډمن کوي.
لاندې کاري فلو ډیاګرامونه روښانه کوي چې څنګه NFVIS SUDI کاروي:

امنیتي ملحوظات ۱

د وسیلې لاسرسي شکل 1: پلګ او پلی (PnP) سرور تصدیق

امنیتي نظرونه

شکل 2: د پلګ او پلی وسیلې تصدیق او اختیار

وزلې لاسرسی
NFVIS د لاسرسي مختلف میکانیزمونه چمتو کوي پشمول کنسول او همدارنګه د پروتوکولونو پراساس ریموټ لاسرسی لکه HTTPS او SSH. د لاسرسي هر میکانیزم باید په احتیاط سره ويviewed او ترتیب شوی. ډاډ ترلاسه کړئ چې یوازې د اړتیا وړ لاسرسي میکانیزمونه فعال شوي او دا په سمه توګه خوندي دي. NFVIS ته د متقابل او مدیریت لاسرسي خوندي کولو لپاره کلیدي ګامونه د وسیلې لاسرسي محدودول ، د اجازه ورکړل شوي کاروونکو وړتیاوې محدودول هغه څه ته چې اړتیا ورته وي ، او د لاسرسي اجازه لرونکي میتودونه محدودول دي. NFVIS ډاډ ورکوي چې لاسرسی یوازې تصدیق شوي کاروونکو ته ورکړل شوی او دوی کولی شي یوازې مجاز عملونه ترسره کړي. د وسیلې لاسرسی د پلټنې لپاره ثبت شوی او NFVIS د ځایی زیرمه شوي حساس معلوماتو محرمیت تضمینوي. NFVIS ته د غیر مجاز لاسرسي د مخنیوي لپاره د مناسبو کنټرولونو رامینځته کول خورا مهم دي. لاندې برخې د دې ترلاسه کولو لپاره غوره تمرینونه او تشکیلات بیانوي:
امنیتي ملحوظات ۱

امنیتي نظرونه

په لومړي ننوتلو کې د پاسورډ بدلون پلي شوی

په لومړي ننوتلو کې د پاسورډ بدلون پلي شوی
ډیفالټ اسناد د محصول امنیت پیښو دوامداره سرچینه ده. پیرودونکي ډیری وختونه د ډیفالټ ننوتلو سندونو بدلول هیروي چې د دوی سیسټمونه د برید لپاره خلاص پریږدي. د دې د مخنیوي لپاره، د NFVIS کاروونکي اړ کیږي چې د ډیفالټ اسنادو (کارن نوم: admin او پاسورډ Admin123#) په کارولو سره د لومړي ننوتلو وروسته پاسورډ بدل کړي. د نورو معلوماتو لپاره، وګورئ NFVIS ته لاسرسی.
د ننوتلو زیانونو محدودول
تاسو کولی شئ د لاندې ځانګړتیاو په کارولو سره د لغت او خدماتو انکار (DoS) بریدونو ته د زیان رسولو مخه ونیسئ.
د قوي پاسورډ پلي کول
د تصدیق کولو میکانیزم یوازې د دې اعتبار په څیر قوي دی. د دې دلیل لپاره، دا مهمه ده چې ډاډ ترلاسه کړئ چې کاروونکي قوي پاسورډونه لري. NFVIS ګوري چې یو قوي پاسورډ د لاندې مقرراتو سره سم ترتیب شوی دی: پاسورډ باید ولري:
· لږ تر لږه یو لوی توری · لږ تر لږه یو کوچنی توری · لږ تر لږه یو شمیره
نښه (؟) · اوه حروف یا ډیر · د پټنوم اوږدوالی باید د 7 او 128 حروف ترمنځ وي.
د پاسورډونو لپاره لږترلږه اوږدوالی تنظیم کول
د پټنوم پیچلتیا نشتوالی، په ځانګړې توګه د پاسورډ اوږدوالی، د پام وړ د لټون ځای کموي کله چې برید کونکي هڅه کوي د کارن پاسورډ اټکل کړي، د وحشي ځواک بریدونه خورا اسانه کوي. اډمین کارونکي کولی شي د ټولو کاروونکو پاسورډونو لپاره اړین لږترلږه اوږدوالی تنظیم کړي. لږترلږه اوږدوالی باید د 7 او 128 حروف ترمنځ وي. په ډیفالټ کې، د پاسورډونو لپاره اړین لږترلږه اوږدوالی 7 حروف ته ټاکل شوی. CLI:
nfvis(config)# د rbac تصدیق min-pwd-longth 9
API:
/api/config/rbac/authentication/min-pwd-length
د پټنوم د ژوند وخت تنظیمول
د پاسورډ ژوند وخت ټاکي چې څومره وخت لپاره پاسورډ کارول کیدی شي مخکې لدې چې کارونکي یې بدلولو ته اړتیا ولري.

امنیتي ملحوظات ۱

د پخواني پټنوم بیا کارول محدود کړئ

امنیتي نظرونه

اډمین کارونکی کولی شي د ټولو کاروونکو لپاره د پاسورډونو لپاره لږترلږه او اعظمي ژوند ارزښتونه تنظیم کړي او د دې ارزښتونو چک کولو لپاره قاعده پلي کړي. د ډیفالټ لږترلږه د ژوند ارزښت 1 ورځ ټاکل شوی او د ډیفالټ اعظمي ژوند ارزښت 60 ورځو ته ټاکل شوی. کله چې د ژوند لږ تر لږه ارزښت ترتیب شي، کارونکي نشي کولی پټنوم بدل کړي تر هغه چې ټاکلې ورځې تیرې شوې نه وي. په ورته ډول، کله چې د ژوند اعظمي ارزښت ترتیب شوی وي، یو کارن باید د ټاکل شوي شمیرې له تیریدو دمخه پاسورډ بدل کړي. که چیرې یو کارن پاسورډ بدل نه کړي او ټاکل شوې ورځې تیرې شوې وي ، نو کارونکي ته خبرتیا لیږل کیږي.
یادونه د ژوند لږترلږه او اعظمي ارزښتونه او د دې ارزښتونو چک کولو قاعده د مدیر کارونکي لپاره نه پلي کیږي.
CLI:
د ټرمینل rbac تصدیق کولو پټنوم ترتیب کړئ - د ژوند وخت ریښتیني دقیقې ورځې 2 اعظمي ورځې 30 ژمنې پلي کړئ
API:
/api/config/rbac/authentication/password-lifetime/
د پخواني پټنوم بیا کارول محدود کړئ
د پخوانیو پاسفریجونو کارولو مخه نیولو پرته، د پاسورډ ختمول په لویه کچه بې ګټې دي ځکه چې کاروونکي کولی شي په ساده ډول پاسفریج بدل کړي او بیا یې اصلي ته بدل کړي. NFVIS چک کوي چې نوی پټنوم د 5 پخوانیو کارول شویو پاسورډونو سره ورته نه دی. د دې قاعدې یو استثنا دا ده چې د مدیر کارونکي کولی شي پاسورډ ډیفالټ پاسورډ ته بدل کړي حتی که دا د 5 دمخه کارول شوي پاسورډونو څخه و.
د ننوتلو هڅو فریکونسی محدود کړئ
که چیرې یو لیرې ملګري ته اجازه ورکړل شي چې نامحدود شمیر ته ننوځي، نو دا به په پای کې د دې وړتیا ولري چې د وحشي ځواک لخوا د ننوتلو اسناد اټکل کړي. څرنګه چې پاسفریجونه اکثرا د اټکل کولو لپاره اسانه دي، دا یو عام برید دی. د هغه نرخ محدودولو سره چې ملګری کولی شي د ننوتلو هڅه وکړي، موږ د دې برید مخه نیسو. موږ د دې وحشي ځواک ننوتلو هڅو په غیر ضروري ډول تصدیق کولو لپاره د سیسټم سرچینې مصرف کولو څخه هم مخنیوی کوو کوم چې کولی شي د خدماتو برید څخه انکار رامینځته کړي. NFVIS د ننوتلو 5 ناکامو هڅو وروسته د 10 دقیقو کارونکي تالاشۍ پلي کوي.
غیر فعال کارونکي حسابونه غیر فعال کړئ
د کارونکي فعالیت څارنه او د نه کارول شوي یا زاړه کارونکي حسابونو غیر فعال کول د داخلي بریدونو څخه سیسټم خوندي کولو کې مرسته کوي. نه کارول شوي حسابونه باید په پای کې لیرې شي. اډمین کارن کولی شي د غیر کارول شوي کارن حسابونو د غیر فعال په توګه په نښه کولو لپاره یو قاعده پلي کړي او د هغه ورځو شمیر تنظیم کړي چې وروسته له هغه نه کارول شوي کارن حساب غیر فعال په نښه شي. یوځل چې د غیر فعال په توګه نښه شي، دا کارونکي نشي کولی سیسټم ته ننوځي. د دې لپاره چې کاروونکي سیسټم ته ننوځي، د مدیر کارونکي کولی شي د کارن حساب فعال کړي.
یادونه د غیر فعالیت موده او د غیر فعالیت دورې چک کولو قواعد د مدیر کارونکي لپاره نه پلي کیږي.

امنیتي ملحوظات ۱

امنیتي نظرونه

د غیر فعال کارونکي حساب فعالول

لاندې CLI او API د حساب غیر فعالیت پلي کولو تنظیم کولو لپاره کارول کیدی شي. CLI:
د ټرمینل rbac تصدیق حساب تنظیم کړئ - غیر فعالیت ریښتیني غیر فعالیت پلي کړئ - ورځې 30 ژمنې
API:
/api/config/rbac/authentication/account-inactivity/
د غیر فعالیت ورځو لپاره اصلي ارزښت 35 دی.
د غیر فعال کارونکي حساب فعالول د مدیر کارونکي کولی شي د لاندې CLI او API په کارولو سره د غیر فعال کارونکي حساب فعال کړي: CLI:
د ټرمینل rbac تصدیق کارن کارن ګیسسټ_وزر فعال کمیټ تنظیم کړئ
API:
/api/operations/rbac/authentication/users/user/username/activate

د BIOS او CIMC پاسورډونو تنظیم کول پلي کړئ

جدول 1: د فیچر تاریخ جدول

د فیچر نوم

د معلوماتو خپرول

د BIOS او CIMC NFVIS 4.7.1 پاسورډونو تنظیم کول پلي کړئ

تفصیل
دا خصوصیت کاروونکي هڅوي چې د CIMC او BIOS لپاره ډیفالټ پاسورډ بدل کړي.

د BIOS او CIMC پاسورډونو تنظیم کولو پلي کولو لپاره محدودیتونه
· دا فیچر یوازې د Cisco Catalyst 8200 UCPE او Cisco ENCS 5400 پلیټ فارمونو کې ملاتړ کیږي.
· دا خصوصیت یوازې د NFVIS 4.7.1 تازه نصب او وروسته خپریدو کې ملاتړ کیږي. که تاسو د NFVIS 4.6.1 څخه NFVIS 4.7.1 ته لوړ کړئ، دا فیچر نه ملاتړ کیږي او تاسو ته نه هڅول کیږي چې د BIOS او CIMS پاسورډونه بیا تنظیم کړئ، حتی که د BIOS او CIMC پاسورډونه ترتیب شوي نه وي.

د BIOS او CIMC پاسورډونو تنظیم کولو پلي کولو په اړه معلومات
دا خصوصیت د NFVIS 4.7.1 تازه نصبولو وروسته د BIOS او CIMC پاسورډونو د بیا تنظیم کولو په پلي کولو سره د امنیت تشه په ګوته کوي. د ډیفالټ CIMC پټنوم پاسورډ دی او د ډیفالټ BIOS پټنوم هیڅ پټنوم نه دی.
د امنیتي تشې د حل کولو لپاره، تاسو باید په ENCS 5400 کې د BIOS او CIMC پاسورډونه تنظیم کړئ. د NFVIS 4.7.1 د نوي نصبولو په جریان کې، که چیرې د BIOS او CIMC پاسورډونه نه وي بدل شوي او اوس هم لري.

امنیتي ملحوظات ۱

ترتیب Exampد BIOS او CIMC پاسورډونو د پلي شوي بیا تنظیم کولو لپاره

امنیتي نظرونه

ډیفالټ پاسورډونه ، بیا تاسو ته د BIOS او CIMC پاسورډونو بدلولو لپاره هڅول کیږي. که چیرې یوازې یو له دوی څخه ری سیٹ ته اړتیا ولري ، نو تاسو ته به هڅول کیږي چې یوازې د دې برخې لپاره پټنوم بیا تنظیم کړئ. د سیسکو کتلست 8200 UCPE یوازې د BIOS پټنوم ته اړتیا لري او له همدې امله یوازې د BIOS پټنوم بیا تنظیمولو ته هڅول کیږي ، که دا دمخه تنظیم شوی نه وي.
یادونه که تاسو د هر پخوانی ریلیز څخه NFVIS 4.7.1 یا وروسته ریلیزونو ته لوړ کړئ، تاسو کولی شئ د BIOS او CIMC پاسورډونه د کوربه توب بدلون-bios-password newpassword یا hostaction change-cimc-password نوي پاسورډ کمانډونو په کارولو سره بدل کړئ.
د BIOS او CIMC پاسورډونو په اړه د نورو معلوماتو لپاره، BIOS او CIMC پاسورډ وګورئ.
ترتیب Exampد BIOS او CIMC پاسورډونو د پلي شوي بیا تنظیم کولو لپاره
1. کله چې تاسو NFVIS 4.7.1 نصب کړئ، تاسو باید لومړی د ډیفالټ اډمین پاسورډ بیا تنظیم کړئ.
د سیسکو شبکې فعالیت مجازی کولو زیربنا سافټویر (NFVIS)
د NFVIS نسخه: 99.99.0-1009
د چاپ حق (c) 2015-2021 د Cisco Systems, Inc. Cisco, Cisco Systems, and Cisco Systems logo د Cisco Systems, Inc. او/یا په متحده ایالاتو او ځینو نورو هیوادونو کې د هغې اړوندو شرکتونو راجستر شوي سوداګریزې نښې دي.
په دې سافټویر کې موجود ځینې کارونو ته د کاپي حقونه د نورو دریمې ډلې ملکیت دي او د دریمې ډلې جواز تړونونو لاندې کارول کیږي او ویشل شوي. د دې سافټویر ځینې برخې د GNU GPL 2.0، GPL 3.0، LGPL 2.1، LGPL 3.0 او AGPL 3.0 لاندې جواز لري.
اډمین د 10.24.109.102 څخه د ssh په کارولو سره په nfvis کې وصل شوی admin د ډیفالټ سندونو سره ننوتل مهرباني وکړئ یو پټنوم چمتو کړئ چې لاندې معیارونه پوره کوي:
1.لږترلږه یو کوچنی توری 2.لږترلږه یو لوی حروف 3.لږترلږه یوه شمیره 4.لږ ترلږه یو ځانګړی کرکټر د # _ – * څخه؟ 5. اوږدوالی باید د 7 او 128 حروف ترمنځ وي مهرباني وکړئ پاسورډ بیا تنظیم کړئ: مهرباني وکړئ پاسورډ بیا دننه کړئ:
د اډمین پاسورډ بیا تنظیم کول
2. د Cisco Catalyst 8200 UCPE او Cisco ENCS 5400 پلیټ فارمونو کې کله چې تاسو د NFVIS 4.7.1 یا وروسته خپرونو تازه انسټال کړئ، تاسو باید د ډیفالټ BIOS او CIMC پاسورډونه بدل کړئ. که چیرې د BIOS او CIMC پاسورډونه مخکې تنظیم شوي نه وي، سیسټم تاسو ته د سیسکو ENCS 5400 لپاره د BIOS او CIMC پاسورډونو بیا تنظیمولو ته هڅوي او یوازې د Cisco Catalyst 8200 UCPE لپاره د BIOS پټنوم.
نوی اډمین پاسورډ تنظیم شوی
مهرباني وکړئ د BIOS پاسورډ چمتو کړئ کوم چې لاندې معیارونه پوره کوي: 1. لږترلږه یو کوچنی حرف 2. لږترلږه یو لوی حروف 3. لږترلږه یوه شمیره 4. لږترلږه یو ځانګړی کرکټر د #، @ یا _ 5 ترمنځ وي. 8 او 20 حروف 6. باید د لاندې تارونو څخه هیڅ یو نه وي (د قضیې حساس): بایوس 7. لومړی کرکټر نشي کولی #

امنیتي ملحوظات ۱

امنیتي نظرونه

د BIOS او CIMC پاسورډونه تایید کړئ

مهرباني وکړئ د BIOS پټنوم بیا تنظیم کړئ: مهرباني وکړئ د BIOS پټنوم بیا دننه کړئ: مهرباني وکړئ د CIMC پټنوم چمتو کړئ کوم چې لاندې معیارونه پوره کوي:
1. لږ تر لږه یو کوچنی حروف 2. لږ تر لږه یو لوی حروف 3. لږ تر لږه یو عدد 4. لږ تر لږه یو ځانګړی کرکټر له #، @ یا _ 5 څخه. اوږدوالی باید د 8 څخه تر 20 حروفو پورې وي 6. باید هیڅ یو ولري لاندې تارونه (د قضیې حساس): admin مهرباني وکړئ د CIMC پټنوم بیا تنظیم کړئ: مهرباني وکړئ د CIMC پټنوم بیا دننه کړئ:

د BIOS او CIMC پاسورډونه تایید کړئ
د دې تصدیق کولو لپاره چې آیا د BIOS او CIMC پاسورډونه په بریالیتوب سره بدل شوي، د نندارې log nfvis_config.log | BIOS شامل کړئ یا log nfvis_config.log | د CIMC حکمونه شامل دي:

nfvis# ننداره nfvis_config.log | BIOS شامل دي

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS پټنوم بدلول

بریالی دی

تاسو کولی شئ nfvis_config.log هم ډاونلوډ کړئ file او تصدیق کړئ که پاسورډونه په بریالیتوب سره تنظیم شوي وي.

د بهرني AAA سرورونو سره یوځای کول
کاروونکي NFVIS ته د ssh یا له لارې ننوتل Web UI. په هر حالت کې، کاروونکي باید تصدیق شي. دا دی، یو کاروونکي اړتیا لري چې د لاسرسي ترلاسه کولو لپاره د پټنوم اسناد وړاندې کړي.
یوځل چې یو کاروونکي تصدیق شي، د هغه کارونکي لخوا ترسره شوي ټول عملیات باید اجازه ورکړل شي. دا دی، ځینې کاروونکو ته اجازه ورکول کیدی شي چې ځینې دندې ترسره کړي، پداسې حال کې چې نور یې ندي. دې ته اجازه ورکول ویل کیږي.
دا سپارښتنه کیږي چې یو مرکزي AAA سرور د NFVIS لاسرسي لپاره د هر کارونکي ، AAA پراساس د ننوتلو تصدیق پلي کولو لپاره ځای په ځای شي. NFVIS د شبکې لاسرسي منځګړیتوب لپاره د RADIUS او TACACS پروتوکولونو ملاتړ کوي. په AAA سرور کې، یوازې د لږترلږه لاسرسي امتیازات باید تصدیق شوي کاروونکو ته د دوی د ځانګړي لاسرسي اړتیاو سره سم ورکړل شي. دا دواړه ناوړه او غیر ارادي امنیتي پیښو سره مخ کیدل کموي.
د بهرنۍ تصدیق په اړه د نورو معلوماتو لپاره، د RADIUS ترتیب کول او د TACACS+ سرور ترتیب کول وګورئ.

د بهرني تصدیق سرور لپاره د تصدیق کیچ

د فیچر نوم

د معلوماتو خپرول

د بهرني NFVIS 4.5.1 تصدیق کولو سرور لپاره د تصدیق کیچ

تفصیل
دا فیچر په NFVIS پورټل کې د OTP له لارې د TACACS تصدیق ملاتړ کوي.

د NFVIS پورټل د لومړني تصدیق وروسته د ټولو API کالونو لپاره ورته یو وخت پاسورډ (OTP) کاروي. د API کالونه د OTP پای ته رسیدو سره سم ناکام کیږي. دا خصوصیت د NFVIS پورټل سره د TACACS OTP تصدیق ملاتړ کوي.
وروسته له دې چې تاسو د OTP په کارولو سره د TACACS سرور له لارې په بریالیتوب سره تصدیق کړئ، NFVIS د کارن-نوم او OTP په کارولو سره د هش داخله رامینځته کوي او دا هش ارزښت په محلي توګه ذخیره کوي. دا په محلي توګه ذخیره شوي هش ارزښت لري

امنیتي ملحوظات ۱

د رول پر بنسټ د لاسرسي کنټرول

امنیتي نظرونه

د ختمیدو وخت stamp سره تړاو لري. وخت stamp د SSH سیشن غیر فعال وخت پای ارزښت سره ورته ارزښت لري کوم چې 15 دقیقې دي. د ورته کارن-نوم سره د تصدیق کولو ټولې غوښتنې لومړی د دې محلي هش ارزښت په وړاندې تصدیق کیږي. که چیرې تصدیق د محلي هش سره ناکام شي، NFVIS دا غوښتنه د TACACS سرور سره تاییدوي او یو نوی هش داخلوي کله چې تصدیق بریالی وي. که چیرې د هش ننوتل لا دمخه شتون ولري ، د دې وخت سټamp 15 دقیقو ته بیا تنظیم شوی.
که تاسو پورټل ته په بریالیتوب سره ننوتلو وروسته د TACACS سرور څخه لیرې شوي یاست، تاسو کولی شئ د پورټل کارولو ته دوام ورکړئ تر هغه چې په NFVIS کې د هش ننوتل پای ته ورسیږي.
کله چې تاسو په ښکاره ډول د NFVIS پورټل څخه لاګ آوټ یاست یا د بې کاره وخت له امله لاګ آوټ شوي یاست ، پورټل یو نوی API ته زنګ وهي ترڅو د هش ننوتلو فلش کولو لپاره NFVIS بیکینډ ته خبر ورکړي. د تصدیق کیچ او د هغې ټولې ننوتنې د NFVIS ریبوټ ، فابریکې ری سیٹ یا اپ گریڈ وروسته پاکې شوې.

د رول پر بنسټ د لاسرسي کنټرول

د شبکې لاسرسي محدودول د هغو سازمانونو لپاره مهم دي چې ډیری کارمندان لري، قراردادیان استخدام کوي یا دریم اړخ ته د لاسرسي اجازه ورکوي، لکه پیرودونکي او پلورونکي. په داسې حالت کې، دا ستونزمنه ده چې د شبکې لاسرسی په اغیزمنه توګه وڅیړئ. پرځای یې، دا غوره ده چې کنټرول کړئ هغه څه چې د لاسرسي وړ دي، د حساس معلوماتو او مهم غوښتنلیکونو خوندي کولو لپاره.
د رول پر بنسټ د لاسرسي کنټرول (RBAC) د یوې تصدۍ دننه د انفرادي کاروونکو د رول پراساس د شبکې لاسرسي محدودولو میتود دی. RBAC کاروونکو ته اجازه ورکوي یوازې هغه معلوماتو ته لاسرسی ومومي چې دوی ورته اړتیا لري، او د دوی معلوماتو ته د لاسرسي مخه نیسي چې دوی پورې اړه نلري.
په تصدۍ کې د کارمند رول باید د ورکړل شوي اجازې ټاکلو لپاره وکارول شي ، ترڅو ډاډ ترلاسه شي چې د ټیټ امتیازاتو لرونکي کارمندان نشي کولی حساس معلوماتو ته لاسرسی ومومي یا مهمې دندې ترسره کړي.
لاندې کارونکي رولونه او امتیازات په NFVIS کې تعریف شوي

د کارن رول

امتياز

مدیران

کولی شي ټولې موجودې ځانګړتیاوې تنظیم کړي او ټولې دندې ترسره کړي په شمول د کاروونکي رول بدلول. مدیر نشي کولی هغه بنسټیز زیربنا حذف کړي چې د NFVIS لپاره بنسټیز دي. د اډمین کارونکي رول نشي بدلیدلی؛ دا تل "مدیرین" وي.

چلونکي

کولی شي VM پیل او ودروي، او view ټول معلومات.

پلټونکي

دوی لږترلږه امتیاز لرونکي کاروونکي دي. دوی یوازې د لوستلو اجازه لري او له همدې امله نشي کولی کوم ترتیب بدل کړي.

د RBAC ګټې
په یوه سازمان کې د خلکو د رول پراساس د غیر ضروري شبکې لاسرسي محدودولو لپاره د RBAC کارولو لپاره یو شمیر ګټې شتون لري ، پشمول د:
· د عملیاتي موثریت ښه کول.
په RBAC کې د مخکې ټاکل شوي رول درلودل دا اسانه کوي چې نوي کاروونکي د سم امتیازاتو سره شامل کړي یا د موجوده کاروونکو رول بدل کړي. دا د غلطۍ احتمال هم کموي کله چې د کارونکي اجازې ټاکل کیږي.
· د موافقت لوړول.

امنیتي ملحوظات ۱

امنیتي نظرونه

د رول پر بنسټ د لاسرسي کنټرول

هره اداره باید د محلي، دولتي او فدرالي مقرراتو سره مطابقت ولري. شرکتونه په عمومي ډول د RBAC سیسټمونو پلي کولو ته ترجیح ورکوي ترڅو د محرمیت او محرمیت لپاره تنظیمي او قانوني اړتیاوې پوره کړي ځکه چې اجرایوي او د معلوماتي ټکنالوجۍ څانګې کولی شي په مؤثره توګه اداره کړي چې څنګه ډیټا ته لاسرسی او کارول کیږي. دا په ځانګړې توګه د مالي موسسو او روغتیایی شرکتونو لپاره مهم دی چې حساس معلومات اداره کوي.
· د لګښتونو کمول. ځینې ​​پروسو او غوښتنلیکونو ته د کاروونکو د لاسرسي اجازه نه ورکولو سره، شرکتونه کولی شي سرچینې خوندي کړي یا وکاروي لکه د شبکې بینډ ویت، حافظه او ذخیره په ارزانه توګه.
· د سرغړونو او د معلوماتو لیک کیدو خطر کمول. د RBAC پلي کول پدې معنی دي چې حساس معلوماتو ته د لاسرسي محدودول ، پدې توګه د معلوماتو سرغړونې یا د معلوماتو لیک کیدو احتمال کموي.
د رول پر بنسټ د لاسرسي کنټرول پلي کولو لپاره غوره کړنې · د یو مدیر په توګه، د کاروونکو لیست وټاکئ او کاروونکي مخکې له مخکې ټاکل شوي رولونو ته وټاکئ. د مثال لپارهample، کارن "networkadmin" جوړ کیدی شي او د کاروونکي ګروپ "ادارو" کې اضافه کیدی شي.
د ټرمینل rbac تصدیق کونکي تنظیم کول د کارونکي نوم د شبکې اډمین پټنوم Test1_pass رول مدیران ژمن دي
یادونه د کارونکي ډلې یا رولونه د سیسټم لخوا رامینځته شوي. تاسو نشئ کولی د کارونکي ګروپ جوړ یا بدل کړئ. د پټنوم بدلولو لپاره، په نړیوال ترتیب حالت کې د rbac تصدیق کاروونکو کاروونکي بدلون-پاسورډ کمانډ وکاروئ. د کارونکي رول بدلولو لپاره، د نړیوال ترتیب حالت کې د rbac تصدیق کاروونکو کاروونکي بدلون رول کمانډ وکاروئ.
· د هغو کاروونکو لپاره حسابونه بند کړئ چې نور لاسرسی ته اړتیا نلري.
د ټرمینل rbac تصدیق کولو کارونکي حذف کول تنظیم کړئ - د کارونکي نوم ازموینه 1
· په دوره توګه د رولونو ارزولو لپاره پلټنې ترسره کړئ، هغه کارمندان چې دوی ته ګمارل شوي او هغه لاسرسی چې د هر رول لپاره اجازه لري. که چیرې یو کاروونکي وموندل شي چې یو ځانګړي سیسټم ته غیر ضروري لاسرسی لري، د کارونکي رول بدل کړئ.
د نورو جزیاتو لپاره وګورئ، کاروونکي، رولونه، او تصدیق
د ګرانولر رول پراساس لاسرسي کنټرول د NFVIS 4.7.1 څخه پیل کیږي ، د ګرانولر رول پراساس لاسرسي کنټرول ځانګړتیا معرفي کیږي. دا فیچر د سرچینې ګروپ نوې پالیسي اضافه کوي چې د VM او VNF اداره کوي او تاسو ته اجازه درکوي چې کاروونکو ته د VNF لاسرسي کنټرولولو لپاره یوې ډلې ته وټاکئ ، د VNF ګمارلو پرمهال. د نورو معلوماتو لپاره، د ګرانولر رول پر بنسټ د لاسرسي کنټرول وګورئ.

امنیتي ملحوظات ۱

د وسایلو لاسرسی محدود کړئ

امنیتي نظرونه

د وسایلو لاسرسی محدود کړئ
کاروونکي په مکرر ډول د هغو ځانګړتیاو په وړاندې د بریدونو له امله ناخبره نیول شوي چې دوی یې خوندي ندي کړي ځکه چې دوی نه پوهیدل چې دا ځانګړتیاوې فعال شوي. نه کارول شوي خدمتونه د ډیفالټ تشکیلاتو سره پاتې کیږي کوم چې تل خوندي ندي. دا خدمتونه ممکن د ډیفالټ پاسورډونه هم کاروي. ځینې ​​خدمتونه کولی شي برید کونکي ته معلوماتو ته اسانه لاسرسی ورکړي چې سرور څه شی پرمخ ځي یا شبکه څنګه تنظیم کیږي. لاندې برخې تشریح کوي چې څنګه NFVIS د داسې امنیتي خطرونو مخه نیسي:

د برید ویکتور کمول
د سافټویر هره برخه په احتمالي توګه امنیتي زیانونه لري. ډیر سافټویر د برید لپاره ډیرې لارې معنی لري. حتی که چیرې د شاملولو په وخت کې په عامه توګه پیژندل شوي زیان منونکي شتون ونلري، احتمالي زیانونه به په راتلونکي کې کشف یا افشا شي. د داسې سناریوګانو د مخنیوي لپاره، یوازې هغه سافټویر کڅوړې نصب شوي چې د NFVIS فعالیت لپاره اړین دي. دا د سافټویر زیانونو محدودولو کې مرسته کوي، د سرچینو مصرف کم کړي، او اضافي کار کم کړي کله چې د دې کڅوړو سره ستونزې وموندل شي. د دریمې ډلې ټول سافټویر چې په NFVIS کې شامل دي په سیسکو کې په مرکزي ډیټابیس کې راجستر شوي ترڅو سیسکو د دې وړتیا ولري چې د شرکت په کچه تنظیم شوي غبرګون (قانوني ، امنیت ، او نور) ترسره کړي. د سافټویر کڅوړې په دوره توګه په هر ریلیز کې د پیژندل شوي عام زیان مننې او افشا کیدو (CVEs) لپاره پیچ کیږي.

د ډیفالټ لخوا یوازې اړین بندرونه فعالول

یوازې هغه خدمتونه چې د NFVIS تنظیم او اداره کولو لپاره خورا اړین دي په ډیفالټ کې شتون لري. دا د فایر والونو تنظیم کولو او غیر ضروري خدماتو ته د لاسرسي څخه انکار کولو لپاره اړین کارونکي هڅې لرې کوي. یوازینی خدمتونه چې د ډیفالټ لخوا فعال شوي دي لاندې د هغه بندرونو سره لیست شوي چې دوی یې خلاصوي.

خلاص بندر

خدمت

تفصیل

22 / TCP

SSH

NFVIS ته د ریموټ کمانډ لاین لاسرسي لپاره خوندي ساکټ شیل

80 / TCP

HTTP

د NFVIS پورټل لاسرسي لپاره د هایپرټیکټ لیږد پروتوکول. د NFVIS لخوا ترلاسه شوي ټول HTTP ټرافیک د HTTPS لپاره پورټ 443 ته لیږل کیږي

443 / TCP

HTTPS

د خوندي NFVIS پورټل لاسرسي لپاره د هایپرټیکټ لیږد پروتوکول خوندي

830 / TCP

NETCONF-ssh

پورټ د SSH په اړه د شبکې ترتیب پروتوکول (NETCONF) لپاره پرانستل شو. NETCONF یو پروتوکول دی چې د NFVIS اتوماتیک ترتیب لپاره کارول کیږي او د NFVIS څخه د غیر متناسب پیښو خبرتیاو ترلاسه کولو لپاره کارول کیږي.

161/UDP

SNMP

د ساده شبکې مدیریت پروتوکول (SNMP). د NFVIS لخوا د لیرې شبکې - څارنې غوښتنلیکونو سره د خبرو اترو لپاره کارول کیږي. د نورو معلوماتو لپاره وګورئ، د SNMP په اړه پیژندنه

امنیتي ملحوظات ۱

امنیتي نظرونه

د مجاز خدماتو لپاره مجاز شبکې ته لاسرسی محدود کړئ

د مجاز خدماتو لپاره مجاز شبکې ته لاسرسی محدود کړئ

یوازې مجاز جوړونکي ته باید اجازه ورکړل شي چې حتی د وسیلې مدیریت لاسرسي هڅه وکړي ، او لاسرسی باید یوازې هغه خدماتو ته وي چې دوی یې د کارولو واک لري. NFVIS داسې تنظیم کیدی شي چې لاسرسی پیژندل شوي ، باوري سرچینو او متوقع مدیریت ترافیک پرو پورې محدود ويfiles. دا د غیر مجاز لاسرسي خطر کموي او د نورو بریدونو سره مخ کیږي، لکه وحشي ځواک، لغت، یا د DoS بریدونو.
د غیر ضروري او احتمالي زیان رسونکي ترافیک څخه د NFVIS مدیریت انٹرفیسونو ساتلو لپاره ، یو اډمین کارونکی کولی شي د ترلاسه شوي شبکې ترافیک لپاره د لاسرسي کنټرول لیستونه (ACLs) رامینځته کړي. دا ACLs د سرچینې IP پتې/شبکې مشخصوي چې له کوم ځای څخه ترافیک رامینځته کیږي ، او د ترافیک ډول چې له دې سرچینو څخه اجازه یا رد شوې. دا IP ترافیک فلټرونه د NFVIS په هر مدیریت انٹرفیس کې پلي کیږي. لاندې پیرامیټونه د IP ترلاسه کولو لاسرسي کنټرول لیست کې تنظیم شوي (ip-receive-acl)

پیرامیټر

ارزښت

تفصیل

د سرچینې شبکه/نیټ ماسک

شبکه/نیټ ماسک. د مثال لپارهample: 0.0.0.0/0
۹/۹۷

دا ساحه IP پته/شبکه ​​ټاکي چې له کوم ځای څخه ټرافيک راځي

د خدماتو عمل

https icmp netconf scpd snmp ssh ډراپ رد قبول کړئ

د ټاکلې سرچینې څخه د ټرافیک ډول.
د سرچینې شبکې څخه د ترافیک په اړه باید اقدام وشي. د منلو سره، د پیوستون نوې هڅې به ورکړل شي. د رد سره، د پیوستون هڅې به ونه منل شي. که قاعده د TCP پر بنسټ خدمت لپاره وي لکه HTTPS، NETCONF، SCP، SSH، سرچینه به د TCP بیا تنظیم (RST) پاکټ ترلاسه کړي. د غیر TCP قواعدو لکه SNMP او ICMP لپاره، کڅوړه به غورځول شي. د غورځیدو سره ، ټول پاکټونه به سمدلاسه غورځول شي ، سرچینې ته هیڅ معلومات ندي لیږل شوي.

امنیتي ملحوظات ۱

د خصوصي ډیبګ لاسرسی

امنیتي نظرونه

د پیرامیټر لومړیتوب

ارزښت A عددي ارزښت

تفصیل
لومړیتوب د مقرراتو په اړه د حکم پلي کولو لپاره کارول کیږي. د لومړیتوب لپاره د لوړ شمیري ارزښت سره مقررات به په سلسله کې نور هم اضافه شي. که تاسو غواړئ ډاډ ترلاسه کړئ چې یو قاعده به له بل وروسته اضافه شي، د لومړي لپاره د ټیټ لومړیتوب شمیره او د لاندې لپاره د لوړ لومړیتوب شمیره وکاروئ.

لاندې sampد تشکیلاتو ځینې سناریوګانې روښانه کوي چې د ځانګړي کارونې قضیې لپاره تطبیق کیدی شي.
د IP ترلاسه کول ACL تنظیم کول
هرڅومره چې ACL ډیر محدود وي ، د غیر مجاز لاسرسي هڅو سره مخ کیدل ډیر محدود دي. په هرصورت، یو ډیر محدود ACL کولی شي د مدیریت سر رامینځته کړي، او کولی شي د ستونزو حل کولو لپاره د لاسرسي اغیزه وکړي. په پایله کې، یو توازن باید په پام کې ونیول شي. یو تړون دا دی چې یوازې داخلي کارپوریټ IP پتې ته لاسرسی محدود کړي. هر پیرودونکی باید د ACLs پلي کولو ارزونه د دوی د خپل امنیت پالیسي ، خطرونو ، افشا کیدو او د هغې منلو پورې اړوند کړي.
د فرعي نیټ څخه د ssh ترافیک رد کړئ:

nfvis(config)# د سیسټم ترتیبات ip-receive-acl 171.70.63.0/24 خدمت ssh عمل لومړیتوب رد کړئ 1

د ACLs لرې کول:
کله چې یو ننوتل د ip-receive-acl څخه حذف شي، د دې سرچینې ټول تشکیلات حذف کیږي ځکه چې د سرچینې IP پته کلیدي ده. یوازې یو خدمت حذف کولو لپاره ، نور خدمات بیا تنظیم کړئ.

nfvis(config)# د سیسټم ترتیبات نشته ip-receive-acl 171.70.63.0/24
د نورو جزیاتو لپاره وګورئ، د IP ترلاسه کول ACL تنظیم کول
د خصوصي ډیبګ لاسرسی
په NFVIS کې د سپر کارونکي حساب د ډیفالټ لخوا غیر فعال شوی ، ترڅو د ټولو غیر محدود ، احتمالي منفي ، سیسټم په کچه بدلونونو مخه ونیسي او NFVIS کارونکي ته د سیسټم شیل نه افشا کوي.
په هرصورت، د NFVIS سیسټم په اړه د ځینو سختو ستونزو لپاره، د سیسکو تخنیکي مرستې مرکز ټیم (TAC) یا پراختیایی ټیم ممکن د پیرودونکي NFVIS ته شیل لاسرسي ته اړتیا ولري. NFVIS یو خوندي انلاک زیربنا لري ترڅو ډاډ ترلاسه کړي چې په ساحه کې وسیلې ته د امتیاز وړ ډیبګ لاسرسی د سیسکو مجاز کارمندانو پورې محدود دی. د دې ډول متقابل ډیبګ کولو لپاره د لینکس شیل ته په خوندي ډول لاسرسي لپاره ، د ننګونې ځواب تصدیق کولو میکانیزم د NFVIS او د سیسکو لخوا ساتل شوي متقابل ډیبګینګ سرور ترمینځ کارول کیږي. د ننګونې ځواب ننوتلو سربیره د مدیر کارونکي پاسورډ هم اړین دی ترڅو ډاډ ترلاسه شي چې وسیله د پیرودونکي رضایت سره لاسرسی لري.
د متقابل ډیبګ کولو لپاره شیل ته د لاسرسي لپاره ګامونه:
1. یو اډمین کارونکی د دې پټ کمانډ په کارولو سره دا کړنلاره پیل کوي.

nfvis# سیسټم شیل لاسرسی

امنیتي ملحوظات ۱

امنیتي نظرونه

خوندي انٹرفیسونه

2. سکرین به د ننګونې تار وښیې، د مثال لپارهampLe:
د ننګونې سټرینګ (مهرباني وکړئ هرڅه په ځانګړي ډول د ستوري لینونو ترمینځ کاپي کړئ):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. د سیسکو غړی د سیسکو لخوا ساتل شوي متقابل ډیبګ سرور کې د ننګونې تار ته ننوځي. دا سرور تاییدوي چې د سیسکو کارونکي د شیل په کارولو سره د NFVIS ډیبګ کولو واک لري، او بیا د غبرګون تار بیرته راولي.
4. د دې پرامپټ لاندې په سکرین کې د ځواب تار داخل کړئ: خپل ځواب داخل کړئ کله چې چمتو وي:
5. کله چې غوښتنه وشي، پیرودونکي باید د اډمین پاسورډ دننه کړي. 6. تاسو د شیل لاسرسي ترلاسه کوئ که چیرې پټنوم د اعتبار وړ وي. 7. د پراختیا یا TAC ټیم د ډیبګ کولو لپاره د شیل څخه کار اخلي. 8. د شیل لاسرسي څخه د وتلو لپاره Exit ډول.
خوندي انٹرفیسونه
د NFVIS مدیریت لاسرسي ته اجازه ورکول کیږي چې په ډیاګرام کې ښودل شوي انٹرفیسونو په کارولو سره. لاندې برخې NFVIS ته د دې انٹرفیسونو لپاره د امنیت غوره کړنې تشریح کوي.

کنسول SSH

د کنسول پورټ یو غیر متناسب سیریل پورټ دی چې تاسو ته اجازه درکوي د لومړني ترتیب لپاره NFVIS CLI سره وصل شئ. یو کارونکی کولی شي کنسول ته د NFVIS فزیکي لاسرسي یا د ټرمینل سرور کارولو له لارې لرې لاسرسي سره لاسرسی ومومي. که د ټرمینل سرور له لارې د کنسول پورټ لاسرسي ته اړتیا وي ، په ټرمینل سرور کې د لاسرسي لیست تنظیم کړئ ترڅو یوازې د اړتیا وړ سرچینې پتې څخه لاسرسي ته اجازه ورکړئ.
کاروونکي کولی شي NFVIS CLI ته د SSH په کارولو سره د لیرې ننوتلو خوندي وسیلې په توګه لاسرسی ومومي. د NFVIS مدیریت ترافیک بشپړتیا او محرمیت د ادارې شبکې امنیت لپاره اړین دی ځکه چې د ادارې پروتوکولونه په مکرر ډول هغه معلومات لیږدوي کوم چې شبکې ته د ننوتلو یا ګډوډولو لپاره کارول کیدی شي.

امنیتي ملحوظات ۱

د CLI ناستې مهال ویش

امنیتي نظرونه

NFVIS د SSH نسخه 2 کاروي، کوم چې د متقابل ننوتلو لپاره د سیسکو او د انټرنیټ اصلي معیاري پروتوکول دی او په سیسکو کې د امنیت او باور سازمان لخوا وړاندیز شوي قوي کوډ کولو، هش، او کلیدي تبادلې الګوریتمونو ملاتړ کوي.

د CLI ناستې مهال ویش
د SSH له لارې په ننوتلو سره، یو کاروونکي د NFVIS سره ناسته جوړوي. پداسې حال کې چې کارن ننوت شوی وي، که چیرې کارن د ننوتلو سیشن پریږدي، نو دا کولی شي شبکه د امنیتي خطر سره مخ کړي. د سیشن امنیت د داخلي بریدونو خطر محدودوي، لکه یو کاروونکي هڅه کوي د بل کارونکي سیشن کاروي.
د دې خطر کمولو لپاره، NFVIS د 15 دقیقو غیر فعالیت وروسته د CLI ناستې وخت نیسي. کله چې د ناستې وخت پای ته ورسیږي، کاروونکي په اوتومات ډول لاګ آوټ کیږي.

NETCONF

د شبکې تنظیم کولو پروتوکول (NETCONF) د شبکې مدیریت پروتوکول دی چې د IETF لخوا د شبکې وسیلو اتومات تنظیم کولو لپاره رامینځته شوی او معیاري شوی.
د NETCONF پروتوکول د ترتیب کولو ډیټا او همدارنګه د پروتوکول پیغامونو لپاره د توسع وړ مارک اپ ژبه (XML) پراساس ډیټا کوډ کول کاروي. د پروتوکول پیغامونه د خوندي ترانسپورت پروتوکول په سر کې تبادله کیږي.
NETCONF NFVIS ته اجازه ورکوي چې د XML-based API افشا کړي چې د شبکې آپریټر کولی شي د SSH له لارې په خوندي ډول د ترتیب ډیټا او پیښې خبرتیاوې تنظیم او ترلاسه کولو لپاره وکاروي.
د نورو معلوماتو لپاره وګورئ، د NETCONF پیښې خبرتیاوې.

REST API

NFVIS د HTTPS په اړه د RESTful API په کارولو سره تنظیم کیدی شي. REST API د غوښتنې سیسټمونو ته اجازه ورکوي چې د غیر دولتي عملیاتو یونیفورم او دمخه ټاکل شوي سیټ په کارولو سره د NFVIS ترتیب ته لاسرسی او اداره کړي. د ټولو REST APIs توضیحات د NFVIS API حواله لارښود کې موندل کیدی شي.
کله چې کاروونکي د REST API مسله کوي، یوه غونډه د NFVIS سره تاسیس کیږي. د خدماتو بریدونو څخه انکار پورې اړوند خطرونو محدودولو لپاره، NFVIS د REST غونډو مجموعي شمیر 100 ته محدودوي.

NFVIS Web پورټل
د NFVIS پورټل یو دی web- د ګرافیکي کارن انٹرفیس پراساس چې د NFVIS په اړه معلومات ښیې. پورټل کارونکي ته د NFVIS CLI او API پیژندلو پرته د HTTPS په اړه NFVIS تنظیم او نظارت کولو لپاره اسانه وسیله وړاندې کوي.

د غونډې مدیریت
د HTTP او HTTPS بې ثباته طبیعت د ځانګړي سیشن IDs او کوکیز کارولو له لارې په ځانګړي ډول د کاروونکو تعقیب کولو میتود ته اړتیا لري.
NFVIS د کارونکي ناسته کوډ کوي. د AES-256-CBC سیفر د HMAC-SHA-256 تصدیق سره د ناستې مینځپانګې کوډ کولو لپاره کارول کیږي tag. یو تصادفي 128-bit ابتدایی ویکتور د هر کوډ کولو عملیاتو لپاره رامینځته شوی.
د پلټنې ریکارډ پیل کیږي کله چې د پورټل سیشن رامینځته شي. د سیشن معلومات حذف کیږي کله چې کاروونکي لاګ آوټ شي یا کله چې د ناستې وخت پای ته ورسیږي.
د پورټل غونډو لپاره د ډیفالټ بې کاره وخت 15 دقیقې دی. په هرصورت، دا د اوسني ناستې لپاره د ترتیباتو پاڼې کې د 5 او 60 دقیقو ترمنځ ارزښت ته تنظیم کیدی شي. له دې وروسته به د اتوماتیک ننوتل پیل شي

امنیتي ملحوظات ۱

امنیتي نظرونه

HTTPS

HTTPS

موده په یوه براوزر کې د څو غونډو اجازه نشته. د همغږي ناستو اعظمي شمیر 30 ته ټاکل شوی. د NFVIS پورټل د کارونکي سره د معلوماتو شریکولو لپاره کوکیز کاروي. دا د ښه امنیت لپاره لاندې کوکي ملکیتونه کاروي:
· لنډمهاله د دې لپاره چې ډاډ ترلاسه شي چې کوکي پای ته رسیږي کله چې براوزر وتړل شي.
حتی د تصدیق وروسته، بریدونه لکه د کراس سایټ غوښتنه جعل (CSRF) ممکنه ده. په دې سناریو کې، یو پای کاروونکي ممکن په ناڅاپي ډول په A کې ناغوښتل شوي عملونه اجرا کړي web غوښتنلیک په کوم کې چې دوی اوس مهال تصدیق شوي. د دې مخنیوي لپاره، NFVIS د هر REST API اعتبار کولو لپاره د CSRF ټوکن کاروي چې د هرې ناستې په جریان کې غوښتنه کیږي.
URL بیا راستنیدل په عادي ډول web سرورونه، کله چې یوه پاڼه په پاڼه کې ونه موندل شي web سرور، کاروونکي 404 پیغام ترلاسه کوي؛ د هغو پاڼو لپاره چې شتون لري، دوی د ننوتلو پاڼه ترلاسه کوي. د دې امنیت اغیزه دا ده چې برید کوونکی کولی شي د وحشي ځواک سکین ترسره کړي او په اسانۍ سره معلومه کړي چې کوم پاڼې او فولډر شتون لري. په NFVIS کې د دې مخنیوي لپاره، ټول غیر موجود دي URLد وسیلې IP سره مخکینۍ د 301 حالت ځواب کوډ سره د پورټل ننوتل پا pageې ته لیږل کیږي. دا پدې مانا ده چې په پام کې نیولو پرته URL د برید کونکي لخوا غوښتنه شوې ، دوی به تل د ننوتلو پا pageه ترلاسه کړي ترڅو خپل ځان تصدیق کړي. د HTTP سرور ټولې غوښتنې HTTPS ته لیږل شوي او لاندې سرلیکونه ترتیب شوي دي:
· د ایکس مینځپانګې ډول - اختیارونه · ایکس ایکس ایس ایس - محافظت · د مینځپانګې امنیت - پالیسي · ایکس فریم اختیارونه · سخت - ټرانسپورټ - امنیت · کیچ کنټرول
د پورټل غیر فعال کول د NFVIS پورټل لاسرسی د ډیفالټ لخوا فعال شوی. که تاسو د پورټل کارولو پلان نه لرئ ، نو سپارښتنه کیږي چې د دې کمانډ په کارولو سره پورټل لاسرسی غیر فعال کړئ:
د ټرمینل سیسټم پورټل لاسرسي غیر فعال ژمنې تنظیم کړئ
د NFVIS څخه د HTTPS ټول معلومات په ټوله شبکه کې د خبرو اترو لپاره د ټرانسپورټ پرت امنیت (TLS) کاروي. TLS د خوندي ساکټ پرت (SSL) ځای ناستی دی.

امنیتي ملحوظات ۱

HTTPS

امنیتي نظرونه
د TLS لاسوند تصدیق کول شامل دي په کوم کې چې پیرودونکي د سرور SSL سند تصدیق کوي د سند واک سره چې دا یې خپور کړی. دا تاییدوي چې سرور هغه څوک دی چې وايي دا دی، او دا چې پیرودونکي د ډومین مالک سره اړیکه لري. په ډیفالټ ډول، NFVIS د خپل ځان لاسلیک شوي سند کاروي ترڅو خپلو پیرودونکو ته خپل هویت ثابت کړي. دا سند د TLS کوډ کولو امنیت زیاتولو لپاره 2048-bit عامه کیلي لري، ځکه چې د کوډ کولو ځواک مستقیم د کلیدي اندازې سره تړاو لري.
د سند مدیریت NFVIS پخپله لاسلیک شوی SSL سند رامینځته کوي کله چې لومړی نصب شي. دا د امنیت غوره عمل دی چې دا سند د اعتبار وړ سند سره بدل کړئ چې د تصدیق کونکي سند ادارې (CA) لخوا لاسلیک شوی وي. د ډیفالټ ځان لاسلیک شوي سند بدلولو لپاره لاندې مرحلې وکاروئ: 1. په NFVIS کې د سند لاسلیک کولو غوښتنه (CSR) رامینځته کړئ.
د سند لاسلیک کولو غوښتنه (CSR) ده file د کوډ شوي متن د بلاک سره چې د سند ادارې ته ورکول کیږي کله چې د SSL سند لپاره غوښتنه کوي. دا file هغه معلومات لري چې باید په سند کې شامل شي لکه د سازمان نوم، عام نوم (ډومین نوم)، ځای، او هیواد. د file عامه کیلي هم لري چې باید په سند کې شامل شي. NFVIS د 2048-bit عامه کیلي کاروي ځکه چې د کوډ کولو ځواک د لوړې کیلي اندازې سره لوړ دی. په NFVIS کې د CSR رامینځته کولو لپاره ، لاندې کمانډ چل کړئ:
nfvis# د سیسټم سند لاسلیک-غوښتنه [عام-نوم هیواد-کوډ سیمه ایز سازمان سازمان-یونټ-نوم ریاست] د CSR file د /data/intdatastore/download/nfvis.csr په توګه خوندي شوی. . 2. د CSR په کارولو سره د CA څخه د SSL سند ترلاسه کړئ. د بهرني کوربه څخه، د سند لاسلیک کولو غوښتنه ډاونلوډ کولو لپاره د scp کمانډ وکاروئ.
[myhost:/tmp] > scp -P 22222 admin@:/data/intdatastore/download/nfvis.csr <منزل-file-نوم>
د دې CSR په کارولو سره د نوي SSL سرور سند صادرولو لپاره د سند ادارې سره اړیکه ونیسئ. 3. د CA لاسلیک شوی سند نصب کړئ.
د بهرني سرور څخه، د سند اپلوډ کولو لپاره د scp کمانډ وکاروئ file په NFVIS کې ډاټا/intdatastore ته/uploads/ لارښود
[myhost:/tmp] > scp -P 22222 <سند file> admin@:/data/intdatastore/uploads
سند په NFVIS کې د لاندې کمانډ په کارولو سره نصب کړئ.
nfvis# سیسټم سند د انسټالټ سند لاره file:///data/intdatastore/uploads/<سند file>
4. د CA لاسلیک شوي سند کارولو ته لاړشئ. د ډیفالټ ځان لاسلیک شوي سند پرځای د CA لاسلیک شوي سند کارولو پیل کولو لپاره لاندې کمانډ وکاروئ.

امنیتي ملحوظات ۱

امنیتي نظرونه

SNMP لاسرسی

nfvis(config)# د سیسټم سند کارول-د سند سند-ډول ca-لاسلیک شوی

SNMP لاسرسی

د ساده شبکې مدیریت پروتوکول (SNMP) د انټرنیټ معیاري پروتوکول دی چې په IP شبکو کې د مدیریت شوي وسیلو په اړه د معلوماتو راټولولو او تنظیم کولو لپاره ، او د وسیلې چلند بدلولو لپاره د دې معلوماتو بدلولو لپاره.
د SNMP درې مهمې نسخې رامینځته شوي. NFVIS د SNMP نسخه 1، نسخه 2c او نسخه 3 ملاتړ کوي. د SNMP نسخه 1 او 2 د تصدیق لپاره د ټولنې تارونه کاروي، او دا په ساده متن کې لیږل شوي. نو، دا د امنیت غوره عمل دی چې د SNMP v3 پرځای کارول کیږي.
SNMPv3 د دریو اړخونو په کارولو سره وسیلو ته خوندي لاسرسی چمتو کوي: - کارونکي ، تصدیق کول ، او کوډ کول. SNMPv3 د SNMP له لارې موجود معلوماتو ته د لاسرسي کنټرول لپاره USM (د کارونکي پر بنسټ امنیت ماډل) کاروي. د SNMP v3 کاروونکي د تصدیق ډول، د محرمیت ډول او همدارنګه د پاسفریج سره ترتیب شوی. ټول هغه کاروونکي چې د یوې ډلې شریکول ورته SNMP نسخه کاروي، په هرصورت، د ځانګړي امنیتي کچې ترتیبات (پاسورډ، د کوډ کولو ډول، او نور) د هر کارونکي لپاره مشخص شوي.
لاندې جدول د SNMP دننه امنیتي اختیارونه لنډیز کوي

ماډل

کچه

تصدیق کول

پټول

پایله

v1

noAuthNoPriv

د ټولنې سټرینګ نمبر

یوه ټولنه کاروي

لپاره د تار لوبه

تصدیق

v2c

noAuthNoPriv

د ټولنې سټرینګ نمبر

د تصدیق لپاره د ټولنې تار میچ کاروي.

v3

noAuthNoPriv

کارن نوم

نه

د کارن نوم کاروي

لپاره لوبه

تصدیق

v3

authNoPriv

د پیغام ډایجسټ 5 شمیره

برابروي

(MD5)

د تصدیق پر بنسټ

or

په HMAC-MD5-96 یا

خوندي هش

HMAC-SHA-96

الګوریتم (SHA)

الګوریتم

امنیتي ملحوظات ۱

د قانوني خبرتیا بینرونه

امنیتي نظرونه

ماډل v3

د لیول تصدیقPriv

تصدیق MD5 یا SHA

پټول

پایله

د معلوماتو کوډ کول چمتو کوي

معیاري (DES) یا د تصدیق پر بنسټ

پرمختللی

په

د کوډ کولو معیاري HMAC-MD5-96 یا

(AES)

HMAC-SHA-96

الګوریتم

د سیفر بلاک چینینګ حالت (CBC-DES) کې د DES سیفر الګوریتم چمتو کوي

or

د AES کوډ کولو الګوریتم په سیفر فیډ بیک حالت (CFB) کې کارول کیږي، د 128-bit کلیدي اندازې سره (CFB128-AES-128)

د NIST لخوا د هغې د منلو راهیسې، AES په ټول صنعت کې د کوډ کولو الګوریتم غالب شوی. د MD5 څخه لرې او د SHA په لور د صنعت مهاجرت تعقیبولو لپاره ، دا د امنیت غوره عمل دی چې د SNMP v3 تصدیق پروتوکول د SHA او د محرمیت پروتوکول د AES په توګه تنظیم کړئ.
د SNMP په اړه د نورو جزیاتو لپاره وګورئ، د SNMP په اړه پیژندنه

د قانوني خبرتیا بینرونه
دا سپارښتنه کیږي چې په ټولو متقابلو غونډو کې د قانوني خبرتیا بینر شتون ولري ترڅو ډاډ ترلاسه شي چې کاروونکو ته د امنیتي پالیسۍ پلي کیدو څخه خبر ورکول کیږي او د کوم چې دوی تابع دي. په ځینو قضایاوو کې، د برید کونکي مدني او/یا جنایي محاکمه چې سیسټم ماتوي اسانه وي، یا حتی اړین وي، که چیرې د قانوني خبرتیا بینر وړاندې شي، غیر مجاز کاروونکو ته خبر ورکوي چې د دوی کارول په حقیقت کې غیر مجاز دي. په ځینو قضایاوو کې، دا ممکن د غیر مجاز کارونکي د فعالیت څارنه هم منع وي پرته لدې چې دوی د دې کولو اراده خبر کړي.
د قانوني خبرتیا اړتیاوې پیچلې دي او په هر صالحیت او وضعیت کې توپیر لري. حتی په صالحیتونو کې، قانوني نظرونه توپیر لري. دا مسله د خپل قانوني مشاور سره په اړه بحث وکړئ ترڅو ډاډ ترلاسه کړئ چې د خبرتیا بینر د شرکت، محلي او نړیوالو قانوني اړتیاوو سره سمون لري. دا ډیری وختونه د امنیت څخه د سرغړونې په صورت کې د مناسب اقدام د ترلاسه کولو لپاره خورا مهم دي. د شرکت حقوقي مشاور سره په همکارۍ، هغه بیانونه چې کیدای شي د قانوني خبرتیا بینر کې شامل شي عبارت دي له:
· خبرتیا چې سیسټم ته لاسرسی او کارول یوازې د ځانګړي مجاز پرسونل لخوا اجازه لري ، او شاید پدې اړه معلومات چې څوک یې د کارولو اجازه ورکوي.
· خبرتیا چې غیر مجاز لاسرسی او سیسټم کارول غیرقانوني دي، او کیدای شي د مدني او/یا جنایي جزا تابع وي.
· خبرتیا چې د سیسټم لاسرسی او کارول کیدای شي پرته له نور خبرتیا څخه ننوتل یا وڅیړل شي، او پایله شوي لاګونه په محکمه کې د ثبوت په توګه کارول کیدی شي.
· اضافي ځانګړي خبرتیاوې د ځانګړو محلي قوانینو لخوا اړین دي.

امنیتي ملحوظات ۱

امنیتي نظرونه

د فابریکې ډیفالټ ری سیٹ

د قانوني نقطې پرځای د امنیت څخه view، د قانوني خبرتیا بینر باید د وسیلې په اړه کوم ځانګړي معلومات نلري ، لکه د دې نوم ، ماډل ، سافټویر ، موقعیت ، آپریټر یا مالک ځکه چې دا ډول معلومات ممکن د برید کونکي لپاره ګټور وي.
په لاندې ډول دیampد قانوني خبرتیا بینر چې د ننوتلو دمخه ښودل کیدی شي:
دې وسیلې ته غیر مجاز لاسرسی منع دی تاسو باید دې وسیلې ته د لاسرسي یا تنظیم کولو لپاره څرګند ، مجاز اجازه ولرئ. د لاسرسي یا کارولو لپاره غیر مجاز هڅې او کړنې
دا سیسټم کیدای شي د مدني او/یا جنایي جزاونو پایله ولري. په دې وسیله ترسره شوي ټول فعالیتونه ننوتل او څارل کیږي

یادونه د قانوني خبرتیا بینر وړاندې کړئ چې د شرکت قانوني مشاور لخوا تصویب شوی.
NFVIS د بینر ترتیب او د ورځې پیغام (MOTD) ته اجازه ورکوي. بینر د کارونکي د ننوتلو دمخه ښکاره کیږي. یوځل چې کارونکي NFVIS ته ننوځي، د سیسټم لخوا ټاکل شوی بینر د NFVIS په اړه د کاپي حق معلومات چمتو کوي، او د ورځې پیغام (MOTD)، که ترتیب شوی وي، ښکاره شي، وروسته به. د کمانډ لاین پرامپټ یا پورټل viewد ننوتلو طریقې پورې اړه لري.
دا سپارښتنه کیږي چې د ننوتلو بینر پلي شي ترڅو ډاډ ترلاسه شي چې د ننوتلو پرامپټ وړاندې کولو دمخه د وسیلې مدیریت لاسرسي غونډو کې د قانوني خبرتیا بینر وړاندې کیږي. د بینر او MOTD تنظیم کولو لپاره دا کمانډ وکاروئ.
nfvis(config)# banner-motd بینر motd
د بینر کمانډ په اړه د نورو معلوماتو لپاره، وګورئ بینر ترتیب کړئ، د ورځې پیغام او د سیسټم وخت.

د فابریکې ډیفالټ ری سیٹ
د فابریکې ریسیټ د پیرودونکي ټول ځانګړي ډیټا لرې کوي چې د بار وړلو وخت راهیسې وسیلې ته اضافه شوي. له منځه وړل شوي ډاټا کې تشکیلات، لاګ شامل دي files، د VM انځورونه، د ارتباط معلومات، او د کاروونکي د ننوتلو اسناد.
دا د فابریکې - اصلي ترتیباتو ته د وسیلې له سره تنظیم کولو لپاره یوه کمانډ چمتو کوي ، او په لاندې سناریوګانو کې ګټور دی:
· د یوې وسیلې لپاره د موادو اجازه ورکول (RMA) – که تاسو د RMA لپاره سیسکو ته وسیله بیرته راولیږئ، د ټولو پیرودونکو مشخص معلوماتو لرې کولو لپاره د فابریکې ډیفالټ ری سیٹ وکاروئ.
· د موافقت شوي وسیلې بیرته ترلاسه کول – که چیرې په وسیله کې زیرمه شوي کلیدي توکي یا سندونه موافقت شوي وي ، وسیله د فابریکې ترتیب ته بیا تنظیم کړئ او بیا وسیله بیا تنظیم کړئ.
· که ورته وسیله په بل سایټ کې د نوي ترتیب سره بیا کارولو ته اړتیا ولري، د فابریکې ډیفالټ ری سیٹ ترسره کړئ ترڅو موجوده تشکیلات لیرې کړي او پاک حالت ته یې راوړي.

NFVIS د فابریکې ډیفالټ ری سیٹ کې لاندې اختیارونه وړاندې کوي:

د فابریکې ری سیٹ اختیار

ډاټا له منځه وړل شوي

ډاټا ساتل

ټول

ټول ترتیب، اپلوډ شوی انځور د مدیر حساب ساتل شوی او

files، VMs او logs.

پاسورډ به په کې بدل شي

د آلې سره نښلول به د فابریکې ډیفالټ پټنوم وي.

ورک شوی

امنیتي ملحوظات ۱

د زیربنا مدیریت شبکه

امنیتي نظرونه

د فابریکې ری سیٹ اختیار ټول - پرته له عکسونو
ټول - پرته - انځورونه - ارتباط
تولید

ډاټا له منځه وړل شوي

ډاټا ساتل

ټول تشکیلات پرته د عکس عکس ترتیب ، ثبت شوی

ترتیب، VMs، او پورته شوي انځورونه او لاګونه

انځور files.

د اډمین حساب ساتل کیږي او

د آلې سره نښلول به پاسورډ ته بدل شي

ورک شوی

د فابریکې ډیفالټ پټنوم.

ټول تشکیلات پرته له عکس ، عکسونو ، شبکې او ارتباط څخه

شبکه او ارتباط

اړوند ترتیب، ثبت شوی

ترتیب، VMs، او پورته شوي انځورونه، او لاګونه.

انځور files.

د اډمین حساب ساتل کیږي او

د وسیله سره نښلول دي

مخکې ترتیب شوی مدیر

شته.

پټنوم به خوندي شي.

ټول تشکیلات پرته د عکس ترتیب ، VMs ، اپلوډ شوي عکس files، او log.
د وسیلې ارتباط به له لاسه ورکړي.

د انځور اړوند ترتیب او ثبت شوي انځورونه
د اډمین حساب ساتل کیږي او پټنوم به د فابریکې ډیفالټ پاسورډ ته بدل شي.

کارونکي باید د فابریکې ډیفالټ بیا تنظیم کولو هدف پراساس په احتیاط سره مناسب انتخاب غوره کړي. د نورو معلوماتو لپاره، د فابریکې ډیفالټ ته بیا تنظیم کول وګورئ.

د زیربنا مدیریت شبکه
د زیربنا مدیریت شبکه هغه شبکې ته اشاره کوي چې د زیربنایی وسایلو لپاره د الوتکې ترافیک کنټرول او مدیریت لیږدوي (لکه NTP، SSH، SNMP، syslog، او نور). د وسیلې لاسرسی د کنسول له لارې کیدی شي ، او همدارنګه د ایترنیټ انٹرفیسونو له لارې. دا کنټرول او مدیریت الوتکې ترافیک د شبکې عملیاتو لپاره خورا مهم دی ، په شبکه کې لید او کنټرول چمتو کوي. په پایله کې، د ښه ډیزاین او خوندي زیربنا مدیریت شبکه د شبکې عمومي امنیت او عملیاتو لپاره خورا مهم دی. د خوندي زیربنا مدیریت شبکې لپاره یو له مهمو وړاندیزونو څخه د مدیریت او ډیټا ترافیک جلا کول دي ترڅو حتی د لوړ بار او لوړ ترافیک شرایطو لاندې د لیرې مدیریت وړتیا تضمین کړي. دا د یو وقف شوي مدیریت انٹرفیس په کارولو سره ترلاسه کیدی شي.
لاندې د زیربنا مدیریت شبکې پلي کولو طریقې دي:
د بینډ څخه بهر مدیریت
د بند څخه بهر مدیریت (OOB) مدیریت شبکه د یوې شبکې څخه جوړه ده چې په بشپړ ډول خپلواکه ده او په فزیکي توګه د ډیټا شبکې څخه توپیر لري چې دا اداره کولو کې مرسته کوي. دا ځینې وختونه د ډیټا مخابراتي شبکې (DCN) په نوم هم یادیږي. د شبکې وسایل کولی شي د OOB شبکې سره په بیلابیلو لارو وصل شي: NFVIS د جوړ شوي مدیریت انٹرفیس ملاتړ کوي چې د OOB شبکې سره وصل کیدو لپاره کارول کیدی شي. NFVIS د مخکینۍ تعریف شوي فزیکي انٹرفیس ترتیب کولو ته اجازه ورکوي، په ENCS کې د MGMT بندر، د وقف شوي مدیریت انٹرفیس په توګه. ټاکل شوي انٹرفیسونو ته د مدیریت پاکټونو محدودول د وسیلې مدیریت باندې ډیر کنټرول چمتو کوي ، پدې توګه د دې وسیلې لپاره ډیر امنیت چمتو کوي. په نورو ګټو کې د غیر مدیریت انٹرفیسونو کې د ډیټا پاکټونو لپاره ښه فعالیت ، د شبکې توزیع کولو ملاتړ ،

امنیتي ملحوظات ۱

امنیتي نظرونه

د بینډ څخه بهر سیډو مدیریت

وسیلې ته د لاسرسي محدودولو لپاره لږ لاسرسي کنټرول لیستونو (ACLs) ته اړتیا لري ، او CPU ته د لاسرسي څخه د مدیریت کڅوړې سیلابونو مخه نیسي. د شبکې وسایل هم کولی شي د وقف شوي ډیټا انٹرفیسونو له لارې د OOB شبکې سره وصل شي. په دې حالت کې، ACLs باید ځای پرځای شي ترڅو ډاډ ترلاسه شي چې مدیریت ټرافيک یوازې د وقف شوي انٹرفیس لخوا اداره کیږي. د نورو معلوماتو لپاره، وګورئ د IP ترلاسه کول ACL او پورټ 22222 او مدیریت انٹرفیس ACL ترتیب کول.
د بینډ څخه بهر سیډو مدیریت
د بینډ څخه بهر مدیریت شبکه د ډیټا شبکې په څیر ورته فزیکي زیربنا کاروي مګر د VLANs په کارولو سره د ترافیک مجازی جلا کولو له لارې منطقي جلا کول چمتو کوي. NFVIS د VLANs او مجازی پلونو رامینځته کولو ملاتړ کوي ترڅو د ترافیک مختلف سرچینې پیژندلو کې مرسته وکړي او د VMs ترمینځ جلا ترافیک. د جلا پلونو او VLANs درلودل د مجازی ماشین شبکې ډیټا ترافیک او مدیریت شبکه جلا کوي ، پدې توګه د VMs او کوربه ترمینځ د ترافیک قطع کول چمتو کوي. د نورو معلوماتو لپاره د NFVIS مدیریت ترافیک لپاره د VLAN ترتیب کول وګورئ.
د بانډ دننه مدیریت
د بانډ مدیریت شبکه د ډیټا ترافیک په څیر ورته فزیکي او منطقي لارې کاروي. په نهایت کې، د دې شبکې ډیزاین د ګټو او لګښتونو په پرتله د خطر په اړه د هر پیرودونکي تحلیل ته اړتیا لري. ځینې ​​عمومي نظرونه پدې کې شامل دي:
· د OOB مدیریت جلا شبکه حتی د ګډوډي پیښو پرمهال په شبکه کې لید او کنټرول اعظمي کوي.
· د OOB شبکې له لارې د شبکې ټیلی میټري لیږدول د هغه معلوماتو د ګډوډولو چانس کموي کوم چې د شبکې مهم لید وړاندې کوي.
· د شبکې زیربنا، کوربه او نورو ته د بډ مدیریت لاسرسی د شبکې پیښې په صورت کې د بشپړ ضایع کیدو خطر لري، د شبکې ټول لید او کنټرول له مینځه وړي. د دې پیښې کمولو لپاره مناسب QoS کنټرولونه باید ځای په ځای شي.
· NFVIS د وسیلې مدیریت ته وقف شوي انٹرفیسونه وړاندې کوي ، پشمول د سیریل کنسول بندرونه او د ایترنیټ مدیریت انٹرفیسونه.
· د OOB مدیریت شبکه معمولا په مناسب قیمت کې ځای په ځای کیدی شي، ځکه چې د مدیریت شبکې ترافیک په عموم ډول د لوړ بینډ ویت او لوړ فعالیت وسیلو غوښتنه نه کوي، او یوازې د هر زیربنا وسیلې سره د ارتباط ملاتړ کولو لپاره کافي بندر کثافت ته اړتیا لري.
په محلي توګه د معلوماتو ذخیره کول
د حساسو معلوماتو ساتنه
NFVIS ځینې حساس معلومات په محلي توګه ذخیره کوي، پشمول د پاسورډونو او رازونو. پاسورډونه باید عموما د مرکزي AAA سرور لخوا ساتل او کنټرول شي. په هرصورت، حتی که د AAA مرکزي سرور ځای په ځای شوی وي، ځینې محلي ذخیره شوي پاسورډونه د ځینو قضیو لپاره اړین دي لکه د AAA سرورونو شتون نه شتون په صورت کې محلي فال بیک، ځانګړي کارونکي نومونه، او داسې نور. دا محلي پاسورډونه او نور حساس

امنیتي ملحوظات ۱

File لیږد

امنیتي نظرونه

معلومات په NFVIS کې د هش په توګه زیرمه شوي ترڅو د سیسټم څخه اصلي اسناد بیرته ترلاسه کول ممکن نه وي. Hashing په پراخه کچه منل شوي صنعت نورم دی.

File لیږد
Fileهغه چې ممکن د NFVIS وسیلو ته لیږدولو ته اړتیا ولري د VM عکس او NFVIS اپ گریڈ شامل دي files. د خوندي انتقال files د شبکې زیربنا امنیت لپاره خورا مهم دی. NFVIS د خوندي کاپي (SCP) ملاتړ کوي ترڅو امنیت ډاډمن کړي file انتقال SCP د خوندي تصدیق او ټرانسپورټ لپاره SSH باندې تکیه کوي، د خوندي او مستند کاپي کولو توان ورکوي files.
د NFVIS څخه یو خوندي کاپي د scp کمانډ له لارې پیل کیږي. د خوندي کاپي (scp) کمانډ یوازې د مدیر کارونکي ته اجازه ورکوي چې په خوندي ډول کاپي کړي fileله NFVIS څخه بهرني سیسټم ته، یا له بهرني سیسټم څخه NFVIS ته.
د scp کمانډ لپاره ترکیب دا دی:
scp
موږ د NFVIS SCP سرور لپاره 22222 پورټ کاروو. په ډیفالټ، دا بندر تړل شوی او کاروونکي نشي کولی کاپي خوندي کړي fileد بهرني پیرودونکي څخه NFVIS ته داخلیږي. که چیرې SCP ته اړتیا وي a file د بهرني پیرودونکي څخه ، کارونکي کولی شي په کارولو سره بندر خلاص کړي:
د سیسټم ترتیبات ip-receive-acl (پته)/(ماسک لینټ) خدمت scpd لومړیتوب (شمیر) عمل مني
ژمن
د دې لپاره چې کاروونکي د سیسټم لارښودونو ته د لاسرسي مخه ونیسي، خوندي کاپي یوازې د intdatastore:، extdatastore1:، extdatastore2:، usb: او nfs: څخه ترسره کیدی شي، که شتون ولري. خوندي کاپي د لاګونو او تخنیکي ملاتړ څخه هم ترسره کیدی شي:

ننوتل

د NFVIS لاسرسي او ترتیب کولو بدلونونه د لاندې معلوماتو ثبتولو لپاره د پلټنې لاګونو په توګه ننوتل کیږي: · چا وسیله ته لاسرسی موندلی · کله یو کارونکي ننوتل · یو کارونکي د کوربه ترتیب او VM ژوند دورې په شرایطو کې څه وکړل · کله یو کارن ننوتل بند · د لاسرسي ناکامې هڅې · د تصدیق کولو ناکامې غوښتنې · ناکامه اجازه غوښتنې
دا معلومات د غیر مجاز هڅو یا لاسرسي په صورت کې د عدلي تحلیل لپاره ارزښت لري، او همدارنګه د ترتیب بدلون مسلو لپاره او د ګروپ ادارې بدلونونو پالن کولو کې مرسته کوي. دا ممکن د غیر معمولي فعالیتونو پیژندلو لپاره ریښتیني وخت هم وکارول شي کوم چې ښایي برید ترسره کیږي. دا تحلیل د اضافي بهرنیو سرچینو لکه IDS او د فایر وال لاګونو معلوماتو سره تړاو لري.

امنیتي ملحوظات ۱

امنیتي نظرونه

د مجازی ماشین امنیت

په NFVIS کې ټولې کلیدي پیښې د NETCONF پیرودونکو ته د پیښې خبرتیاو په توګه لیږل کیږي او د ترتیب شوي مرکزي لاګنګ سرورونو ته د سیسلاګ په توګه لیږل کیږي. د syslog پیغامونو او د پیښو خبرتیاو په اړه د نورو معلوماتو لپاره، ضمیمه وګورئ.
د مجازی ماشین امنیت
دا برخه په NFVIS کې د مجازی ماشینونو راجسټریشن ، ځای پرځای کولو او عملیاتو پورې اړوند امنیتي ځانګړتیاوې بیانوي.
د VNF خوندي بوټ
NFVIS د خلاص مجازی ماشین فرم ویئر (OVMF) ملاتړ کوي ترڅو د مجازی ماشینونو لپاره د UEFI خوندي بوټ فعال کړي کوم چې د خوندي بوټ ملاتړ کوي. د VNF خوندي بوټ تاییدوي چې د VM بوټ سافټویر هر پرت لاسلیک شوی ، پشمول د بوټلوډر ، د عملیاتي سیسټم کرنل ، او د عملیاتي سیسټم ډرایورونه.

د نورو معلوماتو لپاره وګورئ، د VNFs خوندي بوټ.
د VNC کنسول لاسرسي محافظت
NFVIS کارونکي ته اجازه ورکوي چې د VM ریموټ ډیسټاپ ته د لاسرسي لپاره د مجازی شبکې کمپیوټري (VNC) سیشن رامینځته کړي. د دې فعالولو لپاره، NFVIS په متحرک ډول یو بندر پرانیزي چې کاروونکي کولی شي د دوی په کارولو سره وصل شي web براوزر دا بندر یوازې د 60 ثانیو لپاره د بهرني سرور لپاره خلاص پاتې دی ترڅو VM ته ناسته پیل کړي. که چیرې پدې وخت کې هیڅ فعالیت ونه لیدل شي، بندر بند دی. د پورټ شمیره په متحرک ډول ټاکل شوې او پدې توګه د VNC کنسول ته یوازې یو ځل لاسرسي ته اجازه ورکوي.
nfvis# vncconsole د ګمارلو نوم 1510614035 vm-نوم روټر vncconsole-url :6005/vnc_auto.html
خپل براوزر ته https://:6005/vnc_auto.html په نښه کول به د روټر VM VNC کنسول سره وصل شي.
امنیتي ملحوظات ۱

کوډ شوی VM ترتیب ډیټا متغیرونه

امنیتي نظرونه

کوډ شوی VM ترتیب ډیټا متغیرونه
د VM ګمارلو په جریان کې، کاروونکي د ورځې 0 ترتیب چمتو کوي file د VM لپاره. دا file کیدای شي حساس معلومات ولري لکه پاسورډونه او کیلي. که دا معلومات د واضح متن په توګه تیریږي، دا په لوګو کې ښکاري files او داخلي ډیټابیس ریکارډونه په روښانه متن کې. دا فیچر کارونکي ته اجازه ورکوي چې د ترتیب ډیټا متغیر د حساس په توګه بیرغ وکړي ترڅو د دې ارزښت د AES-CFB-128 کوډ کولو په کارولو سره کوډ شوی وي مخکې لدې چې ذخیره شي یا داخلي فرعي سیسټمونو ته انتقال شي.
د نورو معلوماتو لپاره وګورئ، د VM ګمارنې پیرامیټونه.
د ریموټ عکس ثبتولو لپاره د چیکسم تصدیق
د لیرې موقعیت لرونکي VNF عکس ثبتولو لپاره ، کارونکي خپل موقعیت مشخص کوي. عکس به د بهرنۍ سرچینې څخه ډاونلوډ ته اړتیا ولري، لکه د NFS سرور یا د لرې پرتو HTTPS سرور.
د دې لپاره چې پوه شئ که ډاونلوډ شوی وي file د نصبولو لپاره خوندي دی، دا اړینه ده چې پرتله کړئ fileد کارولو دمخه چیکسم. د چکسم تصدیق کول مرسته کوي ډاډ ترلاسه کړي چې file د شبکې د لیږد پرمهال فاسد شوی نه و، یا مخکې له دې چې تاسو یې ډاونلوډ کړئ د ناوړه دریمې ډلې لخوا ترمیم شوی.
NFVIS د کارونکي لپاره د چیکسم او چیکسم_الګوریتم اختیارونو ملاتړ کوي ترڅو متوقع چیکسم او چیکسم الګوریتم (SHA256 یا SHA512) چمتو کړي ترڅو د ډاونلوډ شوي عکس چیکسم تصدیق کولو لپاره وکارول شي. د عکس جوړول ناکام کیږي که چیرې چکسم سره سمون ونلري.
د ریموټ عکس ثبتولو لپاره د تصدیق تصدیق
د HTTPS سرور کې موقعیت لرونکي VNF عکس ثبتولو لپاره ، عکس به اړتیا ولري د لرې پرتو HTTPS سرور څخه ډاونلوډ شي. د دې عکس په خوندي ډول ډاونلوډ کولو لپاره ، NFVIS د سرور SSL سند تصدیق کوي. کارونکي اړتیا لري چې د سند ته لاره مشخص کړي file یا د PEM فارمیټ سند منځپانګې د دې خوندي ډاونلوډ فعالولو لپاره.
نور جزیات د عکس ثبتولو لپاره د سند تصدیق کولو برخه کې موندل کیدی شي
د VM جلا کول او د سرچینو چمتو کول
د شبکې فعالیت مجازی کول (NFV) جوړښت عبارت دی له:
· مجازی شبکې فعالیتونه (VNFs)، کوم چې د مجازی ماشینونو څخه د سافټویر غوښتنلیکونو چلول دي چې د شبکې فعالیت وړاندې کوي لکه روټر، فایروال، د بار بیلنسر، او داسې نور.
· د شبکې فعالیت د مجازی زیربنا جوړښت، کوم چې د زیربنا برخو څخه جوړ دی - کمپیوټر، حافظه، ذخیره کول، او شبکه کول، په داسې پلیټ فارم کې چې د اړتیا وړ سافټویر او هایپروایزر ملاتړ کوي.
د NFV سره، د شبکې فعالیتونه مجازی شوي ترڅو ډیری دندې په یو واحد سرور کې پرمخ وړل کیدی شي. د پایلې په توګه، لږ فزیکي هارډویر ته اړتیا ده، چې د سرچینو یوځای کولو ته اجازه ورکوي. په دې چاپیریال کې، دا اړینه ده چې د یو واحد، فزیکي هارډویر سیسټم څخه د ډیری VNFs لپاره وقف شوي سرچینې سمبال کړئ. د NFVIS په کارولو سره ، VMs په کنټرول شوي ډول ځای په ځای کیدی شي لکه هر VM هغه سرچینې ترلاسه کوي چې ورته اړتیا لري. سرچینې د اړتیا سره سم د فزیکي چاپیریال څخه ډیری مجازی چاپیریال ته ویشل شوي. انفرادي VM ډومینونه جلا شوي نو دوی جلا، جلا، او خوندي چاپیریال دي، کوم چې د شریکو سرچینو لپاره یو بل سره سیالي نه کوي.
VMs نشي کولی د چمتو شوي څخه ډیرې سرچینې وکاروي. دا د منابعو مصرف کونکي VM څخه د خدماتو انکار حالت څخه مخنیوی کوي. د پایلې په توګه، CPU، حافظه، شبکه او ذخیره ساتل کیږي.

امنیتي ملحوظات ۱

امنیتي نظرونه
د CPU جلا کول

د CPU جلا کول

د NFVIS سیسټم د زیربنا سافټویر لپاره کورونه ذخیره کوي چې په کوربه کې روان دي. پاتې کورونه د VM ګمارلو لپاره شتون لري. دا تضمین کوي ​​​​چې د VM فعالیت د NFVIS کوربه فعالیت اغیزه نه کوي. د ټیټ ځنډ VMs NFVIS په واضح ډول د ټیټ ځنډ VMs ته وقف شوي کورونه وړاندې کوي چې پدې کې ځای په ځای شوي. که VM 2 vCPUs ته اړتیا ولري ، نو دا 2 وقف شوي کورونه ګمارل شوي. دا د کور شریکولو او نظارت مخه نیسي او د ټیټ ځنډ VMs فعالیت تضمینوي. که چیرې د موجود کور شمیر د بل ټیټ ځنډ VM لخوا غوښتنه شوي د vCPUs شمیر څخه کم وي ، نو د پلي کیدو مخه نیول کیږي ځکه چې موږ کافي سرچینې نلرو. غیر ټیټ ځنډ VMs NFVIS غیر ټیټ ځنډ VMs ته د شریکولو وړ CPUs ورکوي. که VM 2 vCPUs ته اړتیا ولري ، نو دا 2 CPUs ګمارل شوي. دا 2 CPUs د نورو غیر ټیټ ځنډ VMs په مینځ کې د شریکولو وړ دي. که چیرې د موجود CPUs شمیر د بل غیر ټیټ ځنډ VM لخوا غوښتنه شوي د vCPUs شمیر څخه کم وي ، نو ځای پرځای کول لاهم اجازه لري ځکه چې دا VM به CPU د موجوده غیر ټیټ ځنډ VMs سره شریک کړي.
د حافظې تخصیص
د NFVIS زیربنا یو ټاکلی مقدار حافظې ته اړتیا لري. کله چې VM ځای په ځای شوی وي ، نو چیک شتون لري ترڅو ډاډ ترلاسه کړي چې حافظه د زیربنا لپاره اړین حافظې ذخیره کولو وروسته شتون لري او دمخه ځای پرځای شوي VMs د نوي VM لپاره کافي دي. موږ د VMs لپاره د حافظې اضافي ګډون ته اجازه نه ورکوو.
امنیتي ملحوظات ۱

د ذخیره کولو جلا کول
VMs ته اجازه نشته چې مستقیم کوربه ته لاسرسی ومومي file سیسټم او ذخیره کول.
د ذخیره کولو جلا کول

امنیتي نظرونه

د ENCS پلیټ فارم د داخلي ډیټاسټور (M2 SSD) او بهرني ډیسکونو ملاتړ کوي. NFVIS په داخلي ډیټاسټور کې نصب شوی. VNFs هم پدې داخلي ډیټاسټر کې ځای په ځای کیدی شي. دا د پیرودونکي ډیټا ذخیره کولو او په بهرني ډیسکونو کې د پیرودونکي غوښتنلیک مجازی ماشینونو ځای په ځای کولو لپاره د امنیت غوره عمل دی. د سیسټم لپاره په فزیکي توګه جلا ډیسکونه درلودل fileد غوښتنلیک په وړاندې files د فساد او امنیت مسلو څخه د سیسټم ډیټا خوندي کولو کې مرسته کوي.
·
د انٹرفیس جلا کول
واحد روټ I/O مجازی کول یا SR-IOV یو مشخصات دی چې د PCI ایکسپریس (PCIe) سرچینو جلا کولو ته اجازه ورکوي لکه د ایترنیټ بندر. د SR-IOV په کارولو سره یو واحد ایترنیټ بندر د څو، جلا، فزیکي وسایلو په توګه څرګند کیدی شي چې د مجازی فعالیتونو په نوم پیژندل کیږي. په دې اډاپټر کې ټول VF وسیلې ورته فزیکي شبکې بندر شریکوي. یو میلمانه کولی شي د دې مجازی کارونو څخه یو یا ډیر کار واخلي. یو مجازی فعالیت میلمانه ته د شبکې کارت په څیر ښکاري، په ورته ډول چې د نورمال شبکې کارت عملیاتي سیسټم ته ښکاري. مجازی فعالیتونه نږدې اصلي فعالیت لري او د پارا - مجازی ډرایورانو او ایمول شوي لاسرسي په پرتله غوره فعالیت وړاندې کوي. مجازی فعالیتونه په ورته فزیکي سرور کې د میلمنو تر مینځ د ډیټا محافظت چمتو کوي ځکه چې ډیټا د هارډویر لخوا اداره کیږي او کنټرول کیږي. NFVIS VNFs کولی شي د SR-IOV شبکې وکاروي ترڅو د WAN او LAN بیکپلین بندرونو سره وصل شي.
امنیتي ملحوظات ۱

امنیتي نظرونه

د خوندي پرمختیا ژوند دوره

هر دا ډول VM یو مجازی انٹرفیس او د هغې اړوند سرچینې لري چې د VMs ترمینځ د معلوماتو محافظت ترلاسه کوي.
د خوندي پرمختیا ژوند دوره
NFVIS د سافټویر لپاره د خوندي پراختیا ژوند دورې (SDL) تعقیبوي. دا د تکرار وړ، د اندازه کولو وړ پروسه ده چې د زیانونو کمولو او د سیسکو حلونو امنیت او انعطاف لوړولو لپاره ډیزاین شوی. Cisco SDL د باور وړ حلونو رامینځته کولو لپاره د صنعت مخکښ کړنې او ټیکنالوژي پلي کوي چې د ساحې کشف شوي محصول امنیت پیښې لږ وي. د NFVIS هر خوشې کول د لاندې پروسو څخه تیریږي.
· د سیسکو - داخلي او بازار پر بنسټ د محصول امنیت اړتیاوې تعقیب کړئ · د زیان مننې تعقیب لپاره په سیسکو کې د مرکزي ذخیره کولو سره د دریمې ډلې سافټویر ثبت کول · د CVEs لپاره پیژندل شوي اصلاحات سره په دوره توګه د سافټویر پیچ کول. · د امنیت په پام کې نیولو سره د سافټویر ډیزاین کول · د خوندي کوډ کولو عملونو تعقیب کول لکه د ارزول شوي عام امنیتي ماډلونو کارول لکه CiscoSSL، چلول
جامد تحلیل او د کمانډ انجیکشن مخنیوي لپاره د ان پټ تایید پلي کول.

امنیتي ملحوظات ۱

د خوندي پرمختیا ژوند دوره

امنیتي نظرونه

امنیتي ملحوظات ۱

اسناد / سرچینې

د CISCO تصدۍ شبکې فعالیت مجازی کولو زیربنا سافټویر [pdf] د کارونکي لارښود
د شرکت شبکې فعالیت مجازی کولو زیربنا سافټویر، شرکت، د شبکې فعالیت مجازی کولو زیربنا سافټویر، د مجازی زیربنا سافټویر، زیربنا سافټویر

حوالې

اړونده پوسټونه

یو نظر پریږدئ

ستاسو بریښنالیک پته به خپره نشي. اړین ساحې په نښه شوي *