1
00:00:00,240 --> 00:00:07,890
Rzeczy, które mogą mieć wpływ na zasięg sieci lub listy kontroli dostępu lub reguły ACLJ i zapory w

2
00:00:09,010 --> 00:00:12,130
wielu sieciach, które nie są aktywnie zarządzane.

3
00:00:12,220 --> 00:00:20,190
Przekonasz się, że inżynierowie bezpieczeństwa zablokowali protokoły takie jak S&amp;P i ICMP, te dwa protokoły są

4
00:00:20,190 --> 00:00:21,270
bardzo ważne.

5
00:00:21,270 --> 00:00:28,140
Protokoły zarządzania siecią, ale ze względów bezpieczeństwa mogły zostać zablokowane w różnych punktach

6
00:00:28,140 --> 00:00:31,550
sieci przez inżynierów świadomych bezpieczeństwa.

7
00:00:31,650 --> 00:00:37,770
Dlatego ważne jest, aby podczas rozpoczynania audytu sieci w ramach przygotowań do masowego wdrożenia

8
00:00:38,550 --> 00:00:44,110
zwracać szczególną uwagę na to, gdzie ruch jest dozwolony, a gdzie nie.

9
00:00:44,220 --> 00:00:52,020
Teraz, z punktu widzenia najlepszych praktyk, idealnym rozwiązaniem jest wdrożenie złoczyńcy zarządzającego, który jest oddzielny od cielęciny

10
00:00:52,020 --> 00:00:54,330
i wykorzystywany do ruchu użytkowników.

11
00:00:55,430 --> 00:01:02,240
Tak więc tworzona jest osobna sieć lub osobna kraina TV, a ruch zarządzania siecią jest dozwolony w

12
00:01:02,240 --> 00:01:10,680
tej sieci VLAN, więc reguły ACLJ i zapory na urządzeniach sieciowych zezwalają na protokoły zarządzania siecią na tej sieci VLAN

13
00:01:10,690 --> 00:01:17,030
i pozwalają na bałagan, aby uzyskać dostęp do pętli z tyłu trasy, ponieważ przykład.

14
00:01:17,030 --> 00:01:23,540
Należy pamiętać, że jeśli ograniczysz dostęp do urządzeń sieciowych tylko z określonych adresów IP, na

15
00:01:23,540 --> 00:01:28,910
przykład zezwalasz tylko adresowi IP systemu zarządzania siecią na dostęp do interfejsu

16
00:01:29,300 --> 00:01:37,280
pętli zwrotnej jeźdźców używającego jako MP podczas zmiany rzeczy w sieci, takich jak w miarę rozszerzania aplikacji do zarządzania

17
00:01:37,940 --> 00:01:44,020
siecią może być konieczne cofnięcie się i dostosowanie list dostępu lub dostosowanie reguł zapory.

18
00:01:44,270 --> 00:01:50,930
Dlatego może być prostsze zezwolenie na dostęp podsieci do urządzeń sieciowych zamiast blokowania go na

19
00:01:50,930 --> 00:01:55,700
indywidualny adres IP w ten sam sposób podczas omawiania bezpieczeństwa.

20
00:01:55,940 --> 00:01:59,230
Musisz zwrócić uwagę na różne strefy bezpieczeństwa.

21
00:01:59,240 --> 00:02:06,410
Klient może mieć interfejs zewnętrzny w zaporze, interfejs wewnętrzny i interfejs DMZ w

22
00:02:06,410 --> 00:02:07,770
swojej zaporze.

23
00:02:07,790 --> 00:02:13,600
Te strefy bezpieczeństwa mogą mieć wpływ na systemy zarządzania siecią, dlatego musisz zrozumieć,

24
00:02:13,610 --> 00:02:21,620
w jaki sposób zamierzasz rozmieścić wrogów oraz w jaki sposób reguły bezpieczeństwa i strefy zapory wpłyną na

25
00:02:21,620 --> 00:02:25,370
ogólną zdolność zasięgu i wdrażaną strategię zarządzania.

26
00:02:25,430 --> 00:02:31,190
Na koniec należy pomyśleć o nakładających się i nieczytelnych adresach w sieci.

27
00:02:32,150 --> 00:02:38,270
Nakładające się i nieczytelne adresy mogą być prawdziwym problemem podczas wdrażania systemów zarządzania siecią.

28
00:02:38,270 --> 00:02:44,030
Powinieneś skontrolować swoją sieć i zrozumieć, które adresy są osiągalne z

29
00:02:44,540 --> 00:02:51,530
sieci, i wziąć to pod uwagę, gdy zaczynasz dokumentować systemy i decydujesz, gdzie wprowadzić

30
00:02:51,530 --> 00:02:53,330
system zarządzania siecią.

31
00:02:53,330 --> 00:02:59,090
W wielu przypadkach, jeśli masz nakładającą się przestrzeń adresową i masz urządzenia

32
00:02:59,090 --> 00:03:07,370
w każdej z nakładających się podsieci, które musisz monitorować, musisz utworzyć osobny silnik odpytywania dla NPM dla każdej zduplikowanej

33
00:03:07,370 --> 00:03:08,960
strefy przestrzeni adresowej.