- Įmonės ir svečių tinklus galima atskirti naudojant potinklius ir VLAN, nedubliuojant visos infrastruktūros.
- Naudojant kartu NAT, statinius maršrutus ir užkardos taisykles, galima kontroliuoti, kurie įrenginiai pasiekia internetą ir kokius išteklius.
- Susiejus skirtingus SSID su skirtingais VLAN, darbuotojų „Wi-Fi“ ryšys izoliuojamas nuo klientų „Wi-Fi“, išlaikant vieną fizinį tinklą.
- Filtravimas pagal IP, domeną ir segmentavimą padeda apsaugoti kameras, spausdintuvus ir serverius nuo neteisėtos prieigos.
Atskirti biuro tinklą nuo svečių arba klientų tinklo Tai tapo beveik privaloma bet kuriai įmonei, kad ir kokia maža ji būtų. Kalbame ne tik apie duomenų privatumą, bet ir apie tai, kaip išvengti kasdienių problemų, pavyzdžiui, kaimyno, kuris žiūri į jūsų IP kameras, ar klientų, kurie perkrauna jūsų darbuotojų darbo ryšį. Jei jums reikia pagerinti „Wi-Fi“ saugumą, sužinokite, kaip apsaugoti... svečių ar klientų tinklas.
Konfigūruokite du visiškai atskirus tinklus tame pačiame maršrutizatoriuje arba infrastruktūroje Iš pradžių tai gali atrodyti sudėtinga, ypač kai kalbama apie tokias sąvokas kaip VLAN, NAT ar statinius maršrutus. Tačiau gerai suplanavus ir suprantant kiekvieno elemento (maršrutizatoriaus, komutatoriaus, užkardos, prieigos taškų ir kt.) funkciją, galima sukurti saugų vidinį įmonės tinklą ir atskirą, izoliuotą tinklą klientams, kaimynams ar mažiau patikimiems įrenginiams.
Tipinis scenarijus: du nepriklausomi tinklai dalijasi infrastruktūra
Vienas iš labiausiai paplitusių atvejų biuruose ir mažose įmonėse Tai reiškia, kad reikia turėti du skirtingus loginius tinklus, kurie dėl įvairių priežasčių dalijasi dalimi aparatinės įrangos ar net interneto ryšiu. Pavyzdžiui, įmonė, kuri dalijasi linija su žemesniame aukšte esančia įmone, arba biuras, kuris nori pasiūlyti klientams „Wi-Fi“, kad jie negalėtų pasiekti savo serverių ar kamerų.
Įsivaizduokite labai įprastą realaus gyvenimo situacijąPirmame aukšte esanti įmonė turi prieigą prie interneto ir savo maršrutizatorių 192.168.1.x tinkle. Viršuje kita įstaiga prijungia savo maršrutizatorių prie pirmojo ir sukuria savo tinklą – 192.168.2.x. Problema kyla, kai dėl incidento pirmame aukšte esančiai įmonei reikia matyti prie antrame aukšte esančio tinklo prijungtas IP kameras ir vaizdo registratorių, bet ji negali pasiekti kitos įrangos.
Šiame kontekste svarbiausia kontroliuoti, koks srautas leidžiamas tarp potinklių. ir koks eismas yra užblokuotas. Tai gali atidaryti labai konkretų prieigos tašką (pavyzdžiui, prie „Reolink“ DVR prievado) naudojant tiksliai suderintas užkardos taisykles, kad kaimynai galėtų matyti kameras, bet niekada nepasiekti kompiuterių, serverių ar vidinių išteklių.
Kitas tipiškas scenarijus – du sujungti pastatai arba du aukštai Tai pasiekiama naudojant tarpinį maršrutizatorių arba belaidį ryšį (pavyzdžiui, naudojant „Ubiquiti“ antenas), kur kiekvienas pastatas turi savo potinklį (192.168.1.0/24 ir 192.168.2.0/24), o interneto prieigą valdo užkarda arba „pfSense“ maršrutizatorius. Tinklo atskyrimas jau egzistuoja, tačiau reikia priimti sprendimus dėl to, kas gali ir ko negali būti nukreipiama tarp pastatų, ir kaip valdyti WAN prieigą, kai yra keli ryšiai.
Kelių interneto jungčių naudojimas ir atsarginių kopijų kūrimas keliuose tinkluose
Daugelyje biurų yra kelios interneto linijos.Nesvarbu, ar tai būtų dėl to, kad norima didesnio pralaidumo, ar dėl to, kad reikia dubliavimo, kai nutrūksta pagrindinis ryšys, įprasta matyti du nepriklausomus maršrutizatorius arba užkardas, kiekvienas su savo interneto paslaugų teikėju, ir du atskirus vidinius tinklus. Todėl kyla klausimas: ar kito tinklo interneto paslaugų teikėjas gali būti naudojamas kaip atsarginis, jei nutrūktų mano linija?
Kai interneto paslaugų teikėjo modemai veikia naudojant PPPoE Kadangi jie jungiasi tiesiogiai prie kiekvienos užkardos, ne visada įmanoma antrą užkardą prijungti tiesiai prie to paties modemo. Tokiu atveju įprastas būdas yra naudoti tarpinį įrenginį, kuris atlieka NAT ir paskirsto ryšį abiem užkardoms. Ši idėja yra pagrįsta, tačiau ji padidina delsą, padidina techninės įrangos poreikį ir gedimų riziką, todėl verta apsvarstyti alternatyvas.
Profesionalus pasirinkimas – centralizuoti prieigą prie interneto viename kompiuteryje. (Pavyzdžiui, galinga užkarda arba įmonės maršrutizatorius), turintis kelis WAN tinklus ir tvarkantis apkrovos balansavimą bei perjungimą. Tokiu būdu abu vidiniai tinklai (įmonės ir klientų) prie interneto prisijungia per tą patį įrenginį, tačiau lieka izoliuoti maršrutizavimo ir užkardos lygmenyse.
Jei jau yra dvi visiškai atskiros užkardos arba maršrutizatoriaiVienas iš sprendimų – sujungti juos naudojant trečią sąsają arba tranzitinį potinklį ir taikyti taisykles, leidžiančias naudoti vieno maršrutizatoriaus WAN kaip atsarginį tinklą konkretiems kito tinklo segmentams. Čia labai svarbu dirbti su maršruto metrika (statine arba dinamine) ir, sudėtingesniuose sprendimuose, su maršruto parinkimo protokolais arba scenarijais, kurie aptinka pagrindinės linijos gedimus.
Izoliuokite tinklus saugumo sumetimais naudodami VLAN ir potinklius
Kai kalbame apie darbuotojų tinklo ir svečių tinklo atskyrimąDažnai tai daroma ne naudojant du fizinius maršrutizatorius, o naudojant vieną infrastruktūrą, palaikančią kelis VLAN ir potinklius. Tai yra beveik visų šiuolaikinių įmonių tinklų, taip pat daugelio MVĮ, naudojančių TP-Link, Cisco, Mikrotik ir kt. įrangą, pagrindas.
Labai paplitusi praktika verslo tinkluose Tai reiškia srauto padalijimą pagal skyrius: tyrimų ir plėtros, rinkodaros, produktų, administracijos... Kiekvienas turi savo potinklį ir savo VLAN. Jei taip pat naudojami valdomi prieigos taškai (pvz., „TP-Link“ CAP/AC sprendimas), kiekvieną „Wi-Fi“ SSID galima susieti su konkrečiu VLAN, kad svečių ir įmonės „Wi-Fi“ keliautų per atskirus loginius „tunelius“, net jei jie dalijasi tuo pačiu tinklu.
Tipinė topologija tokio tipo scenarijuje Jį sudaro šliuzo maršrutizatorius, atliekantis NAT su internetu, 3 lygio komutatorius, kuriame apibrėžti VLAN ir L3 sąsajos (po vieną IP kiekvienam VLAN/potinkliui), ir keli CAP (valdomi prieigos taškai), kurie transliuoja skirtingus SSID, susietus su atitinkamais VLAN.
Kad visi šie tinklai galėtų prisijungti prie internetoŠliuzo maršrutizatorius turi palaikyti „Multi-Net NAT“. Kiekvienas potinklis kartu su jo potinklio kauke yra įtrauktas į maršrutizatoriaus žiniatinklio sąsają, nurodant, kad į WAN reikia nukreipti LAN srautą. Tuo pačiu metu sukuriami statiniai maršrutai, kurių paskirties vieta yra kiekvienas vidinis potinklis, o kitas žingsnis yra 3 lygio komutatoriaus, kuris veikia kaip tinklo „branduolys“, IP adresas.
Jei jau yra dvi visiškai atskiros užkardos arba maršrutizatoriaiVienas iš sprendimų – sujungti juos naudojant trečią sąsają arba tranzitinį potinklį ir taikyti taisykles, leidžiančias naudoti vieno maršrutizatoriaus WAN kaip atsarginį tinklą konkretiems kito tinklo segmentams. Čia labai svarbu dirbti su maršruto metrika (statine arba dinamine) ir, sudėtingesniuose sprendimuose, su maršruto parinkimo protokolais arba scenarijais, kurie aptinka pagrindinės linijos gedimus.
VLAN, prievadų ir maršrutizavimo konfigūravimas komutatoriuje
Kitas žingsnis – atskirti tinklus toje pačioje fizinėje infrastruktūroje Tai apima teisingą VLAN konfigūravimą ir kiekvieno komutatoriaus prievado vaidmenį. Tai dažnai yra tinklo pagrindas, kai dirbama su aplinka, kurioje yra keli SSID, keli biurai arba laidinių ir belaidžių tinklų derinys.
Komutatoriaus 802.1Q VLAN skyriuje Pirmiausia apibrėžiami prievadai, kurie veiks magistraliniu režimu, paprastai tie, kurie jungiasi prie CAPs arba kitos paskirstymo įrangos. Magistralinis prievadas gali vienu metu perduoti pažymėtą srautą iš kelių VLAN, o prieigos prievadai perduoda tik vieną nepažymėtą VLAN, skirtą kompiuteriams, spausdintuvams ar kitiems galiniams įrenginiams.
Tada sukuriami tikrieji VLAN Ir prie kiekvieno iš jų pridedami prievadai, kurie turėtų būti nariai. Pavyzdžiui, jei VLAN100 ir VLAN200 susieti su dviem skirtingais SSID, 1/0/37 ir 1/0/39 prievadai (prie kurių prijungti CAP) įtraukiami kaip narių prievadai. Tokiu būdu srautas, pažymėtas VLAN100 arba 200, praeis per šiuos prievadus.
Taip pat įprasta apibrėžti valdymo VLAN. (Pavyzdžiui, VLAN 10), kuris grupuoja prievadą, prie kurio prijungtas valdiklis (AC), CAP ir konkretus valdymo kompiuterio prievadas. Šiems prievadams priskiriamas PVID 10, kad visas nepažymėtas srautas praeitų per valdymo VLAN, leidžiant „Wi-Fi“ ir likusį belaidį tinklą valdyti tik iš to kompiuterio.
3 lygio komutatoriai sukuria 3 lygio sąsajas kiekvienam VLANpriskiriant jiems statinį IP adresą ir potinklio kaukę, kuri veiks kaip kiekvieno potinklio šliuzas. Tada kiekvienam VLAN įjungiamas DHCP serveris, kuris platina IP adresus belaidžiams ir laidiniams klientams; tame serveryje apibrėžiamas IP adresų diapazonas, šliuzas (komutatoriaus L3 sąsaja) ir DNS serveriai (paprastai išeinantis maršrutizatorius arba viešieji DNS serveriai, pvz., 8.8.8.8).
Reikėtų nepamiršti, kad DHCP serveris paprastai yra išjungtas pagal numatytuosius nustatymus. Daugelyje komutatorių tai būtina, todėl sukūrę adresų grupes turite tai aiškiai įjungti. Jei pamiršite šį veiksmą, prie SSID prisijungiantys įrenginiai negaus IP adreso ir atrodys, kad „Wi-Fi“ neveikia.
Galiausiai, komutatoriuje apibrėžiamas numatytasis statinis maršrutas. (0.0.0.0/0), nukreipiantį į šliuzo maršrutizatorių, kad bet koks srautas, kurio paskirties vieta nėra vidinis potinklis, būtų peradresuojamas į šliuzą, kad pasiektų internetą. Šis maršrutas užtikrina, kad visi segmentai (VLAN100, VLAN200, VLAN10 ir kt.) turėtų išorinį ryšį, visada atsižvelgiant į visas vėliau pritaikytas užkardos taisykles.
Susiekite SSID su VLAN, kad atskirtumėte darbuotojų ir klientų „Wi-Fi“
Vienas iš didžiausių CAP/AC ar kitų valdomų „WiFi“ sprendimų naudojimo privalumų Tai leidžia sukurti kelis SSID su skirtingomis politikomis ir susieti juos su skirtingais VLAN. Būtent to mums reikia, kai norime atskirti įmonės „Wi-Fi“ nuo svečių ar klientų „Wi-Fi“.
Bendra procedūra paprastai yra tokiaPirmiausia paleidžiamas valdiklis (AC) ir priimami visi CAP. Centralizavus valdymą, prie belaidžio ryšio paslaugų skyriaus pridedami reikiami SSID (pvz., „Office“ ir „Clients“) su atitinkamomis saugumo konfigūracijomis.
Tada kiekvienas SSID yra susietas su radijo ryšiu CAP tinkle. (2,4 GHz arba 5 GHz, atsižvelgiant į situaciją) ir, kas yra labai svarbu izoliacijai, yra susietas su anksčiau komutatoriuje sukurtu VLAN. Tipiškas pavyzdys būtų SSID „v100“ susiejimas su VLAN100 ir SSID „v200“ su VLAN200, dėl ko kiekvieno belaidžio tinklo srautas keliauja per skirtingą potinklį ir transliavimo domeną.
Valdiklis taip pat paprastai veikia kaip DHCP serveris. Valdymo segmentui (tinklui, kuriame yra CAP adresai) IP adresai priskiriami automatiškai. Paprastai yra numatytasis DHCP serveris, kurio diapazonas atitinka AC sąsajoje sukonfigūruotą IP adresą, todėl CAP adresai gauna konfigūraciją be jokių papildomų pakeitimų.
Su šiuo dizainu nešiojamas kompiuteris, kuris jungiasi prie darbuotojo SSID Pavyzdžiui, įrenginys, prisijungiantis prie svečio SSID, gaus 172.16.10.x tipo IP adresą, o įrenginys, prisijungiantis prie svečio SSID, gaus 172.16.20.x tipo IP adresą. Abu įrenginiai turės prieigą prie interneto be problemų, tačiau tik įmonės segmentas galės matyti vidinius serverius, spausdintuvus ar kameras, kaip leidžia užkarda.
Kontroliuokite, kurie įrenginiai prisijungia prie interneto, naudodami užkardos taisykles
Kai tinklai bus atskirti, kitas žingsnis bus nuspręsti, kas gali prisijungti prie interneto. ir kuria kryptimi. Čia pradeda veikti maršrutizatoriaus užkarda arba pats saugos įrenginys (pvz., „pfSense“ arba į „Teltonika“ maršrutizatorių integruota užkarda).
Pavyzdžiui, „Teltonika“ maršrutizatoriuose naudojamas meniu „Tinklas“ – „Užkarda“ – „Eismo taisyklės“. Norėdami sukurti peradresavimo taisykles, kurios leidžia arba blokuoja srautą iš LAN į WAN. Skiltyje „Pridėti naują peradresavimo taisyklę“ apibrėžkite taisyklės, šaltinio zonos (LAN) ir paskirties zonos (WAN) pavadinimą ir pridėkite ją, kad pradėtumėte konfigūravimą.
Jei tikslas yra visiškai nutraukti prieigą prie interneto Visiems LAN tinkle esantiems įrenginiams tiesiog nustatykite protokolą į „Bet kuris“, o veiksmą – į „Panaikinti“. Nuo to momento joks to LAN tinkle esantis įrenginys negalės pasiekti WAN. Jei vėliau vėl reikės leisti srautą, galite ištrinti arba išjungti taisyklę nereikėdami iš naujo atlikti visos konfigūracijos.
Taip pat galima būti išrankesniam. ir blokuoti tik vieną ar daugiau klientų tinkle. Tokiu atveju lauke „Šaltinio adresas“ nurodomas tikslus IP adresas, kurį reikia blokuoti (pavyzdžiui, 192.168.1.100) arba net diapazonas, naudojant CIDR notaciją (pavyzdžiui, 192.168.1.100/30, kad būtų apimtos adresų ribos nuo 100 iki 103). Tokiu būdu vienas įrenginys arba įrenginių grupė atjungiama nuo interneto, o kiti lieka nepaveikti.
Kita naudinga parinktis – apriboti prieigą tik prie tam tikrų viešųjų IP adresų arba tinklų.Užuot blokavęs pagal šaltinį, šis metodas taikomas paskirties vietai, lauke „Paskirties adresas“ nurodant ribojamų serverių IP adresą arba IP adresų bloką. Tai paprastas būdas neleisti klientams pasiekti tam tikrų išorinių paslaugų, tuo pačiu išlaikant prieinamą likusį internetą.
Pramoninėje aplinkoje įprasta norėti visiškai priešingai.: uždrausti bet kokią prieigą prie interneto, išskyrus tą, kuri nukreipiama į labai konkretų debesijos serverių rinkinį, kuris renka duomenis iš PLC arba jutiklių; patartina atlikti šių politikų auditą ir patikrinimą. patikrinkite savo vietinio tinklo saugumą Prieš diegiant taisykles, naudojant „Nmap“ ir „Wireshark“, sukuriamos dvi taisyklės: pirmoji leidžia srautą tik į tuos konkrečius IP adresus WAN tinkle, o antroji blokuoja visus kitus. Taisyklių tvarka yra labai svarbi, nes maršrutizatorius jas vertina iš viršaus į apačią ir, radęs atitikmenį, nustoja tikrinti kitas taisykles.
Tai užtikrina, kad gamybos įrenginiai Jie bendrauja tik su įgaliotais adresais, sumažindami atakų paviršių ir laikydamiesi saugumo reikalavimų ar vidaus taisyklių, nereikalaudami itin sudėtingos įrangos.
Konkrečių svetainių blokavimas ir filtravimas pagal domenus
Daugelis įmonių nori filtruoti ne tik pagal IP adresą ar potinklį, bet ir pagal domeną. kad būtų išvengta neteisėtos prieigos prie atsisiuntimo svetainių, suaugusiesiems skirto turinio, transliacijų ar tiesioginių pranešimų svečių tinkle ar net įmonės tinkle.
„Teltonika“ maršrutizatoriuose tokio tipo filtravimas užkardoje neatliekamas.Vietoj to, galite pasiekti paslaugą meniu „Paslaugos“ – „Žiniatinklio filtras“. Ten įjungiate paslaugą ir pasirenkate veikimo režimą: „Juodasis sąrašas“, kad blokuotumėte tik tam tikrus domenus, arba „Baltasis sąrašas“, kad leistumėte tik kelis domenus ir blokuotumėte viską kitą.
Procesas apima domenų įvedimą po vieną. atitinkamame sąraše. Naudodami parinktį „Naršyti“ galite pridėti svetaines, kurias norite blokuoti arba leisti, nepamiršdami spustelėti „Pridėti“, o tada „Išsaugoti ir taikyti“, kad pakeitimai įsigaliotų. Tai paprasta, bet efektyvi sistema, skirta valdyti kliento tinkle cirkuliuojančio interneto srauto tipą.
Šis filtro tipas labai gerai atitinka dvigubo tinklo koncepciją.Svečių tinkle galima taikyti griežtesnį filtravimą, o įmonės vidiniame tinkle leidžiamas platesnis svetainių skaičius, visada laikantis organizacijos politikos. VLAN ir domenų filtravimo derinys suteikia gana detalią kiekvieno vartotojo profilio veiksmų kontrolę.
Realūs atvejai: IP kameros, spausdintuvai ir sambūvio problemos
Poreikis atskirti tinklus nėra teorinė koncepcija.Tai dažniausiai nutinka, kai prasideda realios problemos. Labai dažnas pavyzdys yra IP kameros ir skaitmeniniai vaizdo įrašymo įrenginiai, esantys biuro tinkle, prie kurių kita įmonė ar kaimynas retkarčiais turi prisijungti nematydamas likusios infrastruktūros.
„Reolink“ tipo kameros arba vaizdo įrašymo įrenginio atveju Prisijungus prie 192.168.2.x tinklo, pirmame aukšte (192.168.1.x) įsikūrusiai įmonei saugumo sumetimais gali tekti stebėti tas kameras. Sprendimas – ne sujungti tinklus, o sukurti užkardos taisykles, kurios leistų srautą tik iš konkrečių IP adresų 192.168.1.x tinkle į vaizdo registratoriaus IP adresą ir prievadus 192.168.2.x tinkle.
Kita tipinė problema kyla su tinklo spausdintuvais Kai du biurai dalijasi tuo pačiu potinkliu arba belaidžio tinklo įranga, vienam spausdintuvui siunčiamos spausdinimo užduotys gali būti atspausdintos kito, ypač jei abu yra to paties modelio ir prastai atskirti. Dviejų biurų tinklų atskyrimas į atskirus potinklius, kurių kiekvienas turi savo šliuzą ir VLAN, neleidžia spausdinimo eilėms „šokinėti“ tarp jų. Jei „Windows“ kompiuteriuose kyla spausdintuvo aptikimo problemų, peržiūrėkite sprendimus, tokius kaip vadovas, skirtas „Windows 11“ neaptinka spausdintuvo.
Jei turite tik vieną interneto paslaugų teikėjo modemą ir vieną bendrą prieigos taškąArba galima naudoti papildomą maršrutizatorių (pvz., „TP-Link“), kad būtų sukurtas atskiras tinklas „Office 2“. Šis naujas tinklas turės savo IP adresų diapazoną, savo „WiFi“ raktą ir, NAT dėka, likusi infrastruktūros dalis matys visus įrenginius kaip ateinančius iš vieno „Office 2“ maršrutizatoriaus IP adreso, todėl sumažės matomumas tarp segmentų.
Visais šiais atvejais principas yra tas patsAtskiri potinkliai, atskiri šliuzai ir užkarda, kontroliuojanti, koks srautas gali pereiti iš vieno į kitą. Tai užtikrina, kad klientai, kaimynai ar mažiau patikimi įrenginiai niekada neturėtų tiesioginės prieigos prie įmonės tinklo „širdies“.
Sukurkite antrą „Wi-Fi“ tinklą operatoriaus maršrutizatoriuose
Daugelis namų vartotojų ir mažų biurų naudoja operatoriaus maršrutizatorių. (pavyzdžiui, „išmanusis WiFi“) ir svarsto, ar įmanoma sukurti antrą belaidį tinklą, kuris atskirtų jų darbo įrangą nuo lankytojų mobiliųjų telefonų, planšetinių kompiuterių ar kitų įrenginių.
Daugumoje šių maršrutizatorių yra svečių „Wi-Fi“ tinklo parinktis.Tai sukuria atskirą SSID nuo pagrindinio. Nors viduje jis vis dar gali priklausyti tam pačiam operatoriaus įrangos potinkliui arba konkrečiam VLAN, vartotojui tai jau yra loginis atskyrimas, kuris neleidžia, pavyzdžiui, svečiams matyti pagrindinio kompiuterio bendrinamų išteklių ar spausdintuvų.
Nustatyti paprastai yra labai paprastaNorėdami tai įjungti, eikite į maršrutizatoriaus administravimo sąsają, raskite svečio „Wi-Fi“ arba „antrojo „Wi-Fi“ tinklo“ skiltį ir aktyvuokite ją sukonfigūruodami kitą tinklo pavadinimą ir slaptažodį. Kai kurie įrenginiai netgi leidžia apriboti šio svečio tinklo pralaidumą arba ryšio laiką.
Jei operatoriaus maršrutizatorius nepalaiko tikrojo srauto atskyrimo (pavyzdžiui, jis neatskiria svečių srauto nuo pagrindinio LAN srauto), galima pasinaudoti nuosavas neutralus maršrutizatorius kuris jungiasi prie operatoriaus tinklo. Šis maršrutizatorius sukuria savo potinklį ir net vidinius VLAN, palikdamas operatoriaus tinklą tik kaip tiltą į internetą.
Filosofija tokia pati kaip ir biureSaugus tinklas darbo įrenginiams ir kitas tinklas su labiau ribotais leidimais mobiliesiems telefonams, planšetiniams kompiuteriams, daiktų interneto įrenginiams ar svečiams. Ši struktūra padeda sumažinti riziką ir palaikyti minimalų tvarkos lygį, kai vienu metu prijungta daug skirtingų įrenginių.
Visos šios technikos (potinkliai, VLAN, NAT, užkardos taisyklės ir atskiri SSID) kartu paėmus... Jie leidžia sukurti, net ir naudojant gana paprastą techninę įrangą, tinklo aplinką, kurioje biuras ir klientai egzistuoja kartu netrukdydami vienas kitam, srautas yra kontroliuojamas, o svarbiausi ištekliai (kameros, skaitmeniniai vaizdo įrašymo įrenginiai, spausdintuvai, serveriai) lieka izoliuoti nuo nepageidaujamos prieigos, taip pagerinant tiek saugumą, tiek kasdienį įmonės stabilumą.
Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.