Sophos UTM informatikai security és redundáns tűzfal projekt
01 A hálózat minőségi ellenőrzése
IT infrastruktúra és az alkalmazások jelenlegi állapotának felmérése, értékelése, elemzése szakértői dokumentum formában
A redundáns tűzfalak projekt célja, hogy biztosítsa a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.
02 A projekt elemei
· Redundáns internet kapcsolat beállítása
· Redundáns tűzfal hardver beállítása
· Magas rendelkezésre állás (teaming/Link aggregiation)
A projekt eszközök listánkból választhatóak, árajánlatot a hálózat felmérése után biztosítunk.
Ennek tartalma: a projekt előzetes terve, költsége és futam ideje.
03 A projekt teljesülése
■ a magas rendelkezésre állás biztosítva van hálózati eszköz szinten, illetve a tűzfalak és switchek között.
Mit jelent a magas rendelkezésre állás tűzfal szinten:
· Amennyiben az egyik eszköz túlterhelt, az internet, a routing, a firewall biztonságosan működik tovább, a Sophos wireless eszközök továbbra is kiszolgálják a klienseket
· Amennyiben VPN, SD-WAN, Sophos Wireless implementálva van az összes funkció érvényben marad
· Az átállás automatikus és transzparens
· Support szeződés szerint hibaelhárítás – meghibásodott eszköz cseréje
· A Sophos Firewall Licenc 1 éves, 2 éves vagy 3 éves között lehet választani.
· Érvényes licenc esetén a gyártó vállal hardver garanciát és cserét
Az aktuális tűzfalat kell cserélni ?
Az új eszköz csatlakoztatása a hálózatban a végleges helyekre és portokra, switch szinten szükséges egy olyan beállitás, ami meggátolja a kommunikációt.
VLAN ID át van írva egy nem használt VLAN-ra a Sophos Portokra- ily módon a FW aktív marad.
Az egyik Sophos port-ot beállitjuk ideiglenesen egy olyan hálozati IP címmel amelyel nem lesz használva, de segit, hogy az eszköz elérhető legyen és tudjunk adminisztrácios feladatokat elvégezni.
• a Sophos UTM Redundant megoldás biztosítja az internet, dedikált hálózati kapcsolatok, és meghatározott Wi-Fi kapcsolatok kommunikációját.
• UPS tápegység áram kimaradás esetén ellátja a hálózat zavartalan müködését
• Back-up / Restore adat vissza állítás választható
Sophos UTM Főbb Technikai paraméterek:
2x Sophos tűzfal eszköz beállítva redundáns (magas rendelkezésre állás) módban. Magas rendelkezésre állás a hálózati, Internet és hardver szinten.
Az internetkapcsolatok csatlakoznak a redundáns hálózati infrastruktúrához, de külön VLAN minden internetkapcsolathoz.
Összesen 2x négy fizikai UTP kapcsolat, garantálja a Trunk + TEAM-ing redundáns kapcsolatot.
Legalább két független Internet szolgáltatás / kapcsolat
DMZ és egyébb belső VLAN-ok beaállitása akár dedikált kapcsolat ként akár VLAN Tagging megoldással
Trunk port használata javasolt
Sophos Full Guard licence
A Sophos eszköz beállitások
Amenyiben lehetséges szoktunk kérni egy Virtuális gépet amelyik ugyan abban az ideiglenes VLAN-ban mind a Sophos Tüzfalnak a LAN portja, igy az alap teszteket fogjuk tudni megvalositani
Projekt fontos részeként a Sophos FW Internet mükődését és a Site to Site VPN Kapcsolatokat teszteljük. (ugy, hogy az internet kapcsolatok egyenként kerülnek át a régi tüzfalról a Sophos tüzfalba). A virtuális gépről hajtjuk végre a teszteket, ugy, hogy még a régi tűzfal éles a hálózatban.
A teszt eredmények alapján megtervezzük a UAT-et és a Pilot-ot amikor a fő tüzfal ki lesz iktatva a hálozatból és a Sophos-t élesitjük. UAT után döntésre kerül, hogyan lesz folytatva a Pilot és az élesités.
01 A projekt eszközei, igényei
- Sophos RED a remote siteoknak Sophos SD-WAN Megoldással
- Sophos wireless access points (vezeték nélküli eszkőz) biztonságos, roaming funkcioval, központilag kezelt több Wi-Fi hálozatokhoz
- Sophos antivirus – esetleg Sophos ClientSecurity End-Point Protection
2 x Redundant Sophos tűzfal eszköz (felhasználok, internet kapcsoaltok száma és sávszélesége függvénye, hogy önnek melyik eszköz javasolt)
02 A projekt igénye: licence
Licence: Sophos full Guard Licence (Javasolt 3 évre, amenyiben ön szeretné évente vagy 2 évente megujitani, akkor ez is egy opció)
A projekt eszközök listánkból választhatóak, árajánlatot a hálózat felmérése után biztosítunk.
Ennek tartalma: a projekt előzetes terve, költsége és futam ideje.
Sophos Firewall hálózat felügyelet
- VLAN-ok, szabályok, spam szűrés, IP Címek, belső szolgáltatások IP címjei, Internet Kapcsolatok
- Biztonságos architektúra felügyelete
- Cut-over és váltás/átállás
- Tűzfal beállítások
- Tunnel beállitások pre-configurálása
- Internet, E-Mail, Spam szűrés
- Monitoring
Features
Firewall High Availability ( internet, routing, firewall müködik tovább, és a biztonságos Sophos wireless eszközők is biztonságosan kiszolgálják tovább a kliens gépeket)
Ezzel a megoldással minimalizálható a kockázat, hogy ha egy eszköz elromlik az ön hálozata/iternet elérése és a többi telephelyek kapcsolat biztositott / müködik tovább
2 db Sophos UTM (firewall) eszköz redundánsan bekötve az ön hálozatra, igy minimilázható a HW Failure
Mj: érvényes licence esetén a gyártó vállja a HW garanciát is
VLAN-ok kezelése
Mit szállít le a CSE Sophos UTM redundant projekt?
Scope:
- · Felmérés · Helyszíni szemle (ha szükséges) · Projekt terv véglegesítés
- · Teljes dokumentáció létrehozása (HLD, LD)
- · Információk és részletek dokumentálása (VLAN-ok, szabályok, spam szűrés, IP Címek, belső szolgáltatások IP címei, Internet Kapcsolatok)
- · Tűzfal szabályok beállítása (vagy mostani tűzfal szabály export vagy nulláról konfigurálva)
- · Design és architekturális terv véglegesítése · Cut-over/Tüzfal váltás tervezése
- · Projekt implementálása · Telepités rack-ben és összekapcsolása a hálózatban
- · Konfigurációk elvégzése · Tűzfal beállítások előkészítésé
- · Tunnelek beállitások pre-configurálása · Internet, E-Mail, Spam szürés beállítások elvégzése
- · Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a Pilot
- · Pilot terv véglegesítésé a beállításokkal összehangolva
- · Pilot végrehajtása és részletes tesztelés · Pilot eredmények tanulmányozása
- · Finomhangolás – beállítások módosítása pilot eredmények alapján
- · Részletes cut-over és go-live tervezése – CAB Approval
- · Cut-over véglegesítése · Részletes tesztelés · Finom hangolások végrehajtása
- · Rendszer monetarizálása · Hyper-Care
Sophos FW VPN miben jobb mint az SD-WAN?
Amenyiben lehetséges, elöre definiált időben, a Sophos tüzfalt Internet mükődését és a Site to Site VPN Kapcsolatokat teszteljük (ugy, hogy az internet kapcsolatok egyenként kerülnek át a régi tüzfalról a Sophos tüzfalba). A virtuális gépről tudjuk végrehajtani a kiegészitő teszteket, ugy, hogy még a régi tüzfal éles a hálozatban.
A teszt eredmények tapasztalat alapján megtervezzük a UAT-et (hétvége) és a Pilot-ot amikor a fő tüzfal ki lesz iktatva a hálozatból és a Sophos-t élesitjük. UAT után döntésre kerül, hogyan lesz folytatva a Pilot és az élesités.
Ha meglevő tűzfalat kell cserélni általában azt szoktuk javasolni, hogy az eszköz csatlakoztatva a hálozatban a végleges helyekre és portokra, de a switch szintén legyen egy olyan beállitás, hogy az eszköz nem kommunikál még a hálozatban (pld a VLAN ID át van írva egy nem használt VLAN-ra a Sophos Portokra). Ilyen esetben az egyik Sophos port-ot beállitjük ideiglenes egy olyan hálozati IP címmel amelyel nem lesz használva, de segit, hogy az eszköz elérhető legyen és tudjunk adminisztrácios feladatokat elvégezni.
A Sophos eszközön megcsináljuk az összes szükséges beállitásokat.
Amenyiben lehetséges szoktunk kérni egy Virtuális gépet amelyik ugyan abban az ideiglenes VLAN-ban mind a Sophos Tüzfalnak a LAN portja, igy az alap teszteket fogjuk tudni megvalositani