Sophos UTM redundant project
A redundáns tüzfalak projektjének célja, hogy biztosítsa a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.
· Redundáns internet kapcsolat– dupla vagy tripla internet kapcsolat szükséges
· Redundáns HW amelyik biztosítja a tűzfal működésest és a magas rendelkezésre állást HW szintén (HW meghibásodás esetén)
· Magas rendelkezésre állás (teaming/Link aggregiation) ahol a magas rendelkezésre állás biztosítva van hálózati eszköz szinten és a tűzfalak és switchek között.
Mit jelent a magas rendelkezésre állás tűzfal szinten:
· A két eszköz közül bármelyik eszköz meghibásodhat, az internet, routing, firewall működik tovább, és a biztonságos Sophos wireless eszközök is biztonságosan kiszolgálják tovább a klienseket
· Ezzel a megoldással minimalizálható a kockázat, hogy ha egy eszköz meghibásodik a tűzfal szolgáltatás hálózatra kapcsolva működik tovább.
· Amennyiben VPN, SD-WAN, Sophos Wireless használva van, igy az össze funkcionalitás megmarad amik cseréljül a meghibásodott eszközt.
· Az átállás automatikus és teljesen transzparens
· A mi csapatunk látja a hibát és már is elkezdi a hibaelhárítást – meghibásodott eszköznek a cseréjét
· A Sophos Firewall Licenc lehet választani 1 éves, 2 éves vagy 3 éves között.
· Év fordulókor csak a licencet kell megújítani, HW nem kell újra megvásárolni
· Amig önnek van érvényes licenc, a gyártó vállja a HW garanciát és cserét
Az aktuális tűzfalat kell cserélni ?
Az új eszköz csatlakoztatása a hálózatban a végleges helyekre és portokra, switch szinten szükséges egy olyan beállitás, ami meggátolja a kommunikációt.
VLAN ID át van írva egy nem használt VLAN-ra a Sophos Portokra- ily módon a FW aktív marad.
Az egyik Sophos port-ot beállitjuk ideiglenesen egy olyan hálozati IP címmel amelyel nem lesz használva, de segit, hogy az eszköz elérhető legyen és tudjunk adminisztrácios feladatokat elvégezni.
• a Sophos UTM Redundant megoldás biztosítja az internet, dedikált hálózati kapcsolatok, és meghatározott Wi-Fi kapcsolatok kommunikációját.
• UPS tápegység áram kimaradás esetén ellátja a hálózat zavartalan müködését
• Back-up / Restore adat vissza állítás biztosított (szerződésben foglaltak szerint)
Sophos UTM Főbb Technikai paraméterek:
2x Sophos tűzfal eszköz beállítva redundáns (magas rendelkezésre állás) módban. Magas rendelkezésre állás a hálózati, Internet és hardver szinten.
Az internetkapcsolatok csatlakoznak a redundáns hálózati infrastruktúrához, de külön VLAN minden internetkapcsolathoz.
Összesen 2x négy fizikai UTP kapcsolat, garantálja a Trunk + TEAM-ing redundáns kapcsolatot.
Legalább két független Internet szolgáltatás / kapcsolat
DMZ és egyébb belső VLAN-ok beaállitása akár dedikált kapcsolat ként akár VLAN Tagging megoldással
Trunk port használata javasolt
Sophos Full Guard licence
A Sophos eszköz beállitások
Amenyiben lehetséges szoktunk kérni egy Virtuális gépet amelyik ugyan abban az ideiglenes VLAN-ban mind a Sophos Tüzfalnak a LAN portja, igy az alap teszteket fogjuk tudni megvalositani
Projekt fontos részeként a Sophos FW Internet mükődését és a Site to Site VPN Kapcsolatokat teszteljük. (ugy, hogy az internet kapcsolatok egyenként kerülnek át a régi tüzfalról a Sophos tüzfalba). A virtuális gépről hajtjuk végre a teszteket, ugy, hogy még a régi tűzfal éles a hálózatban.
A teszt eredmények alapján megtervezzük a UAT-et és a Pilot-ot amikor a fő tüzfal ki lesz iktatva a hálozatból és a Sophos-t élesitjük. UAT után döntésre kerül, hogyan lesz folytatva a Pilot és az élesités.
Scenarioknak megfelően, a komplexitásoknak megfelelően vannak olyan lehetőségek, hogy mind a régi és új tüzfal együtessen mükődnek és az átállás nem jár szolgáltatás kieséssel – ezért mindeképpen szükséges egy elsödleges beszélgetés, hogy megtudjuk a topologiát és meg tudjuk tervezni az projektet.
HW List
2 x Redundant Sophos tűzfal eszköz (felhasználok, internet kapcsoaltok száma és sávszélesége függvénye, hogy önnek melyik eszköz javasolt)
Opcionálisan
- Sophos RED a remote siteoknak Sophos SD-WAN Megoldással
- Sophos wireless access points (vezeték nélküli eszkőz) biztonságos, roaming funkcioval, központilag kezelt több Wi-Fi hálozatokhoz
- Sophos antivirus – esetleg Sophos ClientSecurity End-Point Protection
SW List
- Licenc: Sophos full Guard Licence (Javasolt 3 évre, amenyiben ön szeretné évente vagy 2 évente megujitani, akkor ez is egy opció)
Sophos Firewall Project Detailed steps: Pilot és Go-Live
- Felmérés – Árajánlat és projekt terv
Projekt szerződés – Hálózat felderítés/ellenőrzés - Project baseline elérése (Milestone Zero)
- Információk és részletek megbeszélés (VLAN-ok, szabályok, spam szűrés, IP Címek, belső szolgáltatások IP címjei, Internet Kapcsolatok)
- Design és architekturális terv
- Cut-over és váltás/átállás tervezése
- Implementálás – Konfigurációk elvégzése
- Tűzfal beállítások – végrehajtás és gyors teszt
- Tunnel beállitások pre-configurálása
- Internet, E-Mail, Spam szürés beállitások elvégzése
- Alap és részletes tesztelés – annak függvényében, hogy milyen beállitásokat végzetünk el és hogyan van tervezve a Pilot
- Pilot végrehajtása, a beállitásokkal összehangolása
- Finomhangolás – beállitások modositása pilot eredmények alapján
- Részletes cut-over és go-live tervezése – CAB Approval
- Cut-over véglegesitése és Részletes tesztelés
- Finom hangolások végrehajtása
- Monitoring
Features
Firewall High Availability ( internet, routing, firewall müködik tovább, és a biztonságos Sophos wireless eszközők is biztonságosan kiszolgálják tovább a kliens gépeket)
Ezzel a megoldással minimalizálható a kockázat, hogy ha egy eszköz elromlik az ön hálozata/iternet elérése és a többi telephelyek kapcsolat biztositott / müködik tovább
2 db Sophos UTM (firewall) eszköz redundánsan bekötve az ön hálozatra, igy minimilázható a HW Failure
Mj: érvényes licence esetén a gyártó vállja a HW garanciát is
VLAN-ok kezelése
Support felügyelet távoli eléréssel feltételei:
• dupla internet kapcsolatot két külön ISP-ről
• telephely összeköttettések esetén
• Firewall (értsd: Tűzfal) folyamatos, állandó
• vezetéknélküli hálózati kapcsolatok, wi-fi eszközök nélkülönözhetetlenek
• nincs on-premise infrastruktúra, a Sophos UTM a biztonságos magas rendelkezésre állású internet kapcsolat.
- A CSE azonnal gondoskodik ha az eszköz meghibásodik, távoli eléréssl felügyeli a müködést, biztonsági mentés a beállításokról, visszaállítás
- Folyamatos Monitoring
Mit szállít le a CSE Sophos UTM redundant projekt?
Scope:
· Felmérés · Helyszíni szemle (ha szükséges) · Projekt terv véglegesítés
· Teljes dokumentáció létrehozása (HLD, LD)
· Információk és részletek dokumentálása (VLAN-ok, szabályok, spam szűrés, IP Címek, belső szolgáltatások IP címei, Internet Kapcsolatok)
· Tűzfal szabályok beállítása (vagy mostani tűzfal szabály export vagy nulláról konfigurálva)
· Design és architekturális terv véglegesítése · Cut-over/Tüzfal váltás tervezése
· Projekt implementálása · Telepités rack-ben és összekapcsolása a hálózatban
· Konfigurációk elvégzése · Tűzfal beállítások előkészítésé
· Tunnelek beállitások pre-configurálása · Internet, E-Mail, Spam szürés beállítások elvégzése
· Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a Pilot
· Pilot terv véglegesítésé a beállításokkal összehangolva
· Pilot végrehajtása és részletes tesztelés · Pilot eredmények tanulmányozása
· Finomhangolás – beállítások módosítása pilot eredmények alapján
· Részletes cut-over és go-live tervezése – CAB Approval
· Cut-over véglegesítése · Részletes tesztelés · Finom hangolások végrehajtása
· Rendszer monetarizálása · Hyper-Care
Scenarioknak megfelően, a komplexitásoknak megfelelően vannak olyan lehetőségek, hogy mind a régi és új tüzfal együtessen mükődnek és az átállás nem jár szolgáltatás kieséssel – ezért mindeképpen szükséges egy elsödleges beszélgetés, hogy megtudjuk a topologiát és meg tudjuk tervezni az projektet.
Sophos FW VPN miben jobb mint az SD-WAN?
Amenyiben lehetséges, elöre definiált időben, a Sophos tüzfalt Internet mükődését és a Site to Site VPN Kapcsolatokat teszteljük (ugy, hogy az internet kapcsolatok egyenként kerülnek át a régi tüzfalról a Sophos tüzfalba). A virtuális gépről tudjuk végrehajtani a kiegészitő teszteket, ugy, hogy még a régi tüzfal éles a hálozatban.
A teszt eredmények tapasztalat alapján megtervezzük a UAT-et (hétvége) és a Pilot-ot amikor a fő tüzfal ki lesz iktatva a hálozatból és a Sophos-t élesitjük. UAT után döntésre kerül, hogyan lesz folytatva a Pilot és az élesités.
Ha meglevő tűzfalat kell cserélni általában azt szoktuk javasolni, hogy az eszköz csatlakoztatva a hálozatban a végleges helyekre és portokra, de a switch szintén legyen egy olyan beállitás, hogy az eszköz nem kommunikál még a hálozatban (pld a VLAN ID át van írva egy nem használt VLAN-ra a Sophos Portokra). Ilyen esetben az egyik Sophos port-ot beállitjük ideiglenes egy olyan hálozati IP címmel amelyel nem lesz használva, de segit, hogy az eszköz elérhető legyen és tudjunk adminisztrácios feladatokat elvégezni.
A Sophos eszközön megcsináljuk az összes szükséges beállitásokat.
Amenyiben lehetséges szoktunk kérni egy Virtuális gépet amelyik ugyan abban az ideiglenes VLAN-ban mind a Sophos Tüzfalnak a LAN portja, igy az alap teszteket fogjuk tudni megvalositani
HLD Projekt Terv
Hogyan implementálunk – a projekt fő állomásai, lépései:
• Teljes részletes felmérés, ez alapján az összes szabályt és szükséges beálltásokat beillesztjük a saját sablonokban
• Tűzfal terv létrehozása, amely magában foglalja az üzleti igényeket és a hálózati topológiát.
• Sophos tűzfal rack-ben telepítésé és bekötése a hálózati infrastruktúrában
• Sophos tűzfal csatlakoztatása a hálózati eszközökhöz
• Alap konfiguráció beállítása
• Hálózati politikát beállítása, beleértve a bejövő és kimenő forgalom szabályait.
• Alkalmazás-szűrőket és a tartalom-szűrőket beállítása
• VPN-t a távoli hozzáféréshez beállítása
• Site to Site VPN beállítása
Timeline: Project: Approx duration 4-6 months
Sophos, SophosUTM, Firewall, Sophos Licenc, Sophos Full Guard, Sophos Firewall, Sophos wi-fi, corporate wi-fi, guest wifi, hotel wi-fi, Sophos RED