Sophos UTM informatikai security és redundáns tűzfal projekt
A redundáns tűzfalak projekt célja, hogy biztosítsa a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.
· Redundáns internet kapcsolat– dupla vagy tripla internet kapcsolat szükséges
· Redundáns hardver amelyik biztosítja a tűzfal működésest és a magas rendelkezésre állást HW szintén (HW meghibásodás esetén)
· Magas rendelkezésre állás (teaming/Link aggregiation)
■ a magas rendelkezésre állás biztosítva van hálózati eszköz szinten, illetve a tűzfalak és switchek között.
Mit jelent a magas rendelkezésre állás tűzfal szinten:
· A két eszköz közül bármelyik eszköz meghibásodhat, az internet, routing, firewall működik tovább, és a biztonságos Sophos wireless eszközök is biztonságosan kiszolgálják tovább a klienseket
· Ezzel a megoldással minimalizálható a kockázat, hogy ha egy eszköz meghibásodik a tűzfal szolgáltatás hálózatra kapcsolva működik tovább.
· Amennyiben VPN, SD-WAN, Sophos Wireless használva van, igy az összes funkcionalitás megmarad amik cseréljül a meghibásodott eszközt.
· Az átállás automatikus és teljesen transzparens
· Support szeződés szerint hibaelhárítás – meghibásodott eszköz cseréje
· A Sophos Firewall Licenc lehet választani 1 éves, 2 éves vagy 3 éves között.
· Év fordulókor a licencet kell megújítani, hardvert nem kell újra megvásárolni
· Amig önnek van érvényes licenc, a gyártó vállja a hardver garanciát és cserét

Az aktuális tűzfalat kell cserélni ?
Az új eszköz csatlakoztatása a hálózatban a végleges helyekre és portokra, switch szinten szükséges egy olyan beállitás, ami meggátolja a kommunikációt.
VLAN ID át van írva egy nem használt VLAN-ra a Sophos Portokra- ily módon a FW aktív marad.
Az egyik Sophos port-ot beállitjuk ideiglenesen egy olyan hálozati IP címmel amelyel nem lesz használva, de segit, hogy az eszköz elérhető legyen és tudjunk adminisztrácios feladatokat elvégezni.
• a Sophos UTM Redundant megoldás biztosítja az internet, dedikált hálózati kapcsolatok, és meghatározott Wi-Fi kapcsolatok kommunikációját.
• UPS tápegység áram kimaradás esetén ellátja a hálózat zavartalan müködését
• Back-up / Restore adat vissza állítás biztosított (szerződésben foglaltak szerint)
Sophos UTM Főbb Technikai paraméterek:
2x Sophos tűzfal eszköz beállítva redundáns (magas rendelkezésre állás) módban. Magas rendelkezésre állás a hálózati, Internet és hardver szinten.
Az internetkapcsolatok csatlakoznak a redundáns hálózati infrastruktúrához, de külön VLAN minden internetkapcsolathoz.
Összesen 2x négy fizikai UTP kapcsolat, garantálja a Trunk + TEAM-ing redundáns kapcsolatot.
Legalább két független Internet szolgáltatás / kapcsolat
DMZ és egyébb belső VLAN-ok beaállitása akár dedikált kapcsolat ként akár VLAN Tagging megoldással
Trunk port használata javasolt
Sophos Full Guard licence

A Sophos eszköz beállitások
Amenyiben lehetséges szoktunk kérni egy Virtuális gépet amelyik ugyan abban az ideiglenes VLAN-ban mind a Sophos Tüzfalnak a LAN portja, igy az alap teszteket fogjuk tudni megvalositani
Projekt fontos részeként a Sophos FW Internet mükődését és a Site to Site VPN Kapcsolatokat teszteljük. (ugy, hogy az internet kapcsolatok egyenként kerülnek át a régi tüzfalról a Sophos tüzfalba). A virtuális gépről hajtjuk végre a teszteket, ugy, hogy még a régi tűzfal éles a hálózatban.
A teszt eredmények alapján megtervezzük a UAT-et és a Pilot-ot amikor a fő tüzfal ki lesz iktatva a hálozatból és a Sophos-t élesitjük. UAT után döntésre kerül, hogyan lesz folytatva a Pilot és az élesités.
HW List
2 x Redundant Sophos tűzfal eszköz (felhasználok, internet kapcsoaltok száma és sávszélesége függvénye, hogy önnek melyik eszköz javasolt)
Opcionálisan
- Sophos RED a remote siteoknak Sophos SD-WAN Megoldással
- Sophos wireless access points (vezeték nélküli eszkőz) biztonságos, roaming funkcioval, központilag kezelt több Wi-Fi hálozatokhoz
- Sophos antivirus – esetleg Sophos ClientSecurity End-Point Protection
SW List
- Licenc: Sophos full Guard Licence (Javasolt 3 évre, amenyiben ön szeretné évente vagy 2 évente megujitani, akkor ez is egy opció)
Sophos Firewall hálózat felügyelet

- VLAN-ok, szabályok, spam szűrés, IP Címek, belső szolgáltatások IP címjei, Internet Kapcsolatok
- Biztonságos architektúra felügyelete
- Cut-over és váltás/átállás
- Tűzfal beállítások
- Tunnel beállitások pre-configurálása
- Internet, E-Mail, Spam szűrés
- Monitoring

Features
Firewall High Availability ( internet, routing, firewall müködik tovább, és a biztonságos Sophos wireless eszközők is biztonságosan kiszolgálják tovább a kliens gépeket)
Ezzel a megoldással minimalizálható a kockázat, hogy ha egy eszköz elromlik az ön hálozata/iternet elérése és a többi telephelyek kapcsolat biztositott / müködik tovább
2 db Sophos UTM (firewall) eszköz redundánsan bekötve az ön hálozatra, igy minimilázható a HW Failure
Mj: érvényes licence esetén a gyártó vállja a HW garanciát is
VLAN-ok kezelése
Support felügyelet távoli eléréssel feltételei:
• dupla internet kapcsolatot két külön ISP-ről
• telephely összeköttettések esetén
• Firewall (értsd: Tűzfal) folyamatos, állandó
• vezetéknélküli hálózati kapcsolatok, wi-fi eszközök nélkülönözhetetlenek
• nincs on-premise infrastruktúra, a Sophos UTM a biztonságos magas rendelkezésre állású internet kapcsolat.
Mit szállít le a CSE Sophos UTM redundant projekt?
Scope:
- · Felmérés · Helyszíni szemle (ha szükséges) · Projekt terv véglegesítés
- · Teljes dokumentáció létrehozása (HLD, LD)
- · Információk és részletek dokumentálása (VLAN-ok, szabályok, spam szűrés, IP Címek, belső szolgáltatások IP címei, Internet Kapcsolatok)
- · Tűzfal szabályok beállítása (vagy mostani tűzfal szabály export vagy nulláról konfigurálva)
- · Design és architekturális terv véglegesítése · Cut-over/Tüzfal váltás tervezése
- · Projekt implementálása · Telepités rack-ben és összekapcsolása a hálózatban
- · Konfigurációk elvégzése · Tűzfal beállítások előkészítésé
- · Tunnelek beállitások pre-configurálása · Internet, E-Mail, Spam szürés beállítások elvégzése
- · Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a Pilot
- · Pilot terv véglegesítésé a beállításokkal összehangolva
- · Pilot végrehajtása és részletes tesztelés · Pilot eredmények tanulmányozása
- · Finomhangolás – beállítások módosítása pilot eredmények alapján
- · Részletes cut-over és go-live tervezése – CAB Approval
- · Cut-over véglegesítése · Részletes tesztelés · Finom hangolások végrehajtása
- · Rendszer monetarizálása · Hyper-Care
Sophos FW VPN miben jobb mint az SD-WAN?
Amenyiben lehetséges, elöre definiált időben, a Sophos tüzfalt Internet mükődését és a Site to Site VPN Kapcsolatokat teszteljük (ugy, hogy az internet kapcsolatok egyenként kerülnek át a régi tüzfalról a Sophos tüzfalba). A virtuális gépről tudjuk végrehajtani a kiegészitő teszteket, ugy, hogy még a régi tüzfal éles a hálozatban.
A teszt eredmények tapasztalat alapján megtervezzük a UAT-et (hétvége) és a Pilot-ot amikor a fő tüzfal ki lesz iktatva a hálozatból és a Sophos-t élesitjük. UAT után döntésre kerül, hogyan lesz folytatva a Pilot és az élesités.
Ha meglevő tűzfalat kell cserélni általában azt szoktuk javasolni, hogy az eszköz csatlakoztatva a hálozatban a végleges helyekre és portokra, de a switch szintén legyen egy olyan beállitás, hogy az eszköz nem kommunikál még a hálozatban (pld a VLAN ID át van írva egy nem használt VLAN-ra a Sophos Portokra). Ilyen esetben az egyik Sophos port-ot beállitjük ideiglenes egy olyan hálozati IP címmel amelyel nem lesz használva, de segit, hogy az eszköz elérhető legyen és tudjunk adminisztrácios feladatokat elvégezni.
A Sophos eszközön megcsináljuk az összes szükséges beállitásokat.
Amenyiben lehetséges szoktunk kérni egy Virtuális gépet amelyik ugyan abban az ideiglenes VLAN-ban mind a Sophos Tüzfalnak a LAN portja, igy az alap teszteket fogjuk tudni megvalositani