Skip to content

Sophos UTM informatikai security és redundáns tűzfal projekt

A redundáns tűzfalak projekt célja, hogy biztosítsa a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.

· Redundáns internet kapcsolat– dupla vagy tripla internet kapcsolat szükséges

· Redundáns hardver amelyik biztosítja a tűzfal működésest és a magas rendelkezésre állást HW szintén (HW meghibásodás esetén)

· Magas rendelkezésre állás (teaming/Link aggregiation)

■  a magas rendelkezésre állás biztosítva van hálózati eszköz szinten, illetve a tűzfalak és switchek között.

Mit jelent a magas rendelkezésre állás tűzfal szinten:

· A két eszköz közül bármelyik eszköz meghibásodhat, az internet, routing, firewall működik tovább, és a biztonságos Sophos wireless eszközök is biztonságosan kiszolgálják tovább a klienseket

· Ezzel a megoldással minimalizálható a kockázat, hogy ha egy eszköz meghibásodik a tűzfal szolgáltatás hálózatra kapcsolva működik tovább.

· Amennyiben VPN, SD-WAN, Sophos Wireless használva van, igy az összes funkcionalitás megmarad amik cseréljül a meghibásodott eszközt.

· Az átállás automatikus és teljesen transzparens

· Support szeződés szerint hibaelhárítás – meghibásodott eszköz cseréje

· A Sophos Firewall Licenc lehet választani 1 éves, 2 éves vagy 3 éves között.

· Év fordulókor a licencet kell megújítani, hardvert nem kell újra megvásárolni

· Amig önnek van érvényes licenc, a gyártó vállja a hardver garanciát és cserét

cse bsuiness sophos project image
Az aktuális tűzfalat kell cserélni ?

Az új eszköz csatlakoztatása a hálózatban a végleges helyekre és portokra, switch szinten szükséges egy olyan beállitás, ami meggátolja a kommunikációt. 

VLAN ID át van írva egy nem használt VLAN-ra a Sophos Portokra- ily módon a FW aktív marad.

Az egyik Sophos port-ot beállitjuk ideiglenesen egy olyan hálozati IP címmel amelyel nem lesz használva, de segit, hogy az eszköz elérhető legyen és tudjunk adminisztrácios feladatokat elvégezni.

• a Sophos UTM Redundant megoldás biztosítja az internet, dedikált hálózati kapcsolatok, és meghatározott Wi-Fi kapcsolatok kommunikációját.

• UPS tápegység áram kimaradás esetén ellátja a hálózat zavartalan müködését

• Back-up / Restore adat vissza állítás biztosított (szerződésben foglaltak szerint)

Sophos UTM Főbb Technikai paraméterek:

2x Sophos tűzfal eszköz beállítva redundáns (magas rendelkezésre állás) módban. Magas rendelkezésre állás a hálózati, Internet és hardver szinten.

Az internetkapcsolatok csatlakoznak a redundáns hálózati infrastruktúrához, de külön VLAN minden internetkapcsolathoz.

Összesen 2x négy fizikai UTP kapcsolat, garantálja a Trunk + TEAM-ing redundáns kapcsolatot.

Legalább két független Internet szolgáltatás / kapcsolat

DMZ és egyébb belső VLAN-ok beaállitása akár dedikált kapcsolat ként akár VLAN Tagging megoldással

Trunk port használata javasolt

Sophos Full Guard licence

cse business IT service Microsoft partner

A Sophos eszköz beállitások

Amenyiben lehetséges szoktunk kérni egy Virtuális gépet amelyik ugyan abban az ideiglenes VLAN-ban mind a Sophos Tüzfalnak a LAN portja, igy az alap teszteket fogjuk tudni megvalositani

Projekt fontos részeként a Sophos FW Internet mükődését és a Site to Site VPN Kapcsolatokat teszteljük. (ugy, hogy az internet kapcsolatok egyenként kerülnek át a régi tüzfalról a Sophos tüzfalba). A virtuális gépről hajtjuk végre a teszteket, ugy, hogy még a régi tűzfal éles a hálózatban.

A teszt eredmények alapján megtervezzük a UAT-et és a Pilot-ot amikor a fő tüzfal ki lesz iktatva a hálozatból és a Sophos-t élesitjük. UAT után döntésre kerül, hogyan lesz folytatva a Pilot és az élesités.

HW List 

2 x Redundant Sophos tűzfal eszköz (felhasználok, internet kapcsoaltok száma és sávszélesége függvénye, hogy önnek melyik eszköz javasolt) 

Opcionálisan  

  • Sophos RED a remote siteoknak Sophos SD-WAN Megoldással 
  • Sophos wireless access points (vezeték nélküli eszkőz) biztonságos, roaming funkcioval, központilag kezelt több Wi-Fi hálozatokhoz
  • Sophos antivirus – esetleg Sophos ClientSecurity End-Point Protection

SW List 

  • Licenc: Sophos full Guard Licence (Javasolt 3 évre, amenyiben ön szeretné évente vagy 2 évente megujitani, akkor ez is egy opció) 

Sophos Firewall hálózat felügyelet

informatikai megold'sok microsoft projektek hálózati magas rendelkezésre állás túzfal firewall high avail
  • VLAN-ok, szabályok, spam szűrés, IP Címek, belső szolgáltatások IP címjei, Internet Kapcsolatok
  • Biztonságos architektúra felügyelete
  • Cut-over és váltás/átállás
  • Tűzfal beállítások
  • Tunnel beállitások pre-configurálása 
  • Internet, E-Mail, Spam szűrés
  • Monitoring
cse sophos utm redundant features it security project image

Features

Firewall High Availability ( internet, routing, firewall müködik tovább, és a biztonságos Sophos wireless eszközők is biztonságosan kiszolgálják tovább a kliens gépeket)
Ezzel a megoldással minimalizálható a kockázat, hogy ha egy eszköz elromlik az ön hálozata/iternet elérése és a többi telephelyek kapcsolat biztositott / müködik tovább
2 db Sophos UTM (firewall) eszköz redundánsan bekötve az ön hálozatra, igy minimilázható a HW Failure


Mj: érvényes licence esetén a gyártó vállja a HW garanciát is
VLAN-ok kezelése

Support felügyelet távoli eléréssel feltételei:

• dupla internet kapcsolatot két külön ISP-ről

• telephely összeköttettések esetén

• Firewall (értsd: Tűzfal) folyamatos, állandó

• vezetéknélküli hálózati kapcsolatok, wi-fi eszközök nélkülönözhetetlenek

• nincs on-premise infrastruktúra, a Sophos UTM a biztonságos magas rendelkezésre állású internet kapcsolat.

Mit szállít le a CSE Sophos UTM redundant projekt?

Scope:

  1. · Felmérés · Helyszíni szemle (ha szükséges) · Projekt terv véglegesítés
  2. · Teljes dokumentáció létrehozása (HLD, LD)
  3. · Információk és részletek dokumentálása (VLAN-ok, szabályok, spam szűrés, IP Címek, belső szolgáltatások IP címei, Internet Kapcsolatok)
  4. · Tűzfal szabályok beállítása (vagy mostani tűzfal szabály export vagy nulláról konfigurálva)
  5. · Design és architekturális terv véglegesítése · Cut-over/Tüzfal váltás tervezése
  6. · Projekt implementálása · Telepités rack-ben és összekapcsolása a hálózatban
  7. · Konfigurációk elvégzése · Tűzfal beállítások előkészítésé
  8. · Tunnelek beállitások pre-configurálása · Internet, E-Mail, Spam szürés beállítások elvégzése
  9. · Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a Pilot
  10. · Pilot terv véglegesítésé a beállításokkal összehangolva
  11. · Pilot végrehajtása és részletes tesztelés · Pilot eredmények tanulmányozása
  12. · Finomhangolás – beállítások módosítása pilot eredmények alapján
  13. · Részletes cut-over és go-live tervezése – CAB Approval
  14. · Cut-over véglegesítése · Részletes tesztelés · Finom hangolások végrehajtása
  15. · Rendszer monetarizálása  · Hyper-Care

Sophos FW VPN miben jobb mint az SD-WAN?

  • Amenyiben lehetséges, elöre definiált időben, a Sophos tüzfalt Internet mükődését és a Site to Site VPN Kapcsolatokat teszteljük (ugy, hogy az internet kapcsolatok egyenként kerülnek át a régi tüzfalról a Sophos tüzfalba). A virtuális gépről tudjuk végrehajtani a kiegészitő teszteket, ugy, hogy még a régi tüzfal éles a hálozatban.

    A teszt eredmények tapasztalat alapján megtervezzük a UAT-et (hétvége) és a Pilot-ot amikor a fő tüzfal ki lesz iktatva a hálozatból és a Sophos-t élesitjük. UAT után döntésre kerül, hogyan lesz folytatva a Pilot és az élesités.


     

Ha meglevő tűzfalat kell cserélni általában azt szoktuk javasolni, hogy az eszköz csatlakoztatva a hálozatban a végleges helyekre és portokra, de a switch szintén legyen egy olyan beállitás, hogy az eszköz nem kommunikál még a hálozatban (pld a VLAN ID át van írva egy nem használt VLAN-ra a Sophos Portokra). Ilyen esetben az egyik Sophos port-ot beállitjük ideiglenes egy olyan hálozati IP címmel amelyel nem lesz használva, de segit, hogy az eszköz elérhető legyen és tudjunk adminisztrácios feladatokat elvégezni.

A Sophos eszközön megcsináljuk az összes szükséges beállitásokat.

Amenyiben lehetséges szoktunk kérni egy Virtuális gépet amelyik ugyan abban az ideiglenes VLAN-ban mind a Sophos Tüzfalnak a LAN portja, igy az alap teszteket fogjuk tudni megvalositani