Skip to content

Sophos UTM Redundant Upgrade

A projekt tárgya: Hálózati tűzfal magas rendelkezésre állás megvalósítása/redundáns Sophos tűzfal bevezetése.

  • Ez biztosítja a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.

    A projekt célja annak a kockázatnak a csökkentése, hogy egy tűzfal hardverhiba esetén a hálózat napokig kiesik, amíg azt kicserélik, és újra konfigurálják. Egy hardverhiba következtében nincs negatív hatás, és az egész hálózat online a második hardver által biztosított.

    Mint magas rendelkezésre állást nyújtó megoldás, a két hardver között forgalom terheléselosztás történik. Így minimalizálható annak a kockázata, hogy egy tűzfalhiba hálózati és vállalati leálláshoz vezessen. Emellett biztosítja a hálózati kapcsolatot és a folyamatos szolgáltatást a karbantartási ablakok alatt is (például patchelés és frissítés).

    A Sophos redundáns tűzfal megrendelhető különálló szolgáltatásként, vagy a „ csomag részeként.

2) Sophos UTM Redundáns – upgrade projekt megvalósítási megközelítés

Egy redundáns fizikai eszköz biztosítja a tűzfal működését és a magas rendelkezésre állást (hardver meghibásodás esetén).

A projekt végrehajtása az alábbiak szerint történik:

Kezdeti beállítás és konfiguráció:
Tegyük fel, hogy egy meglévő tűzfalat kell lecserélni. Ebben az esetben általában azt javasoljuk, hogy a csatlakoztatott eszközöket és a switchet úgy konfigurálják, hogy még ne kommunikáljanak a hálózattal. Például a Sophos portok VLAN-azonosítóját át kellírni egy nem használt VLAN-ra. Ebben a helyzetben az egyik Sophos port ideiglenesen kap egy olyan hálózati IP-címet, amelyet nem kommunikációra, hanem kizárólag adminisztratív feladatok ellátására használnak az eszközön.
A Sophos eszközön minden szükséges konfigurációt elvégezünk ebben a fázisban. A tesztelés megkönnyítése érdekében kérhetünk egy virtuális gépet (VM), amelyet ugyanabba az ideiglenes VLAN-ba helyezünk, mint a Sophos tűzfal LAN-portja, így elvégezhetjük az első teszteket.

Hálózati security – VPN, S2S, tűzfal szabályok

Amennyiben lehetséges, a Sophos tűzfal internetfunkcióit és Site-to-Site VPN kapcsolatokat egy előre meghatározott időpontban teszteljük. Az internetkapcsolatok egyenként kerülnek átmigrálásra a régi tűzfalról az új Sophos tűzfalra. További teszteket végezhetünk a virtuális gépről, miközben a régi tűzfal még aktív a hálózaton, biztosítva ezzel, hogy ebben a fázisban ne legyen szolgáltatáskimaradás.


Felhasználói elfogadási tesztelés (UAT) és pilot fázis:
A teszteredmények alapján megtervezzük a Felhasználói Elfogadási Tesztelést (UAT) és a pilot fázist, amelyet jellemzően egy hétvégére időzítünk. Ebben a fázisban a régi elsődleges tűzfal eltávolításra kerül a hálózatból, és a Sophos tűzfal lép működésbe. Az UAT eredményei határozzák meg, hogyan halad a pilot fázis, és mikor kerül sor a végleges éles üzembe helyezésre.


Redundancia és szolgáltatásfolytonosság:
Bizonyos esetekben lehetséges, hogy a régi és az új tűzfal egyidejűleg működjön, biztosítva, hogy az átállás ne eredményezzen szolgáltatáskimaradást. Ennek érdekében előzetes egyeztetés szükséges a hálózati topológia és az eszközök összekapcsolásának megértéséhez. Ez lehetővé teszi, hogy a projekttervet a vállalat igényeihez igazítsuk.
Ezen strukturált megközelítés követésével célunk egy zökkenőmentes és hatékony átállás biztosítása az új Sophos UTM tűzfalra, minimális zavarral és maximális szolgáltatásfolytonossággal.

A tűzfal upgrade végrehajtási módja:
  • Teljes körű, részletes felmérés, ami alapján az összes szabályt és szükséges beálltást beillesztjük a saját sablonokba
  • Tűzfal terv létrehozása, amely magában foglalja az üzleti igényeket és a hálózati topológiát
  • Sophos tűzfal rack-ben szerelése és bekötése a hálózati infrastruktúrába
  • Alap beállítások elvégzése
  • Sophos tűzfal hálozati kapcsolatok létrehozása (TRUNK, Teamk-ing/Link aggregiation, VLAN)
  • Routing beállítása, hálózati szürők beállítások elvégzése, beleértve a bejövő és kimenő forgalom szabályait
  • Alkalmazás- és tartalomszűrők beállítása
  • VPN beállítása a távoli hozzáféréshez
  • Site to Site VPN beállítása

Sophos UTM Redundáns – upgrade projekt hatályos feladatok

A követelményanalízist a szerződés fázisban fogjuk elvégezni, hogy pontosan ki tudjuk választani a megfelelő Sophos hardvert és a szükséges licencet.

A teljes projekt várható időtartalma: 3-4 hónap

  • Felmérés, helyszíni szemle (ha szükséges)
  • Projektterv véglegesítése
  • Teljes dokumentáció létrehozása (HLD, LLD)
  • Információk és részletek dokumentálása (VLAN-ok, szabályok, spamszűrés, IP-címek, belső szolgáltatások IP-címei, internetkapcsolatok)
  • Tűzfal szabályok beállítása (mostani tűzfal szabály export vagy nulláról konfigurálva)
  • Telepítés rack-ben és összekapcsolás a hálózatban
  • Konfigurációk elvégzése
  • Tűzfal beállítások előkészítése
  • Tunnel beállítások pre-konfigurálása
  • Internet, e-mail és spamszűrés beállításainak elvégzése
  • Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a pilot
  • Pilot terv véglegesítése a beállításokkal összehangolva
  • Pilot végrehajtása és részletes tesztelés
  • Pilot eredmények tanulmányozása
  • Finomhangolás – beállítások módosítása pilot eredmények alapján
  • Részletes cut-over és go-live tervezése – CAB Approval
  • Cut-over véglegesítése
  • Finomhangolások végrehajtása
  • Hyper-Care (támogatás és felügyelet az új rendszer első időszakában)

A projekt hardver és szoftver igénye

Szükséges fizikai eszközök

  • 2 x Sophos UTM: a pontos modellt a követelményanalízis fázisban fogjuk véglegesíteni, ami leginkább a felhasználók és internetkapcsolatok számának, valamint a sávszélességnek a függvénye.

Szükséges szoftverek

  • Sophos Full Guard licenc (véglegesítés szintén a követelményanalízis fázisban)
A projekt előfeltételei

Ahhoz, hogy a projektet sikeresen végre tudjuk hajtani, az alábbiaknak kell előzetesen megvalósulniuk. Ha valamelyik előfeltétel hiányzik, a Sophos redundáns tűzfal projekthez további szolgáltatásokat fogunk javasolni. 

    • Redundáns hálózati LAN-kapcsolat két külön eszközhöz (amennyiben ez nincsen, a PMI standardoknak megfelelően ez kockázatként lesz kezelve)
    • Redundáns internetkapcsolatok / több internetkapcsolat és ezek bekötési, illetve elérhetőségi adatainak biztosítása
    • Szabad helyek a rack-ben és szabad portok a switch-ben, teaming, esetleg egyéb LAN redundáns kapcsolati megoldás biztosítása
    • Eszközök bekötése a switch-be és switch port beállítása (teaming/link aggregation beállítása, tagged és untagged VLAN a részletes architekturális tervnek megfelelően)
  • Switch port beállítások elvégzése (trunk port, link aggregation vagy más redundáns megoldás, VLAN-ok beállítása)