A projekt tárgya: Hálózati tűzfal magas rendelkezésre állás megvalósítása/redundáns Sophos tűzfal bevezetése.
Ez biztosítja a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.
A projekt célja annak a kockázatnak a csökkentése, hogy egy tűzfal hardverhiba esetén a hálózat napokig kiesik, amíg azt kicserélik, és újra konfigurálják. Egy hardverhiba következtében nincs negatív hatás, és az egész hálózat online a második hardver által biztosított.
Mint magas rendelkezésre állást nyújtó megoldás, a két hardver között forgalom terheléselosztás történik. Így minimalizálható annak a kockázata, hogy egy tűzfalhiba hálózati és vállalati leálláshoz vezessen. Emellett biztosítja a hálózati kapcsolatot és a folyamatos szolgáltatást a karbantartási ablakok alatt is (például patchelés és frissítés).
A Sophos redundáns tűzfal megrendelhető különálló szolgáltatásként, vagy a „ csomag részeként.
2) Sophos UTM Redundáns – upgrade projekt megvalósítási megközelítés
Egy redundáns fizikai eszköz biztosítja a tűzfal működését és a magas rendelkezésre állást (hardver meghibásodás esetén).
A projekt végrehajtása az alábbiak szerint történik:
Kezdeti beállítás és konfiguráció:
Tegyük fel, hogy egy meglévő tűzfalat kell lecserélni. Ebben az esetben általában azt javasoljuk, hogy a csatlakoztatott eszközöket és a switchet úgy konfigurálják, hogy még ne kommunikáljanak a hálózattal. Például a Sophos portok VLAN-azonosítóját át kellírni egy nem használt VLAN-ra. Ebben a helyzetben az egyik Sophos port ideiglenesen kap egy olyan hálózati IP-címet, amelyet nem kommunikációra, hanem kizárólag adminisztratív feladatok ellátására használnak az eszközön.
A Sophos eszközön minden szükséges konfigurációt elvégezünk ebben a fázisban. A tesztelés megkönnyítése érdekében kérhetünk egy virtuális gépet (VM), amelyet ugyanabba az ideiglenes VLAN-ba helyezünk, mint a Sophos tűzfal LAN-portja, így elvégezhetjük az első teszteket.
Hálózati security – VPN, S2S, tűzfal szabályok
Amennyiben lehetséges, a Sophos tűzfal internetfunkcióit és Site-to-Site VPN kapcsolatokat egy előre meghatározott időpontban teszteljük. Az internetkapcsolatok egyenként kerülnek átmigrálásra a régi tűzfalról az új Sophos tűzfalra. További teszteket végezhetünk a virtuális gépről, miközben a régi tűzfal még aktív a hálózaton, biztosítva ezzel, hogy ebben a fázisban ne legyen szolgáltatáskimaradás.
Felhasználói elfogadási tesztelés (UAT) és pilot fázis:
A teszteredmények alapján megtervezzük a Felhasználói Elfogadási Tesztelést (UAT) és a pilot fázist, amelyet jellemzően egy hétvégére időzítünk. Ebben a fázisban a régi elsődleges tűzfal eltávolításra kerül a hálózatból, és a Sophos tűzfal lép működésbe. Az UAT eredményei határozzák meg, hogyan halad a pilot fázis, és mikor kerül sor a végleges éles üzembe helyezésre.
Redundancia és szolgáltatásfolytonosság:
Bizonyos esetekben lehetséges, hogy a régi és az új tűzfal egyidejűleg működjön, biztosítva, hogy az átállás ne eredményezzen szolgáltatáskimaradást. Ennek érdekében előzetes egyeztetés szükséges a hálózati topológia és az eszközök összekapcsolásának megértéséhez. Ez lehetővé teszi, hogy a projekttervet a vállalat igényeihez igazítsuk.
Ezen strukturált megközelítés követésével célunk egy zökkenőmentes és hatékony átállás biztosítása az új Sophos UTM tűzfalra, minimális zavarral és maximális szolgáltatásfolytonossággal.
A tűzfal upgrade végrehajtási módja:
- Teljes körű, részletes felmérés, ami alapján az összes szabályt és szükséges beálltást beillesztjük a saját sablonokba
- Tűzfal terv létrehozása, amely magában foglalja az üzleti igényeket és a hálózati topológiát
- Sophos tűzfal rack-ben szerelése és bekötése a hálózati infrastruktúrába
- Alap beállítások elvégzése
- Sophos tűzfal hálozati kapcsolatok létrehozása (TRUNK, Teamk-ing/Link aggregiation, VLAN)
- Routing beállítása, hálózati szürők beállítások elvégzése, beleértve a bejövő és kimenő forgalom szabályait
- Alkalmazás- és tartalomszűrők beállítása
- VPN beállítása a távoli hozzáféréshez
- Site to Site VPN beállítása
Sophos UTM Redundáns – upgrade projekt hatályos feladatok
A követelményanalízist a szerződés fázisban fogjuk elvégezni, hogy pontosan ki tudjuk választani a megfelelő Sophos hardvert és a szükséges licencet.
A teljes projekt várható időtartalma: 3-4 hónap
- Felmérés, helyszíni szemle (ha szükséges)
- Projektterv véglegesítése
- Teljes dokumentáció létrehozása (HLD, LLD)
- Információk és részletek dokumentálása (VLAN-ok, szabályok, spamszűrés, IP-címek, belső szolgáltatások IP-címei, internetkapcsolatok)
- Tűzfal szabályok beállítása (mostani tűzfal szabály export vagy nulláról konfigurálva)
- Telepítés rack-ben és összekapcsolás a hálózatban
- Konfigurációk elvégzése
- Tűzfal beállítások előkészítése
- Tunnel beállítások pre-konfigurálása
- Internet, e-mail és spamszűrés beállításainak elvégzése
- Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a pilot
- Pilot terv véglegesítése a beállításokkal összehangolva
- Pilot végrehajtása és részletes tesztelés
- Pilot eredmények tanulmányozása
- Finomhangolás – beállítások módosítása pilot eredmények alapján
- Részletes cut-over és go-live tervezése – CAB Approval
- Cut-over véglegesítése
- Finomhangolások végrehajtása
- Hyper-Care (támogatás és felügyelet az új rendszer első időszakában)
A projekt hardver és szoftver igénye
Szükséges fizikai eszközök
- 2 x Sophos UTM: a pontos modellt a követelményanalízis fázisban fogjuk véglegesíteni, ami leginkább a felhasználók és internetkapcsolatok számának, valamint a sávszélességnek a függvénye.
Szükséges szoftverek
- Sophos Full Guard licenc (véglegesítés szintén a követelményanalízis fázisban)
A projekt előfeltételei
Ahhoz, hogy a projektet sikeresen végre tudjuk hajtani, az alábbiaknak kell előzetesen megvalósulniuk. Ha valamelyik előfeltétel hiányzik, a Sophos redundáns tűzfal projekthez további szolgáltatásokat fogunk javasolni.
- Redundáns hálózati LAN-kapcsolat két külön eszközhöz (amennyiben ez nincsen, a PMI standardoknak megfelelően ez kockázatként lesz kezelve)
- Redundáns internetkapcsolatok / több internetkapcsolat és ezek bekötési, illetve elérhetőségi adatainak biztosítása
- Szabad helyek a rack-ben és szabad portok a switch-ben, teaming, esetleg egyéb LAN redundáns kapcsolati megoldás biztosítása
- Eszközök bekötése a switch-be és switch port beállítása (teaming/link aggregation beállítása, tagged és untagged VLAN a részletes architekturális tervnek megfelelően)
- Switch port beállítások elvégzése (trunk port, link aggregation vagy más redundáns megoldás, VLAN-ok beállítása)