Skip to content

Tűzfal upgrade – Redundáns Sophos UTM

A projekt tárgya: Hálózati tűzfal magas rendelkezésre állás megvalósítása/redundáns Sophos tűzfal bevezetése.

Ez biztosítja a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.

Sophos tűzfal magas rendelkezésre állás implementálása projekt célja, a kockázatnak a csökkentése, hogy egy tűzfal hardverhiba/leállás esetén a hálózat napokig kiesik, amíg azt kicserélik, és újra konfigurálják. A magas rendelésre állás tűzfallal egy hardverhiba/leállás következtében nincs negatív hatás, és az egész hálózat online a második hardver által biztosított. A kollégáink látni fogják a hibát mivel a Sophos Central azonnal küldeni fogja a riasztásokat. A kollégáink elkezdik a hibaelhárítást akár az új eszköz megrendelésest is.

Mint magas rendelkezésre állást nyújtó megoldás, a két hardver között forgalom terheléselosztás történik. Így minimalizálható annak a kockázata, hogy egy tűzfalhiba hálózati és vállalati leálláshoz vezessen. Emellett biztosítja a hálózati kapcsolatot és a folyamatos szolgáltatást a karbantartási ablakok alatt is (például patchelés és frissítés). A projekt implementál két redundáns Sophos tűzfalat amelyeik átveszi a vállalatnak a teljekörű tűzfalat szerepet a jelenlegi tűzfal helyet.

 

Tűzfal csere/frissítés redundáns tűzfalra projekt leírás megvalósítása:

Mivel a meglévő tűzfalat kell cserélni, általában azt javasoljuk, hogy a hálózathoz, – a végleges helyekre és portokra – csatlakoztatott eszköz és a switch egyaránt úgy legyen beállítva, hogy azok még nem kommunikálnak a hálózattal (például a VLAN ID át van írva egy nem használt VLAN-ra a Sophos portokra).A

Ilyen esetben az egyik Sophos portot beállítjuk ideiglenesen egy olyan hálózati IP-címmel, amellyel nem lesz használva, de segít, hogy az eszköz elérhető legyen és tudjunk adminisztrációs feladatokat végezni.

A Sophos eszközökön megcsináljuk az összes szükséges beállítást.

 

Ha megoldható, szoktunk kérni egy virtuális gépet, amelyik ugyanabban az ideiglenes VLAN-ban van, mint a Sophos tűzfalnak a LAN-portja, így az alap teszteket meg fogjuk tudni valósítani.

Amennyiben lehetséges, előre definiált időben a Sophos tűzfal internet működését és a Site to Site VPN kapcsolatokat teszteljük (az internet kapcsolatok egyenként kerülnek át a régi tűzfalról a Sophos tűzfalra). A virtuális gépről tudjuk végrehajtani a kiegészítő teszteket úgy, hogy még a régi tűzfal éles a hálózatban.

A teszteredmények alapján megtervezzük a UAT-et (egy hétvégi napon) és a pilotot, amikor a fő tűzfal ki lesz vezetve a hálózatból és a Sophos-t élesítjük. Az UAT (User Acceptance Testing) fogja eldönteni, hogyan folytatódik a pilot és az élesítés.

Bizonyos esetekben megoldható, hogy a régi és az új tűzfal együttesen működjön, így az átállás nem jár szolgáltatás kieséssel. Ezért mindenképpen szükséges egy előzetes beszélgetés, hogy megismerjük a topológiát (hálózati eszközök összekapcsolásának módját), és a cég igényeinek legjobban megfelelő módon tudjuk megtervezni a projektet.

Megvalósítási megközelítés:

    • Teljes körű, részletes felmérés, ami alapján az összes szabályt és szükséges beálltást beillesztjük a saját sablonokba
    • Tűzfal terv létrehozása, amely magában foglalja az üzleti igényeket és a hálózati topológiát
    • Sophos tűzfal rack-ben szerelése és bekötése a hálózati infrastruktúrába
    • Alap beállítások elvégzése
    • Sophos tűzfal hálózati kapcsolatok létrehozása (TRUNK, Link aggregáció, VLAN)
    • Routing beállítása, hálózati szürők beállítások elvégzése, beleértve a bejövő és kimenő forgalom szabályait
    • Alkalmazás- és tartalomszűrők beállítása
    • VPN beállítása a távoli hozzáféréshez
    • Site to Site VPN beállítása

Tűzfal csere/frissítés redundáns tűzfalra projekt fő feladatok:

A követelményanalízist a szerződés fázisban fogjuk elvégezni, hogy pontosan ki tudjuk választani a megfelelő Sophos hardvert és a szükséges licencet.

  • Felmérés
  • Helyszíni szemle (ha szükséges)
  • Projektterv véglegesítése
  • Teljes dokumentáció létrehozása (HLD, LD)
  • Információk és részletek dokumentálása (VLAN-ok, szabályok, spamszűrés, IP-címek, belső szolgáltatások IP-címei, internetkapcsolatok)
  • Tűzfal szabályok beállítása (mostani tűzfal szabály export vagy nulláról konfigurálva)
  • Design- és architektúra terv véglegesítése
  • Cut-over/tűzfalváltás tervezése
  • Projekt implementálása
  • Telepítés rack-ben és összekapcsolás a hálózatban
  • Konfigurációk elvégzése
  • Tűzfal beállítások előkészítése
  • Tunnel beállítások pre-konfigurálása
  • Internet, e-mail és spamszűrés beállításainak elvégzése
  • Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a pilot 
  • Pilot terv véglegesítése a beállításokkal összehangolva
  • Pilot végrehajtása és részletes tesztelés 
  • Pilot eredmények tanulmányozása
  • Finomhangolás – beállítások módosítása pilot eredmények alapján
  • Részletes cut-over és go-live tervezése – CAB Jóváhagyás
  • Cut-over véglegesítése
  • Részletes tesztelés
  • Finomhangolások végrehajtása
  • Rendszer monetarizálása (pénzügyi érték meghatározása)
  • Hyper-Care (támogatás és felügyelet az új rendszer első időszakában)

 

Tűzfal csere/frissítés redundáns tűzfalra hardver és szoftver igénye

    • Szükséges fizikai eszközök

      • 2 x Sophos UTM: a pontos modellt a követelményanalízis fázisban fogjuk véglegesíteni, ami leginkább a felhasználók és internetkapcsolatok számának, valamint a sávszélességnek a függvénye.

      Szükséges szoftverek

      • Sophos Full Guard licenc (véglegesítés szintén a követelményanalízis fázisban)

      A teljes projekt várható időtartalma: 3-4 hónap

Tűzfal csere/frissítés redundáns tűzfalra előfeltételei

    • Ahhoz, hogy a projektet sikeresen végre tudjuk hajtani, az alábbiaknak kell előzetesen megvalósulniuk. Ha valamelyik előfeltétel hiányzik, a Sophos redundáns tűzfal projekthez további szolgáltatásokat fogunk javasolni. 

      • Redundáns hálózati LAN-kapcsolat két külön eszközhöz (amennyiben ez nincsen, a PMI standardoknak megfelelően ez kockázatként lesz kezelve)
      • Redundáns internetkapcsolatok / több internetkapcsolat és ezek bekötési, illetve elérhetőségi adatainak biztosítása
      • Szabad helyek a rack-ben és szabad portok a switch-ben, teaming, esetleg egyéb LAN redundáns kapcsolati megoldás biztosítása
      • Eszközök bekötése a switch-be és switch port beállítása (link aggregáció beállítása, tagged és untagged VLAN a részletes tervnek megfelelően)
      • Switch port beállítások elvégzése (trunk port, link aggregáció vagy más redundáns megoldás, VLAN-ok beállítása)