A projekt tárgya: Hálózati tűzfal magas rendelkezésre állás megvalósítása/redundáns Sophos tűzfal bevezetése.
Ez biztosítja a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.
Sophos tűzfal magas rendelkezésre állás implementálása projekt célja, a kockázatnak a csökkentése, hogy egy tűzfal hardverhiba/leállás esetén a hálózat napokig kiesik, amíg azt kicserélik, és újra konfigurálják. A magas rendelésre állás tűzfallal egy hardverhiba/leállás következtében nincs negatív hatás, és az egész hálózat online a második hardver által biztosított. A kollégáink látni fogják a hibát mivel a Sophos Central azonnal küldeni fogja a riasztásokat. A kollégáink elkezdik a hibaelhárítást akár az új eszköz megrendelésest is.
Mint magas rendelkezésre állást nyújtó megoldás, a két hardver között forgalom terheléselosztás történik. Így minimalizálható annak a kockázata, hogy egy tűzfalhiba hálózati és vállalati leálláshoz vezessen. Emellett biztosítja a hálózati kapcsolatot és a folyamatos szolgáltatást a karbantartási ablakok alatt is (például patchelés és frissítés). A projekt implementál két redundáns Sophos tűzfalat amelyeik átveszi a vállalatnak a teljekörű tűzfalat szerepet a jelenlegi tűzfal helyet.
Tűzfal csere/frissítés redundáns tűzfalra projekt leírás megvalósítása:
Mivel a meglévő tűzfalat kell cserélni, általában azt javasoljuk, hogy a hálózathoz, – a végleges helyekre és portokra – csatlakoztatott eszköz és a switch egyaránt úgy legyen beállítva, hogy azok még nem kommunikálnak a hálózattal (például a VLAN ID át van írva egy nem használt VLAN-ra a Sophos portokra).A
Ilyen esetben az egyik Sophos portot beállítjuk ideiglenesen egy olyan hálózati IP-címmel, amellyel nem lesz használva, de segít, hogy az eszköz elérhető legyen és tudjunk adminisztrációs feladatokat végezni.
A Sophos eszközökön megcsináljuk az összes szükséges beállítást.
Ha megoldható, szoktunk kérni egy virtuális gépet, amelyik ugyanabban az ideiglenes VLAN-ban van, mint a Sophos tűzfalnak a LAN-portja, így az alap teszteket meg fogjuk tudni valósítani.
Amennyiben lehetséges, előre definiált időben a Sophos tűzfal internet működését és a Site to Site VPN kapcsolatokat teszteljük (az internet kapcsolatok egyenként kerülnek át a régi tűzfalról a Sophos tűzfalra). A virtuális gépről tudjuk végrehajtani a kiegészítő teszteket úgy, hogy még a régi tűzfal éles a hálózatban.
A teszteredmények alapján megtervezzük a UAT-et (egy hétvégi napon) és a pilotot, amikor a fő tűzfal ki lesz vezetve a hálózatból és a Sophos-t élesítjük. Az UAT (User Acceptance Testing) fogja eldönteni, hogyan folytatódik a pilot és az élesítés.
Bizonyos esetekben megoldható, hogy a régi és az új tűzfal együttesen működjön, így az átállás nem jár szolgáltatás kieséssel. Ezért mindenképpen szükséges egy előzetes beszélgetés, hogy megismerjük a topológiát (hálózati eszközök összekapcsolásának módját), és a cég igényeinek legjobban megfelelő módon tudjuk megtervezni a projektet.
Megvalósítási megközelítés:
- Teljes körű, részletes felmérés, ami alapján az összes szabályt és szükséges beálltást beillesztjük a saját sablonokba
- Tűzfal terv létrehozása, amely magában foglalja az üzleti igényeket és a hálózati topológiát
- Sophos tűzfal rack-ben szerelése és bekötése a hálózati infrastruktúrába
- Alap beállítások elvégzése
- Sophos tűzfal hálózati kapcsolatok létrehozása (TRUNK, Link aggregáció, VLAN)
- Routing beállítása, hálózati szürők beállítások elvégzése, beleértve a bejövő és kimenő forgalom szabályait
- Alkalmazás- és tartalomszűrők beállítása
- VPN beállítása a távoli hozzáféréshez
- Site to Site VPN beállítása
Tűzfal csere/frissítés redundáns tűzfalra projekt fő feladatok:
A követelményanalízist a szerződés fázisban fogjuk elvégezni, hogy pontosan ki tudjuk választani a megfelelő Sophos hardvert és a szükséges licencet.
- Felmérés
- Helyszíni szemle (ha szükséges)
- Projektterv véglegesítése
- Teljes dokumentáció létrehozása (HLD, LD)
- Információk és részletek dokumentálása (VLAN-ok, szabályok, spamszűrés, IP-címek, belső szolgáltatások IP-címei, internetkapcsolatok)
- Tűzfal szabályok beállítása (mostani tűzfal szabály export vagy nulláról konfigurálva)
- Design- és architektúra terv véglegesítése
- Cut-over/tűzfalváltás tervezése
- Projekt implementálása
- Telepítés rack-ben és összekapcsolás a hálózatban
- Konfigurációk elvégzése
- Tűzfal beállítások előkészítése
- Tunnel beállítások pre-konfigurálása
- Internet, e-mail és spamszűrés beállításainak elvégzése
- Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a pilot
- Pilot terv véglegesítése a beállításokkal összehangolva
- Pilot végrehajtása és részletes tesztelés
- Pilot eredmények tanulmányozása
- Finomhangolás – beállítások módosítása pilot eredmények alapján
- Részletes cut-over és go-live tervezése – CAB Jóváhagyás
- Cut-over véglegesítése
- Részletes tesztelés
- Finomhangolások végrehajtása
- Rendszer monetarizálása (pénzügyi érték meghatározása)
- Hyper-Care (támogatás és felügyelet az új rendszer első időszakában)
Tűzfal csere/frissítés redundáns tűzfalra hardver és szoftver igénye
Szükséges fizikai eszközök
- 2 x Sophos UTM: a pontos modellt a követelményanalízis fázisban fogjuk véglegesíteni, ami leginkább a felhasználók és internetkapcsolatok számának, valamint a sávszélességnek a függvénye.
Szükséges szoftverek
- Sophos Full Guard licenc (véglegesítés szintén a követelményanalízis fázisban)
A teljes projekt várható időtartalma: 3-4 hónap
Tűzfal csere/frissítés redundáns tűzfalra előfeltételei
Ahhoz, hogy a projektet sikeresen végre tudjuk hajtani, az alábbiaknak kell előzetesen megvalósulniuk. Ha valamelyik előfeltétel hiányzik, a Sophos redundáns tűzfal projekthez további szolgáltatásokat fogunk javasolni.
- Redundáns hálózati LAN-kapcsolat két külön eszközhöz (amennyiben ez nincsen, a PMI standardoknak megfelelően ez kockázatként lesz kezelve)
- Redundáns internetkapcsolatok / több internetkapcsolat és ezek bekötési, illetve elérhetőségi adatainak biztosítása
- Szabad helyek a rack-ben és szabad portok a switch-ben, teaming, esetleg egyéb LAN redundáns kapcsolati megoldás biztosítása
- Eszközök bekötése a switch-be és switch port beállítása (link aggregáció beállítása, tagged és untagged VLAN a részletes tervnek megfelelően)
- Switch port beállítások elvégzése (trunk port, link aggregáció vagy más redundáns megoldás, VLAN-ok beállítása)