Обеспечение функциональности, производительности, защищенности и отказоустойчивости оборудования периметра сети передачи данных на базе CheckPoint

Краткое описание решения

Шлюз безопасности проводит сканирование проходящего трафика и определяет его соответствие сконфигурированным политикам доступа, на основании чего или пересылает трафик далее получателю или отбрасывает его. Шлюзы безопасности обладают широким функционалом – как функциями обычного Firewall (фильтрация на основании IP-адресов/портов), так и продвинутыми системами предотвращения вторжений (IPS), антивирусом, определение трафика тех или иных приложений (торренты, Skype, и т.д.), могут проводить инспекцию SSL (зашифрованного HTTPS-трафика) и многое другое.

Интеграция со службами каталогов (например, Microsoft Active Directory), позволяет эффективно применять политики безопасности к определенным пользователям, а не к IP-адресам, что значительно повышает гибкость и успешность применения политик.

Кроме того, на шлюзах безопасности можно построить защищенное подключение к удалённым офисам организации с помощью технологии VPN, а также организовать защищенный удалённый доступ к корпоративной сети (например, для сотрудников, которые работают из дома).

Для обеспечения аппаратного резервирования шлюза безопасности рекомендуется устанавливать два шлюза и объединять их в отказоустойчивый кластер. Система может работать в режиме Active/Active или Active/Standby. Устройства кластеризуются с помощью проприетарной технологии CheckPoint ClusterXL или с помощью открытого протокола VRRP (только Active/Standby режим), после чего для управления политиками безопасности имеют единый интерфейс.

Шлюзы безопасности поддерживают все основные протоколы маршрутизации (BGP, OSPF, RIP, и т.д.), присутствует встроенный механизм для обеспечения отказоустойчивости интернет-соединения. Как и в случае с кластером, возможна работа в режиме Active/Active и Active/Standby. Кроме прочего, резервирование интернет-соединений также распространяется на VPN-подключения – туннели перестроятся динамически в случае обрыва.
Управление шлюзами безопасности может осуществляться как локально для каждого шлюза, так и с помощью внешнего сервера управления. С его помощью, вы можете управлять сотнями шлюзов CheckPoint из единой консоли, строить VPN-соединения между разными городами в несколько кликов мыши. Также, комплексный подход к журналированию событий безопасности позволяет эффективно реагировать на поступающие угрозы и максимально оперативно находить и устранять их причины.

Решаемые задачи

Решение компании TechExpert по обеспечению функциональности, производительности, защищенности и отказоустойчивости оборудования периметра сети передачи данных на базе CheckPoint обеспечивает выполнение следующих задач:

  • Обеспечение высокого уровня защищенности периметра сети от внешних атак
  • Возможность продвинутого управления политиками доступа к интернет-ресурсам пользователей локальной сети
  • Организация защищенных туннелей между географически распределенными площадками
  • Организация защищенных пользовательских подключений к корпоративной сети
  • Обеспечение отказоустойчивости решения, непрерывности работы бизнес процессов в случае выхода из строя одного из устройств безопасности
  • Балансировка нагрузки между устройствами
  • Централизованное управление и глубокий анализ событий безопасности
Используемые продукты
  • Шлюзы безопасности CheckPoint;
  • Сервера управления CheckPoint
Выгоды от решения, которые получает бизнес
  • Безопасность — высокий уровень защищенности периметра сети, продвинутый анализ событий безопасности
  • Отказоустойчивость – как шлюзов безопасности, так и интернет-соединений
  • Производительность – балансировка нагрузки
  • Простота в управлении – конфигурация большого количества географически распределенных шлюзов в один клик
  • Модульная архитектура – можно добавить тот или иной функционал без замены устройств
Всё вышеперечисленное позволяет достичь:
  • защищенности локальной сети и сохранности данных вашей организации;
  • непрерывности работы бизнес процессов;
  • снижение затрат с использованием модульной архитектуры – платить нужно только за то, что вы используете;
  • снижение затрат за счет простой и единой системы управления.
Схема решения

Сроки реализации проекта

Ориентировочная продолжительность проекта составляет 1,5-2 месяца.

Примеры реализованных проектов

Группа компаний «Лекхим»
В рамках проекта была произведена установка и настройка сервера управления и сервера мониторинга и журналирования CheckPoint в центральном офисе компании в городе Киев (Smart-1 Appliance). Также, в центральном офисе и в двух региональных офисах и заводах компании были установлен шлюзы безопасности CheckPoint 4400, настроены отказоустойчивые подключения к сети интернет, а также отказоустойчивые зашифрованные VPN-туннели между городами, использующие full-mesh топологию. Также, был а организована возможность удалённого подключения пользователей к корпоративной сети, настроены политики безопасности с использованием программных модулей (блейдов) CheckPoint – IPS, URLF, AppCtrl, Firewall и т.д.

Компания – разработчик программного обеспечения
Начальный этап проекта состоял из установки двух шлюзов безопасности CheckPoint 4400 в киевском офисе компании, объединение их в отказоустойчивый кластер с балансировкой нагрузки как между шлюзами безопасности, так и между каналами связи. При установке не использовался внешний сервер управления/мониторинга. Позднее, при открытии региональных офисов, в них были установлены отказоустойчивые кластера шлюзов безопасности CheckPoint 4200 или CheckPoint 1180, в зависимости от требований по производительности. Все офисы были объединены VPN-туннелями по топологии “Star” с центром топологии в киевском офисе компании.