Обеспечение функциональности, производительности, защищенности и отказоустойчивости оборудования периметра сети передачи данных на базе CheckPoint
Краткое описание решения
Шлюз безопасности производит сканирование трафика и определяет его соответствие сконфигурированным политикам доступа, на основании чего либо пересылает трафик дальше получателю или отвергает его. Шлюзы безопасности обладают широким функционалом – как функциями обычного Firewall (фильтрация на основании IP-адресов/портов), так и продвинутыми системами предотвращения вторжений (IPS), антивирусом, определения трафика тех или иных приложений (торренты, Skype, и т.д.), могут проводить инспекцию SSL ( зашифрованного HTTPS-трафика) и многое другое.
Интеграция со службами каталогов (например Microsoft Active Directory) позволяет эффективно применять политики безопасности к определенным пользователям, а не к IP-адресам, что значительно повышает гибкость и успешность применения политик.
Кроме того, на шлюзах безопасности можно построить защищенное подключение к удаленным офисам организации с помощью технологии VPN, а также организовать защищенный удаленный доступ к корпоративной сети (например, для работников, работающих из дома).
Для обеспечения аппаратного резервирования шлюза безопасности рекомендуется устанавливать два шлюза и объединять их в отказоустойчивый кластер. Система может работать в режиме Active/Active или Active/Standby. Устройства кластеризуются с помощью проприетарной технологии CheckPoint ClusterXL или с помощью открытого протокола VRRP (только Active/Standby режим), после чего для управления политиками безопасности имеют единый интерфейс.
Шлюзы безопасности поддерживают все основные протоколы маршрутизации (BGP, OSPF, RIP и т.д.), есть встроенный механизм для обеспечения отказоустойчивости интернет-соединения. Как и в случае с кластером, возможна работа в режиме Active/Active и Active/Standby. Кроме этого, резервирование интернет-соединений также распространяется на VPN-подключение – туннели динамически перестроятся при обрыве.
Управление шлюзами безопасности может осуществляться как локально для каждого шлюза, так и с помощью внешнего сервера управления. С его помощью вы можете управлять сотнями шлюзов CheckPoint из единой консоли, строить VPN-соединение между разными городами в несколько кликов мыши. Также, комплексный подход к журналированию событий безопасности позволяет эффективно реагировать на поступающие угрозы и максимально оперативно находить и устранять их причины.
Решаемые задачи
Решение TechExpert по обеспечению функциональности, производительности, защищенности и отказоустойчивости оборудования периметра сети передачи данных на базе CheckPoint обеспечивает выполнение следующих задач:
- Обеспечение высокого уровня защищенности периметра сети от внешних атак
- Возможность продвинутого управления политиками доступа к интернет-ресурсам пользователей локальной сети
- Организация защищенных туннелей между географически распределенными площадками
- Организация защищенных подключений пользователей к корпоративной сети
- Обеспечение отказа устойчивости решения, непрерывности работы бизнес-процессов в случае выхода из строя одного из устройств безопасности
- Балансировка нагрузки между устройствами
- Централизованное управление и глубокий анализ событий безопасности
Используемые продукты
- Шлюзы безопасности CheckPoint
- Сервер управления CheckPoint
Удобства от решения, которые получает бизнес
- Безопасность – высокий уровень защищенности периметра сети, продвинутый анализ событий безопасности
- Отказоустойчивость – как шлюзов безопасности, так и интернет-соединений
- Производительность – балансировка нагрузки
- Простота в управлении – конфигурация большого количества географически распределенных шлюзов в один клик
- Модульная архитектура – можно добавить тот или иной функционал без замены устройств
Все вышеупомянутое позволяет достичь
- Защищенность локальной сети и сохранение данных вашей организации
- Непрерывности работы бизнес-процессов
- Снижение затрат с использованием модульной архитектуры – платить нужно только за то, что вы используете
- Снижение затрат за счет простой и единой системы управления
Схема решения
Примеры реализуемых проектов
Группа компаний «Лекхим»
В рамках проекта была проведена установка и настройка сервера управления и сервера мониторинга и журналирования CheckPoint в центральном офисе компании в городе Киев (Smart-1 Appliance). Также, в центральном офисе и двух региональных офисах и заводах компании были установлены шлюзы безопасности CheckPoint 4400, настроены отказоустойчивые подключения к сети интернет, а также отказоустойчивые зашифрованные VPN-тоннели между городами, использующими full-mesh топологию. Также была организована возможность удаленного подключения пользователей к корпоративной сети, настроены политики безопасности с использованием программных модулей (блейдов) CheckPoint – IPS, URLF, AppCtrl, Firewall и т.д.
Компания – разработчик программного обеспечения
Начальный этап проекта состоял из установки двух шлюзов безопасности CheckPoint 4400 в киевском офисе компании, объединения их в отказоустойчивый кластер с балансировкой нагрузки как между шлюзами безопасности, так и между каналами связи. При установке не использовался внешний сервер управления/мониторинга. Позже при открытии региональных офисов в них были установлены отказоустойчивые кластеры шлюзов безопасности CheckPoint 4200 или CheckPoint 1180 в зависимости от требований по производительности. Все офисы были объединены VPN-тоннелями по топологии Star с центром топологии в киевском офисе компании.