Обеспечение функциональности, производительности, защищенности и отказоустойчивости оборудования периметра сети передачи данных на базе CheckPoint

Краткое описание решения

Шлюз безопасности производит сканирование трафика и определяет его соответствие сконфигурированным политикам доступа, на основании чего либо пересылает трафик дальше получателю или отвергает его. Шлюзы безопасности обладают широким функционалом – как функциями обычного Firewall (фильтрация на основании IP-адресов/портов), так и продвинутыми системами предотвращения вторжений (IPS), антивирусом, определения трафика тех или иных приложений (торренты, Skype, и т.д.), могут проводить инспекцию SSL ( зашифрованного HTTPS-трафика) и многое другое.

Интеграция со службами каталогов (например Microsoft Active Directory) позволяет эффективно применять политики безопасности к определенным пользователям, а не к IP-адресам, что значительно повышает гибкость и успешность применения политик.

Кроме того, на шлюзах безопасности можно построить защищенное подключение к удаленным офисам организации с помощью технологии VPN, а также организовать защищенный удаленный доступ к корпоративной сети (например, для работников, работающих из дома).

Для обеспечения аппаратного резервирования шлюза безопасности рекомендуется устанавливать два шлюза и объединять их в отказоустойчивый кластер. Система может работать в режиме Active/Active или Active/Standby. Устройства кластеризуются с помощью проприетарной технологии CheckPoint ClusterXL или с помощью открытого протокола VRRP (только Active/Standby режим), после чего для управления политиками безопасности имеют единый интерфейс.

Шлюзы безопасности поддерживают все основные протоколы маршрутизации (BGP, OSPF, RIP и т.д.), есть встроенный механизм для обеспечения отказоустойчивости интернет-соединения. Как и в случае с кластером, возможна работа в режиме Active/Active и Active/Standby. Кроме этого, резервирование интернет-соединений также распространяется на VPN-подключение – туннели динамически перестроятся при обрыве.
Управление шлюзами безопасности может осуществляться как локально для каждого шлюза, так и с помощью внешнего сервера управления. С его помощью вы можете управлять сотнями шлюзов CheckPoint из единой консоли, строить VPN-соединение между разными городами в несколько кликов мыши. Также, комплексный подход к журналированию событий безопасности позволяет эффективно реагировать на поступающие угрозы и максимально оперативно находить и устранять их причины.

Решаемые задачи

Решение TechExpert по обеспечению функциональности, производительности, защищенности и отказоустойчивости оборудования периметра сети передачи данных на базе CheckPoint обеспечивает выполнение следующих задач:

  • Обеспечение высокого уровня защищенности периметра сети от внешних атак
  • Возможность продвинутого управления политиками доступа к интернет-ресурсам пользователей локальной сети
  • Организация защищенных туннелей между географически распределенными площадками
  • Организация защищенных подключений пользователей к корпоративной сети
  • Обеспечение отказа устойчивости решения, непрерывности работы бизнес-процессов в случае выхода из строя одного из устройств безопасности
  • Балансировка нагрузки между устройствами
  • Централизованное управление и глубокий анализ событий безопасности

Используемые продукты

  • Шлюзы безопасности CheckPoint
  • Сервер управления CheckPoint

Удобства от решения, которые получает бизнес

  • Безопасность – высокий уровень защищенности периметра сети, продвинутый анализ событий безопасности
  • Отказоустойчивость – как шлюзов безопасности, так и интернет-соединений
  • Производительность – балансировка нагрузки
  • Простота в управлении – конфигурация большого количества географически распределенных шлюзов в один клик
  • Модульная архитектура – можно добавить тот или иной функционал без замены устройств

Все вышеупомянутое позволяет достичь

  • Защищенность локальной сети и сохранение данных вашей организации
  • Непрерывности работы бизнес-процессов
  • Снижение затрат с использованием модульной архитектуры – платить нужно только за то, что вы используете
  • Снижение затрат за счет простой и единой системы управления

Схема решения

Примеры реализуемых проектов

Группа компаний «Лекхим»
В рамках проекта была проведена установка и настройка сервера управления и сервера мониторинга и журналирования CheckPoint в центральном офисе компании в городе Киев (Smart-1 Appliance). Также, в центральном офисе и двух региональных офисах и заводах компании были установлены шлюзы безопасности CheckPoint 4400, настроены отказоустойчивые подключения к сети интернет, а также отказоустойчивые зашифрованные VPN-тоннели между городами, использующими full-mesh топологию. Также была организована возможность удаленного подключения пользователей к корпоративной сети, настроены политики безопасности с использованием программных модулей (блейдов) CheckPoint – IPS, URLF, AppCtrl, Firewall и т.д.

Компания – разработчик программного обеспечения
Начальный этап проекта состоял из установки двух шлюзов безопасности CheckPoint 4400 в киевском офисе компании, объединения их в отказоустойчивый кластер с балансировкой нагрузки как между шлюзами безопасности, так и между каналами связи. При установке не использовался внешний сервер управления/мониторинга. Позже при открытии региональных офисов в них были установлены отказоустойчивые кластеры шлюзов безопасности CheckPoint 4200 или CheckPoint 1180 в зависимости от требований по производительности. Все офисы были объединены VPN-тоннелями по топологии Star с центром топологии в киевском офисе компании.

Вы можете ознакомиться с другими нашими проектами: