Безопасность периметра сети на базе CheckPoint

Обеспечение функциональности, производительности, защищенности и отказоустойчивости оборудования периметра сети передачи данных на базе CheckPoint

Краткое описание решения

Шлюз безопасности проводит сканирование проходящего трафика и определяет его соответствие сконфигурированным политикам доступа, на основании чего или пересылает трафик далее получателю или отбрасывает его. Шлюзы безопасности обладают широким функционалом – как функциями обычного Firewall (фильтрация на основании IP-адресов/портов), так и продвинутыми системами предотвращения вторжений (IPS), антивирусом, определение трафика тех или иных приложений (торренты, Skype, и т.д.), могут проводить инспекцию SSL (зашифрованного HTTPS-трафика) и многое другое.

Интеграция со службами каталогов (например, Microsoft Active Directory), позволяет эффективно применять политики безопасности к определенным пользователям, а не к IP-адресам, что значительно повышает гибкость и успешность применения политик.

Кроме того, на шлюзах безопасности можно построить защищенное подключение к удалённым офисам организации с помощью технологии VPN, а также организовать защищенный удалённый доступ к корпоративной сети (например, для сотрудников, которые работают из дома).

Для обеспечения аппаратного резервирования шлюза безопасности рекомендуется устанавливать два шлюза и объединять их в отказоустойчивый кластер. Система может работать в режиме Active/Active или Active/Standby. Устройства кластеризуются с помощью проприетарной технологии CheckPoint ClusterXL или с помощью открытого протокола VRRP (только Active/Standby режим), после чего для управления политиками безопасности имеют единый интерфейс.

Шлюзы безопасности поддерживают все основные протоколы маршрутизации (BGP, OSPF, RIP, и т.д.), присутствует встроенный механизм для обеспечения отказоустойчивости интернет-соединения. Как и в случае с кластером, возможна работа в режиме Active/Active и Active/Standby. Кроме прочего, резервирование интернет-соединений также распространяется на VPN-подключения – туннели перестроятся динамически в случае обрыва.
Управление шлюзами безопасности может осуществляться как локально для каждого шлюза, так и с помощью внешнего сервера управления. С его помощью, вы можете управлять сотнями шлюзов CheckPoint из единой консоли, строить VPN-соединения между разными городами в несколько кликов мыши. Также, комплексный подход к журналированию событий безопасности позволяет эффективно реагировать на поступающие угрозы и максимально оперативно находить и устранять их причины.

Решаемые задачи

Решение компании 48IT по обеспечению функциональности, производительности, защищенности и отказоустойчивости оборудования периметра сети передачи данных на базе CheckPoint обеспечивает выполнение следующих задач:

• Обеспечение высокого уровня защищенности периметра сети от внешних атак
• Возможность продвинутого управления политиками доступа к интернет-ресурсам пользователей локальной сети
• Организация защищенных туннелей между географически распределенными площадками
• Организация защищенных пользовательских подключений к корпоративной сети
• Обеспечение отказоустойчивости решения, непрерывности работы бизнес процессов в случае выхода из строя одного из устройств безопасности
• Балансировка нагрузки между устройствами
• Централизованное управление и глубокий анализ событий безопасности

Используемые продукты

• Шлюзы безопасности CheckPoint;
• Сервера управления CheckPoint

Выгоды от решения, которые получает бизнес

• Безопасность — высокий уровень защищенности периметра сети, продвинутый анализ событий безопасности
• Отказоустойчивость – как шлюзов безопасности, так и интернет-соединений
• Производительность – балансировка нагрузки
• Простота в управлении – конфигурация большого количества географически распределенных шлюзов в один клик
• Модульная архитектура – можно добавить тот или иной функционал без замены устройств

Всё вышеперечисленное позволяет достичь:

• защищенности локальной сети и сохранности данных вашей организации;
• непрерывности работы бизнес процессов;
• снижение затрат с использованием модульной архитектуры – платить нужно только за то, что вы используете;
• снижение затрат за счет простой и единой системы управления.

Схема решения

Сроки реализации проекта

Ориентировочная продолжительность проекта составляет 1,5-2 месяца.

Примеры реализованных проектов

Группа компаний 
В рамках проекта была произведена установка и настройка сервера управления и сервера мониторинга и журналирования CheckPoint в центральном офисе компании в городе Киев (Smart-1 Appliance). Также, в центральном офисе и в двух региональных офисах и заводах компании были установлен шлюзы безопасности CheckPoint 4400, настроены отказоустойчивые подключения к сети интернет, а также отказоустойчивые зашифрованные VPN-туннели между городами, использующие full-mesh топологию. Также, был а организована возможность удалённого подключения пользователей к корпоративной сети, настроены политики безопасности с использованием программных модулей (блейдов) CheckPoint – IPS, URLF, AppCtrl, Firewall и т.д.

Компания – разработчик программного обеспечения
Начальный этап проекта состоял из установки двух шлюзов безопасности CheckPoint 4400 в киевском офисе компании, объединение их в отказоустойчивый кластер с балансировкой нагрузки как между шлюзами безопасности, так и между каналами связи. При установке не использовался внешний сервер управления/мониторинга. Позднее, при открытии региональных офисов, в них были установлены отказоустойчивые кластера шлюзов безопасности CheckPoint 4200 или CheckPoint 1180, в зависимости от требований по производительности. Все офисы были объединены VPN-туннелями по топологии “Star” с центром топологии в киевском офисе компании.