A projekt tárgya: Hálózati tűzfal magas rendelkezésre állás megvalósítása/redundáns Sophos tűzfal bevezetése.
Ez biztosítja a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.
Mint magas rendelkezésre állást nyújtó megoldás, a két hardver között forgalom terheléselosztás történik. Így minimalizálható annak a kockázata, hogy egy tűzfalhiba hálózati és vállalati leálláshoz vezessen.
Tűzfal magas rendelkezésre állás implementálása átallással mind informatikai megoldás egészségügyi szolgáltató részére. A projekt célja annak a kockázatnak a csökkentése, hogy egy tűzfal hardverhiba/leállás esetén a hálózat napokig kiesik, amíg azt kicserélik, és újra konfigurálják. A magas rendelésre állás tűzfallal egy hardverhiba következtében nincs negatív hatás, és az egész hálózat online a második hardver által biztosított. Igy az Internet kapcsolat, a telephelyek között és az EESZT-vel garantálva van a kapcsolat. A kollégáink látni fogják a hibát mivel a Sophos Central azonnal küldeni fogja a riasztásokat.
Emellett biztosítja a hálózati kapcsolatot és a folyamatos szolgáltatást a karbantartási ablakok alatt is (például patchelés és frissítés).
Tűzfal magas rendelkezésre állás implementáció:
A pontos tervhez azt kell tudnunk, hogy van-e olyan időpont amikor az átállást meg tudjuk csinálni szolgáltatás kieséssel, azaz éppen nem rendelnek. Tapasztalóból tudjuk, hogy a kicsi egészségügyi szolgáltatóknál nincsen rendelés 24/7 -ben és találunk egy olyan időpontot amikor meg lehet csinálni az átállást (vasárnapi nap folyamán).
A nagy szolgáltatóknál ahol 24/7-ben kell legyen biztosítva a folyamatos szolgáltatás, ott szükséges egy részletes terv ahol a tűzfal egy külön VLAN-ban van bekötve akár egy ideiglenes Internet kapcsolattal:
- Általában azt javasoljuk, hogy a hálózathoz, – a végleges helyekre és portokra – csatlakoztatott eszköz és a Switch egyaránt úgy legyen beállítva, hogy azok még nem kommunikálnak a hálózattal (például a VLAN ID át van írva egy nem használt VLAN-ra a Sophos portokra).Az űrlap teteje
- Ilyen esetben az egyik Sophos portot beállítjuk ideiglenesen egy olyan hálózati IP-címmel, amellyel nem lesz használva, de segít, hogy az eszköz elérhető legyen és tudjunk adminisztrációs feladatokat végezni.
- A Sophos eszközön megcsináljuk az összes szükséges beállítást.
- Ha megoldható, szoktunk kérni egy virtuális gépet, amelyik ugyanabban az ideiglenes VLAN-ban van, mint a Sophos tűzfalnak a LAN-portja, így az alap teszteket meg fogjuk tudni valósítani
- Amennyiben lehetséges, előre definiált időben a Sophos tűzfal internet működését és a Site to Site VPN kapcsolatokat teszteljük (az internet kapcsolatok egyenként kerülnek át a régi tűzfalról a Sophos tűzfalra). A virtuális gépről tudjuk végrehajtani a kiegészítő teszteket úgy, hogy még a régi tűzfal éles a hálózatban.
- A teszteredmények alapján megtervezzük a UAT-et (egy hétvégi napon) és a pilotot, amikor a fő tűzfal ki lesz vezetve a hálózatból és a Sophos-t élesítjük. Az UAT (User Acceptance Testing) fogja eldönteni, hogyan folytatódik a pilot és az élesítés.
Bizonyos esetekben megoldható, hogy a régi és az új tűzfal együttesen működjen, így az átállás nem jár szolgáltatás kieséssel.
Ezért mindenképpen szükséges egy előzetes beszélgetés, hogy megismerjük a topológiát (hálózati eszközök összekapcsolásának módját), és a cég igényeinek legjobban megfelelő módon tudjuk megtervezni a projektet.
Tűzfal magas rendelkezésre állás projekt fő feladatai:
A követelményanalízist a szerződés fázisban fogjuk elvégezni, hogy pontosan ki tudjuk választani a megfelelő Sophos hardvert és a szükséges licencet illetve az átállási egyszerűsített tervét.
- Helyszíni szemle (ha szükséges)
- Teljes dokumentáció létrehozása
- Tűzfal szabályok beállítása (mostani tűzfal szabály export vagy nulláról konfigurálva)
- Átállás részletes tervezése
- Telepítés rack-ben és összekapcsolás a hálózatban
- Konfigurációk elvégzése
- Tűzfal beállítások előkészítése
- Internet, e-mail és spamszűrés beállításainak elvégzése
- Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a pilot
- Pilot terv véglegesítése a beállításokkal összehangolva
- Pilot végrehajtása és részletes tesztelés
- Pilot eredmények tanulmányozása
- Finomhangolás – beállítások módosítása pilot eredmények alapján
- Átállás a tervnek megfelelően
- Részletes tesztelés
- Finomhangolások végrehajtása
- Támogatás és felügyelet bevezetése
A projekt hardver és szoftver igénye:
- 2 x Sophos UTM: a pontos modellt a követelményanalízis fázisban fogjuk véglegesíteni, ami leginkább a felhasználók és internetkapcsolatok számának, valamint a sávszélességnek a függvénye.
- Sophos Full Guard licenc (véglegesítés szintén a követelményanalízis fázisban)
Szükséges szoftverek
A projekt előfeltételei
- Redundáns hálózati LAN-kapcsolat két külön eszközhöz – Link aggregiation biztosítása
- Redundáns internetkapcsolatok / több internetkapcsolat és ezek bekötési, illetve elérhetőségi adatainak biztosítása
- Szabad helyek a rack-ben és szabad portok a switch-ben, link aggregiation beállitása
- Amennyiben nem mi üzemeltetjük a hálózati eszközöket: Switch port beállítása (teaming/link aggregation beállítása, tagged és untagged VLAN beállitása
Erőforrások biztosítása tesztelésre és az átállás alatt a változás követés illetve ITIL folyamatoknak megfelelően.
A technikai jellemzőkről a CSE IT Service informatikai projekt csapat átfogó és részletes tájékoztatásban részesiti valamennyi stakeholdert. További információt az info@csebusiness.hu email cimen tudunk átadni. ( úgy mint Ajánlat, Szerződéskötés feltételei illetve tanácsadás )