Skip to content

A projekt tárgya: Hálózati tűzfal magas rendelkezésre állás megvalósítása/redundáns Sophos tűzfal bevezetése.

Ez biztosítja a rendszer/infrastruktúra folyamatos védelmét és minimalizálja az esetleges kieséseket.

Tűzfal magas rendelkezésre állás implementálása átallással mind informatikai megoldás egészségügyi szolgáltató részére. A projekt célja annak a kockázatnak a csökkentése, hogy egy tűzfal hardverhiba/leállás esetén a hálózat napokig kiesik, amíg azt kicserélik, és újra konfigurálják. A magas rendelésre állás tűzfallal egy hardverhiba következtében nincs negatív hatás, és az egész hálózat online a második hardver által biztosított. Igy az Internet kapcsolat, a telephelyek között és az EESZT-vel garantálva van a kapcsolat. A kollégáink látni fogják a hibát mivel a Sophos Central azonnal küldeni fogja a riasztásokat. A kollégáink elkezdik a hibaelhárítást akár az új eszköz megrendelésest is.

Mint magas rendelkezésre állást nyújtó megoldás, a két hardver között forgalom terheléselosztás történik. Így minimalizálható annak a kockázata, hogy egy tűzfalhiba hálózati és vállalati leálláshoz vezessen.
Emellett biztosítja a hálózati kapcsolatot és a folyamatos szolgáltatást a karbantartási ablakok alatt is (például patchelés és frissítés).

Tűzfal magas rendelkezésre állás implementáció:

A pontos tervhez azt kell tudnunk, hogy van-e olyan időpont amikor az átállást meg tudjuk csinálni szolgáltatás kieséssel, azaz éppen nem rendelnek. Tapasztalóból tudjuk, hogy a kicsi egészségügyi szolgáltatóknál nincsen rendelés 24/7 -ben és találunk egy olyan időpontot amikor meg lehet csinálni az átállást (vasárnapi nap folyamán).

A nagy szolgáltatóknál ahol 24/7-ben kell legyen biztosítva a folyamatos szolgáltatás, ott szükséges egy részletes terv ahol a tűzfal egy külön VLAN-ban van bekötve akár egy ideiglenes Internet kapcsolattal:

  • Általában azt javasoljuk, hogy a hálózathoz, – a végleges helyekre és portokra – csatlakoztatott eszköz és a Switch egyaránt úgy legyen beállítva, hogy azok még nem kommunikálnak a hálózattal (például a VLAN ID át van írva egy nem használt VLAN-ra a Sophos portokra).Az űrlap teteje
  • Ilyen esetben az egyik Sophos portot beállítjuk ideiglenesen egy olyan hálózati IP-címmel, amellyel nem lesz használva, de segít, hogy az eszköz elérhető legyen és tudjunk adminisztrációs feladatokat végezni.
  • A Sophos eszközön megcsináljuk az összes szükséges beállítást.
  • Ha megoldható, szoktunk kérni egy virtuális gépet, amelyik ugyanabban az ideiglenes VLAN-ban van, mint a Sophos tűzfalnak a LAN-portja, így az alap teszteket meg fogjuk tudni valósítani
  • Amennyiben lehetséges, előre definiált időben a Sophos tűzfal internet működését és a Site to Site VPN kapcsolatokat teszteljük (az internet kapcsolatok egyenként kerülnek át a régi tűzfalról a Sophos tűzfalra). A virtuális gépről tudjuk végrehajtani a kiegészítő teszteket úgy, hogy még a régi tűzfal éles a hálózatban.
  • A teszteredmények alapján megtervezzük a UAT-et (egy hétvégi napon) és a pilotot, amikor a fő tűzfal ki lesz vezetve a hálózatból és a Sophos-t élesítjük. Az UAT (User Acceptance Testing) fogja eldönteni, hogyan folytatódik a pilot és az élesítés.

Bizonyos esetekben megoldható, hogy a régi és az új tűzfal együttesen működjen, így az átállás nem jár szolgáltatás kieséssel.

Ezért mindenképpen szükséges egy előzetes beszélgetés, hogy megismerjük a topológiát (hálózati eszközök összekapcsolásának módját), és a cég igényeinek legjobban megfelelő módon tudjuk megtervezni a projektet.

Tűzfal magas rendelkezésre állás projekt fő feladatai:

A követelményanalízist a szerződés fázisban fogjuk elvégezni, hogy pontosan ki tudjuk választani a megfelelő Sophos hardvert és a szükséges licencet illetve az átállási egyszerűsített tervét.

    • Helyszíni szemle (ha szükséges)
    • Teljes dokumentáció létrehozása
    • Tűzfal szabályok beállítása (mostani tűzfal szabály export vagy nulláról konfigurálva)
    • Átállás részletes tervezése
    • Telepítés rack-ben és összekapcsolás a hálózatban
    • Konfigurációk elvégzése
    • Tűzfal beállítások előkészítése
    • Internet, e-mail és spamszűrés beállításainak elvégzése
    • Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a pilot 
    • Pilot terv véglegesítése a beállításokkal összehangolva
    • Pilot végrehajtása és részletes tesztelés 
    • Pilot eredmények tanulmányozása
    • Finomhangolás – beállítások módosítása pilot eredmények alapján
    • Átállás a tervnek megfelelően
    • Részletes tesztelés
    • Finomhangolások végrehajtása
    • Támogatás és felügyelet bevezetése
    •  

A projekt hardver és szoftver igénye:

Szükséges fizikai eszközök
  • 2 x Sophos UTM: a pontos modellt a követelményanalízis fázisban fogjuk véglegesíteni, ami leginkább a felhasználók és internetkapcsolatok számának, valamint a sávszélességnek a függvénye.

  • Szükséges szoftverek
  • Sophos Full Guard licenc (véglegesítés szintén a követelményanalízis fázisban)
egészségügyi szolgáltatók informatikai rendszereinek üzemeltetése CSE IT

A projekt előfeltételei

    • Redundáns hálózati LAN-kapcsolat két külön eszközhöz – Link aggregiation biztosítása
    • Redundáns internetkapcsolatok / több internetkapcsolat és ezek bekötési, illetve elérhetőségi adatainak biztosítása
    • Szabad helyek a rack-ben és szabad portok a switch-ben, link aggregiation beállitása
    • Amennyiben nem mi üzemeltetjük a hálózati eszközöket: Switch port beállítása (teaming/link aggregation beállítása, tagged és untagged VLAN beállitása

  • Erőforrások biztosítása tesztelésre és az átállás alatt a változás követés ITIL folyamatoknak megfelelően

A technikai jellemzőkről a CSE IT Service informatikai projekt csapat átfogó és részletes tájékoztatásban részesiti valamennyi stakeholdert.