Redundáns tűzfal implementáció dupla internet kapcsolattal
Biztositják az egészségügyi szolgáltatonak a folyamatos Internet kapcsolatot, amelyik nélkülüzhetetletn az egészégügyi rendszereknek
Redundáns tűzfal implementáció dupla internet kapcsolattal
Biztositják az egészségügyi szolgáltatonak a folyamatos Internet kapcsolatot, amelyik nélkülüzhetetletn az egészégügyi rendszereknek
Biztositják a telephelyeközötti folyamatos kapcsolatot
Sophos Firewall, Sophos Wi-Fi, Sophos SD-WAN
Tűzfal magas rendelkezésre állás implementálása átallással mind informatikai megoldás egészségügyi szolgáltató részére . A projekt célja annak a kockázatnak a csökkentése, hogy egy tűzfal hardverhiba/leállás esetén a hálózat napokig kiesik, amíg azt kicserélik, és újra konfigurálják. A magas rendelésre állás tűzfallal egy hardverhiba következtében nincs negatív hatás, és az egész hálózat online a második hardver által biztosított. Igy az Internet kapcsolat, a telephelyek között és az EESZT-vel garantálva van a kapcsolat. A kollégáink látni fogják a hibát mivel a Sophos Central azonnal küldeni fogja a riasztásokat. A kollégáink elkezdik a hibaelhárítást akár az új eszköz megrendelésest is.
Mint magas rendelkezésre állást nyújtó megoldás, a két hardver között forgalom terheléselosztás történik. Így minimalizálható annak a kockázata, hogy egy tűzfalhiba hálózati és vállalati leálláshoz vezessen. Emellett biztosítja a hálózati kapcsolatot és a folyamatos szolgáltatást a karbantartási ablakok alatt is (például patchelés és frissítés).
Tűzfal magas rendelkezésre állás implementáció:
A pontos tervhez azt kell tudnunk, hogy van-e olyan időpont amikor az átállást meg tudjuk csinálni szolgáltatás kieséssel, azaz éppen nem rendelnek. Tapasztalóból tudjuk, hogy a kicsi egészségügyi szolgáltatóknál nincsen rendelés 24/7 -ben és találunk egy olyan időpontot amikor meg lehessen csinálni az átállást (vasárnapi nap folyamán).
A nagy szolgáltatóknál ahol 24/7-ben kell legyen biztosítva a folyamatos szolgáltatás, ott szükséges egy részletes terv ahol a tűzfal egy külön VLAN-ban van bekötve akár egy ideiglenes Internet kapcsolattal:
- Általában azt javasoljuk, hogy a hálózathoz, – a végleges helyekre és portokra – csatlakoztatott eszköz és a Switch egyaránt úgy legyen beállítva, hogy azok még nem kommunikálnak a hálózattal (például a VLAN ID át van írva egy nem használt VLAN-ra a Sophos portokra).Az űrlap teteje
- Ilyen esetben az egyik Sophos portot beállítjuk ideiglenesen egy olyan hálózati IP-címmel, amellyel nem lesz használva, de segít, hogy az eszköz elérhető legyen és tudjunk adminisztrációs feladatokat végezni.
- A Sophos eszközön megcsináljuk az összes szükséges beállítást.
- Ha megoldható, szoktunk kérni egy virtuális gépet, amelyik ugyanabban az ideiglenes VLAN-ban van, mint a Sophos tűzfalnak a LAN-portja, így az alap teszteket meg fogjuk tudni valósítani
- Amennyiben lehetséges, előre definiált időben a Sophos tűzfal internet működését és a Site to Site VPN kapcsolatokat teszteljük (az internet kapcsolatok egyenként kerülnek át a régi tűzfalról a Sophos tűzfalra). A virtuális gépről tudjuk végrehajtani a kiegészítő teszteket úgy, hogy még a régi tűzfal éles a hálózatban.
- A teszteredmények alapján megtervezzük a UAT-et (egy hétvégi napon) és a pilotot, amikor a fő tűzfal ki lesz vezetve a hálózatból és a Sophos-t élesítjük. Az UAT (User Acceptance Testing) fogja eldönteni, hogyan folytatódik a pilot és az élesítés.
Bizonyos esetekben megoldható, hogy a régi és az új tűzfal együttesen működjen, így az átállás nem jár szolgáltatás kieséssel. Ezért mindenképpen szükséges egy előzetes beszélgetés, hogy megis
Tűzfal magas rendelkezésre állás projekt fő feladatai:
A követelményanalízist a szerződés fázisban fogjuk elvégezni, hogy pontosan ki tudjuk választani a megfelelő Sophos hardvert és a szükséges licencet illetve az átállási egyszerűsített tervét.
- Helyszíni szemle (ha szükséges)
- Teljes dokumentáció létrehozása
- Tűzfal szabályok beállítása (mostani tűzfal szabály export vagy nulláról konfigurálva)
- Átállás részletes tervezése
- Telepítés rack-ben és összekapcsolás a hálózatban
- Internet, e-mail és spamszűrés beállításainak elvégzése
- Részletes tesztelés
- Konfigurációk elvégzése
- Tűzfal beállítások előkészítése
- Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a pilot
- Pilot terv véglegesítése a beállításokkal összehangolva
- Pilot végrehajtása és részletes tesztelés
- Pilot eredmények tanulmányozása
- Finomhangolás – beállítások módosítása pilot eredmények alapján
- Átállás a tervnek megfelelően
- Finomhangolások végrehajtása
- Támogatás és felügyelet bevezetése
Tűzfal magas rendelkezésre állás projekt igénye:
Szükséges fizikai eszközök
- 2 x Sophos UTM: a pontos modellt a követelményanalízis fázisban fogjuk véglegesíteni, ami leginkább a felhasználók és internetkapcsolatok számának, valamint a sávszélességnek a függvénye.
Szükséges szoftverek
- Sophos Full Guard licenc (véglegesítés szintén a követelményanalízis fázisban)
Tűzfal magas rendelkezésre állás projekt előfeltételei
- Redundáns hálózati LAN-kapcsolat két külön eszközhöz – Link aggregiation biztosítása
- Redundáns internetkapcsolatok / több internetkapcsolat és ezek bekötési, illetve elérhetőségi adatainak biztosítása
- Szabad helyek a rack-ben és szabad portok a switch-ben, link aggregiation beállitása
- Amennyiben nem mi üzemeltetjük a hálózati eszközöket: Switch port beállítása (teaming/link aggregation beállítása, tagged és untagged VLAN beállitása
Tűzfal magas rendelkezésre állás projekt várható időtartalma: 2-3 hónap komplexitást függően