Skip to content

Redundáns tűzfal

Redundáns tűzfal implementáció dupla internet kapcsolattal

Biztositják az egészségügyi szolgáltatonak a folyamatos Internet kapcsolatot, amelyik nélkülüzhetetletn az egészégügyi rendszereknek

Redundáns tűzfal implementáció dupla internet kapcsolattal

Biztositják az egészségügyi szolgáltatonak a folyamatos Internet kapcsolatot, amelyik nélkülüzhetetletn az egészégügyi rendszereknek
Biztositják a telephelyeközötti folyamatos kapcsolatot

Sophos Firewall, Sophos Wi-Fi, Sophos SD-WAN

Tűzfal magas rendelkezésre állás implementálása átallással mind informatikai megoldás egészségügyi szolgáltató részére . A projekt célja annak a kockázatnak a csökkentése, hogy egy tűzfal hardverhiba/leállás esetén a hálózat napokig kiesik, amíg azt kicserélik, és újra konfigurálják. A magas rendelésre állás tűzfallal egy hardverhiba következtében nincs negatív hatás, és az egész hálózat online a második hardver által biztosított. Igy az Internet kapcsolat, a telephelyek között és az EESZT-vel garantálva van a kapcsolat. A kollégáink látni fogják a hibát mivel a Sophos Central azonnal küldeni fogja a riasztásokat. A kollégáink elkezdik a hibaelhárítást akár az új eszköz megrendelésest is.

Mint magas rendelkezésre állást nyújtó megoldás, a két hardver között forgalom terheléselosztás történik. Így minimalizálható annak a kockázata, hogy egy tűzfalhiba hálózati és vállalati leálláshoz vezessen. Emellett biztosítja a hálózati kapcsolatot és a folyamatos szolgáltatást a karbantartási ablakok alatt is (például patchelés és frissítés).

Tűzfal magas rendelkezésre állás implementáció:

A pontos tervhez azt kell tudnunk, hogy van-e olyan időpont amikor az átállást meg tudjuk csinálni szolgáltatás kieséssel, azaz éppen nem rendelnek. Tapasztalóból tudjuk, hogy a kicsi egészségügyi szolgáltatóknál nincsen rendelés 24/7 -ben és találunk egy olyan időpontot amikor meg lehessen csinálni az átállást (vasárnapi nap folyamán). 

A nagy szolgáltatóknál ahol 24/7-ben kell legyen biztosítva a folyamatos szolgáltatás, ott szükséges egy részletes terv ahol a tűzfal egy külön VLAN-ban van bekötve akár egy ideiglenes Internet kapcsolattal:

  • Általában azt javasoljuk, hogy a hálózathoz, – a végleges helyekre és portokra – csatlakoztatott eszköz és a Switch egyaránt úgy legyen beállítva, hogy azok még nem kommunikálnak a hálózattal (például a VLAN ID át van írva egy nem használt VLAN-ra a Sophos portokra).Az űrlap teteje
  • Ilyen esetben az egyik Sophos portot beállítjuk ideiglenesen egy olyan hálózati IP-címmel, amellyel nem lesz használva, de segít, hogy az eszköz elérhető legyen és tudjunk adminisztrációs feladatokat végezni.
  • A Sophos eszközön megcsináljuk az összes szükséges beállítást.
  • Ha megoldható, szoktunk kérni egy virtuális gépet, amelyik ugyanabban az ideiglenes VLAN-ban van, mint a Sophos tűzfalnak a LAN-portja, így az alap teszteket meg fogjuk tudni valósítani
  • Amennyiben lehetséges, előre definiált időben a Sophos tűzfal internet működését és a Site to Site VPN kapcsolatokat teszteljük (az internet kapcsolatok egyenként kerülnek át a régi tűzfalról a Sophos tűzfalra). A virtuális gépről tudjuk végrehajtani a kiegészítő teszteket úgy, hogy még a régi tűzfal éles a hálózatban.
  • A teszteredmények alapján megtervezzük a UAT-et (egy hétvégi napon) és a pilotot, amikor a fő tűzfal ki lesz vezetve a hálózatból és a Sophos-t élesítjük. Az UAT (User Acceptance Testing) fogja eldönteni, hogyan folytatódik a pilot és az élesítés.

Bizonyos esetekben megoldható, hogy a régi és az új tűzfal együttesen működjen, így az átállás nem jár szolgáltatás kieséssel. Ezért mindenképpen szükséges egy előzetes beszélgetés, hogy megis

 

Tűzfal magas rendelkezésre állás projekt fő feladatai:

A követelményanalízist a szerződés fázisban fogjuk elvégezni, hogy pontosan ki tudjuk választani a megfelelő Sophos hardvert és a szükséges licencet illetve az átállási egyszerűsített tervét.

  • Helyszíni szemle (ha szükséges)
  • Teljes dokumentáció létrehozása
  • Tűzfal szabályok beállítása (mostani tűzfal szabály export vagy nulláról konfigurálva)
  • Átállás részletes tervezése
  • Telepítés rack-ben és összekapcsolás a hálózatban
  • Internet, e-mail és spamszűrés beállításainak elvégzése
  • Részletes tesztelés
  • Konfigurációk elvégzése
  • Tűzfal beállítások előkészítése
  • Alap és részletes tesztelés – annak függvényében, hogy milyen beállításokat végzetünk el és hogyan van tervezve a pilot
  • Pilot terv véglegesítése a beállításokkal összehangolva
  • Pilot végrehajtása és részletes tesztelés
  • Pilot eredmények tanulmányozása
  • Finomhangolás – beállítások módosítása pilot eredmények alapján
  • Átállás a tervnek megfelelően
  • Finomhangolások végrehajtása
  • Támogatás és felügyelet bevezetése
  •  

Tűzfal magas rendelkezésre állás projekt  igénye:

Szükséges fizikai eszközök

  • 2 x Sophos UTM: a pontos modellt a követelményanalízis fázisban fogjuk véglegesíteni, ami leginkább a felhasználók és internetkapcsolatok számának, valamint a sávszélességnek a függvénye.

Szükséges szoftverek

  • Sophos Full Guard licenc (véglegesítés szintén a követelményanalízis fázisban)
  •  

Tűzfal magas rendelkezésre állás projekt előfeltételei

  • Redundáns hálózati LAN-kapcsolat két külön eszközhöz – Link aggregiation biztosítása
  • Redundáns internetkapcsolatok / több internetkapcsolat és ezek bekötési, illetve elérhetőségi adatainak biztosítása
  • Szabad helyek a rack-ben és szabad portok a switch-ben, link aggregiation beállitása
  • Amennyiben nem mi üzemeltetjük a hálózati eszközöket: Switch port beállítása (teaming/link aggregation beállítása, tagged és untagged VLAN beállitása

 

Tűzfal magas rendelkezésre állás  projekt várható időtartalma: 2-3 hónap komplexitást függően