Заказчик
Компания, работающая в сфере досудебного и судебного взыскания долгов, с 28 представительствами по территории Российской Федерации.
Ситуация
Устаревшие межсетевые экраны, отсутствие современных механизмов защиты, ручное переключение при сбоях в работе интернет провайдеров, отсутствие единого контроля доступа в интернет.
Задача
В крупной географически распределённой компании с основной и резервной площадками (ЦОД) возникла необходимость произвести замену устаревших шлюзов Cisco и MikroTik на современные отечественные NGFW, сохранив при этом стабильность сети, обеспечив безопасность, отказоустойчивость и удобное управление доступом в интернет.
Проблематика
Устаревшее оборудование в инфраструктуре заказчика создавало существенные операционные сложности. В ходе экспертной оценки ISIB выявил следующие основные проблемы:
- уязвимый периметр — отсутствие современных механизмов защиты (DPI, контент-фильтрация);
- нет отказоустойчивости — при "падении" одного провайдера интернет-трафик не переключался автоматически на резервный канал;
- разрозненный контроль — не было централизованного управления доступом пользователей в интернет.
Решение
Для модернизации сетевой инфраструктуры заказчика специалисты ISIB внедрили NGFW Ideco MX на основной и резервной площадках. Предложенный продукт полностью соответствовал требованиям клиента для обеспечения безопасности периметра.
Проект имел ряд особенностей реализации, на которых стоит заострить внимание.
Проект имел ряд особенностей реализации, на которых стоит заострить внимание.
МИГРАЦИЯ БЕЗ ПРОСТОЕВ
- заменены шлюзы Cisco C3900 и MikroTik RB3011 на Ideco MX;
- настроена маршрутизация OSPF и GRE-туннели для 28 филиалов — связность сохранена, downtime минимален;
- VPN-подключения пользователей перенесены прозрачно — с сохранением конфигурации профилей, политик и авторизации.
УСТРАНЕНИЕ "УЗКИХ МЕСТ" ПО IDECO
На стадии реализации проекта потребовалась поддержка вендора, поскольку в процессе настройки были выявлены ограничения в возможностях программного продукта:
- ошибки в работе OSPF при большом числе филиалов (наличие более 10 "соседей" приводило к нестабильной маршрутизации);
- отсутствие настройки MTU на GRE-интерфейсах.
Совместно с технической поддержкой производителя Ideco проведён анализ, выявлены причины некорректности работы решения и подготовлены исправления. Вендор подтвердил включение выполненных доработок в будущие релизы ПО.
ИНТЕГРАЦИЯ В РЕЗЕРВНЫЙ ЦОД
Для стабильной работы на резервной площадке настроен стек коммутаторов H3C S6520X-30QC-EI, что обеспечило бесперебойную маршрутизацию между LAN, DMZ, VPN и другими зонами.
Результат
Реализация проекта обеспечила следующие качественные изменения в сети заказчика:
- безопасность — работают DPI, NAT, контент-фильтрация, защита от угроз;
- стабильность — OSPF и GRE-туннели работают, все филиалы подключены;
- отказоустойчивость — автоматическое переключение между провайдерами;
- бесшовный переход — пользователи не заметили смены VPN-шлюза;
- импортозамещение — переход на российское решение без потери функциональности.
Подобранное и исполненное решение успешно закрыло задачи по безопасности и отказоустойчивости, а также показало, что отечественные NGFW могут эффективно заменять зарубежные аналоги даже в сложных сетевых инфраструктурах.
