Модернизация сетевой безопасности: переход на Ideco MX с полным сохранением функционала
Заказчик
Компания, работающая в сфере досудебного и судебного взыскания долгов, с 28 представительствами по территории Российской Федерации.
Ситуация
Устаревшие межсетевые экраны, отсутствие современных механизмов защиты, ручное переключение при сбоях в работе интернет провайдеров, отсутствие единого контроля доступа в интернет.
Задача
В крупной географически распределённой компании с основной и резервной площадками (ЦОД) возникла необходимость произвести замену устаревших шлюзов Cisco и MikroTik на современные отечественные NGFW, сохранив при этом стабильность сети, обеспечив безопасность, отказоустойчивость и удобное управление доступом в интернет.
Проблематика
Устаревшее оборудование в инфраструктуре заказчика создавало существенные операционные сложности. В ходе экспертной оценки ISIB выявил следующие основные проблемы:
уязвимый периметр — отсутствие современных механизмов защиты (DPI, контент-фильтрация);
нет отказоустойчивости — при "падении" одного провайдера интернет-трафик не переключался автоматически на резервный канал;
разрозненный контроль — не было централизованного управления доступом пользователей в интернет.
Решение
Для модернизации сетевой инфраструктуры заказчика специалисты ISIB внедрили NGFWIdeco MX на основной и резервной площадках. Предложенный продукт полностью соответствовал требованиям клиента для обеспечения безопасности периметра.
Проект имел ряд особенностей реализации, на которых стоит заострить внимание.
МИГРАЦИЯ БЕЗ ПРОСТОЕВ
заменены шлюзы Cisco C3900 и MikroTik RB3011 на Ideco MX;
настроена маршрутизация OSPF и GRE-туннели для 28 филиалов — связность сохранена, downtime минимален;
VPN-подключения пользователей перенесены прозрачно — с сохранением конфигурации профилей, политик и авторизации.
УСТРАНЕНИЕ "УЗКИХ МЕСТ" ПО IDECO
На стадии реализации проекта потребовалась поддержка вендора, поскольку в процессе настройки были выявлены ограничения в возможностях программного продукта:
ошибки в работе OSPF при большом числе филиалов (наличие более 10 "соседей" приводило к нестабильной маршрутизации);
отсутствие настройки MTU на GRE-интерфейсах.
Совместно с технической поддержкой производителя Ideco проведён анализ, выявлены причины некорректности работы решения и подготовлены исправления. Вендор подтвердил включение выполненных доработок в будущие релизы ПО.
ИНТЕГРАЦИЯ В РЕЗЕРВНЫЙ ЦОД
Для стабильной работы на резервной площадке настроен стек коммутаторов H3C S6520X-30QC-EI, что обеспечило бесперебойную маршрутизацию между LAN, DMZ, VPN и другими зонами.
Результат
Реализация проекта обеспечила следующие качественные изменения в сети заказчика:
безопасность — работают DPI, NAT, контент-фильтрация, защита от угроз;
стабильность — OSPF и GRE-туннели работают, все филиалы подключены;
отказоустойчивость — автоматическое переключение между провайдерами;
бесшовный переход — пользователи не заметили смены VPN-шлюза;
импортозамещение — переход на российское решение без потери функциональности.
Подобранное и исполненное решение успешно закрыло задачи по безопасности и отказоустойчивости, а также показало, что отечественные NGFW могут эффективно заменять зарубежные аналоги даже в сложных сетевых инфраструктурах.