У заказчика уже имелся 2х мегабитный канал, который использовался под нужды телефонии. Полная пропускная способность канала (30 линий) была избыточной. Было предложено использовать часть свободных ресурсов под обеспечение офиса доступом в Интернет и, в дальнейшем, организации Веб-сервера компании. Варианты, приводимые ниже, предлагались заказчику для выбора оптимального для него решения.

Вариант 1, предполагающий наибольшую степень защиты при использовании оборудования и программного обеспечения компании Cisco.

Предлагается разделить сеть на два сегмента, офисный (в котором стоят внутренние рабочие станции и сервера) и DMZ (демилитаризованная зона, в которой находятся mail и Web-proxy сервера). Исходя из этого требуется приобретение шасси с двумя Ethernet-портами и дополнительного хаба для выделения DMZ в отдельный сегмент сети, либо несколько портов в коммутаторе с организацией VLAN. При организации системы защиты используется IOS with Firewall Feature Set, механизмы Network Address Translation и статически заданные Access Control Lists.

Предлалается использовать имеющееся подключение к Internet через коммутируемую линию МГТС в качестве резервного канала, модем также подключается к маршрутизатору.

Оборудование:

Cisco 2621, IOS with IP/FW/IDS, VWIC-2MFT-E1-DI, WIC-2A/S (для подключения модема), кабель RS232, программа поддержки SmartNet.

Дополнительный хаб на 4-8 портов подключения или коммутатор с возможностью организации VLAN.

Примечания: Используется шасси Cisco 2621 в связи с требованием клиента обеспечить совместимость портов маршрутизатора с внутренним стандартом Fast Ethernet (100 Mb) и возможностями для будущего развития. Дополнительный хаб (DMZ Hub) используется для организации выделенного сегмента для DMZ.

Данный вариант предоставляет высокую степень защиты внутренней сети и Internet-серверов, а также возможность для дальнейшего расширения. Маршрутизаторы Cisco позволяют реализовать удаленное централизованное администрирование системы, использующее защищенные протоколы связи. Сбор и анализа статистики соединений, поступающей с маршрутизатора, предлагается организовать на одном из компьютеров офисной сети. Такой анализ необходим для учета использования Internet-канала и анализа возможных проблем. Программное обеспечение для анализа передаваемых данных приобретается дополнительно.

Возможно дальнейшее развитие решений, позволяющее в дополнение к приведенной функциональности устанавливать защищенные каналы связи между офисами или между офисом и удаленным пользователем, используя Lобщедоступные¦ сети Internet в качестве транспорта. Для этого потребуется установка операционной системы IOS IP/FW/IDS Plus IPSec 3DES encryption на маршрутизаторы Cisco (с каждой стороны) и клиентов Cisco на компьютеры удаленных пользователей.

Вариант 2, без выделения DMZ в отдельный сегмент сети.

В данном варианте сервера, используемые внешним миром, находятся в том же сегменте сети, что и офис. Плюсы v не требуется дополнительный хаб и используется более дешевое шасси, CISCO 2620. Минусы v меньшая степень защиты, особенно от несанкционированного доступа изнутри.

Возможна организация защиты, по надежности не уступающей варианту 1, при использовании механизма виртуальных локальных сетей. При этом Internet-сервера выделяются в демилитаризованную зону (DMZ), являющуюся виртуальной подсетью. На офисный коммутатор накладывается требование, что он должен поддерживать виртуальные локальные сети (VLAN).

Оборудование:

Cisco 2620, IOS IP/FW/IDS, VWIC-2MFT-E1-DI, WIC-2A/S, кабель RS232, программа поддержки SmartNet

В данном варианте присутствует возможность для организации удаленного администрирования и анализа статистики. Это решение поддерживает дальнейшее увеличение степени защиты каналов связи.

Вариант 3, без выделения DMZ в отдельный сегмент сети и без IOS Firewall Feature Set.

В данном варианте защита обеспечивается только механизмами Network Address Translation и статически заданными Access Control Lists, без Firewall. В такой ситуации DMZ защищена от проникновения изнутри почти так же или, как и при использовании варианта 2, но не защищена от DoS-атак и других способов срыва работы серверов и слабее от внешнего проникновения, чем в вариантах 1 и 2 . Плюсы v меньшая стоимость, чем вар. 1 и 2.

Для поддержки резервного канала используется один из Internet-серверов

Оборудование:

Cisco 2620, IOS with IP only, VWIC-2MFT-E1-DI, SmartNet support program.

Вариант 4, использующий Firewall-1 компании CheckPoint.

Оборудование компании Cisco используется только для поддержки каналов. В качестве защитного экрана используется программный продукт компании CheckPoint ? Firewall-1. Он позволяет построить единую политику безопасности для организации в целом и вести подробный учет всех соединений с внешним миром. Кроме этого он включает в себя визуальное средство их анализа. Управление защитным экраном производится при помощи графической оболочки, располагающейся на рабочей станции администратора. Доступны версии защитного экрана для операционных систем Windows NT, Solaris, Linux и HPUX.

Оборудование и программное обеспечение:

Cisco 2620, IOS with IP only, VWIC-2MFT-E1-DI, WIC-2A/S, кабель RS232, программа поддержки SmartNet.

Сервер для защитного экрана CheckPoint Firewall-1 v (приведены требования разработчика ПО) Intel Pentium III с тактовой частотой не менее 500 MHz, не менее 128 Mb RAM. 2 сетевых интерфейса. Операционная система MS Windows NT 4.0 или Linux RedHat с ядром 2.1.x.

CheckPoint Firewall-1 (для соответствующей операционной системы).



Для организации полноценной системы безопасности рекомендуется выделение Internet-серверов в отдельный (виртуальный) сегмент сети. Если выделение в виртуальный сегмент невозможно, следует рассмотреть альтернативу с приобретением шасси Cisco 2621 (с двумя сетевыми картами) и дополнительного хаба на 4-8 портов.

При использовании более продвинутого пакета, CheckPoint VPN-1 Gateway, включающего в себя сетевой экран Firewall-1 и шлюз VPN SecureServer, возможна организация защищенных соединений между офисами (при использовании средств поддержки защищенных каналов с обеих сторон, не обязательно только CheckPoint VPN-1) и между офисом и удаленными пользователями (с установкой клиентов защищенных соединений на компьютерах удаленных пользователей).

Решение на основе CheckPoint Firewall-1 позволяет построить защищенную систему с возможностями дальнейшего расширения емкости каналов (с использованием оборудования Cisco) и функциональности (приобретая пакет VPN SecureServer отдельно). Входящие в состав пакета визуальные средства анализа отчетов и администрирования позволяют быстро анализировать информацию об использовании Internet-канала.

Выводы

Из всех рассмотренных проектов наибольшей функциональностью и возможностями по анализу происходящего в сети отличается последний, четвертый вариант. В первом и втором вариантах потребуется установка дополнительного ПО для анализа протоколов, поступающих с маршрутизатора CISCO. Он же (четвертый вариант) имеет наибольшую стоимость и представляется на данный момент несколько избыточным . Оптимальным же по соотношению цена/функциональность можно признать первый вариант.