Заказать обратный звонок
Напишите свои контактные данные и мы Вам перезвоним!
Контактный номер: 8 (3452) 56-80-88
Отправляя контактные данные, Вы соглашаетесь
с политикой хранения и обработки персональных данных.
Отправляя контактные данные, Вы соглашаетесь
с политикой хранения и обработки персональных данных.
Импортозамещение в области информационной безопасности
Поставка и внедрение отечественного межсетевого экрана
О проекте
Организация: ЗАО «Сибинформбюро»
Задача: обеспечение межсетевого экранирования и сегментации сети с отказоустойчивостью.
Срок реализации: май-июнь 2023 года
Задача: обеспечение межсетевого экранирования и сегментации сети с отказоустойчивостью.
Срок реализации: май-июнь 2023 года
О компании:
Медиахолдинг «Сибинформбюро»
Медиахолдинг «Сибинформбюро»
Медиахолдинг имеет телеканалы собственного программирования: обязательный общедоступный региональный телеканал «Телеканал Тюменское время» (21 кнопка), обязательный общедоступный муниципальный телеканал «ТVОЯ Тюмень» (22 кнопка), «Телеканал Тобольское время», радиостанцию «Диполь FM», является партнером в городе Тюмени радиостанции «МИР» и федерального общедоступного телеканала «ОТР».
Введение
В данном проекте заказчиком являлся крупнейший медиахолдинг Уральского Федерального округа АНО «Сибинформбюро». Отсюда максимальные требования к доступности сетевой инфраструктуры и процессу внедрения новых устройств, и не менее строгие требования к безопасности.
Уход зарубежных вендоров из России означает невозможность получить обновления и произвести продление лицензий. Утратили доверие продукты, которые не получают сертификацию ФСТЭК России и потенциально могут подвергать опасности критически важную инфраструктуру. В связи с этим заказчик принял верное решение - подобрать современное средство для обеспечения безопасности своей ИТ-инфраструктуры.
Уход зарубежных вендоров из России означает невозможность получить обновления и произвести продление лицензий. Утратили доверие продукты, которые не получают сертификацию ФСТЭК России и потенциально могут подвергать опасности критически важную инфраструктуру. В связи с этим заказчик принял верное решение - подобрать современное средство для обеспечения безопасности своей ИТ-инфраструктуры.
Описание
На этапе проработки проекта было проведено тестирование двух систем межсетевого экранирования: АПКШ Континент 4 UTM и UserGate UTM. На основе анализа результатов, выбор сделали в пользу UserGate - данное решение предлагает дружелюбный пользовательский интерфейс, собственные базы сигнатур и широкий функционал по фильтрации трафика вплоть до уровня приложений (L7).
До установки межсетевого экрана UserGate, заказчик использовал решение от pfSense, которое не могло обеспечить должный уровень защищенности от актуальных угроз.
До установки межсетевого экрана UserGate, заказчик использовал решение от pfSense, которое не могло обеспечить должный уровень защищенности от актуальных угроз.
- РешениеКластер из двух узлов UserGate D200 в режиме Актив-Пассив.
А также модули:- Advanced Threat Protection - обновляемые категории сайтов, списки сайтов для соответствия спискам Роскомнадзора, а также морфологические базы;
- Stream Antivirus - потоковая проверка файлов, передаваемых по сети;
- Mail Security - защита внутреннего почтового сервера от спама и вирусов во вложениях.
UserGate соответствует требованиям ФСТЭК России к Межсетевым экранам (4 класс, профили защиты А и Б) и к Системам обнаружения вторжений (4 класс).
UserGate внесен в Реестр Российского программного обеспечения (регистрационный номер 1194)
Внедрение решения в сеть заказчика осуществили без прерывания работы сервисов трансляций.
Кластер из двух узлов UserGate D200 в режиме Актив-Пассив.
- В режиме Актив-Пассив один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные - в качестве резервных. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) - сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.
- Режим Актив-Пассив поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси сервер, например, трафик HTTP/S.
Результат
В процессе внедрения пользователи и сервисы постепенно и прозрачно переводились на новую систему с помощью маршрутизации на основе политик: выделялись небольшие группы пользователей, собиралась обратная связь и вносились требуемые корректировки.
Благодаря использованию кластера, а также двух провайдеров, обеспечена возможность обновлять систему без прерывания работы.
Таким образом, обеспечена отказоустойчивость на трех уровнях:
Для защиты сервисов публикуемых в интернет, настроены профили сигнатур системы обнаружения вторжений и выделен сегмент DMZ. Доступ к сервисам в этом сегменте разрешен только для тех приложений (с помощью анализа на уровне L7), которые действительно должны быть доступны извне.
Для почтового сервера настроен модуль защиты почты, который обнаруживает спам и вирусы в сообщениях без влияния на производительность почтовой системы.
Благодаря использованию кластера, а также двух провайдеров, обеспечена возможность обновлять систему без прерывания работы.
Таким образом, обеспечена отказоустойчивость на трех уровнях:
- Подключение во внутреннюю сеть дублировано с помощью агрегирования каналов.
- Работа МСЭ дублирована с помощью кластера отказоустойчивости.
- Подключение к интернету обеспечено двумя провайдерами.
Для защиты сервисов публикуемых в интернет, настроены профили сигнатур системы обнаружения вторжений и выделен сегмент DMZ. Доступ к сервисам в этом сегменте разрешен только для тех приложений (с помощью анализа на уровне L7), которые действительно должны быть доступны извне.
Для почтового сервера настроен модуль защиты почты, который обнаруживает спам и вирусы в сообщениях без влияния на производительность почтовой системы.