VSX - Clico
Transkrypt
VSX - Clico
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Techniczne aspekty funkcjonowania systemu Check Point Virtual System Extension (VSX) Check Point VPN-1/FireWall-1 VSX umożliwia wdrożenie i centralne zarządzanie różnych polityk bezpieczeństwa VPN-1/FireWall-1 dla wielu klientów (maks. 100) przy zachowaniu niewielkich nakładów na sprzęt (m.in. wszystkie moduły inspekcyjne Firewall i VPN mogą funkcjonować na jednej maszynie). Zastosowanie technologii Check Point SecureXL dodatkowo podnosi wydajność systemu VPN-1/FireWall-1 VSX umożliwiając jego poprawne funkcjonowanie w środowiskach sieci Gigabit. System VSX składa się z następujących modułów (patrz rysunek 1): • VSX Gateway – moduł zabezpieczeń VPN-1/FireWal-1 umożliwiający ochronę do 100 różnych systemów i sieci. Moduł zabezpieczeń VSX Gateway realizuje różne polityki bezpieczeństwa dla wielu wirtualnych systemów Virtual System (VS) na jednym wewnętrznym interfejsie sieciowym. Odbywa się to z wykorzystaniem technologii VLAN. Ruch sieciowy pomiędzy VS jest zablokowany. • VSX Management Module – moduł zarządzania zabezpieczeń umożliwiający składowanie i administrowanie na jednym serwerze do 100 wirtualnych systemów VS. Jeden system VS pozwala na zdefiniowania swojej indywidualnej polityki bezpieczeństwa. Moduł zarządzania VSX może także administrować zwykłymi modułami zabezpieczeń VPN-1/FireWall-1. • Multi-Policy Editor – konsola zarządzania GUI dedykowana do sprawnego administrowania wieloma systemami VS. Rys 1) Komponenty składowe systemu zabezpieczeń VPN-1/FireWall-1 VSX Obsługa napływającego i wypływającego z maszyny Firewall ruchu sieciowego realizowana jest przez moduł VSX Context Identification Module. Moduł ten funkcjonuje na niskim poziomie jądra systemu operacyjnego (2/3 OSI). Przez moduł VSX Context Identification przechodzą wszystkie pakiety danych. Po identyfikacji ruch sieciowy jest kierowany przez VSX Context Identification do odpowiedniego modułu VSX Inspection Module, gdzie odbywa się jego kontrola względem zainstalowanej polityki bezpieczeństwa. Moduły zabezpieczeń VSX realizują wszystkie podstawowe funkcje zabezpieczeń VPN-1 /FireWall-1 (m.in. ochrona Anti-Spoofing, VPN site-site oraz client-site). CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl Techniczne aspekty funkcjonowania systemu Check Point Virtual System Extension (VSX) System VSX może zostać wdrożony w konfiguracji odpornej na awarie sprzętowe i programowe High Availability1 (HA). Możliwa jest do wdrożenia konfiguracja Hot Stand-by. Instalując klaster maszyn VSX Gateway należy wszystkim współdzielonym interfejsom nadać takie same nazwy i adresy IP. Rys 2) VSX Gateway może funkcjonować w klastrze HA odpornym na awarie Do zarządzania systemu VSX wykorzystywane są narzędzia standardowej konsoli graficznej Check Point Management NG. Na stacji zarządzającej dla każdego klienta utrzymywane są odrębne pliki polityki bezpieczeństwa. Wdrożenie polityki bezpieczeństwa w systemie VSX Gateway dla określonego klienta sprowadza się do wybrania polityki i zainstalowania jej na odpowiednim VLAN (patrz rysunek 3). Konsola zarządzająca VSX posiada dodatkowo dwie polityki globalne Override Policy i Default Policy, których reguły dodawane są odpowiednio na początku i końcu indywidualnych polityk bezpieczeństwa klientów. Dzięki temu typowe ustawienia konfiguracyjne Firewall nie muszą być definiowane we wszystkich politykach oddzielnie. Rys 3) Wdrożenie polityki bezpieczeństwa w systemie VSX Gateway 1 Ochrona przed awariami dla modułów zabezpieczeń VPN-1/FireWall-1 nie jest możliwa do wdrożenia na platformie Nokia. Ochronę przed awariami dla sprzętu Nokia można uzyskać za pomocą protokołu VRRP. © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2 Techniczne aspekty funkcjonowania systemu Check Point Virtual System Extension (VSX) Rozdzielanie ruchu sieciowego z systemu VSX Gateway do odpowiednich lokalizacji klientów odbywa się we współpracy z przełącznikami (switch) z wykorzystaniem technologii VLAN (IEEE 802.1q 10/100 Ethernet, Gigabit Ethernet). Port przełącznika (switch), do którego podłączony jest VSX Gateway powinien być tak skonfigurowany, aby VSX Gateway należał do wszystkich zdefiniowanych VLAN. Interfejsy VLAN w VSX Gateway powinny posiadać takie same numery VLAN ID jak numery zdefiniowane na przełączniku. Baza użytkowników kontrolowanych w systemie VSX może być umieszczona na zewnętrznym serwerze LDAP. Dostęp do serwera LDAP odbywa się poprzez moduł Check Point Account Management Module. Zdarzenia bezpieczeństwa rejestrowane w systemie VSX mogą być przekazywane do modułu Check Point Reporting Module, gdzie po ich konsolidacji i analizie generowane są raporty. Wymagania systemowe VSX Management Server • OS: SecurePlatform, Solaris 7 (32-bit), Solaris 8 (32-bit, 64-bit) • HDD: 40 MB • RAM: 128 MB • Intel Pentium II 300+MHz • Sun ULTRA SPARC VSX Gateway • OS: SecurePlatform, Nokia IPSO 3.5 • HDD: 40 MB • RAM: 128 MB • Intel Pentium II 300+MHz • Nokia IP 530 lub mocniejsze • NIC: IEEE 802.1q VSX Gateway z Performance Pack • Procesor: Dual Pentium III/IV • RAM: 512 MB • HDD: 200 MB • NIC: Gigabit Ethernet VSX Policy Editor • OS: Microsoft Windows 2000 • HDD: 40MB • RAM: 128MB • Procesor: Intel Pentium II 300+MHz © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3