VSX - Clico

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA
Techniczne aspekty funkcjonowania systemu
Check Point Virtual System Extension (VSX)
Check Point VPN-1/FireWall-1 VSX umożliwia wdrożenie i centralne zarządzanie
różnych polityk bezpieczeństwa VPN-1/FireWall-1 dla wielu klientów (maks. 100) przy
zachowaniu niewielkich nakładów na sprzęt (m.in. wszystkie moduły inspekcyjne Firewall
i VPN mogą funkcjonować na jednej maszynie). Zastosowanie technologii Check Point
SecureXL dodatkowo podnosi wydajność systemu VPN-1/FireWall-1 VSX umożliwiając jego
poprawne funkcjonowanie w środowiskach sieci Gigabit.
System VSX składa się z następujących modułów (patrz rysunek 1):
• VSX Gateway – moduł zabezpieczeń VPN-1/FireWal-1 umożliwiający ochronę do
100 różnych systemów i sieci. Moduł zabezpieczeń VSX Gateway realizuje różne
polityki bezpieczeństwa dla wielu wirtualnych systemów Virtual System (VS) na
jednym wewnętrznym interfejsie sieciowym. Odbywa się to z wykorzystaniem
technologii VLAN. Ruch sieciowy pomiędzy VS jest zablokowany.
• VSX Management Module – moduł zarządzania zabezpieczeń umożliwiający
składowanie i administrowanie na jednym serwerze do 100 wirtualnych systemów
VS. Jeden system VS pozwala na zdefiniowania swojej indywidualnej polityki
bezpieczeństwa. Moduł zarządzania VSX może także administrować zwykłymi
modułami zabezpieczeń VPN-1/FireWall-1.
• Multi-Policy Editor – konsola zarządzania GUI dedykowana do sprawnego
administrowania wieloma systemami VS.
Rys 1) Komponenty składowe systemu zabezpieczeń VPN-1/FireWall-1 VSX
Obsługa napływającego i wypływającego z maszyny Firewall ruchu sieciowego
realizowana jest przez moduł VSX Context Identification Module. Moduł ten funkcjonuje na
niskim poziomie jądra systemu operacyjnego (2/3 OSI). Przez moduł VSX Context
Identification przechodzą wszystkie pakiety danych. Po identyfikacji ruch sieciowy jest
kierowany przez VSX Context Identification do odpowiedniego modułu VSX Inspection
Module, gdzie odbywa się jego kontrola względem zainstalowanej polityki bezpieczeństwa.
Moduły zabezpieczeń VSX realizują wszystkie podstawowe funkcje zabezpieczeń VPN-1
/FireWall-1 (m.in. ochrona Anti-Spoofing, VPN site-site oraz client-site).
CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Techniczne aspekty funkcjonowania systemu Check Point Virtual System Extension (VSX)
System VSX może zostać wdrożony w konfiguracji odpornej na awarie sprzętowe
i programowe High Availability1 (HA). Możliwa jest do wdrożenia konfiguracja Hot Stand-by.
Instalując klaster maszyn VSX Gateway należy wszystkim współdzielonym interfejsom nadać
takie same nazwy i adresy IP.
Rys 2) VSX Gateway może funkcjonować w klastrze HA odpornym na awarie
Do zarządzania systemu VSX wykorzystywane są narzędzia standardowej konsoli
graficznej Check Point Management NG. Na stacji zarządzającej dla każdego klienta
utrzymywane są odrębne pliki polityki bezpieczeństwa. Wdrożenie polityki bezpieczeństwa w
systemie VSX Gateway dla określonego klienta sprowadza się do wybrania polityki
i zainstalowania jej na odpowiednim VLAN (patrz rysunek 3). Konsola zarządzająca VSX
posiada dodatkowo dwie polityki globalne Override Policy i Default Policy, których reguły
dodawane są odpowiednio na początku i końcu indywidualnych polityk bezpieczeństwa
klientów. Dzięki temu typowe ustawienia konfiguracyjne Firewall nie muszą być definiowane
we wszystkich politykach oddzielnie.
Rys 3) Wdrożenie polityki bezpieczeństwa w systemie VSX Gateway
1
Ochrona przed awariami dla modułów zabezpieczeń VPN-1/FireWall-1 nie jest możliwa do wdrożenia na
platformie Nokia. Ochronę przed awariami dla sprzętu Nokia można uzyskać za pomocą protokołu VRRP.
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
2
Techniczne aspekty funkcjonowania systemu Check Point Virtual System Extension (VSX)
Rozdzielanie ruchu sieciowego z systemu VSX Gateway do odpowiednich lokalizacji
klientów odbywa się we współpracy z przełącznikami (switch) z wykorzystaniem technologii
VLAN (IEEE 802.1q 10/100 Ethernet, Gigabit Ethernet). Port przełącznika (switch), do
którego podłączony jest VSX Gateway powinien być tak skonfigurowany, aby VSX Gateway
należał do wszystkich zdefiniowanych VLAN. Interfejsy VLAN w VSX Gateway powinny
posiadać takie same numery VLAN ID jak numery zdefiniowane na przełączniku.
Baza użytkowników kontrolowanych w systemie VSX może być umieszczona na
zewnętrznym serwerze LDAP. Dostęp do serwera LDAP odbywa się poprzez moduł Check
Point Account Management Module. Zdarzenia bezpieczeństwa rejestrowane w systemie
VSX mogą być przekazywane do modułu Check Point Reporting Module, gdzie po ich
konsolidacji i analizie generowane są raporty.
Wymagania systemowe
VSX Management Server
• OS: SecurePlatform, Solaris 7 (32-bit), Solaris 8 (32-bit, 64-bit)
• HDD: 40 MB
• RAM: 128 MB
• Intel Pentium II 300+MHz
• Sun ULTRA SPARC
VSX Gateway
• OS: SecurePlatform, Nokia IPSO 3.5
• HDD: 40 MB
• RAM: 128 MB
• Intel Pentium II 300+MHz
• Nokia IP 530 lub mocniejsze
• NIC: IEEE 802.1q
VSX Gateway z Performance Pack
• Procesor: Dual Pentium III/IV
• RAM: 512 MB
• HDD: 200 MB
• NIC: Gigabit Ethernet
VSX Policy Editor
• OS: Microsoft Windows 2000
• HDD: 40MB
• RAM: 128MB
• Procesor: Intel Pentium II 300+MHz
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
3