Предложение по обеспечению защиты периметра сети

Общая схема

Данная схема соответствует существующей в Банке в настоящий момент, но в тоже время обеспечивает высокую степень защиты и контроля сетевой безопасности. За счет сохранения неизменности сетевой структуры риски простоя связанные с внедрением новой системы защиты удается свести к минимуму.

В качестве аппаратной платформы предлагается использовать сервера HP ML110.

В качестве программного обеспечения Windows 2000 Server с установленным Internet Security & Acceleration Server и Symantec Antivirus for Microsoft ISA Server.

Данное решение позволяет достичь следующих результатов:

· Защита от несанкционированного доступа в локальную сеть извне

· Контроль и протоколирование использования Internet ресурсов локальными пользователями

· Фильтрация нежелательно web и SMTP контента

· Антивирусная проверка входящего web трафика, а также всего почтового

· Протоколирование распространенных сетевых атак (например попытка сканирования открытых портов)

· Немедленное оповещение администратора о сетевых атаках

· Немедленное оповещение администратора о вирусах

· Кэширование web контента позволяет сэкономит Интернет трафик одновременно увеличивая скорость работы Internet

Организация почтовой системы

Данное решение предполагает использование сервера доступа в Интернет для контроля SMTP трафика (проверка на вирусы, контроль нежелательной почты) переложив задачи хранения и авторизации клиентов на Exchange сервер.

Это позволит использовать единую пользовательскую базу, что в свою очередь упростит ее администрирование и сократить количество возможных ошибок, разграничить выполняемы функции между серверами.

В тоже время это накладывает ряд требований связанных к надежности и производительности Exchange сервера. В качестве аппаратной платформы для Exchangr Servera предлагается использовать HP ML350.

Организация доступа в Интернет

Контроль использования Интернет ресурсов может основываться целым рядом параметров таких как:

· IP адрес пользователя, его имя и принадлежность к группе

· Тип запрашиваемой информации или конкретный Интернет ресурс

· Время

В тоже время осуществляется антивирусная проверка полученной из Интернета информации. Количество пользователей использующих доступ в Интернет ограничено количеством клиентских лицензий антивирусной программы. В предложении количество лицензий - 70.

Подключение внешних пользователей к RS-Bank

Подключение внешних пользователь к системе RS-Bank останется неизменным для существующих пользователей.

Информация для заказа:

Microsoft Internet Security and Acceleration (ISA) Server 2000 -- это расширяемый многоуровневый сервер брандмауэра предприятия и кэширования веб-содержимого, который обеспечивает безопасную быструю и управляемую работу с интернетом. Сервер ISA -- это комплексное решение, направленное на защиту на уровне приложений, работу с виртуальными частными сетями (VPN), динамическую проверку пакетов и безопасную публикацию, защищающую ресурсы пользователей. Кроме того, сервер ISA может выступать в роли надежного, масштабируемого и высокопроизводительного веб прокси и сервера кэширования, повышающих эффективность вашей работы и рационально расходующих ресурсы сети.

Дополнительная защита на уровне приложений

Сервер ISA и пакет дополнений Feature Pack 1 позволяют создать дополнительный удобный в управлении уровень защиты почтовых серверов, веб-серверов и серверов Exchange для OWA (Outlook Web Access), расположенных за брандмауэром. Почтовые серверы становятся более безопасными, поскольку теперь они могут вовремя перехватывать сообщения, содержащие нежелательные слова или вложения. Кроме того, сервер ISA и пакет дополнений Feature Pack 1 обеспечивают защиту пользователей Outlook, удаленно подключающихся к серверу Exchange с помощью сетей без доверия, не использующих VPN.

Один из примеров тщательной проверки передаваемых данных. Сервер ISA Server и пакет дополнений Feature Pack 1 могут на уровне приложений останавливать атаки, связанные с декодированием Unicode, прохождением каталогов и неправильным формированием запросов HTTP, и предупреждать проникновение опасных запросов в сеть.

Быстрый и безопасный прокси- и кэш-сервер

Сервер ISA может повысить эффективность работы ваших сотрудников, увеличив скорость доступа в Интернет. Более высокая скорость доступа достигается за счет хранения веб-содержимого физически вблизи пользователей. Сервер ISA имеет легко масштабируемую архитектуру, позволяющую с помощью протокола CARP объединить несколько компьютеров с серверами ISA в кластер и увеличить объем кэша. При применении иерархического кэширования данные автоматически распределяются между серверами, которые могут быть расположены по всему миру. Использование средств управления доступом обеспечивает не только высокую скорость доступа в Интернет, но и контроль над ним.

Средства управления доступом, протокол CARP и иерархическое кэширование дают следующие преимущества.

Сервер ISA позволяет выполнять фильтрацию по адресам URL и типам MIME, а также обеспечивать защиту от незаконного использования ресурсов сети.

Применение протокола CARP позволяет автоматически масштабировать кэш в массиве серверов, повышая эффективность его использования. При этом объекты автоматически загружаются, кэшируются и передаются клиенту.

Иерархическое кэширование позволяет хранить данные физически вблизи пользователей, повышая тем самым производительность сети.

Единая система кэширования, безопасности и служб VPN предоставляет следующие преимущества.

За счет хранения данных физически вблизи пользователей кэширование позволяет повысить производительность сети и увеличить максимальное число поддерживаемых ею пользователей.

Сервер ISA поддерживает управление доступом как изнутри сети, так и извне, вы можете размещать в Интернете свои службы, будучи уверены, что никто из ваших сотрудников не имеет доступа к незаконным ресурсам Интернета. Единая система доступа подразумевает, что повышение производительности сети с помощью сервера ISA не создает угроз безопасности.

Интеграция с VPN позволяет удаленным пользователям подключаться к внутренней сети организации и управлять безопасностью сети с помощью одного переходного устройства.

Symantec AntiVirus for Microsoft Internet Security and Acceleration (ISA) Server

Ключевые возможности

С помощью консоли ISA Management Console администраторы могут без труда настраивать пакет Symantec AntiVirus и управлять им, защищая пользователей от распространяемых по электронной почте и через Интернет вирусов, "червей", вредоносных мобильных кодов и от "троянских" компонентов в файлах всех основных типов, в т. ч. в сжатых файлах. Благодаря использованию функции LiveUpdate™ и технологии NAVEX™ средства нейтрализации вирусов можно быстро развертывать в масштабах предприятия, что обеспечивает эффективную защиту всей корпоративной информации. Развитые возможности продукта позволяют администраторам: обновлять описания вирусов как автоматически (по расписанию), так и в ручном режиме (с немедленным вводом в действие); блокировать вирусы, поступающие с сообщениями электронной почты, до тех пор, пока не будет найдено средство для лечения заражения; отфильтровывать почтовые сообщения, создающие чрезмерную нагрузку на сеть. Администраторы могут немедленно получать уведомления о вирусной активности как с помощью средств SNMP или SMTP, так и путем использования встроенных в сервер ISA Server механизмов генерации предупреждений; существует также возможность подготовки сводных отчетов через веб-интерфейс.

Symantec AntiVirus для ISA Server поддерживает как автономную реализацию сервера ISA Server, так и реализацию в виде массива серверов, что способствует гибкому развертыванию. Осмотры могут проводиться на том сервере, где установлено программное обеспечение ISA Server, или (при росте трафика) на многих серверах в сети, работающих под управлением операционных систем Microsoft Windows® 2000, Sun™ Solaris™ или Red Hat® Linux®. Организации и предприятия, в сети которых установлен пакет Symantec AntiVirus для ISA Server, получают дополнительный уровень защиты от вирусов, предохраняющий от комбинированных угроз, связанных с атаками по многим сетевым протоколам.

HP ProLiant ML110 -- идeальноe рeшeниe для малых и срeдних прeдприятий, которым нужны надeжныe высокопроизводитeльныe сeрвeры по цeнe настольных компьютeров. Это новоe дополнeниe сeрии сeрвeров HP ProLiant 100 с процeссором Intel Pentium 4 с шиной 800 МГц, расширeнным объeмом двухканальной памяти PC3200, встроeнным гигабитным сeтeвым контроллeром Ethernet и поддeржкой до 5 устройств PCI (из них 3 -- PCI-X). Кромe того, сeрвeр обладаeт достаточными возможностями модeрнизации для удовлeтворeния растущих потрeбностeй прeдприятия -- используя систeму сeйчас, ee можно расширить в будущeм.

Для обeспeчeния дополнитeльной гибкости при выборe выпускаются модeли этого сeрвeра с дисковым интeрфeйсом SCSI и ATA/100, а так же может комплектоваться опциональным RAID-контроллером.

Сeрвeр приложeний начального уровня, прeдназначeнный для использования на прeдприятиях малого и срeднeго бизнeса и в филиалах крупных организаций. Срeдства повышeния надeжности, такиe как возможность установки 6 дисков с горячeй замeной и рeзeрвного блока питания, рeализованныe в этом сeрвeрe, дeлают eго очeнь удачным приобрeтeниeм для нeбольших организаций, которым нeобходимо обeспeчить постоянную доступность данных и приложeний.