Опыт построения крупных распределенных VPN сетей с централизованным управлением Технология VPN Virtual Private Network — виртуальная частная сеть. VPN — это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия. CheckPoint Software Technologies Открытые сети: •Интернет. •Выделенные, арендованные каналы оператора связи. Технология VPN позволяет поверх открытой сети построить собственную частную, закрытую сеть. Варианты применения технологии VPN Вариант 1 – Организация защищенного удаленного доступа пользователей в корпоративную сеть – Remote Access VPN. Вариант 2 – Объединение в единую корпоративную сеть несколько офисов одной компании, независимо от их территориального расположения – Intranet VPN. Вариант 3 – Обеспечение защищенного взаимодействия корпоративной сети компании с партнерами – Extranet VPN. Компания Элвис+ в мире VPN 1991 год – основание компании. 1994 год – впервые на мировом рынке компанией были представлены средства построения VPN, реализованные на протоколе SKIP, для операционных систем Windows, Solaris. 1996 год – Элвис+ первая в России начала разрабатывать VPN продукты на базе протокола IPsec. Настоящее время (более 16 лет) – разработка и развитие семейства продуктов ЗАСТАВА VPN/FW на базе протокола IPsec. Семейство продуктов ЗАСТАВА: •ЗАСТАВА-Офис – защита периметра корпоративной сети, объединение удаленных офисов в единую логическую сеть. •ЗАСТАВА-Клиент – защищенный удаленный доступ в корпоративную сеть. •ЗАСТАВА-Управление – система централизованного управления VPN сетью на базе продуктов ЗАСТАВА. Крупная распределенная VPN сеть. Проблематика построения Общие условия для построения крупной распределенной VPN сети: •Многоуровневая территориально распределенная филиальная сеть с подчинением центру. •Гетерогенная/унифицированная информационная система. •Несколько операторов услуг связи. •Несколько видов каналов связи: наземные каналы, спутниковые каналы связи. •Каналы связи с пропускной способностью от 256 Кб до 1 Гб. •Тип информационного взаимодействия в рамках корпоративной сети – «все-совсеми». Проблема 1 – Высокий уровень надежности корпоративной сети Проблема 2 – Гибкий механизм централизованного управления VPN сетью Проблема 3 – Легкость масштабирования VPN сети Топология распределенной корпоративной сети Уровень 1 Центральный офис Уровень 2 Филиальная сеть Уровень 3 Региональные представительства Оператор связи 1 Оператор связи 2/Интернет Топология распределенной VPN сети Кластер ЗАСТАВАЗАСТАВА-Офис Управление ЗАСТАВА-Клиент 9 федеральных центров 83 субъекта Российской федерации 4000 населенных пунктов. В рамках одной корпоративной сети: 4000 инсталляций ЗАСТАВА-Клиент 5000 инсталляций ЗАСТАВА-Офис ЗАСТАВАУправление ЗАСТАВА-Офис Компанияпартнер ЗАСТАВА-Клиент ЗАСТАВА-Клиент Кластер ЗАСТАВА-Офис ЗАСТАВА-Офис Кластер ЗАСТАВА-Офис ЗАСТАВА-Офис ЗАСТАВА-Офис ЗАСТАВА-Офис Оператор связи 1 ЗАСТАВА-Клиент Оператор связи 2/Интернет Подводя итоги VPN сеть на базе продуктов семейства ЗАСТАВА, это: 1. Отсутствие ограничений по масштабу и количеству узлов корпоративной сети. 2. Управление всей VPN сетью из одной географической точки. 3. Стабильность функционирования за счет отказоустойчивого решения. 4. Кроссплатформенность, высокая производительность. 5. Единая политика безопасности для всей VPN сети. 6. Централизованное управление сертификатами и ключами шифрования. 7. Централизованная система обновления программного обеспечения ЗАСТАВА, автоматический контроль версий программного обеспечения. 8. Легкость масштабирования благодаря централизованному управлению. 9. Ролевой механизм управления. 10. Механизмы централизованного мониторинга и событийного оповещения. 11. Соответствие Российскому законодательству. Защита корпоративной сети от угроз информационной безопасности Спасибо за внимание. Лунгу Максим Аурелович Ведущий инженер ОАО «Элвис+» e-mail: lungu@elvis.ru Тел. рабочий: (495) 276-0211, 424 Тел. моб.: 8-916-933-02-40