Подробнее о заказчике
«ГЕДЕОН РИХТЕР-РУС» - один из шести собственных заводов компании «Гедеон Рихтер», расположенный на территории Российской Федерации. Производит твердые лекарственные формы (капсулы и таблетки) в различных дозировках. Производственные мощности рассчитаны на выпуск около 60 млн. упаковок готовой продукции в год. Собственные аналитические и микробиологические лаборатории отдела контроля качества располагают уникальным оборудованием.
Производственные процессы ведутся строго с учетом требований по охране труда и защите окружающей среды с использованием передовых технологий и современного оборудования.
Достижение стратегической цели завода – занять достойное место в авангарде российских производителей – возможно благодаря неуклонному соблюдению принципов GMP и производству высокоэффективных и безопасных лекарственных средств. По объемам реализации продукции АО "ГЕДЕОН РИХТЕР-РУС" входит в ТОП-15 отечественных производителей. Штат компании составляет порядка 420 человек.
Задача
В связи с окончанием поддержки продукта Microsoft TMG (Microsoft Forefront Threat Management Gateway) требовалось предложить замену на базе аппаратного устройства и обеспечить решение следующих задач:
А
Организовать защищённое взаимодействие ресурсов локальной сети и сети Интернет на двух площадках
- Выход в сеть интернет для серверов, ПК сотрудников организации и других устройств
- Доступ к серверам из сети Интернет
- Решение должно быть отказоустойчивым
Б
Обеспечить подключение к ресурсам локальной сети с использованием технологии VPN
- Подключение через программное обеспечение VPN клиент, установленное на устройстве
- Подключение без использования клиентского ПО. Подключение через браузер
- Аутентификация пользователей из базы Microsoft AD
- Поддержка всех операционных систем, а так же мобильных устройств
В
Обеспечить расширенный контроль взаимодействия ресурсов локальной сети и сети Интернет
- Контроль сетевых приложений
- Фильтрация URL как по категориям, так и в ручном режиме
- Интегрированная система отчётности
- Создание правил на основе доменных групп Microsoft AD
Решение
Для выполнения поставленных задач предложено, поставлено, а так же внедрено решение на базе двух аппаратных межсетевых экранов производителя Checkpoint. Модели CPAP-SG4600 и CPAP-SG2200 с автономным управлением.
Устройства подключены к сети Интернет с использованием двух каналов передачи данных от двух независимых провайдеров. Шлюз по умолчанию в локальной сети зарезервирован между двумя устройствами Checkpoint с использованием протоколов динамической маршрутизации активированными на сетевом оборудовании.
Для выполнения заявленных требований на обоих устройствах Checkpoint были активированы следующие программные модули (программные блэйды):
- Firewall – межсетевой экран
- Application control - контроль сетевых приложений
- URL Filtering - фильтрация URL
- Smart Event - интегрированная система отчётности
- Identity Awareness - создание правил на основе доменных групп Microsoft AD
- Mobile Access – SSL VPN
- IPSEC - IPSEC VPN
Результат
А
Задача организации защищённого доступа решена на модуле Firewall
- Созданы списки контроля доступа (ACL) на пограничных интерфейсах ограничивающие взаимодействие локальной сети и сети Интернет
- Созданы правила статических и динамических преобразований сетевых адресов и портов (NAT)
- Межсетевой экран активирован в режиме контроля состояния подключений (Stateful firewall)
Б
Задача расширенного контроля решена модулями Application control и URL Filtering
- Настроены правила на основе динамически обновляемых списков категорий сайтов и сетевых приложений
- Для контроля зашифрованного трафика на устройствах активирован функционал HTTPS инспекции
В
Задача VPN подключений удалённого доступа решена модулями Mobile Access и IPSEC VPN
- Созданы правила для доступа к локальной сети организации через VPN клиент
- Организован портал WEB SSL VPN доступный через браузер
- Активирован функционал запуска SSL VPN клиента из браузера
- Обеспечена поддержка всех платформ как стационарных, так и мобильных (Windows, Mac OS, iOS, Android)
Г
Задача получения информации из Microsoft AD решена активацией модуля Identity Awareness
- Устройства Checkpoint подключены ко всем серверам контроллерам домена
- Полученные данные используются для правил URL фильтрации, контроля приложений и доступа к VPN
Д
Задача построения отчётов решена модулем Smart Event
- Программный модуль активирован на базе устройства CPAP-SG4600 и позволяет по запросу получить расширенную статистику использования ресурсов сети Интернет