Проект по защите периметра сети для АО "ГЕДЕОН РИХТЕР - РУС"

О компании

«ГЕДЕОН РИХТЕР-РУС» - один из шести собственных заводов компании «Гедеон Рихтер», расположенный на территории Российской Федерации. Производит твердые лекарственные формы (капсулы и таблетки) в различных дозировках. Производственные мощности рассчитаны на выпуск около 60 млн. упаковок готовой продукции в год. Собственные аналитические и микробиологические лаборатории отдела контроля качества располагают уникальным оборудованием. Производственные процессы ведутся строго с учетом требований по охране труда и защите окружающей среды с использованием передовых технологий и современного оборудования. Достижение стратегической цели завода – занять достойное место в авангарде российских производителей – возможно благодаря неуклонному соблюдению принципов GMP и производству высокоэффективных и безопасных лекарственных средств. По объемам реализации продукции АО "ГЕДЕОН РИХТЕР-РУС" входит в ТОП-15 отечественных производителей. Штат компании составляет порядка 420 человек.

Цели и задачи проекта

В связи с окончанием поддержки продукта Microsoft TMG (Microsoft Forefront Threat Management Gateway) требовалось предложить замену на базе аппаратного устройства и обеспечить решение следующих задач:
  • Организовать защищённое взаимодействие ресурсов локальной сети и сети Интернет на двух площадках
o Выход в сеть интернет для серверов, ПК сотрудников организации и других устройств
o Доступ к серверам из сети Интернет
o Решение должно быть отказоустойчивым
  • Обеспечить подключение к ресурсам локальной сети из любого места сети Интернет с использованием технологии VPN удалённого доступа
o Подключение через программное обеспечение VPN клиент, установленное на устройстве
o Подключение без использования клиентского ПО. Подключение через браузер
o Аутентификация пользователей из базы Microsoft AD
o Поддержка всех операционных систем, а так же мобильных устройств
  • Обеспечить расширенный контроль взаимодействия ресурсов локальной сети и сети Интернет
o Контроль сетевых приложений
o Фильтрация URL как по категориям, так и в ручном режиме
o Интегрированная система отчётности
o Создание правил на основе доменных групп Microsoft AD

Решение

Для выполнения поставленных задач предложено, поставлено, а так же внедрено решение на базе двух аппаратных межсетевых экранов производителя Checkpoint. Модели CPAP-SG4600 и CPAP-SG2200 с автономным управлением.

Устройства подключены к сети Интернет с использованием двух каналов передачи данных от двух независимых провайдеров. Шлюз по умолчанию в локальной сети зарезервирован между двумя устройствами Checkpoint с использованием протоколов динамической маршрутизации активированными на сетевом оборудовании.

Для выполнения заявленных требований на обоих устройствах Checkpoint были активированы следующие программные модули (программные блэйды):

  • Firewall – межсетевой экран
  • Application control - контроль сетевых приложений
  • URL Filtering - фильтрация URL
  • Smart Event - интегрированная система отчётности
  • Identity Awareness - создание правил на основе доменных групп Microsoft AD
  • Mobile Access – SSL VPN
  • IPSEC - IPSEC VPN

Результаты
  • Задача организации защищённого доступа решена на модуле Firewall
- Созданы списки контроля доступа (ACL) на пограничных интерфейсах
ограничивающие взаимодействие локальной сети и сети Интернет
- Созданы правила статических и динамических преобразований сетевых адресов и портов (NAT)
- Межсетевой экран активирован в режиме контроля состояния подключений
(Stateful firewall)
  • Задача расширенного контроля решена модулями Application control и URL Filtering
- Настроены правила на основе динамически обновляемых списков категорий сайтов и сетевых приложений.
- Для контроля зашифрованного трафика на устройствах активирован функционал HTTPS инспекции
  • Задача VPN подключений удалённого доступа решена модулями Mobile Access и IPSEC VPN
- Созданы правила для доступа к локальной сети организации через VPN клиент
- Организован портал WEB SSL VPN доступный через браузер
- Активирован функционал запуска SSL VPN клиента из браузера
- Обеспечена поддержка всех платформ как стационарных, так и мобильных (Windows, Mac OS, iOS, Android)
  • Задача получения информации из Microsoft AD решена активацией модуля Identity Awareness
- Устройства Checkpoint подключены ко всем серверам контроллерам домена
- Полученные данные используются для правил URL фильтрации, контроля приложений и доступа к VPN
  • Задача построения отчётов решена модулем Smart Event
- Программный модуль активирован на базе устройства CPAP-SG4600 и позволяет по запросу получить расширенную статистику использования ресурсов сети Интернет