Проект по защите периметра сети для АО "ГЕДЕОН РИХТЕР - РУС"
О компании
«ГЕДЕОН РИХТЕР-РУС» - один из шести собственных заводов компании «Гедеон Рихтер», расположенный на территории Российской Федерации. Производит твердые лекарственные формы (капсулы и таблетки) в различных дозировках. Производственные мощности рассчитаны на выпуск около 60 млн. упаковок готовой продукции в год. Собственные аналитические и микробиологические лаборатории отдела контроля качества располагают уникальным оборудованием. Производственные процессы ведутся строго с учетом требований по охране труда и защите окружающей среды с использованием передовых технологий и современного оборудования. Достижение стратегической цели завода – занять достойное место в авангарде российских производителей – возможно благодаря неуклонному соблюдению принципов GMP и производству высокоэффективных и безопасных лекарственных средств. По объемам реализации продукции АО "ГЕДЕОН РИХТЕР-РУС" входит в ТОП-15 отечественных производителей. Штат компании составляет порядка 420 человек.
Цели и задачи проекта
В связи с окончанием поддержки продукта Microsoft TMG (Microsoft Forefront Threat Management Gateway) требовалось предложить замену на базе аппаратного устройства и обеспечить решение следующих задач:
o Доступ к серверам из сети Интернет
o Решение должно быть отказоустойчивым
o Подключение без использования клиентского ПО. Подключение через браузер
o Аутентификация пользователей из базы Microsoft AD
o Поддержка всех операционных систем, а так же мобильных устройств
o Фильтрация URL как по категориям, так и в ручном режиме
o Интегрированная система отчётности
o Создание правил на основе доменных групп Microsoft AD
Решение
Для выполнения поставленных задач предложено, поставлено, а так же внедрено решение на базе двух аппаратных межсетевых экранов производителя Checkpoint. Модели CPAP-SG4600 и CPAP-SG2200 с автономным управлением.
Устройства подключены к сети Интернет с использованием двух каналов передачи данных от двух независимых провайдеров. Шлюз по умолчанию в локальной сети зарезервирован между двумя устройствами Checkpoint с использованием протоколов динамической маршрутизации активированными на сетевом оборудовании.
Для выполнения заявленных требований на обоих устройствах Checkpoint были активированы следующие программные модули (программные блэйды):
Результаты
ограничивающие взаимодействие локальной сети и сети Интернет
- Созданы правила статических и динамических преобразований сетевых адресов и портов (NAT)
- Межсетевой экран активирован в режиме контроля состояния подключений
(Stateful firewall)
- Для контроля зашифрованного трафика на устройствах активирован функционал HTTPS инспекции
- Организован портал WEB SSL VPN доступный через браузер
- Активирован функционал запуска SSL VPN клиента из браузера
- Обеспечена поддержка всех платформ как стационарных, так и мобильных (Windows, Mac OS, iOS, Android)
- Полученные данные используются для правил URL фильтрации, контроля приложений и доступа к VPN
«ГЕДЕОН РИХТЕР-РУС» - один из шести собственных заводов компании «Гедеон Рихтер», расположенный на территории Российской Федерации. Производит твердые лекарственные формы (капсулы и таблетки) в различных дозировках. Производственные мощности рассчитаны на выпуск около 60 млн. упаковок готовой продукции в год. Собственные аналитические и микробиологические лаборатории отдела контроля качества располагают уникальным оборудованием. Производственные процессы ведутся строго с учетом требований по охране труда и защите окружающей среды с использованием передовых технологий и современного оборудования. Достижение стратегической цели завода – занять достойное место в авангарде российских производителей – возможно благодаря неуклонному соблюдению принципов GMP и производству высокоэффективных и безопасных лекарственных средств. По объемам реализации продукции АО "ГЕДЕОН РИХТЕР-РУС" входит в ТОП-15 отечественных производителей. Штат компании составляет порядка 420 человек.
Цели и задачи проекта
В связи с окончанием поддержки продукта Microsoft TMG (Microsoft Forefront Threat Management Gateway) требовалось предложить замену на базе аппаратного устройства и обеспечить решение следующих задач:
- Организовать защищённое взаимодействие ресурсов локальной сети и сети Интернет на двух площадках
o Доступ к серверам из сети Интернет
o Решение должно быть отказоустойчивым
- Обеспечить подключение к ресурсам локальной сети из любого места сети Интернет с использованием технологии VPN удалённого доступа
o Подключение без использования клиентского ПО. Подключение через браузер
o Аутентификация пользователей из базы Microsoft AD
o Поддержка всех операционных систем, а так же мобильных устройств
- Обеспечить расширенный контроль взаимодействия ресурсов локальной сети и сети Интернет
o Фильтрация URL как по категориям, так и в ручном режиме
o Интегрированная система отчётности
o Создание правил на основе доменных групп Microsoft AD
Решение
Для выполнения поставленных задач предложено, поставлено, а так же внедрено решение на базе двух аппаратных межсетевых экранов производителя Checkpoint. Модели CPAP-SG4600 и CPAP-SG2200 с автономным управлением.
Устройства подключены к сети Интернет с использованием двух каналов передачи данных от двух независимых провайдеров. Шлюз по умолчанию в локальной сети зарезервирован между двумя устройствами Checkpoint с использованием протоколов динамической маршрутизации активированными на сетевом оборудовании.
Для выполнения заявленных требований на обоих устройствах Checkpoint были активированы следующие программные модули (программные блэйды):
- Firewall – межсетевой экран
- Application control - контроль сетевых приложений
- URL Filtering - фильтрация URL
- Smart Event - интегрированная система отчётности
- Identity Awareness - создание правил на основе доменных групп Microsoft AD
- Mobile Access – SSL VPN
- IPSEC - IPSEC VPN
Результаты
- Задача организации защищённого доступа решена на модуле Firewall
ограничивающие взаимодействие локальной сети и сети Интернет
- Созданы правила статических и динамических преобразований сетевых адресов и портов (NAT)
- Межсетевой экран активирован в режиме контроля состояния подключений
(Stateful firewall)
- Задача расширенного контроля решена модулями Application control и URL Filtering
- Для контроля зашифрованного трафика на устройствах активирован функционал HTTPS инспекции
- Задача VPN подключений удалённого доступа решена модулями Mobile Access и IPSEC VPN
- Организован портал WEB SSL VPN доступный через браузер
- Активирован функционал запуска SSL VPN клиента из браузера
- Обеспечена поддержка всех платформ как стационарных, так и мобильных (Windows, Mac OS, iOS, Android)
- Задача получения информации из Microsoft AD решена активацией модуля Identity Awareness
- Полученные данные используются для правил URL фильтрации, контроля приложений и доступа к VPN
- Задача построения отчётов решена модулем Smart Event