|
ТУЭС Салехардский Ноябрьск Новоуренгойский Надымский Внешний 217.17.186.253/28 213.141.244.5/27 217.17.165.13/28 217.17.166.73/27 failover Внешний 217.17.186.252/28 213.141.244.13/27 217.17.165.ХХХ/28 217.17.166.74 GW 217.17.186.254 213.141.244.1 217.17.165.10 217.17.166.83 Внутренний 10.1.1.2 10.162.20.5/24 10.163.20.254/24 10.164.20.254/24 failover Внутренний 10.1.1.3 10.162.20.245/24 10.163.20.ХХХ/24 10.164.20.253 DMZ1 217.17.186.14 DMZ2 217.17.186.30 Вспомог. Коммут. 10.160.10.42 10.162.20.235/24 10.163.20.253 Станц. Упр. 10.160.10.43 10.162.20.236/24 10.163.20.252 IDS 10.160.10.44 10.162.20.243/24 10.163.20.251 ТУЭС Муравленко Губкинский Пуровский Тазовский Внешний 213.141.247.7/28 213.141.246.1/24 217.17.180.50/24 217.17.169.10/27 failover Внешний - ... GW 213.141.247.3 213.141.246.227 217.17.180.2 217.17.169.1 Внутренний 10.162.40.1/24 10.166.1.1/26 10.167.1.250/24 10.168.0.10/24 failover Внутренний DMZ1 DMZ2 Вспомог. Коммут. Станц. Упр. IDS - - ТУЭС Красноселькупский Ямальский Шурышкарский Внешний 217.17.182.3/28 217.17.183.243/28 217.17.183.116/28 -failover Внешний - ... GW 217.17.182.14 217.17.183.254 217.17.183.126 Внутренний 10.169.1.25/24 10.171.10.1/24 10.170.10.1/24 failover Внутренний - ... DMZ1 DMZ2 Вспомог. Коммут. - -Станц. Упр. - -IDS ... |
Таблица 2.1. IP адресация корпоративной сети ЯНФЭ ОАО «Уралсвязьинформ».
3. Выборрешенияиоборудования
Безопасный доступ в сеть Интернет из корпоративной сети ЯНФЭ ОАО «Уралсвязь-информ» организуется для доступа сотрудников к информационным ресурсам сети Интернет.
Исходя из мировой практики и рекомендаций ведущих производителей оборудования и поставщиков решений, доступ большинства корпоративных сетей в сеть Интернет строится по следующим принципам:
- Для исключения несанкционированного доступа (НСД) во внутреннюю сеть производится разделение сетей с помощью межсетевого экрана (МЭ);
- Для защиты информационных серверов также используются МЭ;
- При необходимости доступа к серверам как из сети Интернет, так и из внутренней сети организуются Демилитаризованные зоны (DMZ).
Оборудование МЭ может быть как компьютером со специализированным программным обеспечением (ПО), так и специализированным аппаратным устройством.
МЭ обеспечивают высокий уровень безопасности межсетевого экранирования, имеют удобный интерфейс для настройки и мониторинга. Однако МЭ на основе компьютера со специализированным ПО имеют свойственные архитектуре решения недостатки.
Такими являются:
- Уязвимости серверной операционной системы (ОС) снижают уровень безопасности МЭ;
- Серверные компоненты подвержены износу (например, HDD);
- Обновление ПО трудоемко и занимает достаточно продолжительное время;
- Ошибки при обновлении или настройке ПО могут привести к сбою системы МЭ
и необходимости переустановки системы с «нуля»;
- Переустановка системы трудоемко и занимает достаточно продолжительное время.
Исходя из выше перечисленного, целесообразным представляется использование аппаратной реализации МЭ, удовлетворяющего следующим требованиям:
- Обеспечение высокого уровня безопасности;
- Высокая отказоустойчивость используемого решения;
- Высокая нагрузочная способность оборудования;
- Масштабируемость решения;
- Простота настройки, мониторинга и поддержки оборудования;
- Защита от «человеческого фактора».
В настоящий момент в сети ЯНФЭ ОАО «Уралсвязьинформ» используется широкий спектр оборудования компании Cisco Systems, (маршрутизаторы, коммутаторы, МЭ PIX). МЭ PIX установлены и эксплуатируются в узлах верхнего иерархического уровня. В организации имеется обученный персонал, имеющий опыт работы с оборудованием Cisco Systems, в том числе и с МЭ PIX. Решение компании Cisco Systems по обеспечению безопасности сети и контролю доступа является полноценным и законченным, на рынке представлена широкая линейка оборудования. Компания Cisco Systems предоставляет качест-
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.