Переход с Microsoft TMG на Cisco Secure Firewall для МБЭС

  • 13.01.2021
  • 91

Задача

Перейти на современную систему защиты периметра сети на базе межсетевого экрана нового поколения (NGFW).

Выполнение

В качестве МСЭ для защиты периметра сети в банке использовался Microsoft TMG. Данное решение достаточно давно прекратило своё развитие, и в 2020 году завершилась его расширенная поддержка со стороны производителя.

В качестве нового МСЭ был выбран продукт Cisco Secure Firewall. Данное решение предоставляет функции файрволла приложений, URL-фильтрацию, NGIPS, а также шлюзовую защиту от вирусов. Выбор производителя обусловлен лидирующими позициями в данной области, богатым функционалом и успешным использованием других решений данного вендора в сети банка.

В качестве платформы были задействованы устройства Cisco ASA 5500, которые имелись в инфраструктуре банка. На них была установлена ОC FTD. Для управления использовалась система FMC на базе виртуальной машины.

На первом этапе настроены основные транспортные функции:

  • устройства объединены в отказоустойчивую пару,
  • настроены интерфейсы,
  • динамическая маршрутизация OSPF.

Для возможности использования в правилах доступа имён пользователь и групп Active Directory была настроена связность с контроллерами домена. Для этой задачи использовалось промежуточное решение – Cisco ISE.

Были проанализированы и подготовлены для переноса правила с TMG сервера. Подготовка правил включала их оптимизацию и актуализацию. Так как решение Cisco Secure Firewall имеет глубокую гранулярность настройки правил межсетевого взаимодействия, логику работы правил на TMG менять не пришлось. Часть настроек была перенесена один в один.

Следующим шагом стал перенос публикаций. Они были разделены на два типа: публикации Web-сервисов и классические трансляции портов. Так как Cisco Secure Firewall не имеет средств публикаций, все они были настроены в формате NAT-записей. Те сервисы, которые имели полноценную публикацию на TMG, были изменены. Функции аутентификации (в том числе публичные сертификаты) перенесены на серверы самих приложений.

Для обеспечения удалённого подключения к ресурсам банка настроен VPN доступ на базе Cisco Anyconnect. Для аутентификации использовались данные из Active Directory.

Физическое переключение с MS TMG на Cisco Secure Firewall выполнялось в выходной день. Обусловлено это было частичным изменением внешних адресов банка, что требовало обновления DNS-записей (A/MX/PTR/SPF). Все работы прошли штатно.

Результат

Банк повысил качество защиты внешнего периметра сети за счёт перехода на современный NGFW. Существенно расширились используемые функции безопасности.