La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.

Presentazioni simili


Presentazione sul tema: "Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata."— Transcript della presentazione:

1 Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata con i provider sono previste 2 schede da 4 porte per il FW Nokia nte.gruppoitas.it INTERNET INTRANET RITA - ULS ATM Telecom LAN ITAS 2Mb portale.gruppoitas.it CHECKPOINT FIREWALL-1 NOKIA IP440 64k Cisco 2503 INTERNET via RITA INTERNET via TELECOM/Interbusiness DMZ1 ITAS DNS DMZ2 ITAS PROXY Cisco 2610 INTRANET RITA PERIFERIE ITAS

2 nte.gruppoitas.it INTERNET INTRANET RITA - ULS ATM Telecom LAN ITAS 2Mb portale.gruppoitas.it CHECKPOINT FIREWALL-1 NOKIA IP440 64k Cisco 2503 INTERNET via RITA INTERNET via TELECOM/Interbusiness DMZ1 ITAS DNS DMZ2 ITAS PROXY Cisco 2610 INTRANET RITA PERIFERIE ITAS

3 Architettura ITAS - V ipotesi (Checkpoint Firewall-1 su Nokia (2sk), due router internet per i due ISP) nte.gruppoitas.it INTERNET INTRANET RITA PERIFERIE ITAS Telecom LAN ITAS 2Mb portale.gruppoitas.it CHECKPOINT FIREWALL-1 NOKIA IP440 64k Cisco 2503 INTERNET via RITA INTERNET via TELECOM/Interbusiness DMZ1 ITAS DNS DMZ2 ITAS PROXY Note: per la navigazione su internet si utilizza esclusivamente il proxy i 2 accessi ad internet possono essere usati in alternativa per accedere al web pubblico ed al portale tramite (e’ necessario concordare con i providers la gestione dei dns che risolvono il dominio gruppoitas.it) l’accesso al proxy rimane protetto tutto il traffico dalle reti interne/DMZ sicure verso internet è controllato dal firewall le regole per la DMZ1 sono completamente diverse da quelle della DMZ2 (maggiori controlli, maggior sicurezza rispetto alla soluzione con 1 sola DMZ)

4 Architettura ITAS - Ipotesi di ridondanza dei firewall (IV.b, V.b) nte.gruppoitas.it INTERNET INTRANET RITA PERIFERIE ITAS Telecom LAN ITAS 2Mb portale.gruppoitas.it CHECKPOINT FIREWALL-1 NOKIA IP440 64k Cisco 2503 INTERNET via RITA INTERNET via TELECOM/Interbusiness DMZ1 ITAS DNS DMZ2 ITAS PROXY Note: in questa soluzione si utilizza un Nokia come FW principale ed un sistema di cold backup formato da: un server intel based con 256MRAM, 10GB HD, CD-ROM, FLOPPY, 2 schede ethernet multiporta (8 porte), Solaris 2.7 per Intel costo hw backup 10/12MLit. licenze checkpoint: la stessa del nokia (FW-1 Enterprise/Unlimited) le policy sono salvate via LAN ITAS e ri-installate sul FW di backup il FW di backup è spento e viene acceso manualmente solo in caso di crash del sistema Nokia

5 Architettura ITAS - II Ipotesi di ridondanza dei firewall (IV.c, V.c) nte.gruppoitas.it INTERNET INTRANET RITA PERIFERIE ITAS Telecom LAN ITAS 2Mb portale.gruppoitas.it CHECKPOINT FIREWALL-1 NOKIA IP440 64k Cisco 2503 INTERNET via RITA INTERNET via TELECOM/Interbusiness DMZ1 ITAS DNS DMZ2 ITAS PROXY FW Management Station Note: rispetto alla versione precedente, il management della configurazione del fw e’ fatta tramite la management station, separata dal FW vero e proprio le policy sono salvate sulla management station ed installate sul FW di backup direttamente via rete (esattamente come nel caso del fw principale) il FW di backup è spento e viene acceso manualmente solo in caso di crash del sistema Nokia sul FW principale e sul FW di backup è installato il solo modulo FW (ISM: Inspection Module) con questa soluzione le policy installate sul fw di backup saranno sempre l’ultima versione attivata costi aggiuntivi: un PC con NT o con Solaris per Intel (5MLit.)

6 Architettura ITAS - III Ipotesi di ridondanza dei firewall (doppio firewall nokia) nte.gruppoitas.it INTERNET INTRANET RITA PERIFERIE ITAS Telecom LAN ITAS 2Mb portale.gruppoitas.it CHECKPOINT FIREWALL-1 NOKIA IP440 64k Cisco 2503 INTERNET via RITA INTERNET via TELECOM/Interbusiness DMZ1 ITAS DNS DMZ2 ITAS PROXY Note: in questa soluzione si utilizza un 2° FW Nokia uguale al FW principale costo hw: come FW principale licenze checkpoint: una 2° licenza ISM di FW-1/Unlimited le policy sono attivate dalla management station le connessioni attive, in caso di crash del fw principale, sono interrotte, al successivo tentativo un utente sarà nuovamente collegato ma attraverso il fw di backup per mantenere attive le connessione bisogna installare dei prodotti 3e parti o degli add-on di checkpoint, costo da valutare (comunque significativo) Collegamento tra i 2 Firewall FW Management Station


Scaricare ppt "Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata."

Presentazioni simili


Annunci Google