FORMULARZ WDROŻENIA ZDALNEGO

Formularz wdrożenia zdalnego

Wypełnij i wyślij poszczególne części formularza wdrożenia. Pamiętaj, że musisz oddzielnie wysłać każdą część. Wszystkie części formularza są wymagane.

Po otrzymaniu kompletu danych wygeneruję plik konfiguracji który wyślę użytkownikowi wraz z instrukcją jego instalacji na urządzeniu. Plik konfiguracji będzie zawierał reguły konieczne do podłączenia się do urządzenia oraz skonfigurowaną większość funkcjonalności określonych w formularzu wdrożenia. Pozostałe kwestie związane z konfiguracją urządzenia a nie zawarte w poniższych formularzach będą omawiane na drodze mailowej i/lub telefonicznej.

  Wdrożenie zdalne musi rozpocząć się nie później niż 72h od momentu przesłania pliku konfiguracyjnego do klienta. 

Konfiguracja ma zostać przygotowana dla firmware:

Urządzenie będzie pracować w trybie BRIDGEBRIDGE

PROVIDER 1łącze głównełącze zapasowe

sieć połączeniowa (IP zewnętrzne, IP publiczne, etc.)

brama (wymagane)

sieć użytkownika (RIPE) (wymagane)

PROVIDER 2łącze głównełącze zapasowe

sieć połączeniowa

brama (wymagane)

sieć użytkownika (RIPE) (wymagane)

UWAGI


ID zlecenia (wymagane, jeżeli nie znasz ID wpisz NIP firmy)

Adres email (wymagane)

Przed wysłaniem upewnij się, że podałeś wszystkie parametry i że mają one prawidłowe wartości.

Rozumiem i akceptuję warunki wdrożenia (wymagane)

Firmware

Należy podać jakiego firmware będziemy docelowo używać na urządzeniu, należy pamiętać, że plik konfiguracji powien być zgodny z zainstalowanym firmware (przynajmniej z wersją główną). Często urządzenia dostarczane do klientów nie mają zainstalowanego najnowszego firmware. Czasem jest to konieczne z uwagi na możliwość migracji z urządzeń poprzedniej generacji. Jeżeli nie wiemy co wybrać pozostawmy opcję bez zmian (najnowszy firmware), może być konieczne dokonanie w takiej sytuacji aktualizacji firmware na urządzeniu przed wczytaniem konfiguracji startowej.

W tej części definiujemy parametry dostępu do Internetu.

Dane dostępowe otrzymuje się od dostawcy łącza internetowego.

Łącze PROVIDER 1 należy wpiąć do portu nr 1 urządzenia. Łącze PROVIDER 2 należy wpiąć do portu nr 3 urządzenia (dowolny model STORMSHIELD od SN300 w górę).

Jeżeli oba łącza zostaną wybrane jako łącza główne zostanie skonfigurowany LOAD BALANCING.

Jeżeli PROVIDER nie dostarcza sieci połączeniowej nie należy wypełniać tego pola.

W sytuacji gdy przedsiębiorstwo posiada więcej niż 2 łącza dostępowe należy ten fakt opisać w uwagach.

Sieć użytkownika RIPE oznacza dodatkową pulę adresów publicznych przydzielonych użytkownikowi przez dostawcę internetu.

LAN 1DHCP

adres sieci - IP wewnętrzne (wymagane)

zakres DHCP

DHCP RELAY

serwery DNS propagowane przez DHCP lub używane statycznie (wymagane)

PAT dla sieci LAN 1

LAN 2DHCP

adres sieci

zakres DHCP

DHCP RELAY

PAT dla sieci LAN 2

Plik z obiektami

UWAGI


ID zlecenia (wymagane, jeżeli nie znasz ID wpisz NIP firmy)

Adres email (wymagane)

Przed wysłaniem upewnij się, że podałeś wszystkie parametry i że mają one prawidłowe wartości.

W tej części definiujemy podstawowe parametry sieci LAN.

Sieć lokalną 1 należy podłączyć do portu nr 2 a sieć lokalną 2 do portu nr 4 urządzenia (dowolny model STORMSHIELD od SN300 w górę).

PAT – jeżeli posiadamy pulę adresów publicznych przydzielonych przez providera, możemy do maskarady sieci lokalnej użyć innego adresu niż ten który jest przypisany do interfejsu zewnętrznego. Jeżeli maskarada ma się odbywać na adresie zewnętrznym interfejsu nie ma potrzeby wypełniać tego pola.

Opcja DHCP oznacza, że dla danej podsieci ma zostać uruchomiony serwis DHCP. Jeżeli w sieci istnieje już serwer DHCP który propaguje konfigurację dla danej podsieci należy go wskazać poprzez pole DHCP RELAY.

Jeżeli wymagana jest dzierżawa adresów w DHCP należy w uwagach podać pary IP-MAC (lub też zdefiniować w pliku Plik z obiektami). W systemie STORMSHIELD dzierżawa adresów musi odbywać się poza zakresem adresów przydzielanych dynamicznie.

Jeśli DHCP ma propagować również inne parametry niż: adres IP, maska, serwery DNS, gateway to należy te parametry podać w uwagach.

Plik z obiektami zawiera parametry obiektów typu host i grupa IP jakie mają zostać zdefiowane w konfiguracji urządzenia. Wymaganymi kolumnami jakie trzeba określić to nazwa hosta i adres IP.

Plik z obiektami należy utworzyć w arkuszu Excel. W nazwach hostów nie używać polskich znaków dialektycznych. Nazwę hosta ograniczyć do 16 znaków. Dodatkowo zabronione znaki to:

<tab> <space> | ! " # , = @ [ \ ]

nazwa hosta – nazwa obiektu reprezentującego hosta

adres IP  – adres IP hosta

MAC –  adres sprzętowy hosta

grupa – nazwa grupy do jakiej host ma należeć

Pobierz Szablon arkusza

BAZA UŻYTKOWNIKÓWLDAPMicrosoft AD

jeżeli Microsoft AD to podaj adresy kontrolerów

pełna nazwa domeny

VPN (IPSEC/SSL - dla użytkowników mobilnych)

Jakiego klienta IPSEC/SSL będziesz używał?
Stormshield SSLOpenVPN-SSLTheGreenBow (STORMSHIELD)-IPSECSHREW-IPSECVPN Tracker-IPSECinny

Czy chcesz przechowywać certyfikat na tokenie USB* (opcja dodatkowo płatna 60zł/netto/szt. za token)?
taknie
*opcja możliwa do realizacji tylko z klientem TheGreenBow (STORMSHIELD)

Do jakich zasobów, zakresów adresów, podsieci ma mieć dostęp użytkownik mobilny

Czy chcesz aby różnicować dostęp dla użytkowników mobilnych?
taknie

Czy chcesz aby użytkownik mobilny po nawiązaniu tunelu mógł łączyć się tylko z zasobami w sieci firmy?
taknie

Czy chcesz aby użytkownik mobilny po nawiązaniu tunelu miał dostęp do Internetu ale filtrowany przez STORMSHIELD-a?
taknie

VPN (IPSEC - SITE to SITE)


ID zlecenia (wymagane, jeżeli nie znasz ID wpisz NIP firmy)

Adres email (wymagane)

Przed wysłaniem upewnij się, że podałeś wszystkie parametry i że mają one prawidłowe wartości.

W tej części ustalamy położenie bazy użytkowników oraz parametry tuneli IPSEC.

Urządzenia STORMSHIELD możemy zintegrować z istniejącą usługą katalogową AD lub powołać bazę użytkowników bezpośrednio na urządzeniu. Potrzeba posiadania bazy użytkowników wynika z możliwości realizowania reguł zapory w oparciu o użytkowników (reguły per user) a nie tylko w oparciu o adresy IP. Inny powód to konieczność podsiadania miejsca przechowywania certyfikatów PKI.

Gdy dokonamy integracji z AD wskazane jest aby zainstalować agenta STORMSHIELD SSO. Rolą agenta jest informowanie urządzenia STORMSHIELD o logowaniach użytkowników w sieci. Temat został opisany w artykule: Integracja z MS AD w trybie SSO. Integracja urządzenia NETASQ z AD wymaga powołania w bazie AD użytkownika o nazwie np. netasq_ad i nadanie mu praw administracyjnych w domenie.

Z uwagi na bezpieczeństwo autoryzacja użytkownika mobilnego dokonywana jest w oparciu o certyfikat PKI. Certyfikat może być przechowywany w pliku na dysku komputera użytkownika mobilnego lub może zostać zapisanym na tokenie USB (SMARTCARD).

Po złożeniu kanału szyfrowanego można wymusić aby połączenia internetowe użytkownika mobilnego były zablokowane, można również ustalić że takie połączenia będą dozwolone ale będą przechodziły przez tunel i podlegać będą filtrowaniu na STORMSHIELD-dzie.

Filtrowanie adresów URLURL FILTER

Filtrowanie antywirusowe stron www
taknie

Wybierz kategorie które chcesz blokować (baza URL standardowa)
academicadsartsbankbusinessemploymententertaimentillegalitnewsonlinepornographyproxyshoppingsocietywarez

Czy filtr URL będzie różnicowany w zależności od użytkownika, hosta, grupy?
taknie

SSL ProxySSL PROXY

Czy wyłączyć z deszyfrowania instytucje finansowe (np. banki)?
taknie

Filtrowanie antyspamoweSMTP PROXYPOP3 PROXY

Filtrowanie antywirusowe poczty
taknie

Czy włączyć oznaczanie antyspamowe poczty w oparciu o:
haurystykaRBL

Czy chcesz filtrować pocztę (SMTP) w oparciu o adresy żródłowe/docelowe?
taknie

UWAGI


ID zlecenia (wymagane, jeżeli nie znasz ID wpisz NIP firmy)

Adres email (wymagane)

Przed wysłaniem upewnij się, że podałeś wszystkie parametry i że mają one prawidłowe wartości.

W tej części definiujemy sposoby filtrowania treści przez mechanizmy proxy.

Ruch z serwisów www możemy filtrować przez filtry URL oraz skaner antywirusowy. Kontroli może podlegać zarówno ruch http jak i https. Ruch szyfrowany (https) przed filtrowaniem musi podlegać procesowi deszyfracji co w konsekwencji powoduje, że certyfikat serwera jaki wyświetli użytkownik będzie certyfikatem urządzenia STORMSHIELD a nie oryginalnym certyfikatem serwisu webowego. Z procesu deszyfracji możemy jednak wyłączyć serwisy internetowe (np. banki) które z uwagi na charakter danych nie powinny podlegać temu procesowi. W celu zapewnienia prawidłowej pracy z załączonym SSL PROXY należy na wszystkich hostach korzystających z https zainstalować certyfikat SSL CA PROXY. Certyfikat ten musi być umieszczony w kontenerze Głównych zaufanych urzędów certyfikacji (IE, Safari, Chrome, etc) i/lub dodatkowo w ramach konfiguracji ustawień przeglądarki Firefox.

kategorie_url

W uwagach można podać jakie np. komunikatory internetowe czy serwisy społecznościowe powinny być blokowane lub udostępnione.

Filtrowanie adresów URL powinno być zgodne z polityką bezpieczeństwa instytucji.

Usługi internetowe dla użytkowników (wymagane)
httphttpsimap (imaps)pop3 (pop3s)smtp (smtps)dnssshntpftp (ftps)telnet

/
/
/
SERWERY

Lokalne serwery dostępne z zewnątrz (z Internetu) (forwarding)

Serwer 1
/
/

Serwer 2
/
/

Serwer 3
/
/

UWAGI


ID zlecenia (wymagane, jeżeli nie znasz ID wpisz NIP firmy)

Adres email (wymagane)

Przed wysłaniem upewnij się, że podałeś wszystkie parametry i że mają one prawidłowe wartości.

Ustawienia zapory.

Wskazujemy podstawowe usługi internetowe do jakich będą mieli dostęp użytkownicy sieci lokalnych. Możemy zdefiniować dodatkowe usługi jeżeli nie występują na liście. Definiowanie usług polega na wskazaniu portu na jakim nasłuchuje usługa oraz rodzaju protokołu w oparciu o jaki pracuje. Jeżeli liczba takich usług jest większa niż liczba pól w formularzu należy je wyszczególnić w uwagach.

Blok SERWERY pozwala określić wymagane przekierowania portów. Jeżeli serwery mają pracować bezpośrednio na adresach publicznych (tzn. ich karty sieciowej mają adresację z przydzielonej przez dostawcę puli adresów publicznych) to jako ip lan należy podać te adresy publiczne a pola port wan i port lan powinny mieć identyczne wpisy. W sytuacji takiej część portów STORMSHILD-a zostanie złożona w bridge. Serwery pracujące na adresach publicznych należy podłączać do portu nr 5. STORMSHIELD zapewnia pełną filtrację pakietów przesyłanymi pomiędzy portami należącymi do bridge.

wanbridge

Najnowszy firmware SNS: 3.7.1 (Release Note)
Najnowszy firmware SNSv2: 2.12.2 (Release Note)