Aktiivisen Check Point -palomuuriklusterin yliheitto ja konesalin vaihto
Hovi, Mikko (2018)
Hovi, Mikko
Turun ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018120520229
https://urn.fi/URN:NBN:fi:amk-2018120520229
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli dokumentoida projekti, jossa asiakasyrityksen vanha Check Point 4200 -palomuuriklusteri oli tarkoitus korvata uudemmilla Check Point 5100 palomuureilla. Uudet palomuurit oli myös määrä asentaa eri konesaliin kuin missä tuotannossa oleva klusteri oli. 4200-palomuuriklusteri oli määritetty toimimaan High Availability -tilassa, jossa klusterin toinen palomuuri oli aktiivinen laite ja toinen varalaite. Palomuurit olivat aktiivikäytössä ja toimivat asiakkaan pääpalomuureina, eli kaikki asiakkaan tietoliikenne kulki niiden kautta. Opinnäytetyö tehtiin Tietokeskus Finland Oy:n toimeksiannosta.
Yliheiton tarkoituksena oli parantaa verkon toimintavarmuutta ja varautua verkkoliikenteen tulevaan kasvuun. Uudet laitteet olivat vanhoja suorituskykyisempiä, ja ne olivat laitevalmistajan palvelusopimuksen piirissä, mikä toisi lisäturvaa ongelmatilanteissa. Lisäksi tarkoituksena oli optimoida palomuurien hallintatietokanta yliheiton jälkeen poistamalla tarpeettomia sääntöjä sekä muita tietoja. Tällä tavoin saataisiin pienennettyä sisäverkon ja verkkolaitteiden kuormitusta, tehostettua palomuurien toimintaa ja parannettua asiakkaan verkon tietoturvaa.
Yliheiton testaamista varten rakennettiin virtuaalinen testiympäristö, jossa palomuurilaitteita simuloitiin virtuaalikoneiden avulla tuotantoverkoista erillään. Testiympäristön valmistuttua 4200-palomuureista siirrettiin järjestelmäasetukset ja hallintatietokanta ensin virtuaaliympäristöön ja sitten fyysisiin 5100-palomuureihin. Yliheiton valmistelua varten 5100-palomuurit asennettiin konesaliin, ja niiden tiedot tarkistettiin ja mukautettiin uuteen verkkoympäristöön. Kun laitteet oli liitetty hallintaverkkoon, varmistettiin, että palomuureihin on mahdollista ottaa etäyhteys konesaliverkon ulkopuolelta. Lisäksi uusien palomuurien vikasietoisuutta parannettiin muodostamalla 5100-klusterin palomuureista ja räkkikytkimistä Full Mesh -topologian mukainen verkko, joka takaisi liikenteen saumattoman kulun myös mittavammissa vikatilanteissa.
Vaikka projekti jäi kesken ja yliheittoa ei lopulta toteutettu, ei opinnäytetyötä varten käytetty aika kuitenkaan mennyt hukkaan, vaan sekä toimeksiantaja että asiakas saivat hyödyllistä tietoa projektin aikana laaditusta dokumentaatiosta. Lisäksi asiakkaan verkkokuvat sekä muuta asiakasdokumentaatiota päivitettiin, minkä ansiosta tulevien järjestelmänvalvojien ja muiden asiantuntijoiden on helpompaa perehtyä asiakkaan verkkoympäristön ominaispiirteisiin.
Yliheiton tarkoituksena oli parantaa verkon toimintavarmuutta ja varautua verkkoliikenteen tulevaan kasvuun. Uudet laitteet olivat vanhoja suorituskykyisempiä, ja ne olivat laitevalmistajan palvelusopimuksen piirissä, mikä toisi lisäturvaa ongelmatilanteissa. Lisäksi tarkoituksena oli optimoida palomuurien hallintatietokanta yliheiton jälkeen poistamalla tarpeettomia sääntöjä sekä muita tietoja. Tällä tavoin saataisiin pienennettyä sisäverkon ja verkkolaitteiden kuormitusta, tehostettua palomuurien toimintaa ja parannettua asiakkaan verkon tietoturvaa.
Yliheiton testaamista varten rakennettiin virtuaalinen testiympäristö, jossa palomuurilaitteita simuloitiin virtuaalikoneiden avulla tuotantoverkoista erillään. Testiympäristön valmistuttua 4200-palomuureista siirrettiin järjestelmäasetukset ja hallintatietokanta ensin virtuaaliympäristöön ja sitten fyysisiin 5100-palomuureihin. Yliheiton valmistelua varten 5100-palomuurit asennettiin konesaliin, ja niiden tiedot tarkistettiin ja mukautettiin uuteen verkkoympäristöön. Kun laitteet oli liitetty hallintaverkkoon, varmistettiin, että palomuureihin on mahdollista ottaa etäyhteys konesaliverkon ulkopuolelta. Lisäksi uusien palomuurien vikasietoisuutta parannettiin muodostamalla 5100-klusterin palomuureista ja räkkikytkimistä Full Mesh -topologian mukainen verkko, joka takaisi liikenteen saumattoman kulun myös mittavammissa vikatilanteissa.
Vaikka projekti jäi kesken ja yliheittoa ei lopulta toteutettu, ei opinnäytetyötä varten käytetty aika kuitenkaan mennyt hukkaan, vaan sekä toimeksiantaja että asiakas saivat hyödyllistä tietoa projektin aikana laaditusta dokumentaatiosta. Lisäksi asiakkaan verkkokuvat sekä muuta asiakasdokumentaatiota päivitettiin, minkä ansiosta tulevien järjestelmänvalvojien ja muiden asiantuntijoiden on helpompaa perehtyä asiakkaan verkkoympäristön ominaispiirteisiin.