Vous êtes sur la page 1sur 39

Sécurité et Haute disponibilité

Solutions de Stonesoft
Un Editeur qui vient du froid
n Société fondée en 1990 à Helsinki,
Finlande
n Coté en bourse depuis mars 1999
n Helsinki Stock Exchange (HEX)
n Chiffre d’Affaires :
n 2000 = 60 millions d’euros
n Croissance record en 2000 : +115%
n 600 employés, 113 en R&D sécurité
n 3 centres de support technique
Les exigences des réseaux en
production
n Evolutivité
n Maîtrise des coûts
n Intégration avec l’existant
n Transparence, Sécurité et
Performances
n Répartition de charge dynamique
n Tolérance aux pannes
n Maintenance en ligne
Notre vision : du besoin à la réalité...

Modèle
Modèle StoneGate
courant Internet

Unique solution de sécurité


Technologie
Solutions offrant haute disponibilité,
Plusieurs
Multi-ISP hw
Multi-liens haut débit et outils
ISP’s
redondantes d’administration
avancés de l’Intranet
Système de
aux connexions ISP
Management
Server
Server
H
A
H H
A
DMZ DMZ*
Système de A
*Demilitarized zone
management
solutions
Technologie Solutions hw
HA software
Multi-couches de répartition
additionnelles
de charge
Internal
Réseau network
Interne
Une architecture évolutive

GUI client
GUI client GUI client

Management system

Log Management
Database server server
Database

Firewall cluster

Node 1 Node 2 ... Node 16


StoneGate Engine
n Engine StoneGate livré avec OS pré-packagé
n Basé sur un noyau Linux (CR 2.4.17) Debian
n Module Firewall = Module noyau

n Concept de BlackBox
n Aucune configuration de système nécessaire
n Configuration Locale Impossible
n Chiffrement et signature des fichiers de configuration

n Configuration et Installation centralisées


n Utilisation d’un One Time Password pour l’échange des
certificats
n Toutes communications authentifiées et chiffrées (SSL)
StoneGate Engine
n Support Réseau
n Jusqu’à 256 ports Ethernet supportés
n Gestion Ethernet, Fast Ethernet et Gigabit Ethernet

n Configuration Minimum
n Engine
n Pentium 500 MHz
n 128 Mo
n Manager
n Pentium 500 MHz
n 256 MO
n 4 Go
Technologie Multi-Couches
Sécurité accrue

Orienté Proxy

Inspection Multi-Couches

Filtre de paquet Haut débit


Politique de sécurité:
une approche objet
StoneGate Référence
Noyau de la
politique de Héritage
filtrage Template

Sub Rules / WEB

Base de règles
utilisateur Policy Database Sub Rules / MAIL

Sub Rules / DEV

Sous Procédure de
filtrage
Source Destination Service Action Log
Approche Objet / politique Standard
Policy Database
1
14 tests before matching !
2
3
4 Now, imagine this single packet
5 going through a single rulebase
6 made of 150 entries instead of
7 only 15…
8
9
10
11
12
13
14
15
Optimisation StoneGate
Main Rule Base
1 Sub-Rule-2X
22 if “HTTP”
2 then jump sub-2X2 2.1
3 3 3 2.2
4 4 4 2.3
5
3
6
4 Sub-Rule-5X
57if “to-DMZ”
7 then jump sub-5X
7 5.1
8 8 8 5.2
9 9 9 5.3
10 10 10 5.4
11 11 11 5.5
12 12 12 5.6
13
6
14
7
15
8
Exemple de politique optimisée
Main Rule Base
1 Sub-Rule-2X
2 if “HTTP” then jump sub-2X 2.1
2.2
2.3
3
4 Sub-Rule-5X
5 if “to-DMZ” then jump sub-5X 5.1
5.2
From 14 to 7 tests! 5.3
5.4
Now, imagine a 150 entries 5.5
5.6
rulebase
6
instead …
7
8
Clustering Firewall StoneGate

n Adresses IP et MAC identiques


sur tous les noeuds
n Chaque paquet n’est traité que
par un unique noeud
n Les engines assurent la
synchronisation par le réseau
HeartBeat
Clustering Firewall StoneGate
n 3 configurations possibles
n Unicast MAC: adresse MAC unicast commune à
tous les noeuds
n Multicast MAC: adresse MAC multicast commune
à tous les noeuds
n Multicast MAC with IGMP: Utilisation du
protocole IGMP pour assurer la cohérence du
cluster
Algorithme de Load Balancing

Node 1 Node 2
7 Application SRC Port 7 Application
DST Port
6 Presentation SRC IP 6 Presentation
5 Session DST IP 5 Session
Node Capacity
4 Transport Node Load 4 Transport
3 Network Node Status 3 Network
Node ID
Load Balance Filter Load Balance Filter
Heartbeat Protocol
2 Data Link 2 Data Link
1 Physical 1 Physical
StoneGate™ Load balancing
n Détermination du noeud à la réception du premier paquet.
n Répartition de charge en fonction de l’algorithme de répartition de charge.
n Synchronisation des noeuds via le protocole Heartbeat.
n Répartion dynamique et automatique entre les noeuds.

212.20.1.0

Node A Node B Node C Node D

192.168.1.0

10.0.0.0

Control
Load balance filter(s)
Operative network(s)
Heartbeat/Management network(s)
StoneGate Multi-Link

n La technologie multi-liens StoneGate permet de


n Connecter le pare-feu à plusieurs ISP
n Répartir la charge entre les ISP connectés sur l´ensemble
du trafic ( tunnels VPN compris)

n Connexions et VPN sortants


n StoneGate choisit toujours la connexion ISP la plus rapide

n Le recours à plusieurs ISP pour les connexions VPN


MULTI-LIENS

n permet de faire passer le trafic critique des lignes louées


vers Internet en garantissant une disponibilité continue
d´Internet
Répartition de charge en sortie

Client

Local
network NetLink 1

Internet
Firewall
cluster NetLink 2

NetLink 3
Client
Répartition de charge en sortie

Client

Local
network NetLink 1

Internet
Firewall
cluster NetLink 2

NetLink 3
Client

Meilleure des
connexions
Algorithme Multi-Link

Source Node Route 1 Route 2

Time
SYN

Translation of
source IP address

SYN

Copying packet

Translation of
source IP address
SYN
SYN+ACK
RST

Route 2 selected
SYN+ACK

ACK
ACK
Répartition de charge en entrée
www.stonesoft.com

Server Pool
DNS server
?
NetLink 1

Web server 1

Internet
NetLink 2

Firewall
Web server 2
cluster

NetLink 3

Client
Web server 3
Répartition de charge en entrée

DNS server

Server Pool

NetLink 1

Web server 1

Internet
NetLink 2

Firewall
Web server 2
cluster

NetLink 3

Client
Web server 3
Répartition de charge en entrée

DNS server

Server Pool

NetLink 1

Web server 1

Internet
NetLink 2

Firewall
Web server 2
cluster

NetLink 3

Client
Web server 3
Répartition de charge en entrée
Mise à Jour DNS
DNS server

Server Pool

NetLink 1

Web server 1

Internet
NetLink 2

Firewall
Web server 2
cluster

NetLink 3

Client
Web server 3
Répartition de charge en entrée
www.stonesoft.com

Server Pool
DNS server
?
NetLink 1

Web server 1

Internet
NetLink 2

Firewall
Web server 2
cluster

NetLink 3

Client
Web server 3
Répartition de charge en entrée

DNS server

Server Pool

NetLink 1

Web server 1

Internet
NetLink 2

Firewall
Web server 2
cluster

NetLink 3

Client
Web server 3
Répartition de charge serveurs
Mail servers at 10.10.10.1

10.1.1.1 10.1.1.2 10.1.1.3 10.1.1.4

Router A

Router B
Firewall
cluster

100.2.2.1 100.2.2.2 100.2.2.3

Intranet servers at 100.20.20.1


StoneGate VPN

n Support complet d’IPsec


n Algorithmes supportés
n AES,
n DES, 3DES,
n CAST-128,
n Blowfish.
Authenfication Utilisateurs

n Utilisateurs
n Annuaire LDAP intégré
n Possibilité d’utiliser des annuaires LDAP
externes
n Authentification
n Support mots de passe LDAP
n Support de RADIUS et TACACS+
n ( RSA Secured RSA SecureID Ready)
Répartition de charge VPN
Internal Internal
network A network B

Site A Site B

Internal Internal
Cluster Cluster
Interface A Interface B
Node A1 Node A2 Node A3 Node B1 Node Node B3 Node B4 Node B5
B2

External External
Cluster Cluster
Interface A Interface B

Internet
Répartition de charge VPN
Internal Internal
network A network B
Site A Site B

Internal Internal
Cluster Cluster
Interface A Interface B
Node Node Node Node Node Node Node Node
A1 A2 A3 B1 B2 B3 B4 B5

External External
Cluster Cluster
Interface A Interface B

NetLink A2 NetLink B1

Internet
NetLink B2

NetLink A1 NetLink B3
StoneGate Multi-Liens VPN StoneGate
StoneGate Multi-Link VPN solution
Système de gestion
des événements
Administration Graphique unique
Les performances
n1.3 Gbps par noeud StoneGate
nBi-processeur Pentium III
n64-bit 66 MHz PCI bus and NIC’s

n160 Mbps VPN par noeud StoneGate


nBi-processeurh Pentium III
n64-bit 66 MHz PCI bus and NIC’s
nAES encryption
Une solution tout en un...

n Firewall Gigabit natif & VPN


n Répartition de charge
n Entre les ISP
n Entre les engines Firewall
n Vers des fermes de serveurs DMZ
n Pas d’OS/Patches/… pour une
intégration et une maintenance simple
n Serveurs standards pour les Engine :
n Base Intel
n Base Sparc
Instill confidence.
Install Stonesoft.

Vous aimerez peut-être aussi