Popis stávajícího síťového prostředí. Architektura síťové komunikační infrastruktury KrÚ je v současnosti založena na těchto logických zónách: • Externí síť; • Externí firewally; • Externí DMZ; • Interní DMZ; • Interní síť; • Management sítě. Schéma sítě, znázorňující jednotlivé zóny a jejich vzájemné propojení je uvedeno na následujícím obrázku č.1. Externí síť je tvořena dvojicí hraničních směrovačů Cisco 3925 (gw-ext1 a gw-ext2). V této zóně je umístěna dvojice přepínačů Catalyst C3750G-24T (sw-ext1 a sw-ext2), které slouží pro vzájemné propojení zóny externích firewallů a hraničních směrovačů. Hraniční směrovače zajišťují vysoce dostupnou konektivitu do veřejné sítě Internet. Řešení vysoké dostupnosti je založeno kromě fyzického zdvojení hardware hraničních směrovačů také na použití dynamického směrovacího protokolu, který poskytuje dynamické (automatické) rozhodování o dostupnosti fyzické cesty. Tato zóna zároveň plní roli první a základní úrovně bezpečnosti síťové komunikace. Na hraničních směrovačích jsou aplikovány základní bezpečnostní mechanismy – např. filtrování provozu nebo unicast RPF. Tato zóna je hlavním místem, které zajišťuje bezpečnost a řízení síťového provozu. Zóna je tvořena dvěma výkonnými firewally Cisco ASA5545X v HA Active-Standby režimu. Na firewallech je prováděna stavová analýza a podrobná filtrace síťového provozu dle komunikačního modelu a bezpečnostní politiky organizace. Firewally oddělují zónu Externí sítě od zón Externí a Interní DMZ a ostatních interních sítí včetně zóny IP telefonní sítě. Externí firewally tak umožňují a zajišťují řízení síťového provozu mezi zónami. Fyzické firewally jsou zároveň rozděleny do virtuálních instancí (firewallů) pomocí virtuálních kontextů. Jednotlivé virtuální firewally předpokládají různé správce, například správce virtuálního firewallu pro připojení do internetu atd. Kromě dvojice firewallů se v síti vyskytují dva VPN koncentrátory Cisco ASA5510 spojené technologií failover do jedné logické entity. Rozdělení role VPN koncentrátorů a firewallu bylo provedeno z důvodů technických (VPN funkcionalita není slučitelná s funkcionalitou virtuálních firewallů) a provozních (separátní VPN koncentrátor zjednodušuje dohledávání problémů, pro VPN funkcionalitu je vhodné využívat jiné verze software, než pro firewall). Autentizace uživatelů vzdáleného VPN připojení je prováděna s pomocí klientských certifikátu a dále vůči Active Directory. DMZ zóny jsou realizovány prostřednictvím VLAN (dle standardu 802.1q) sítí, které jsou ukončeny log...
