Построение защищённой межофисной сети на базе Sangfor NGAF и Cisco

Задача

Клиент — компания с головным офисом в Москве и 7 филиалами по России — использовал разрозненные каналы связи и устаревшие маршрутизаторы без централизованной защиты. Это приводило к:

• отсутствию шифрования между площадками,
• невозможности контролировать трафик по типу приложений,
• сложности в организации удалённого доступа для администраторов,
• ручному управлению маршрутами при изменении топологии.

Требовалось создать единый, защищённый и управляемый сетевой периметр на базе:

• Sangfor NGAF — как центрального NGFW,
• Cisco ISR — как граничного оборудования в офисах,
• с поддержкой динамической маршрутизации, шифрования и строгой фильтрации.

Решение

Проект реализован в три этапа с акцентом на надёжность, автоматизацию и соответствие требованиям локализации.

1. Туннелирование и маршрутизация

• Между всеми офисами настроены IPsec-туннели (IKEv2) через Sangfor NGAF в головном офисе и Cisco ISR в филиалах.
• Внутри каждого IPsec-туннеля развёрнуты GRE-туннели для передачи не-IP-трафика и поддержки динамической маршрутизации.
• На GRE-интерфейсах запущен протокол BGP (Autonomous System per office) — это позволило автоматически обновлять таблицы маршрутизации при добавлении новых подсетей или сбое канала.
• Все туннели работают в режиме активный/резервный — при потере основного канала трафик переключается менее чем за 30 секунд.

2. NAT и публикация сервисов

• Настроены правила DNAT на Sangfor NGAF:
• публикация внутренних сервисов (SCCM, ITSM365, Zabbix) для администраторов,
• проброс портов 3389, 22, 443 только с доверенных IP.
• Настроены правила SNAT:
• весь исходящий трафик из филиалов маскируется под единый IP головного офиса,
• исключения — для систем резервного копирования и мониторинга.

3. Фильтрация на уровне приложений

• Активирован модуль Application Control в Sangfor NGAF:
• запрещены P2P, торренты, мессенджеры (кроме корпоративного),
• разрешены только бизнес-приложения: RDP, SIP, SMTP, HTTPS к доверенным доменам,
• для почтового трафика включена инспекция SSL и проверка на вложения.
• Правила применяются по зонам безопасности: офис, серверная, гостевой Wi-Fi — у каждой своя политика.

4. Удалённый доступ

• Настроен SSL VPN на Sangfor NGAF:
• доступ только по сертификату + логин/пароль,
• авторизация через LDAP (Active Directory),
• маршруты в туннель — только к подсетям ИТ-инфраструктуры (не ко всей сети).
• После подключения администратор получает доступ к SCCM, Zabbix, rConfig и другим сервисам без публикации портов в интернет.

Результат

• Построена единая, зашифрованная и динамически маршрутизируемая сеть между всеми офисами.
• Автоматическое восстановление маршрутов при сбое — без участия администратора.
• Полный контроль над трафиком на уровне приложений, а не только IP/порта.
• Безопасный удалённый доступ без рисков, связанных с открытыми RDP/SSH.
• Все данные и управление — локально, в российском ЦОД, без зависимости от облака.

Сегодня сетевая инфраструктура клиента — это не набор статических правил, а адаптивная, защищённая и предсказуемая среда, построенная на промышленных решениях и эксплуатируемая без стороннего вмешательства.