Виртуальный безадресный межсетевой экран

Виртуальный межсетевой экран ССПТ-4Б1 – решение для защиты сетевых ресурсов в виртуальной среде различных гипервизоров. Являясь безадресным виртуальным устройством, ССПТ-4Б1 сохраняет преимущества межсетевых экранов серии ССПТ, обеспечивая эффективную защиту теперь и в виртуальной среде.

Эффективность применения ССПТ-4Б1 достигается за счет использования технологии скрытной фильтрации (режим “stealth”) – инновационного решения (патенты РФ № 2214623, US7281129 B2), позволяющего скрывать от средств удаленного сетевого мониторинга место расположения межсетевого экрана. Это решение повышает безопасность и надежность функционирования межсетевого экрана, позволяет быстро и эффективно наращивать производительность системы информационной безопасности.

Основная особенность технологии скрытной фильтрации состоит в том, что фильтрующим интерфейсам ССПТ-4Б1 не назначаются логические (IP) адреса, а в процессе обработки пакетов не используются физические (MAC) адреса этих интерфейсов. Такая особенность позволяет:

  • сегментировать и защищать виртуальную сеть без изменения адресного плана и конфигурации уже сконфигурированных виртуальных устройств;
  • эффективно защищать сам виртуальный межсетевой экран от атак: отсутствие адресов на фильтрующих интерфейсах исключает возможность доступа к операционной системе межсетевого экрана из подключённых сегментов;
  • сохранять без изменений заголовки и содержимое обрабатываемых пакетов.

Области применения

  • Виртуальная среда гипервизоров ESXi 6.5, Горизонт-ВС
  • Логическое сегментирование виртуальной сетевой инфраструктуры согласно политике безопасности
  • Защита внешнего периметра виртуальной сети с возможностью защиты от DoS-атак, применения технологии NAT и выделения демилитаризованного сегмента
  • Аудит безопасности виртуальной сети с протоколированием пакетов, соединений и событий безопасности, с использованием средства группового мониторинга и управления

Применяемые технологии

Комбинация пакетной фильтрации и глубокого контроля сессий (deep session inspection): каждая новая сессия проверяется на предмет соответствия политике доступа, после чего каждый последующий пакет сессии контролируется в соответствии с текущим состоянием сессии. Принимаются во внимание поля заголовков протоколов канального, сетевого, транспортного и прикладного уровней.

Скрытная фильтрация (stealth filtering): отсутствие адресов на фильтрующих интерфейсах, а также сохранение в неизменном виде пакетов, передаваемых через межсетевой экран (при выключенном режиме NAT и функции посредника).

Многопоточная обработка трафика (multithreading): система фильтрации ССПТ-4Б1 включает в себя несколько одновременно функционирующих потоков, способных параллельно обрабатывать трафик, за счет чего достигаются повышенные характеристики производительности.

Функциональные характеристики

Режим пакетной фильтрации

В режиме пакетной фильтрации обработка трафика осуществляется на канальном, сетевом и транспортном уровнях сетевого взаимодействия по следующим признакам:

  • канальный: тип кадра, МАС-адреса, вложенный протокол, VLAN;
  • сетевой: IPv4/IPv6 адреса, протокол, фрагментация, TOS, TTL, дополнительные заголовки IPv6, тип/код ICMPv4 и ICMPv6;
  • транспортный: порты отправителя/получателя, флаги управления.

Режим управления сессиями

В режиме управления сессиями ССПТ-4Б1 реализует глубокий контроль сессий (deep session inspection), выявляя в общем сетевом трафике виртуальные соединения (сессии) между парами адресатов клиент–сервер и обеспечивая контроль корректности последовательностей пакетов в пределах каждого виртуального соединения.

Дополнительно к возможностям режима пакетной фильтрации в режиме управления сессиями обеспечивается фильтрация на прикладном уровне по следующим признакам:

  • HTTP: URL, имена файлов, метод, ASCII- и бинарные последовательности;
  • SMTP: почтовые адреса отправителя/получателя, ASCII- и бинарные последовательности;
  • FTP: команды протокола, имена файлов, данные авторизации, ASCII- и бинарные последовательности;
  • DNS: доменные имена, ASCII- и бинарные последовательности;
  • протоколов распределенных СУБД: SQL запросы, ASCII- и бинарные последовательности;
  • другие прикладные протоколы: любые ASCII- и бинарные последовательности.

Функция трансляции адресов (NAT)

При использовании NAT на фильтрующие интерфейсы ССПТ-4Б1 назначаются IP-адреса, при этом часть интерфейсов может остаться в безадресном режиме. Основные возможности:

  • возможность организации нескольких контейнеров NAT, функционирующих независимо;
  • агрегирование нескольких физических интерфейсов в один логический;
  • переадресация запросов из внешних сетей к внутренним серверам;
  • управление трансляцией во внешнюю сеть;
  • динамический/статический ARP;
  • статическая маршрутизация.

Ценообразование

Цена на изделие «Межсетевой экран ССПТ-4Б1» ФРПС.00100-01 зависит от исполнения и подлежит согласованию на этапе подписания договора

Дополнительные возможности

  • Возможность произвольного конфигурирования количества (от 2 до 16) и типов (100Мб, 1G, 10G) Ethernet-интерфейсов
  • Посредник (proxy): поддержка функции посредника для HTTP/HTTPS трафика с возможностью блокировки запросов по URL, блокировки мобильного кода
  • Приоритезация обработки трафика на сетевых интерфейсах
  • Справочник сетевых объектов, возможность оперировать ими в правилах фильтрации
  • Выявление и блокирование ряда flood-атак (SYN, ICMP, UDP)
  • Аутентификация сетевых пользователей
  • Отказоустойчивая конфигурация на основе двух ССПТ-4Б1, работающих в режиме горячего резервирования
  • Зеркалирование трафика на заданный фильтрующий интерфейс
  • Контроль целостности программных и конфигурационных файлов
  • Выгрузка журналов регистрации по протоколам FTP и SYSlog на внешнее хранилище
  • Выделенный интерфейс управления, защита канала управления с использованием алгоритмов шифрования на основе OpenSSL
  • Возможность агрегирования канала управления
  • Аутентификация и авторизация с использованием протокола RADIUS
  • Графический и командный интерфейс управления
  • Система централизованного управления, позволяющая обслуживать до 1000 виртуальных межсетевых экранов одновременно
  • Удаленное управление через доверенный канал
  • Защита от копирования на базе Рутокен