Межсетевой экран ССПТ-4А1 | fractel.ru


Назначение и область применения

Межсетевой экран ССПТ-4А1 представляет собой программно-аппаратное средство, реализующее функции фильтрации информационных потоков в соответствии с заданной политикой доступа, а также с использованием глубокого контроля виртуальных соединений. Цель использования ССПТ-4А1: обеспечение защиты информации ограниченного доступа. ССПТ-4А1 обеспечивает нейтрализацию следующих угроз безопасности:

  • несанкционированный доступ к информации, содержащейся в информационной системе;
  • отказ в обслуживании информационной системы или ее отдельных компонентов;
  • несанкционированная передача информации из информационной системы во внешние информационно-телекоммуникационные сети;
  • несанкционированное воздействие на межсетевой экран, целью которого является нарушение его функционирования, преодоление или обход его функций безопасности;
  • несанкционированное получение сведений о сети информационной системы.

Основные области применения:

  • физическое и логическое сегментирование внутренней сети информационной системы согласно политике доступа без необходимости реконфигурации сетевой инфраструктуры;
  • защита внешнего периметра информационной системы с возможностью применения технологии NAT, выделения демилитаризованного сегмента и защиты от DoS-атак
  • Аудит безопасности сети с протоколированием пакетов, виртуальных соединений и событий безопасности
  • Создание кластерных и отказоустойчивых решений.

Базовые режимы функционирования:

  • режим управления сессиями (stateful inspection), в котором обеспечивается контроль виртуальных соединений и проверка каждого пакета на соответствие текущему контексту сессии;
  • режим трансляции сетевых адресов (NAT), в котором обеспечивается выделение внутреннего сегмента с приватной адресацией и преобразование адресной информации при передаче пакетов во внешнюю сеть и обратно;
  • режим пакетной фильтрации, в котором производится обработка каждого входящего пакета независимо от контекста виртуального соединения;
  • приоритизация обработки пакетов подсистемой фильтрации с выделением трех с возможностью выделения трех уровней приоритета;
  • посредничество (proxy) в обработке HTTP-трафика с возможностью фильтрации по адресам сайтов, а также удаления мобильного кода из просматриваемых WEB-страниц.

Скрытная фильтрация

Эффективность применения межсетевого экрана ССПТ-4А1 достигается за счет использования технологии скрытной фильтрации (режим «stealth») – инновационного решения (патенты РФ N 2214623, US7281129 B2), позволяющего скрывать для средств удаленного сетевого мониторинга место расположения ССПТ-4А1. Это решение повышает надежность функционирования межсетевого экрана, позволяет быстро и эффективно внедрять межсетевой экран в существующую информационную систему, а также наращивать производительность системы информационной безопасности.

Функциональные характеристики и режимы работы

Канальный уровень

Обеспечивается фильтрация кадров по следующим критериям:

  • тип кадра Ethernet (Ethernet II, IEEE 802.3/LLC, IEEE 802.3 Raw, IEEE 802.3-SNAP);
  • МАС-адреса отправителя/получателя;
  • код протокола вышележащего уровня;
  • идентификатор VLAN для кадров IEEE 802.1p/Q;

Сетевой уровень

Обеспечивается фильтрация пакетов по следующим критериям:

  • тип протокола (IP версии 4 и 6);
  • IPv4/IPv6 адреса отправителя/получателя;
  • код протокола вышележащего уровня (TCP, UDP, ICMP, OSPF, IGMP и другие);
  • поля фрагментации, TOS, TTL, длина пакета;
  • дополнительные заголовки, поле класса трафика для протокола IPv6;
  • тип/код служебных сообщений протоколов ICMPv4 и ICMPv6

Транспортный уровень

Обеспечивается фильтрация сегментов по следующим критериям:

  • TCP: по портам источника/приемника, флагам управления потоком;
  • UDP: по портам источника/приемника.

Контроль виртуальных соединений (управление сессиями)

В режиме управления сессиями ССПТ-4А1 реализует глубокий контроль сессий (deep session inspection), выявляя в общем сетевом трафике виртуальные соединения (сессии) между парами адресатов клиент–сервер и обеспечивая контроль корректности каждого пакета в пределах каждого виртуального соединения. Дополнительно к возможностям режима пакетной фильтрации в режиме управления сессиями обеспечивается фильтрация на прикладном уровне по следующим признакам

Обеспечивается контроль состояний виртуальных соединений:

  • TCP, включая:
    • контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
    • контроль корректности переходов между состояниями виртуального соединения в соответствии с флагами управления;
    • контроль корректности номеров последовательностей ТСР-сегментов;
  • UDP, включая контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
  • ICMP, включая контроль неизменности параметров (адреса, интерфейсы, идентификационная информация ICMP) отправителя и получателя на протяжении всей сессии.
  • traceroute/tracepath/tracert, включая контроль обмена сообщениями протоколов UDP/TCP/ICMP;
  • других протоколов, включая контроль неизменности параметров (адреса, интерфейсы) отправителя и получателя на протяжении всей сессии.

Прикладной уровень

Управление протоколами обмена и доступа к информационным ресурсам:

  • HTTP:фильтрация по адресам и фрагментам URL, по типу мобильного кода, по именам и фрагментам имен передаваемых файлов, по методу HTTP, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • SMTP: фильтрация по адреса электронной почты отправителя и получателя, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • FTP: по командам протокола, по именам и фрагментам имен передаваемых файлов, по данным авторизации, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • DNS: фильтрация по запрашиваемым доменным именам, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • протоколы распределенных СУБД: фильтрация по SQL запросам или фрагментам, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • для других прикладных протоколов: фильтрация по любым ASCII- и бинарным последовательностям передаваемых прикладных данных.

Режим трансляции адресов (NAT)

В режиме NAT на фильтрующие интерфейсы ССПТ-4А1 назначаются IP-адреса, при этом часть интерфейсов может остаться в безадресном режиме. Основные возможности данного режима:

  • динамический ARP;
  • статическая маршрутизация;
  • возможность организации нескольких контейнеров NAT, функционирующих независимо;
  • агрегирование нескольких физических интерфейсов в один логический интерфейс;
  • управляемая трансляция адресной информации при передаче во внешнюю сеть;
  • переадресация запросов из внешних сетей к серверам во внутренних сетях.

Сохраняются все возможности режима пакетной фильтрации и режима управления сессиями.

Дополнительные возможности

  • поддержка справочника сетевых объектов и возможность оперирования ими в правилах фильтрации;
  • выявление и блокирование ряда flood-атак (UDP, ICMP, SYN): ССПТ-4А1 анализирует интенсивность трафика и блокирует потоки, скорость обмена которых превысила заданный порог. Блокировка осуществляется созданием динамического запрещающего правила фильтрации;
  • аутентификация сетевых пользователей обеспечивает контроль доступа к сетевым ресурсам на основе логина и пароля пользователей, работающих через ССПТ-4А1;
  • отказоустойчивая кластеризация на основе двух ССПТ-4А1, работающих в режиме горячего резервирования (одно устройство активно, второе в горячем резерве) или балансировки нагрузки (оба устройства активны).
  • контроль целостности программных и конфигурационных файлов;
  • приоритизация пакетов: возможность назначения трёх уровней приоритета, влияющих на очередность и скорость обработки трафика в подсистеме фильтрации;
  • зеркалирование трафика на заданный фильтрующий интерфейс для мониторинга трафика или подключения система обнаружения вторжений сторонних производителей;
  • выгрузка журналов и отдельных записей регистрации по протоколам FTP и SYSlog для хранения значимой зарегистрированной информации на выделенных серверах;
  • защита канала управления с использованием алгоритмов шифрования на основе OpenSSL;
  • аутентификация и авторизация администраторов и сетевых пользователей с использованием протокола RADIUS.

Применяемые технологии

Многопоточная обработка трафика (multithreading): подсистема фильтрации ССПТ-4А1 включает в себя несколько одновременно функционирующих потоков, способных параллельно обрабатывать трафик. За счет этого достигаются повышенные характеристики производительности.

Комбинация пакетной фильтрации и глубокого контроля сессий (deep session inspection): каждая новая сессия проверяется на предмет соответствия политике доступа, после чего каждый последующий пакет сессии контролируется в соответствии с текущим состоянием сессии. Принимаются во внимание поля заголовков протоколов канального, сетевого, транспортного и прикладного уровней.

Скрытная фильтрация (stealth filtering): отсутствие адресов на фильтрующих интерфейсах, а также сохранение в неизменном виде пакетов, передаваемых через устройство (при выключенном режиме NAT).

Модельный ряд

Исполнение ССПТ-4A1
«малый офис»
ССПТ-4A1
«предприятие»
ССПТ-4A1
«магистраль»
Аппаратные характеристики
Формфактор 1U 1U 1U
Процессор Intel® Core™ i3 Intel® Core™ i5 Intel® Core™ i7
Сетевые интерфейсы Фильтрующие (2-4)×GbE RJ-45 (5-8)×GbE RJ-45 2×GbE RJ-45
(2-6)×10G RJ-45/SFP
Управляющие 1×GbE RJ-45 1×GbE RJ-45 1×GbE RJ-45
Память 4 Gb
DDR 3 1333 MHz
4 Gb
DDR 3 1333 MHz
4 Gb
DDR 3 1333 MHz
Консоль 1×RJ-45 1×RJ-45 1×RJ-45
Монитор VGA VGA VGA
Клавиатура USB 2.0 USB 2.0 USB 2.0
Производительность
Пропускная способность пакетов/сек 100 000 250 000 500 000
Количество одновременных соединений 200 000 200 000 200 000
Количество новых подключений за секунду 10 000 25 000 63 000
Питание 220V @ 50Hz 400 Вт 220V @ 50Hz 400 Вт 220V @ 50Hz 400 Вт

Отличия ССПТ-2 и ССПТ-4А1

ССПТ-2 ССПТ-4А1
Невидимый режим работы в сети («stealth») + +
Максимальное количество интерфейсов (фильтрующие/управляющий) 8/1 16/1
Управление Ethernet, консоль, COM, WEB, CLI, SNMP Ethernet, консоль, COM, WEB, CLI, SNMP, FNPCP
Уровни фильтрации канальный, сетевой (IPv4), транспортный, прикладной канальный, сетевой (IPv4, IPv6), транспортный, прикладной
Управление сессиями (инспекция состояний) +
TCP, UDP, ICMP,до 65000 сессий
+
все протоколы, до 200000 сессий
NAT, аутентификация пользователей + +
ARP, маршрутизация
Фильтрация по номеру VLAN + +
Синхронизация времени по NTP + +
Блокировка сетевых атак + +
Аутентификация по RADIUS +
(только администраторы)
+
(администраторы и пользователи)
Зеркалирование трафика + +
Резервирование + +
Справочники объектов +
Приоритизация обработки пакетов +
HTTP-посредник (proxy) +
Фильтрация мобильного кода +
Многопоточность +

Наши преимущества:

  • Опыт сертификации по требованиям руководящих документов ФСТЭК, ФСБ, Газпромсерт
  • Техническая поддержка, консультации по настройке и функционированию межсетевых экранов
  • Курсы по обучению специалистов
  • 2 года гарантии на устройства, возможность расширенной гарантии
  • Разработка модулей фильтрации, необходимых для Заказчика
  • Простая установка в любом сегменте сети без изменения адресного плана
  • Медные и оптические интерфейсы
  • Графический и командный интерфейс
  • Возможность удаленного управления устройствами через доверенный канал
  • Система централизованного управления, позволяющая обслуживать до 1000 устройств одновременно