Межсетевой экран ССПТ-2 | fractel.ru

Сертификаты

Межсетевые экраны ССПТ-2 отвечают требованиям современных стандартов
безопасности для устройств 3-го класса защиты и имеют сертификаты

Межсетевой экран ССПТ-2 реализует функции контроля и разграничения доступа в компьютерных сетях, оставаясь при этом «прозрачным» для обрабатываемого трафика и любых тестовых воздействий. Это достигается за счет отсутствия физических и логических адресов на его фильтрующих интерфейсах (решение защищено патентами РФ 2214623, US 7281129).

Скрытность функционирования межсетевого экрана повышает надежность системы защиты в целом, значительно упрощает процедуру установки ССПТ-2 в существующие компьютерные сети и функционирующие на их основе информационные и телематические системы.


Назначение и область применения

На базе ССПТ-2 реализуются высокоэффективные масштабируемые решения по защите информации в компьютерных сетях на базе технологии Ethernet. ССПТ-2 используется как:

  1. Основное средство защиты для реализации различных политик информационной безопасности с помощью:
    • фильтрации пакетов на канальном, сетевом, транспортном и прикладном уровнях;
    • управления виртуальными соединениями между отдельными узлами сети;
    • контроля контента на прикладном уровне с учетом направления, времени и протоколов передачи трафика;
  2. Дополнительное устройство защиты для:
    • обеспечения безопасности функционирования ранее установленных в компьютерной сети средств защиты и устройств маршрутизации;
    • мониторинга трафика с возможностью анализа данных регистрации пакетов по различным критериям и интеграции с IDS;
    • обеспечения функционирования сетевых распределенных телематических приложений и GRID ресурсов.

Основные функциональные характеристики

  1. Многоуровневая скрытная фильтрация пакетов по совокупности критериев.
  2. Контроль виртуальных соединений (одновременно до 40000 сессий) на основе проверки соответствия каждого пакета контексту сессии.
  3. Трансляция сетевых адресов (режим NAT) в режиме «стелс» для сокрытия структуры внутренней сети с выделением «демилитаризованной зоны».
  4. Блокировка компьютерных flood-атак на основе фильтрации аномальной активности сетевых потоков данных.
  5. Регистрация системных событий и полных заголовков обработанных пакетов на всех уровнях межсетевого взаимодействия.
  6. Ведение журналов регистрации пакетов и их выгрузка по запросам администратора сети с использованием протоколов FTP и SYSlog.
  7. Аутентификация и авторизация администратора с помощью протокола RADIUS.
  8. Контроль доступа к интерфейсу управления на основе списка доверенных сетевых адресов.
  9. Синхронизация системного времени по протоколу NTP.

Режим скрытной фильтрации для систем защиты информации

Применение системы защиты, состоящей из межсетевых экранов, функционирующих в режиме скрытной фильтрации или в режиме «стелс», позволяет не только гарантировать безопасность сетевых приложений в соответствии с РД ФСТЭК и ФСБ, но и повышает надежность работы системы защиты в целом. Межсетевые экраны ССПТ-2 в режиме «стелс» невозможно обнаружить никакими известными средствами удаленного мониторинга сети.

Режимы и характеристики фильтрации

Канальный уровень

Обеспечивается фильтрация кадров:

  • для протоколов Ethernet II, IEEE 802.3/LLC, IEEE 802.3 Raw, IEEE 802.3-SNAP: по коду протокола, МАС-адресам отправителя и получателя
  • для кадров IEEE 802.1p/Q (VLAN): по идентификатору VLAN;
  • для протоколов ARP/RARP: по типу сообщения (запрос, ответ), МАС- и IP -адресам
    отправителя/ получателя.

Сетевой уровень

Обеспечивается фильтрация пакетов:

  • для протокола IPv4: по IP-адресам источника/приемника и значимым полям заголовка IP;
  • для протокола IPX: по адресам сети/узла источника/приемника, сокетам источника/приемника, типу пакета;
  • для протоколоа ICMP: по типу/коду протокола
  • для протоколов IPv6, IGMP, OSPF и других: в режиме «разрешить/запретить»

Транспортный уровень

Обеспечивается фильтрация сегментов:

  • TCP: по портам источника/приемника, флагам управления потоком;
  • UDP: по портам источника/приемника.

Контроль виртуальных соединений (управление сессиями)

Обеспечивается контроль состояний виртуальных соединений:

  • TCP, включая:
    • контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
    • контроль корректности переходов между состояниями виртуального соединения в соответствии с флагами управления;
    • контроль корректности номеров последовательностей ТСР-сегментов;
  • UDP, включая контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
  • ICMP (ping), включая контроль неизменности параметров (адреса, интерфейсы, идентификационная информация ICMP) отправителя и получателя на протяжении всей сессии.

Прикладной уровень

Управление протоколами обмена и доступа к информационным ресурсам:

  • HTTP, включая фильтрацию запросов на доступ к Web-серверам и обмен гипертекстовыми сообщениями;
  • SMTP, включая фильтрацию по адресам электронной почты;
  • FTP, включая фильтрацию запросов на обмен файлами;
  • протоколы SQL, включая фильтрацию запросов к базам данных.

Варианты исполнения

Исполнение ССПТ-2-06 ССПТ-2-69 ССПТ-2-81
Платформа ITX-B75-3* ITX-B75-6* Advantech
FWA-3231*
Формфактор 1U 1U 1U
Процессор Intel® Core™ i3 Intel® Core™ i3 Intel® Core™ i5
Память 4 Gb
DDR 3 1333 MHz
4 Gb
DDR 3 1333 MHz
4 Gb
DDR 3 1333 MHz
Носитель информации CF 4 Gb CF 4 Gb CF 4 Gb
Сетевые интерфейсы Фильтрующие 2×GbE RJ-45 5×GbE RJ-45 2×GbE RJ-45
2 х 10G RJ-45/SFP
Управляющие 1×GbE RJ-45 1×GbE RJ-45 1×GbE RJ-45
Консоль 1×RJ-45 1×RJ-45 1×RJ-45
Монитор VGA VGA VGA
Клавиатура USB 2.0 USB 2.0 USB 2.0
Питание 220V @ 50Hz 400 Вт 220V @ 50Hz 400 Вт 220V @ 50Hz 400 Вт

или аналогичная

Под заказ могут быть сформированы варианты исполнения устройства с конфигурацией, отличной от представленных.
Производитель оставляет за собой право вносить в конфигурацию устройств изменения, не ухудшающие его функциональные характеристики