Межсетевой экран ССПТ-2 реализует функции контроля и разграничения доступа в компьютерных сетях, оставаясь при этом «прозрачным» для обрабатываемого трафика и любых тестовых воздействий. Это достигается за счет отсутствия физических и логических адресов на его фильтрующих интерфейсах (решение защищено патентами РФ 2214623, US 7281129).
Скрытность функционирования межсетевого экрана повышает надежность системы защиты в целом, значительно упрощает процедуру установки ССПТ-2 в существующие компьютерные сети и функционирующие на их основе информационные и телематические системы.
Назначение и область применения
На базе ССПТ-2 реализуются высокоэффективные масштабируемые решения по защите информации в компьютерных сетях на базе технологии Ethernet. ССПТ-2 используется как:
- Основное средство защиты для реализации различных политик информационной безопасности с помощью:
- фильтрации пакетов на канальном, сетевом, транспортном и прикладном уровнях;
- управления виртуальными соединениями между отдельными узлами сети;
- контроля контента на прикладном уровне с учетом направления, времени и протоколов передачи трафика;
- Дополнительное устройство защиты для:
- обеспечения безопасности функционирования ранее установленных в компьютерной сети средств защиты и устройств маршрутизации;
- мониторинга трафика с возможностью анализа данных регистрации пакетов по различным критериям и интеграции с IDS;
- обеспечения функционирования сетевых распределенных телематических приложений и GRID ресурсов.
Основные функциональные характеристики
- Многоуровневая скрытная фильтрация пакетов по совокупности критериев.
- Контроль виртуальных соединений (одновременно до 40000 сессий) на основе проверки соответствия каждого пакета контексту сессии.
- Трансляция сетевых адресов (режим NAT) в режиме «стелс» для сокрытия структуры внутренней сети с выделением «демилитаризованной зоны».
- Блокировка компьютерных flood-атак на основе фильтрации аномальной активности сетевых потоков данных.
- Регистрация системных событий и полных заголовков обработанных пакетов на всех уровнях межсетевого взаимодействия.
- Ведение журналов регистрации пакетов и их выгрузка по запросам администратора сети с использованием протоколов FTP и SYSlog.
- Аутентификация и авторизация администратора с помощью протокола RADIUS.
- Контроль доступа к интерфейсу управления на основе списка доверенных сетевых адресов.
- Синхронизация системного времени по протоколу NTP.
Режим скрытной фильтрации для систем защиты информации
Применение системы защиты, состоящей из межсетевых экранов, функционирующих в режиме скрытной фильтрации или в режиме «стелс», позволяет не только гарантировать безопасность сетевых приложений в соответствии с РД ФСТЭК и ФСБ, но и повышает надежность работы системы защиты в целом. Межсетевые экраны ССПТ-2 в режиме «стелс» невозможно обнаружить никакими известными средствами удаленного мониторинга сети.
Режимы и характеристики фильтрации
Канальный уровень
Обеспечивается фильтрация кадров:
- для протоколов Ethernet II, IEEE 802.3/LLC, IEEE 802.3 Raw, IEEE 802.3-SNAP: по коду протокола, МАС-адресам отправителя и получателя
- для кадров IEEE 802.1p/Q (VLAN): по идентификатору VLAN;
- для протоколов ARP/RARP: по типу сообщения (запрос, ответ), МАС- и IP -адресам
отправителя/ получателя.
Сетевой уровень
Обеспечивается фильтрация пакетов:
- для протокола IPv4: по IP-адресам источника/приемника и значимым полям заголовка IP;
- для протокола IPX: по адресам сети/узла источника/приемника, сокетам источника/приемника, типу пакета;
- для протоколоа ICMP: по типу/коду протокола
- для протоколов IPv6, IGMP, OSPF и других: в режиме «разрешить/запретить»
Транспортный уровень
Обеспечивается фильтрация сегментов:
- TCP: по портам источника/приемника, флагам управления потоком;
- UDP: по портам источника/приемника.
Контроль виртуальных соединений (управление сессиями)
Обеспечивается контроль состояний виртуальных соединений:
- TCP, включая:
- контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
- контроль корректности переходов между состояниями виртуального соединения в соответствии с флагами управления;
- контроль корректности номеров последовательностей ТСР-сегментов;
- UDP, включая контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
- ICMP (ping), включая контроль неизменности параметров (адреса, интерфейсы, идентификационная информация ICMP) отправителя и получателя на протяжении всей сессии.
Прикладной уровень
Управление протоколами обмена и доступа к информационным ресурсам:
- HTTP, включая фильтрацию запросов на доступ к Web-серверам и обмен гипертекстовыми сообщениями;
- SMTP, включая фильтрацию по адресам электронной почты;
- FTP, включая фильтрацию запросов на обмен файлами;
- протоколы SQL, включая фильтрацию запросов к базам данных.
Варианты исполнения
| Исполнение |
ССПТ-2-06 |
ССПТ-2-69 |
ССПТ-2-81 |
| Платформа |
ITX-B75-3* |
ITX-B75-6* |
Advantech
FWA-3231* |
| Формфактор |
1U |
1U |
1U |
| Процессор |
Intel® Core™ i3 |
Intel® Core™ i3 |
Intel® Core™ i5 |
| Память |
4 Gb
DDR 3 1333 MHz |
4 Gb
DDR 3 1333 MHz |
4 Gb
DDR 3 1333 MHz |
| Носитель информации |
CF 4 Gb |
CF 4 Gb |
CF 4 Gb |
| Сетевые интерфейсы |
Фильтрующие |
2×GbE RJ-45 |
5×GbE RJ-45 |
2×GbE RJ-45
2 х 10G RJ-45/SFP |
| Управляющие |
1×GbE RJ-45 |
1×GbE RJ-45 |
1×GbE RJ-45 |
| Консоль |
1×RJ-45 |
1×RJ-45 |
1×RJ-45 |
| Монитор |
VGA |
VGA |
VGA |
| Клавиатура |
USB 2.0 |
USB 2.0 |
USB 2.0 |
| Питание |
220V @ 50Hz 400 Вт |
220V @ 50Hz 400 Вт |
220V @ 50Hz 400 Вт |
Под заказ могут быть сформированы варианты исполнения устройства с конфигурацией, отличной от представленных.Производитель оставляет за собой право вносить в конфигурацию устройств изменения, не ухудшающие его функциональные характеристики
Ценообразование
Цена на изделие «Межсетевой экран ССПТ-2» зависит от конструктивного исполнения и подлежит согласованию на этапе подписания договора
Окончание производства
ООО «НПО «ФРАКТЕЛ» заканчивает производство и оказание технической поддержки изделия «Межсетевой экран ССПТ-2» 31 декабря 2023 года.
