Виртуальный межсетевой экран ССПТ-4Б1

Виртуальный межсетевой экран ССПТ-4Б1 – решение для защиты сетевых ресурсов в виртуальной среде различных гипервизоров. Являясь безадресным виртуальным устройством, ССПТ-4Б1 сохраняет преимущества межсетевых экранов серии ССПТ, обеспечивая эффективную защиту теперь и в виртуальной среде.

Эффективность применения ССПТ-4Б1 достигается за счет использования технологии скрытной фильтрации (режим “stealth”) – инновационного решения (патенты РФ № 2214623, US7281129 B2), позволяющего скрывать от средств удаленного сетевого мониторинга место расположения межсетевого экрана. Это решение повышает безопасность и надежность функционирования межсетевого экрана, позволяет быстро и эффективно наращивать производительность системы информационной безопасности.

Основная особенность технологии скрытной фильтрации состоит в том, что фильтрующим интерфейсам ССПТ-4Б1 не назначаются логические (IP) адреса, а в процессе обработки пакетов не используются физические (MAC) адреса этих интерфейсов. Такая особенность позволяет:

• сегментировать и защищать виртуальную сеть без изменения адресного плана и конфигурации уже сконфигурированных виртуальных устройств;
• эффективно защищать сам виртуальный межсетевой экран от атак: отсутствие адресов на фильтрующих интерфейсах исключает возможность доступа к операционной системе межсетевого экрана из подключённых сегментов;
• сохранять без изменений заголовки и содержимое обрабатываемых пакетов.

• Виртуальная среда гипервизоров ESXi 6.5, Горизонт-ВС
• Логическое сегментирование виртуальной сетевой инфраструктуры согласно политике безопасности
• Защита внешнего периметра виртуальной сети с возможностью защиты от DoS-атак, применения технологии NAT и выделения демилитаризованного сегмента
• Аудит безопасности виртуальной сети с протоколированием пакетов, соединений и событий безопасности, с использованием средства группового мониторинга и управления

Комбинация пакетной фильтрации и глубокого контроля сессий (deep session inspection): каждая новая сессия проверяется на предмет соответствия политике доступа, после чего каждый последующий пакет сессии контролируется в соответствии с текущим состоянием сессии. Принимаются во внимание поля заголовков протоколов канального, сетевого, транспортного и прикладного уровней.

Скрытная фильтрация (stealth filtering): отсутствие адресов на фильтрующих интерфейсах, а также сохранение в неизменном виде пакетов, передаваемых через межсетевой экран (при выключенном режиме NAT и функции посредника).

Многопоточная обработка трафика (multithreading): система фильтрации ССПТ-4Б1 включает в себя несколько одновременно функционирующих потоков, способных параллельно обрабатывать трафик, за счет чего достигаются повышенные характеристики производительности.

Режим пакетной фильтрации

В режиме пакетной фильтрации обработка трафика осуществляется на канальном, сетевом и транспортном уровнях сетевого взаимодействия по следующим признакам:

• канальный: тип кадра, МАС-адреса, вложенный протокол, VLAN;
• сетевой: IPv4/IPv6 адреса, протокол, фрагментация, TOS, TTL, дополнительные заголовки IPv6, тип/код ICMPv4 и ICMPv6;
• транспортный: порты отправителя/получателя, флаги управления.

Режим управления сессиями

В режиме управления сессиями ССПТ-4Б1 реализует глубокий контроль сессий (deep session inspection), выявляя в общем сетевом трафике виртуальные соединения (сессии) между парами адресатов клиент–сервер и обеспечивая контроль корректности последовательностей пакетов в пределах каждого виртуального соединения.

Дополнительно к возможностям режима пакетной фильтрации в режиме управления сессиями обеспечивается фильтрация на прикладном уровне по следующим признакам:

• HTTP: URL, имена файлов, метод, ASCII- и бинарные последовательности;
• SMTP: почтовые адреса отправителя/получателя, ASCII- и бинарные последовательности;
• FTP: команды протокола, имена файлов, данные авторизации, ASCII- и бинарные последовательности;
• DNS: доменные имена, ASCII- и бинарные последовательности;
• протоколов распределенных СУБД: SQL запросы, ASCII- и бинарные последовательности;
• другие прикладные протоколы: любые ASCII- и бинарные последовательности.

Функция трансляции адресов (NAT)

При использовании NAT на фильтрующие интерфейсы ССПТ-4Б1 назначаются IP-адреса, при этом часть интерфейсов может остаться в безадресном режиме. Основные возможности:

• возможность организации нескольких контейнеров NAT, функционирующих независимо;
• агрегирование нескольких физических интерфейсов в один логический;
• переадресация запросов из внешних сетей к внутренним серверам;
• управление трансляцией во внешнюю сеть;
• динамический/статический ARP;
• статическая маршрутизация.

Цена на изделие «Межсетевой экран ССПТ-4Б1» ФРПС.00100-01 зависит от исполнения и подлежит согласованию на этапе подписания договора

• Возможность произвольного конфигурирования количества (от 2 до 16) и типов (100Мб, 1G, 10G) Ethernet-интерфейсов
• Посредник (proxy): поддержка функции посредника для HTTP/HTTPS трафика с возможностью блокировки запросов по URL, блокировки мобильного кода
• Приоритезация обработки трафика на сетевых интерфейсах
• Справочник сетевых объектов, возможность оперировать ими в правилах фильтрации
• Выявление и блокирование ряда flood-атак (SYN, ICMP, UDP)
• Аутентификация сетевых пользователей
• Отказоустойчивая конфигурация на основе двух ССПТ-4Б1, работающих в режиме горячего резервирования
• Зеркалирование трафика на заданный фильтрующий интерфейс
• Контроль целостности программных и конфигурационных файлов
• Выгрузка журналов регистрации по протоколам FTP и SYSlog на внешнее хранилище
• Выделенный интерфейс управления, защита канала управления с использованием алгоритмов шифрования на основе OpenSSL
• Возможность агрегирования канала управления
• Аутентификация и авторизация с использованием протокола RADIUS
• Графический и командный интерфейс управления
• Система централизованного управления, позволяющая обслуживать до 1000 виртуальных межсетевых экранов одновременно
• Удаленное управление через доверенный канал
• Защита от копирования на базе Рутокен