Безопасность корпоративной сети должна обеспечиваться на базе высокопроизводительной платформы, имеющей запас прочности и возможности по масштабированию. UserGate E является полноценным сетевым серверным решением, способным решать задачи по защите от всевозможных интернет-угроз в сетях с количеством пользователей до тысячи и более.
Комплексная защита инфраструктуры
Крупные проекты накладывают особые требования на производительность системы, ее безопасность и отказоустойчивость. UserGate F работает на базе максимально мощных платформы и процессоров, эффективно обеспечивая выполнения множества функций безопасности для большого числа пользователей. Как и другие платформы UserGate F защищает корпоративную сеть от современных атак и других вторжений, обеспечивает анализ и фильтрацию трафика по контенту, контроль интернет-приложений, блокирование опасных скриптов и приложений, защиту от вирусов и спама, а также другие функции безопасности.
Контроль пользователей и сетевого трафика
UserGate F может обеспечивать безопасность и соблюдение корпоративных политик для предприятий любого размера, а также может использоваться в операторских проектах и для предоставления облачных сервисов.
Наличие сертификата ФСТЭК России
Межсетевой экран UserGate сертифицирован ФСТЭК России по требованиям к Межсетевым Экранам (4-й класс, профили А и Б) и к Системам Обнаружения Вторжений (4-й класс), а также по 4 уровню доверия. Таким образом, UserGate может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, информационных системах персональных данных (ИСПДн) 1 уровня защищенности, государственных информационных системах (ГИС) 1 класса защищенности, автоматизированных систем управления технологическими процессами 1 класса защищенности и информационных системах общего пользования II класса.
Основные функции
Межсетевой экран нового поколения
Системы обнаружения вторжений (IDS/IPS)
Advanced Threat Protection (Опция)
Доступ к внутренним ресурсам через SSL VPN Portal
Интернет-шлюз для контроля доступа в интернет
Анализ и выгрузка информации об инцидентах безопасности (SIEM)
Обратный прокси (Reverse proxy)
Автоматизация реакции на угрозы безопасности информации (SOAR)
Контроль Приложений L7
Защита почты - Mail Security (Опция)
Контроль доступа в интернет
Дешифрование SSL
Гостевой портал
Идентификация пользователей
Виртуальная частная сеть (VPN)
Удаленное администрирование
Безопасная публикация внутренних ресурсов и сервисов
Поддержка концепции BYOD (Bring Your Own Device)
Поддержка высокой отказоустойчивости и кластеризации
Поддержка АСУ ТП (SCADA)
Сценарии использования
КОРПОРАТИВНЫЙ МЕЖСЕТЕВОЙ ЭКРАН
Защита сети на периметре для средних и крупных предприятий.
ЗАЩИТА ОТ УГРОЗ НОВОГО ПОКОЛЕНИЯ
Анализ современных угроз, поддержка концепции SOAR.
ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ
Защита корпоративных сетей и дата-центров.
АНАЛИЗ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ
Журналирование и мониторинг событий, статистика и отчетность.
ОРГАНИЗАЦИЯ УДАЛЕННОЙ РАБОТЫ
Публикация ресурсов, создание VPN-соединений.
ФИЛЬТРАЦИЯ ИНТЕРНЕТ-КОНТЕНТА
Анализ содержимого сайтов, блокировка опасных ресурсов.
Схема использования UserGate
Технические характеристики
Спецификация
Межсетевой экран UserGate F8000
Производительность
Пропускная способность межсетевого экрана, UDP
до 60 Гб/c
Межсетевой экран, трафик EMIX
до 40 Гб/c
Межсетевой экран c функцией определения приложений L7, трафик EMIX
до 40 Гб/c
Одновременных TCP сессий
до 48 000 000
Новых сессий в секунду
до 135 000
Система обнаружения вторжений, трафик EMIX
до 8 Гб/с
Контентная фильтрация, трафик EMIX
до 15 Гб/c
Инспектирование SSL, трафик EMIX
до 8 Гб/c
Контентная фильтрация, антивирус, трафик EMIX
до 14 Гб/c
Межсетевой экран c функцией определения приложений L7, СОВ, контентная фильтрация, трафик EMIX
до 2,8 Гб/c
Размеры организации
Рекомендованное количество пользователей*
до 10000
Спецификация оборудования
Портов 10/100/1000Base-T
9 встроено, 40 дополнительно с использованием плат расширений
Портов 10GBase-F SFP+
4 встроено, 20 с использованием плат расширений
Плат расширений
5
Процессор, количество ядер
36
Память
64 Гбайт
*Рекомендованное количество пользователей определяется по усредненному профилю сотрудника. Данное значение может сильно варьироваться в зависимости от характера работы, выполняемой сотрудниками компании, а так же настройками журналирования МЭ UserGate.
UserGate лицензируется по количеству одновременно подключенных устройств, включая пользователей терминальных серверов, за исключением устройств, чей трафик проходит через UserGate с использованием правил публикации DNAT, Reverse-прокси, веб-портала, защиты почтового трафика. Например, 100-пользовательская лицензия разрешает подключение к сети одновременно 100 устройствам с уникальными IP-адресами. 101 и следующие устройства не смогут получить доступ к сети. Количество учетных записей пользователей в системе не ограничивается. Лицензия на UserGate дает право бессрочного пользования продуктом.
Есть ли возможность экспорта/импорта текущих настроек UserGate?
Администратор имеет возможность сохранить текущие настройки UserGate в файл и впоследствии восстановить эти настройки на этом же или другом сервере UserGate. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.
Экспорт/импорт настроек не восстанавливает состояние кластера и информацию о лицензии. После окончания процедуры импорта необходимо повторно зарегистрировать UserGate с помощью имеющегося ПИН-кода и заново создать кластер, если это необходимо.
Имеется возможность сделать экспорт всех настроек (за исключением вышеперечисленных), либо сделать только экспорт сетевых настроек.
Как UserGate позволяет создавать базовые настройки устройства?
UserGate позволяет создавать базовые настройки устройства с помощью интерфейса командной строки, или CLI (command line interface). С помощью CLI администратор может выполнить ряд диагностирующих команд, таких, как ping, nslookup, traceroute, осуществить настройку сетевых интерфейсов и зон, а также перезагрузить или выключить устройство.
CLI полезно использовать для диагностики сетевых проблем или в случае, когда доступ к веб-консоли утерян, например, некорректно указан IP-адрес интерфейса или ошибочно установлены параметры контроля доступа для зоны, запрещающие подключение к веб-интерфейсу. Подключение к CLI можно выполнить через стандартные порты VGA/клавиатуры (при наличии таких портов на оборудовании UserGate), через последовательный порт или с помощью SSH по сети.
Какой компонент UserGate обеспечивают разделение трафика путем разделения сетевых интерфейсов в независимые группы?
В крупных сетях зачастую множество логических сетей используют для прохождения трафика одни и те же сетевые устройства. Данный трафик должен быть разделен на сетевых устройствах, в первую очередь для уменьшения риска несанкционированного доступа между сетями. Виртуальные маршрутизаторы или Virtual Routing and Forwarding (VRF) обеспечивают разделение трафика путем разделения сетевых интерфейсов в независимые группы. Трафик из одной группы интерфейсов не может попасть в другие группы интерфейсов. Каждый виртуальный маршрутизатор имеет свою собственную таблицу маршрутизации. Таблица маршрутизации виртуального роутера может содержать запись о маршрутах, заданных статически или полученных с помощью протоколов динамической маршрутизации - BGP, OSPF, RIP. В рамках разных виртуальных маршрутизаторов допускается использовать одинаковые IP-сети (IP overlapping).
Виртуальный маршрутизатор по умолчанию необходим для корректной работы UserGate. Он используется для проверки лицензии, получения обновлений, работы DNS-служб.
Какие механизмы идентификации пользователя использует UserGate?
Идентификация пользователя - это базисная функция UserGate. Пользователь считается идентифицированным, если система однозначно связала пользователя с IP-адресом устройства, с которого пользователь подключается к сети. UserGate использует различные механизмы для идентификации пользователей: • Идентификация по явно указанному IP-адресу • Идентификация по имени и паролю • Идентификация пользователей терминальных серверов Microsoft с помощью специального агента терминального сервиса • Идентификация пользователей с помощью агента авторизации (для Windows-систем) • Идентификация с помощью протоколов NTLM, Kerberos Идентификация пользователей по имени и паролю возможна через Captive-портал, который, в свою очередь, может быть настроен на идентификацию пользователей с помощью каталогов Active Directory, RADIUS, TACACS+, NTLM, Kerberos или локальной базы пользователей.
Задайте вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.