ПАК ViPNet Coordinator HW 5

ViPNet Coordinator HW 5 - шлюз безопасности, реализующий концепцию NGFW (Next-Generation Firewall - межсетевой экран следующего поколения), который объединяет в одном устройстве следующие работающие совместно функции безопасности:

• криптографический шлюз, обеспечивающий построение VPN на сетевом (L3) и канальном (L2) уровнях модели OSI;
• межсетевой экран SPI (Stateful Packet Inspection);
• межсетевой экран уровня приложений DPI (Deep Packet Inspection);
• средство обнаружения и предотвращения вторжений (IDS/IPS);
• прокси-сервер;
• кластер высокой доступности (HA-cluster).

ViPNet Coordinator HW 5 реализуется в исполнении программно-аппаратного комплекса на доверенной аппаратной платформе, а также в виде виртуального устройства, которое может функционировать в виртуальной среде (KVM, VMware ESXi, Microsoft Hyper-V, Oracle VM Server).

Реализованные сетевые функции и сервисы безопасности активируются в соответствии с приобретенной лицензией (лицензируются отдельные модули).

• Объединение в одном устройстве нескольких функций безопасности (FW, DPI, IPS, VPN, Proxy)
• Гранулированные политики безопасности, которые строятся в терминах «Пользователь» - «Приложение» - «Действие»
• Обнаружение и нейтрализация сетевых вторжений с использованием встроенной системы предотвращения вторжений (IPS)
• Обеспечение безопасного использования персональных устройств в рабочих целях с полным соблюдением политик безопасности компании – BYOD (Bring Your Own Device)
• Отказоустойчивый кластер (High-Availability) с синхронизацией сессий позволяет минимизировать время переключения между элементами кластера до 1 секунды
• Гибкая политика лицензирования позволяет приобрести только необходимые функции в зависимости от потребности
• Выявление и блокировка более 2000 прикладных протоколов и приложений: игры, социальные сети, torrent и т.д.
• Централизованное управление шлюзом безопасности с ролевой моделью доступа

Межсетевой экран (SPI)

• Фильтрация трафика на сетевом и транспортном уровнях модели OSI с контролем состояния сессий
• Раздельная настройка фильтрации для открытого и шифруемого IP-трафика
• NAT/PAT
• Антиспуфинг

Межсетевой экран уровня приложений (DPI)

• Фильтрация трафика на прикладном уровне модели OSI с помощью технологии DPI с целью отслеживания активности приложений и прикладных протоколов
• Выявление и блокировка более 2000 прикладных протоколов и приложений
• Выявление приложений, трафик которых шифруется или маскируется
• Фильтрация трафика для заданного пользователя (AD, LDAP)

Обнаружение и предотвращение вторжений (IPS)

• Анализ сетевого трафика для защиты от различного вида сетевых атак и вирусов, попыток эксплуатации уязвимостей и получения несанкционированного доступа
• Работа как в режиме предотвращения вторжений (IPS), так и обнаружения (IDS) с фиксацией событий
• Сигнатурный и эвристический методы анализа трафика
• Автоматизированное обновление баз правил с сервера обновлений
• База правил регулярно обновляется специалистами ГК ИнфоТеКС для поддержания в актуальном состоянии

VPN

• VPN-шлюз сетевого уровня (L3 VPN)
• VPN-шлюз канального уровня (L2OverIP VPN)*
• Поддержка криптографических алгоритмов ГОСТ 34.12-2018 «Магма» и «Кузнечик», ГОСТ 28147-89
• Сервер IP-адресов и маршрутизатор VPN-пакетов*
• Маскирование структуры трафика за счет инкапсуляции в UDP, TCP

Идентификация пользователей

• Интеграция с Microsoft Active Directory
• Captive Portal и интеграция с LDAP каталогом

Прокси-сервер

• Поддержка протокола HTTP
• Работа в «прозрачном» режиме
• Кэширование данных
• Проверка и фильтрация трафика по разным типам содержимого, передаваемого в протоколе HTTP
• Проверка трафика внешним антивирусом по протоколу ICAP

Отказоустойчивость и резервирование

• Отказоустойчивый кластер высокой доступности по схеме «активный/пассивный» с минимальным временем переключения между элементами кластера (до 1 секунды)
• Поддержка синхронизации таблицы соединений между элементами кластера
• Резервирование каналов связи
• Резервирование сетевых интерфейсов
• Поддержка ИБП (UPS)

Управление и мониторинг

• Централизованное управление шлюзом
• Удаленное управление шлюзом с помощью SSH-консоли и веб-интерфейса (HTTPS)
• Ролевая модель доступа - разделение полномочий между несколькими администраторами, аудит действий администраторов
• Централизованное обновление ключевой информации и конфигурации
• Мониторинг по протоколам SNMP v1, v2c, v3
• Автоматическое резервное копирование конфигурации шлюза и экспорт в систему централизованного управления
• Экспорт системного журнала по протоколу Syslog
• Экспорт журнала IP-пакетов в формате CEF

Сетевые функции

• Резервирование и балансировка каналов связи: WAN (балансировка и резервирование), VPN (резервирование)
• Маршрутизация сетевого трафика на основе:
  • статической маршрутизации;
  • динамической маршрутизации (OSPFv2)*;
  • политик маршрутизации (policy based routing)
• Поддержка виртуальных локальных сетей (VLAN 802.1Q)
• Агрегирование сетевых интерфейсов (802.3ad, LACP)
• Поддержка Jumbo-кадров и технологии Path MTU Discovery
• Поддержка классификации и приоритизации трафика (QoS, ToS, DiffServ)
• Реализация функций клиента и точки доступа Wi-Fi (для платформ HW50 N2 и HW100 N2)

Сервисные функции

• DHCP-Relay
• DHCP-сервер
• DNS-сервер
• NTP-сервер

* Кроме исполнения HW50.

Сценарии использования

• Построение защищенных каналов связи между объектами организации (Site-to-Site и Multi Site-to-Site)
• Защищенный доступ удаленных пользователей
• Разграничение доступа к информации в локальных сетях, сегментирование локальных сетей (например, выделение ДМЗ)
• Обнаружение и нейтрализация сетевых вторжений
• Комплексная защита от сетевых угроз
• Защита магистральных каналов, соединяющих ЦОДы между собой
• Защита беспроводных сетей связи 3G/LTE и Wi-Fi
• Защита мультисервисных сетей (включая IP-телефонию и видеоконференцсвязь)
• Взаимодействие с сетями ViPNet других организаций

Схема применения ViPNet Coordinator HW 5

Технические характеристики ViPNet Coordinator HW 5