Межсетевые экраны "ССПТ" (сертифицировано ФСТЭК и ФСБ)

По вашему запросу ничего не найдено

Межсетевые экраны серии ССПТ предназначены для разделения сегментов сети с целью обеспечения их защиты от несанкционированного доступа.

Назначение и область применения

Межсетевой экран ССПТ-4А1 представляет собой программно-аппаратное средство, реализующее функции фильтрации информационных потоков в соответствии с заданной политикой доступа, а также с использованием глубокого контроля виртуальных соединений. Цель использования ССПТ-4А1: обеспечение защиты информации ограниченного доступа. ССПТ-4А1 обеспечивает нейтрализацию следующих угроз безопасности:

  • несанкционированный доступ к информации, содержащейся в информационной системе;
  • отказ в обслуживании информационной системы или ее отдельных компонентов;
  • несанкционированная передача информации из информационной системы во внешние информационно-телекоммуникационные сети;
  • несанкционированное воздействие на межсетевой экран, целью которого является нарушение его функционирования, преодоление или обход его функций безопасности;
  • несанкционированное получение сведений о сети информационной системы.

Основные области применения:

  • физическое и логическое сегментирование внутренней сети информационной системы согласно политике доступа без необходимости реконфигурации сетевой инфраструктуры;
  • защита внешнего периметра информационной системы с возможностью применения технологии NAT, выделения демилитаризованного сегмента и защиты от DoS-атак;
  • аудит безопасности сети с протоколированием пакетов, виртуальных соединений и событий безопасности;
  • создание кластерных и отказоустойчивых решений.

Базовые режимы функционирования:

  • режим управления сессиями (stateful inspection), в котором обеспечивается контроль виртуальных соединений и проверка каждого пакета на соответствие текущему контексту сессии;
  • режим трансляции сетевых адресов (NAT), в котором обеспечивается выделение внутреннего сегмента с приватной адресацией и преобразование адресной информации при передаче пакетов во внешнюю сеть и обратно;
  • режим пакетной фильтрации, в котором производится обработка каждого входящего пакета независимо от контекста виртуального соединения;
  • приоритизация обработки пакетов подсистемой фильтрации с выделением трех уровней приоритета;
  • посредничество (proxy) в обработке HTTP-трафика с возможностью фильтрации по адресам сайтов, а также удаления мобильного кода из просматриваемых WEB-страниц.

Скрытная фильтрация

Эффективность применения межсетевого экрана ССПТ-4А1 достигается за счет использования технологии скрытной фильтрации (режим «stealth») – инновационного решения (патенты РФ N 2214623, US7281129 B2), позволяющего скрывать для средств удаленного сетевого мониторинга место расположения ССПТ-4А1. Это решение повышает надежность функционирования межсетевого экрана, позволяет быстро и эффективно внедрять межсетевой экран в существующую информационную систему, а также наращивать производительность системы информационной безопасности.

 

Функциональные характеристики и режимы работы

Канальный уровень

Обеспечивается фильтрация кадров по следующим критериям:

  • тип кадра Ethernet (Ethernet II, IEEE 802.3/LLC, IEEE 802.3 Raw, IEEE 802.3-SNAP);
  • МАС-адреса отправителя/получателя;
  • код протокола вышележащего уровня;
  • идентификатор VLAN для кадров IEEE 802.1p/Q;

Сетевой уровень

Обеспечивается фильтрация пакетов по следующим критериям:

  • тип протокола (IP версии 4 и 6);
  • IPv4/IPv6 адреса отправителя/получателя;
  • код протокола вышележащего уровня (TCP, UDP, ICMP, OSPF, IGMP и другие);
  • поля фрагментации, TOS, TTL, длина пакета;
  • дополнительные заголовки, поле класса трафика для протокола IPv6;
  • тип/код служебных сообщений протоколов ICMPv4 и ICMPv6

Транспортный уровень

Обеспечивается фильтрация сегментов по следующим критериям:

  • TCP: по портам источника/приемника, флагам управления потоком;
  • UDP: по портам источника/приемника.

Контроль виртуальных соединений (управление сессиями)

В режиме управления сессиями ССПТ-4А1 реализует глубокий контроль сессий (deep session inspection), выявляя в общем сетевом трафике виртуальные соединения (сессии) между парами адресатов клиент–сервер и обеспечивая контроль корректности каждого пакета в пределах каждого виртуального соединения. Дополнительно к возможностям режима пакетной фильтрации в режиме управления сессиями обеспечивается фильтрация на прикладном уровне по следующим признакам

Обеспечивается контроль состояний виртуальных соединений:

  • TCP, включая:
    • контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
    • контроль корректности переходов между состояниями виртуального соединения в соответствии с флагами управления;
    • контроль корректности номеров последовательностей ТСР-сегментов;
  • UDP, включая контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
  • ICMP, включая контроль неизменности параметров (адреса, интерфейсы, идентификационная информация ICMP) отправителя и получателя на протяжении всей сессии.
  • traceroute/tracepath/tracert, включая контроль обмена сообщениями протоколов UDP/TCP/ICMP;
  • других протоколов, включая контроль неизменности параметров (адреса, интерфейсы) отправителя и получателя на протяжении всей сессии.

Прикладной уровень

Управление протоколами обмена и доступа к информационным ресурсам:

  • HTTP:фильтрация по адресам и фрагментам URL, по типу мобильного кода, по именам и фрагментам имен передаваемых файлов, по методу HTTP, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • SMTP: фильтрация по адреса электронной почты отправителя и получателя, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • FTP: по командам протокола, по именам и фрагментам имен передаваемых файлов, по данным авторизации, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • DNS: фильтрация по запрашиваемым доменным именам, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • протоколы распределенных СУБД: фильтрация по SQL запросам или фрагментам, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • для других прикладных протоколов: фильтрация по любым ASCII- и бинарным последовательностям передаваемых прикладных данных.

Режим трансляции адресов (NAT)

В режиме NAT на фильтрующие интерфейсы ССПТ-4А1 назначаются IP-адреса, при этом часть интерфейсов может остаться в безадресном режиме. Основные возможности данного режима:

  • динамический ARP;
  • статическая маршрутизация;
  • возможность организации нескольких контейнеров NAT, функционирующих независимо;
  • агрегирование нескольких физических интерфейсов в один логический интерфейс;
  • управляемая трансляция адресной информации при передаче во внешнюю сеть;
  • переадресация запросов из внешних сетей к серверам во внутренних сетях.

Сохраняются все возможности режима пакетной фильтрации и режима управления сессиями.

 

Для консультаций и расчета стоимости проекта просьба отправлять запросы по электронной почте info@linuxcenter.shop и по телефону (812) 309-0686

Обратный звонок
Запрос успешно отправлен!
Имя *
Телефон *
Предзаказ
Предзаказ успешно отправлен!
Имя *
Телефон *
Добавить в корзину
Перейти в корзину
Быстрое оформление заказа