Межсетевой экран ССПТ-4А1-01

Межсетевой экран ССПТ-4А1 представляет собой программно-аппаратное средство, реализующее функции фильтрации информационных потоков в соответствии с заданной политикой доступа, а также с использованием глубокого контроля виртуальных соединений.

Назначение и область применения

Межсетевой экран ССПТ-4А1 представляет собой программно-аппаратное средство, реализующее функции фильтрации информационных потоков в соответствии с заданной политикой доступа, а также с использованием глубокого контроля виртуальных соединений. Цель использования ССПТ-4А1: обеспечение защиты информации ограниченного доступа. ССПТ-4А1 обеспечивает нейтрализацию следующих угроз безопасности:

  • несанкционированный доступ к информации, содержащейся в информационной системе;
  • отказ в обслуживании информационной системы или ее отдельных компонентов;
  • несанкционированная передача информации из информационной системы во внешние информационно-телекоммуникационные сети;
  • несанкционированное воздействие на межсетевой экран, целью которого является нарушение его функционирования, преодоление или обход его функций безопасности;
  • несанкционированное получение сведений о сети информационной системы.

Основные области применения:

  • физическое и логическое сегментирование внутренней сети информационной системы согласно политике доступа без необходимости реконфигурации сетевой инфраструктуры;
  • защита внешнего периметра информационной системы с возможностью применения технологии NAT, выделения демилитаризованного сегмента и защиты от DoS-атак;
  • аудит безопасности сети с протоколированием пакетов, виртуальных соединений и событий безопасности;
  • создание кластерных и отказоустойчивых решений.

Базовые режимы функционирования:

  • режим управления сессиями (stateful inspection), в котором обеспечивается контроль виртуальных соединений и проверка каждого пакета на соответствие текущему контексту сессии;
  • режим трансляции сетевых адресов (NAT), в котором обеспечивается выделение внутреннего сегмента с приватной адресацией и преобразование адресной информации при передаче пакетов во внешнюю сеть и обратно;
  • режим пакетной фильтрации, в котором производится обработка каждого входящего пакета независимо от контекста виртуального соединения;
  • приоритизация обработки пакетов подсистемой фильтрации с выделением трех уровней приоритета;
  • посредничество (proxy) в обработке HTTP-трафика с возможностью фильтрации по адресам сайтов, а также удаления мобильного кода из просматриваемых WEB-страниц.

Скрытная фильтрация

Эффективность применения межсетевого экрана ССПТ-4А1 достигается за счет использования технологии скрытной фильтрации (режим «stealth») – инновационного решения (патенты РФ N 2214623, US7281129 B2), позволяющего скрывать для средств удаленного сетевого мониторинга место расположения ССПТ-4А1. Это решение повышает надежность функционирования межсетевого экрана, позволяет быстро и эффективно внедрять межсетевой экран в существующую информационную систему, а также наращивать производительность системы информационной безопасности.

 

Функциональные характеристики и режимы работы

Канальный уровень

Обеспечивается фильтрация кадров по следующим критериям:

  • тип кадра Ethernet (Ethernet II, IEEE 802.3/LLC, IEEE 802.3 Raw, IEEE 802.3-SNAP);
  • МАС-адреса отправителя/получателя;
  • код протокола вышележащего уровня;
  • идентификатор VLAN для кадров IEEE 802.1p/Q;

Сетевой уровень

Обеспечивается фильтрация пакетов по следующим критериям:

  • тип протокола (IP версии 4 и 6);
  • IPv4/IPv6 адреса отправителя/получателя;
  • код протокола вышележащего уровня (TCP, UDP, ICMP, OSPF, IGMP и другие);
  • поля фрагментации, TOS, TTL, длина пакета;
  • дополнительные заголовки, поле класса трафика для протокола IPv6;
  • тип/код служебных сообщений протоколов ICMPv4 и ICMPv6

Транспортный уровень

Обеспечивается фильтрация сегментов по следующим критериям:

  • TCP: по портам источника/приемника, флагам управления потоком;
  • UDP: по портам источника/приемника.

Контроль виртуальных соединений (управление сессиями)

В режиме управления сессиями ССПТ-4А1 реализует глубокий контроль сессий (deep session inspection), выявляя в общем сетевом трафике виртуальные соединения (сессии) между парами адресатов клиент–сервер и обеспечивая контроль корректности каждого пакета в пределах каждого виртуального соединения. Дополнительно к возможностям режима пакетной фильтрации в режиме управления сессиями обеспечивается фильтрация на прикладном уровне по следующим признакам

Обеспечивается контроль состояний виртуальных соединений:

  • TCP, включая:
    • контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
    • контроль корректности переходов между состояниями виртуального соединения в соответствии с флагами управления;
    • контроль корректности номеров последовательностей ТСР-сегментов;
  • UDP, включая контроль неизменности параметров (адреса, порты, интерфейсы) отправителя и получателя на протяжении всей сессии;
  • ICMP, включая контроль неизменности параметров (адреса, интерфейсы, идентификационная информация ICMP) отправителя и получателя на протяжении всей сессии.
  • traceroute/tracepath/tracert, включая контроль обмена сообщениями протоколов UDP/TCP/ICMP;
  • других протоколов, включая контроль неизменности параметров (адреса, интерфейсы) отправителя и получателя на протяжении всей сессии.

Прикладной уровень

Управление протоколами обмена и доступа к информационным ресурсам:

  • HTTP:фильтрация по адресам и фрагментам URL, по типу мобильного кода, по именам и фрагментам имен передаваемых файлов, по методу HTTP, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • SMTP: фильтрация по адреса электронной почты отправителя и получателя, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • FTP: по командам протокола, по именам и фрагментам имен передаваемых файлов, по данным авторизации, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • DNS: фильтрация по запрашиваемым доменным именам, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • протоколы распределенных СУБД: фильтрация по SQL запросам или фрагментам, по любым ASCII- и бинарным последовательностям передаваемых прикладных данных;
  • для других прикладных протоколов: фильтрация по любым ASCII- и бинарным последовательностям передаваемых прикладных данных.

Режим трансляции адресов (NAT)

В режиме NAT на фильтрующие интерфейсы ССПТ-4А1 назначаются IP-адреса, при этом часть интерфейсов может остаться в безадресном режиме. Основные возможности данного режима:

  • динамический ARP;
  • статическая маршрутизация;
  • возможность организации нескольких контейнеров NAT, функционирующих независимо;
  • агрегирование нескольких физических интерфейсов в один логический интерфейс;
  • управляемая трансляция адресной информации при передаче во внешнюю сеть;
  • переадресация запросов из внешних сетей к серверам во внутренних сетях.

Сохраняются все возможности режима пакетной фильтрации и режима управления сессиями.

Дополнительные возможности

  • поддержка справочника сетевых объектов и возможность оперирования ими в правилах фильтрации;
  • выявление и блокирование ряда flood-атак (UDP, ICMP, SYN): ССПТ-4А1 анализирует интенсивность трафика и блокирует потоки, скорость обмена которых превысила заданный порог. Блокировка осуществляется созданием динамического запрещающего правила фильтрации;
  • аутентификация сетевых пользователей обеспечивает контроль доступа к сетевым ресурсам на основе логина и пароля пользователей, работающих через ССПТ-4А1;
  • отказоустойчивая кластеризация на основе двух ССПТ-4А1, работающих в режиме горячего резервирования (одно устройство активно, второе в горячем резерве) или балансировки нагрузки (оба устройства активны).
  • контроль целостности программных и конфигурационных файлов;
  • приоритизация пакетов: возможность назначения трёх уровней приоритета, влияющих на очередность и скорость обработки трафика в подсистеме фильтрации;
  • зеркалирование трафика на заданный фильтрующий интерфейс для мониторинга трафика или подключения система обнаружения вторжений сторонних производителей;
  • выгрузка журналов и отдельных записей регистрации по протоколам FTP и SYSlog для хранения значимой зарегистрированной информации на выделенных серверах;
  • защита канала управления с использованием алгоритмов шифрования на основе OpenSSL;
  • аутентификация и авторизация администраторов и сетевых пользователей с использованием протокола RADIUS.

 

Применяемые технологии

Многопоточная обработка трафика (multithreading): подсистема фильтрации ССПТ-4А1 включает в себя несколько одновременно функционирующих потоков, способных параллельно обрабатывать трафик. За счет этого достигаются повышенные характеристики производительности.

Комбинация пакетной фильтрации и глубокого контроля сессий (deep session inspection): каждая новая сессия проверяется на предмет соответствия политике доступа, после чего каждый последующий пакет сессии контролируется в соответствии с текущим состоянием сессии. Принимаются во внимание поля заголовков протоколов канального, сетевого, транспортного и прикладного уровней.

Скрытная фильтрация (stealth filtering): отсутствие адресов на фильтрующих интерфейсах, а также сохранение в неизменном виде пакетов, передаваемых через устройство (при выключенном режиме NAT).

 

Характеристики основных исполнений

Исполнение ССПТ-4A1 ФРПС.466259.001-01
«отдел/малый офис»
ФРПС.466259.001-04
«предприятие»
ФРПС.466259.001-06
«магистраль»
       
Аппаратные характеристики
Формфактор 1U 1U 1U
Интерфейсы Фильтрующие 5×GbE RJ-45 13×GbE RJ-45
2×GbE SFP
5×GbE RJ-45
2×GbE SFP
2×10GbE SFP+
Управляющие 1×GbE RJ-45
1×RS-232 RJ-45
1×GbE RJ-45
1×RS-232 RJ-45
1×GbE RJ-45
1×RS-232 RJ-45
Процессор Intel® Core™ i3 Intel® Core™ i5 Intel® Core™ i7
ОЗУ DDR-4 4 Гб 4 Гб 8 Гб
ПЗУ SSF/CF 8 Гб 8 Гб 16 Гб
ЖКИ да да да
Питание 220V @ 50Hz 400 Вт 220V @ 50Hz 400 Вт 220V @ 50Hz 400 Вт
Производительность
Пропускная способность пакетов/сек 100 000 250 000 500 000
Количество одновременных соединений 200 000 200 000 200 000
Количество новых соединений в секунду 10 000 25 000 63 000